Als BaFin-reguliertes FinTech-Unternehmen bewegt sich ecrop in einem streng regulierten Umfeld. Transparenz und Rechtssicherheit haben für uns oberste Priorität. Dieses Kapitel gibt Ihnen einen umfassenden Überblick über den rechtlichen Rahmen, in dem wir agieren, und erläutert im Detail, wie ecrop alle relevanten Gesetze und Verordnungen, insbesondere das eWpG, die KryptoWTransferV und die MiCAR-Verordnung, erfüllt. Wir zeigen Ihnen, wie unsere Lösungen helfen, Compliance-Risiken zu minimieren und Ihre digitalen Assets sicher und effizient zu verwalten.

Kernlizenzen (im Beantragungsverfahren)

ecrop ist im Antragsprozess für zwei Kernlizenzen der BaFin, die die Grundlage für unser Geschäftsmodell bilden: die Erlaubnis (Übergangslizenz; finale Lizenz ausstehend) als Kryptowertpapierregisterführer nach § 1 Abs. 1a Satz 2 Nr. 8 KWG i.V.m. § 16 eWpG. Weiter ist die Erlaubnis zur Kryptoverwahrung nach § 1 Abs. 1a Satz 2 Nr. 6 KWG im Antragsverfahren.

Derzeit befindet sich die KWG-Lizenz für die Kryptoverwahrung noch im Antragsverfahren. Sobald diese erteilt ist, wird ecrop die Verwahrung von Kryptowerten gemäß den Anforderungen des KWG und der KryptoWTransferV anbieten.

Kryptowertpapierregister (eWpG)

  • Lizenzumfang: Als lizenzierter (Übergangslizenz; finale Lizenz ausstehend) Registerführer nach eWpG bietet ecrop alle notwendigen Funktionen für die Emission, Registrierung, Übertragung und Verwaltung von Kryptowertpapieren an.

    • Kryptowertpapierregisterführer (gemäß § 1 Abs. 1a Satz 2 Nr. 8 KWG i.V.m. § 16 eWpG): Diese Lizenz (Übergangslizenz; finale Lizenz ausstehend) der BaFin erlaubt uns, das elektronische Wertpapierregister für Kryptowertpapiere zu führen. Sie umfasst die Emission, Registrierung, Übertragung und Verwaltung von Kryptowertpapieren und stellt sicher, dass alle Transaktionen und Eigentumsverhältnisse transparent und nachvollziehbar dokumentiert werden.

  • Gesetzliche Grundlagen: Das ecrop-Kryptowertpapierregister basiert auf einem soliden rechtlichen Fundament und erfüllt alle relevanten gesetzlichen Anforderungen:

    • eWpG (Gesetz über elektronische Wertpapiere): Das eWpG schafft den rechtlichen Rahmen für die digitale Verbriefung von Wertpapieren in Deutschland und regelt deren Emission, Registrierung, Übertragung und Verwahrung. Es ermöglicht die Dekorporierung von Wertpapieren, d.h. die Trennung des Rechts am Wertpapier von der physischen Urkunde. Dadurch entstehen elektronische Wertpapiere, die ausschließlich digital existieren und in einem elektronischen Wertpapierregister geführt werden. Das eWpG differenziert zwischen verschiedenen Arten elektronischer Wertpapiere, darunter Kryptowertpapiere, die auf einer Distributed Ledger Technology (DLT) basieren.

      Link zum eWpG

    • eWpRV (Elektronische Wertpapierregisterverordnung): Die eWpRV konkretisiert die Anforderungen des eWpG an die Führung elektronischer Wertpapierregister und definiert detaillierte Vorgaben für die Sicherheit, Transparenz und Integrität der Daten. Sie regelt u.a. die technischen Anforderungen an das Register, die Prozesse für die Emission, Registrierung und Übertragung von elektronischen Wertpapieren, sowie die Pflichten des Registerführers. Die eWpRV dient dem Schutz der Anleger und gewährleistet die Funktionsfähigkeit des Marktes für elektronische Wertpapiere. ecrop erfüllt als Kryptowertpapierregisterführer alle Anforderungen der eWpRV und gewährleistet so den sicheren und zuverlässigen Betrieb des Kryptowertpapierregisters.

      Link zur eWpRV

    • KWG (Kreditwesengesetz): Das KWG regelt die Tätigkeit von Kreditinstituten und Finanzdienstleistungsinstituten in Deutschland und setzt u.a. strenge Anforderungen an die Geschäftsorganisation, das Risikomanagement, die Einhaltung der Geldwäschebestimmungen und die Verwahrung von Kundengeldern.

      Link zum KWG

  • Organisatorische Anforderungen: ecrop erfüllt alle organisatorischen Anforderungen für den Betrieb eines Kryptowertpapierregisters:

    • ISO 27001 zertifiziertes ISMS: Wir betreiben ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 und gewährleisten so die Einhaltung höchster internationaler Sicherheitsstandards.

      Link zur ISO 27001 Zertifizierung

    • Informationssicherheitsbeauftragter (ISB): Unser ISB ist für die Umsetzung und Überwachung des ISMS verantwortlich und stellt die Einhaltung aller Sicherheitsrichtlinien und -prozesse sicher.

    • Compliance-Management-System: Wir verfügen über ein umfassendes Compliance-Management-System, das die Einhaltung aller relevanten Gesetze, Verordnungen und internen Richtlinien gewährleistet.

    • Klare Rollen und Verantwortlichkeiten: Klare Rollen und Verantwortlichkeiten sind für alle Mitarbeiter definiert, die mit der Plattform und den darauf verwalteten Wertpapieren arbeiten.

    • Technische Voraussetzungen: Die ecrop-Plattform erfüllt alle technischen Anforderungen an den sicheren und zuverlässigen Betrieb eines Kryptowertpapierregisters:

      • Sichere und zuverlässige IT-Infrastruktur: Unsere IT-Infrastruktur ist redundant ausgelegt und wird in der sicheren und performanten AWS-Cloud betrieben.

      • Private Permissioned Blockchain-Technologie: Die Verwendung einer Private Permissioned Blockchain gewährleistet die Integrität, Authentizität und Verfügbarkeit der Daten.

      • Umfassende Sicherheitsmaßnahmen: ecrop setzt eine Vielzahl von Sicherheitsmaßnahmen ein, wie z.B. Verschlüsselung, Zugriffskontrollen und Monitoring, um die Sicherheit der Plattform und der verwalteten Wertpapiere zu gewährleisten.

  • Regulatorische Pflichten: Als Kryptowertpapierregisterführer erfüllt ecrop alle regulatorischen Pflichten gemäß eWpG und eWpRV:

    • Ordnungsgemäße Registerführung: Wir führen das Register gemäß den Anforderungen des eWpG und der eWpRV, insbesondere hinsichtlich der Eintragung, Änderung und Löschung von Wertpapieren.

    • Umfassende Dokumentation: Alle Prozesse und Transaktionen werden umfassend und nachvollziehbar dokumentiert.

    • Regelmäßiges Meldewesen: Wir übermitteln regelmäßig Meldungen an die BaFin, insbesondere über Transaktionen und Bestände.

  • Compliance-Management: Unser umfassendes Compliance- Management-System gewährleistet die Einhaltung aller relevanten Vorschriften:

    • Interne Kontrollen: Wir setzen interne Kontrollmechanismen ein, um die Einhaltung der regulatorischen Anforderungen zu gewährleisten.

    • Risikomanagement: Unser integriertes Risikomanagement- System identifiziert, bewertet und steuert alle relevanten Risiken im Zusammenhang mit dem Betrieb des Registers.

    • Audit-Anforderungen: Wir führen regelmäßig interne und externe Audits durch, um die Compliance und die Wirksamkeit des ISMS zu überprüfen.

Kryptoverwahrung (KWG)

Die sichere Verwahrung von Kryptowerten ist eine der größten Herausforderungen für institutionelle Investoren im Krypto-Bereich. ecrop arbeitet intensiv daran, eine zuverlässige und vollständig regulierte Lösung für die Verwahrung Ihrer digitalen Assets anzubieten, die alle Anforderungen des KWG und der KryptoWTransferV erfüllt. Derzeit befindet sich unsere Lizenz für die Kryptoverwahrung gemäß § 1 Abs. 1a Satz 2 Nr. 6 KWG im Antragsverfahren. Sobald die Lizenz erteilt ist, werden wir Ihnen unsere Cold-Storage-Architektur und unsere mehrstufige Sicherheitsarchitektur zur Verfügung stellen, um Ihre Kryptowerte optimal zu schützen.

Die Herausforderungen der Kryptoverwahrung

  • Schlüsselverwaltung: Die sichere Generierung, Speicherung und Verwaltung von Private Keys ist komplex und aufwändig. Der Verlust oder Diebstahl von Schlüsseln führt zum unwiderruflichen Verlust der verbundenen Kryptowerte.

  • Sicherheitsrisiken: Kryptowerte sind ein attraktives Ziel für Cyberkriminelle. Angriffe, Exploits und Sicherheitslücken in der Software können zu erheblichen finanziellen Schäden führen.

  • Regulatorische Anforderungen: Die Einhaltung der geltenden Gesetze und Verordnungen im Bereich der Kryptoverwahrung ist komplex und verlangt spezielle Expertise.

Die ecrop-Lösung: Maximale Sicherheit und Compliance durch Multi-Custody Ansatz

ecrop setzt auf einen Multi-Custody-Ansatz, der die Vorteile von Cold Storage und modernster Sicherheitstechnologie kombiniert, um den höchstmöglichen Schutz für Ihre Kryptowerte zu gewährleisten und gleichzeitig die Flexibilität und Verfügbarkeit für Transaktionen zu maximieren. Dieser Ansatz ermöglicht es uns, die individuellen Bedürfnisse unserer Kunden zu erfüllen und gleichzeitig die höchsten Sicherheitsstandards und alle relevanten regulatorischen Anforderungen zu erfüllen.

  • Cold Storage Architektur: Ihre Private Keys werden offline in Hardware Security Modules (HSMs) generiert und gespeichert. HSMs sind spezialisierte Hardwaregeräte, die einen hohen Grad an Manipulationssicherheit bieten und sich optimal für die sichere Aufbewahrung kryptografischer Schlüssel eignen.

  • Mehrstufige Sicherheitsarchitektur: Unsere mehrstufige Sicherheitsarchitektur umfasst:

    • Zugriffskontrollen: Strenge, rollenbasierte Zugriffskontrolle (RBAC) begrenzt den Zugriff auf sensible Daten und Funktionen auf ein Minimum an autorisierten Personen.

    • Multi-Faktor-Authentifizierung (MFA): MFA erfordert mehrere unabhängige Faktoren für die Authentifizierung und erhöht so die Sicherheit deutlich.

    • Vier-Augen-Prinzip: Für kritische Operationen, wie z.B. die Freigabe von Transaktionen, gilt das Vier-Augen-Prinzip. Zwei autorisierte Mitarbeiter müssen unabhängig voneinander die Tätigkeit prüfen und genehmigen.

    • Verschlüsselung: Alle Daten werden sowohl im Ruhezustand (AES-256) als auch während der Übertragung (TLS 1.3) verschlüsselt.

    • Firewalls und Intrusion Detection Systeme: Firewalls und Intrusion Detection Systeme überwachen den Netzwerkverkehr und die Systemaktivitäten in Echtzeit und blockieren potenzielle Bedrohungen.

    • Regelmäßige Sicherheitsüberprüfungen: Penetrationstests, Sicherheitsaudits und Schwachstellen-Scans durch interne und externe Experten gewährleisten ein kontinuierlich hohes Sicherheitsniveau.

    • Incident Response Plan: Ein ausgearbeiteter Incident Response Plan definiert klare Prozesse und Verantwortlichkeiten im Falle von Sicherheitsvorfällen und gewährleistet eine schnelle und effektive Reaktion.

Regulatorische Anforderungen:

Als BaFin-reguliertes Unternehmen erfüllt ecrop alle relevanten regulatorischen Anforderungen für die Kryptoverwahrung:

  • KWG-Konformität: Die Verwahrung erfolgt gemäß den Anforderungen des KWG und der KryptoWTransferV.

  • Datenschutzkonformität: Personenbezogene Daten werden gemäß DSGVO und BDSG verarbeitet.

  • Regelmäßige Audits & Sicherheitsüberprüfungen: Interne und externe Audits gewährleisten die Einhaltung aller regulatorischen Anforderungen und Sicherheitsstandards.

Kernfunktionen im Detail:

  • Custody-Services:

    • Sichere Verwahrung: Verwahren Sie Ihre Kryptowerte sicher in Cold Storage. Unterstützt werden verschiedene Kryptowährungen und Token.

    • Wallet-Verwaltung: Verwalten Sie Ihre Wallets einfach und intuitiv über unser benutzerfreundliches Web-Portal. Sie haben jederzeit vollen Einblick in Ihre Bestände und Transaktionshistorie.

    • Automatisierte & manuelle Ein- und Auszahlungen: Profitieren Sie von automatisierten Prozessen für schnelle und effiziente Transaktionen. Manuelle Transaktionen sind ebenfalls möglich.

    • Use Case: Ein institutioneller Investor möchte verschiedene Kryptowerte langfristig und sicher halten. Mit den Custody Services von ecrop kann er seine Assets in Cold Storage verwahren lassen und profitiert von maximaler Sicherheit und Compliance.

  • Schlüsselmanagement:

    • Sichere Schlüsselgenerierung: ecrop generiert für jeden Kunden einzigartige Schlüsselpaare in HSMs unter Verwendung kryptografisch sicherer Zufallszahlengeneratoren (CSPRNGs). Die Schlüssel werden niemals unverschlüsselt gespeichert oder übertragen.

    • Sichere Schlüsselspeicherung: Die Private Keys werden offline in HSMs gespeichert und sind so vor unbefugtem Zugriff geschützt.

    • Regelmäßige Schlüsselrotation: Die Schlüssel werden regelmäßig nach einem definierten Zeitplan und bei Bedarf rotiert, um das Risiko einer Kompromittierung zu minimieren.

    • Sicheres Wiederherstellungsverfahren: Im Notfall steht ein sicheres und dokumentiertes Verfahren zur Wiederherstellung der Schlüssel zur Verfügung.

    • Mehrstufige Zugriffskontrollen & Verschlüsselung: Der Zugriff auf die Schlüssel ist streng kontrolliert und erfordert die Autorisierung mehrerer Personen (MFA- und Vier-Augen-Prinzip). Alle Schlüsseldaten werden verschlüsselt.

    • HSM-Technologie: Die Verwendung von HSMs bietet höchste Sicherheit und Manipulationsschutz für Ihre Schlüssel.

  • Transaktionsmanagement:

    • Sichere und effiziente Abwicklung: ecrop gewährleistet die sichere und effiziente Abwicklung von Krypto-Transaktionen.

    • Echtzeit-Tracking des Transaktionsstatus: Sie können den Status Ihrer Transaktionen jederzeit in Echtzeit verfolgen.

    • Integration mit Handelsplattformen (zukünftig): Nahtlose Integration mit bestehenden Handelsplattformen ermöglicht den reibungslosen Handel mit Kryptowerten.

    • Automatisierte Prüfung und Genehmigung: Automatisierte Prüfungs- und Genehmigungsprozesse beschleunigen die Abwicklung von Transaktionen.

  • Reporting & Compliance:

    • Umfassendes Reporting: Umfassende Reporting-Funktionen für Kunden und Aufsichtsbehörden bieten volle Transparenz und erfüllen alle regulatorischen Anforderungen.

    • Detaillierte Audit-Trails: Detaillierte und revisionssichere Audit-Trails dokumentieren alle Transaktionen und Systemereignisse und ermöglichen eine vollständige Nachvollziehbarkeit.

    • Exportfunktionen: Flexible Exportfunktionen ermöglichen Ihnen, die Daten in verschiedene Formate zu exportieren und in Ihre bestehenden Systeme zu integrieren.

    • API-Integration: Leistungsstarke APIs ermöglichen die automatisierte Datenabfrage und -verarbeitung sowie die Integration mit Ihren bestehenden Systemen.

Hinweis: Wir informieren Sie umgehend, sobald unsere KWG-Lizenz für die Kryptoverwahrung erteilt wurde. In der Zwischenzeit können Sie sich gerne an unser Team wenden, um mehr über unsere entwickelte Verwahrungslösung und die Integration in Ihr Unternehmen zu erfahren.