Dieses Kapitel beschreibt die technische Implementierung der ecrop-Plattform und bietet Entwicklern und Systemarchitekten erste Informationen zur Architektur, den Schnittstellen und den Sicherheitsmechanismen. Es dient als technischer Überblick für die Integration und den Betrieb der Plattform.

Kryptowertpapierregister

Das Kryptowertpapierregister ist das Herzstück der ecrop-Plattform und bildet die technische Grundlage für die Emission, Registrierung, Übertragung und Verwaltung von Kryptowertpapieren gemäß eWpG. Es gewährleistet die sichere, transparente und effiziente Abwicklung aller Transaktionen und die Einhaltung der regulatorischen Anforderungen. Das Register basiert auf einer dezentralen, manipulationssicheren Datenbank (Distributed Ledger Technology - DLT), die alle Transaktionen und Eigentumsverhältnisse transparent und nachvollziehbar dokumentiert. Durch die Nutzung von Smart Contracts wird die Automatisierung von Prozessen und die sichere Verwahrung der Wertpapiere gewährleistet.

Technische Architektur: Dezentralität und Sicherheit

Das ecrop-Kryptowertpapierregister basiert auf einer mehrschichtigen, Cloud-nativen Architektur, die eine sichere, transparente und skalierbare Verwaltung von Kryptowertpapieren gemäß eWpG ermöglicht. Die Architektur umfasst folgende Kernkomponenten:

  • Eine Private Permissioned Blockchain, die auf Hyperledger Besu basiert und durch ein Netzwerk dezentraler Validatoren betrieben wird.

  • Eine redundante und verschlüsselte Datenbank (PostgreSQL), die Off-Chain-Daten speichert.

  • Eine sichere REST-API mit JWT-basierter Authentifizierung und Autorisierung für den programmatischen Zugriff auf die Registerfunktionen.

  • Sichere und verschlüsselte Kommunikationskanäle (TLS 1.3) zwischen allen Komponenten.

Die Architektur ist modular aufgebaut und ermöglicht eine flexible Anpassung an die individuellen Bedürfnisse der Kunden. Sie gewährleistet die Einhaltung der regulatorischen Anforderungen des eWpG und der eWpRV, insbesondere im Hinblick auf Datenschutz und Datensicherheit.

Registerkomponenten: Funktionalität im Detail

Jede Komponente des Kryptowertpapierregisters erfüllt eine spezifische Funktion:

  • Hyperledger Besu: Hyperledger Besu ist ein quelloffener Ethereum-Client, der die Kernfunktionalität der Blockchain bereitstellt. Er ermöglicht die Ausführung von Smart Contracts, die Verwaltung von Transaktionen und die Erstellung neuer Blöcke. ecrop nutzt die Enterprise-Funktionen von Besu, um die Anforderungen des Finanzsektors zu erfüllen.

  • Private Permissioned Blockchain: Die Private Permissioned Blockchain bildet das dezentrale Netzwerk, auf dem die Kryptoaktien verwaltet werden. Der Zugriff auf das Netzwerk ist auf autorisierte Teilnehmer beschränkt, um die Sicherheit und Integrität des Registers zu gewährleisten. Die Validatoren werden nach strengen Kriterien ausgewählt und unterliegen einer kontinuierlichen Überwachung. Das Konsensverfahren ist auf Effizienz und Sicherheit ausgelegt.

  • Smart Contracts: Die Smart Contracts sind in Solidity geschrieben und implementieren die Geschäftslogik für die Verwaltung von Kryptoaktien. Sie ermöglichen die automatisierte Ausführung von Transaktionen, die Übertragung von Aktien, die Ausschüttung von Dividenden und andere Funktionen. Die Smart Contracts sind unveränderlich und gewährleisten die Integrität der Transaktionen, um die Übertragung von Kryptoaktien einzuschränken und die Einhaltung der regulatorischen Anforderungen zu gewährleisten.

  • PostgreSQL Datenbank: Die relationale Datenbank (PostgreSQL) speichert alle Off-Chain-Daten, wie z.B. Stammdaten von Emittenten und Kryptowertpapieren, Benutzerdaten, Audit-Trails, Konfigurationsdaten und Transaktionsdetails. Die Datenbank ist redundant ausgelegt (Multi-AZ, geographically redundant), um höchste Verfügbarkeit und Ausfallsicherheit zu gewährleisten. Sie wird in der sicheren und skalierbaren AWS Cloud betrieben und ist durch Firewalls, Verschlüsselung nach Industriestandard (AES-256) und rollenbasierte Zugriffskontrollen (RBAC) geschützt. Regelmäßige Backups und ein Disaster Recovery Plan sorgen für zusätzliche Datensicherheit und die Einhaltung der regulatorischen Anforderungen. (Referenz: eWpG, eWpRV, Datenschutzbestimmungen, Best Practices für Datenbanken, AWS-Dokumentation)

  • REST-API: Die REST-API ermöglicht den sicheren und effizienten Zugriff auf die Funktionen des Registers und bietet Entwicklern eine standardisierte Schnittstelle für die Integration mit anderen Systemen. Die API ist versioniert, umfassend dokumentiert und bietet Entwicklern eine einfache Möglichkeit zur Integration. Die Dokumentation enthält detaillierte Beschreibungen aller Endpunkte, Parameter, Datentypen und Rückgabewerte, sowie Code-Beispiele in verschiedenen Programmiersprachen. Die API unterstützt JSON als Datenaustauschformat und verwendet JWT-basierte Authentifizierung und Autorisierung, um die Sicherheit der Datenübertragung zu gewährleisten. Die API-Integration ermöglicht die Automatisierung von Prozessen und die nahtlose Anbindung an bestehende Systeme. (Referenz: eWpG, eWpRV, REST-API-Design-Prinzipien, JWT-Standard)

Sicherheitsarchitektur: Schutz auf allen Ebenen

Die Sicherheit des Kryptowertpapierregisters ist von höchster Bedeutung. ecrop setzt auf eine mehrschichtige Sicherheitsarchitektur, die Schutz auf allen Ebenen gewährleistet:

  • Mehrschichtige Sicherheitsarchitektur: Die Sicherheitsmaßnahmen umfassen alle Ebenen des Systems, vom Netzwerk über die Anwendungen bis hin zu den Daten. Dies gewährleistet einen umfassenden Schutz vor verschiedenen Arten von Bedrohungen.

  • Zugriffskontrollen: Der Zugriff auf das Register ist streng kontrolliert und basiert auf dem Need-to-Know-Prinzip. Es werden rollenbasierte Zugriffskontrollen (RBAC) eingesetzt, um sicherzustellen, dass nur autorisierte Benutzer auf sensible Daten und Funktionen zugreifen können. Zusätzlich wird eine Multi-Faktor-Authentifizierung (MFA) für kritische Operationen verwendet. Das Vier-Augen-Prinzip kommt bei besonders sensiblen Vorgängen zum Einsatz.

  • Verschlüsselung: Alle Daten werden sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt. Für die Übertragung wird TLS 1.3 verwendet, für die Speicherung AES-256. Die Schlüssel werden in Hardware Security Modules (HSMs) verwaltet.

  • Regelmäßige Sicherheitsüberprüfungen: ecrop führt regelmäßig Sicherheitsüberprüfungen durch, um Schwachstellen zu identifizieren und zu beheben. Dazu gehören Penetrationstests, Sicherheitsaudits und Schwachstellen-Scans. Die Ergebnisse der Überprüfungen werden dokumentiert und in die kontinuierliche Verbesserung der Sicherheitsmaßnahmen eingebunden.

  • Incident Response Plan: ecrop hat einen klaren Incident Response Plan für den Umgang mit Sicherheitsvorfällen definiert. Dieser Plan umfasst die Identifizierung von Sicherheitsvorfällen, die Analyse der Ursachen, die Einleitung von Gegenmaßnahmen und die Kommunikation mit den betroffenen Stakeholdern.

Datenmodell: Struktur und Beziehungen

Das Datenmodell des Kryptowertpapierregisters ist relational und basiert auf der PostgreSQL Datenbank. Es umfasst sowohl On-Chain- als auch Off-Chain-Daten und stellt die Verknüpfung zwischen diesen Daten sicher.

  • Relationales Datenmodell: Die Daten werden in Tabellen gespeichert, die über Beziehungen miteinander verbunden sind. Dies ermöglicht eine effiziente Abfrage und Verwaltung der Daten.

  • Verknüpfung von On-Chain- und Off-Chain-Daten: Die On-Chain-Daten (z.B. Transaktionshashes) werden mit den Off-Chain-Daten (z.B. Stammdaten von Emittenten und Kryptoaktien) über eindeutige IDs verknüpft. Dies gewährleistet die Integrität und Konsistenz der Daten.

  • Detaillierte Beschreibung der Tabellenstruktur und der Datenfelder: Die Dokumentation enthält eine detaillierte Beschreibung der Tabellenstruktur und der Datenfelder einschliesslich der Datentypen, Constraints und Beziehungen. (ER-Diagramm)

API & Integration: Schnittstelle für Entwickler

Die REST-API des Kryptowertpapierregisters ermöglicht den sicheren Zugriff auf die Funktionen des Registers und bietet Entwicklern eine einfache Möglichkeit zur Integration:

  • Endpoints: Die API-Dokumentation enthält eine vollständige Beschreibung aller API-Endpunkte mit Beschreibung der Funktionen, Parameter, Datentypen und Rückgabewerte.

  • Authentifizierung: Die API verwendet JWT-basierte Authentifizierung und Autorisierung über API-Keys. Die Dokumentation enthält eine detaillierte Beschreibung des Authentifizierungsprozesses und Code-Beispiele für die Authentifizierung in verschiedenen Programmiersprachen.

  • Beispiele: Die Dokumentation enthält Code-Beispiele für die API-Integration in verschiedenen Programmiersprachen und für verschiedene Anwendungsfälle, z.B. die Ausgabe eines Kryptowertpapiers, die Übertragung eines Kryptowertpapiers und die Abfrage von Transaktionsdaten.

Compliance-Features: Sicherheit und Transparenz

Das Kryptowertpapierregister enthält verschiedene Compliance-Features, um die Einhaltung der regulatorischen Anforderungen zu gewährleisten:

  • Audit-Trail: Das Register protokolliert alle Transaktionen und Registeränderungen detailliert, manipulationssicher und unveränderlich in einem revisionssicheren Audit-Trail. Die Protokolle können für Revisionszwecke exportiert werden und entsprechen den Anforderungen der GoBD. Der Audit-Trail ermöglicht die lückenlose Nachvollziehbarkeit aller Vorgänge im Register und dient als Beweismittel im Falle von Streitigkeiten oder behördlichen Untersuchungen.

  • Reporting: Das Register ermöglicht die automatisierte Erstellung von standardisierten und individuellen Berichten für Emittenten, Investoren und Aufsichtsbehörden. Die Berichte können flexibel an individuelle Anforderungen angepasst werden und enthalten alle relevanten Informationen, wie z.B. Bestandsübersichten, Transaktionshistorien und Compliance-Daten. Die Berichte werden in einem maschinenlesbaren Format bereitgestellt und können über die API abgerufen werden.

  • Kontrollen: Das Register enthält integrierte Kontrollmechanismen, um die Einhaltung der regulatorischen Anforderungen, insbesondere des eWpG, der eWpRV und des GwG, zu gewährleisten. Dazu gehören z.B. die automatisierte Prüfung von KYC/AML-Anforderungen, die Validierung von Transaktionsdaten und die Überwachung des Emissionsvolumens.