Sicheres Element (Secure Element)
Aktualisiert 13. Apr. 2026
Ein sicheres Element (Secure Element) ist ein manipulationssicherer Chip, der sensible Daten speichert und kryptografische Operationen in einer Umgebung durchführt, die physisch und logisch vom Rest des Geräts isoliert ist. Es kann nicht von externer Software gelesen, über den Hauptprozessor extrahiert oder fernzugegriffen werden. Was in ein Secure Element geht, bleibt dort.
Bei Kryptowährungs-Hardware-Wallets ist das Secure Element der Ort, an dem Private Keys generiert, gespeichert und zum Signieren von Transaktionen verwendet werden. Es ist die Komponente, die eine Hardware Wallet grundlegend von einer Software-Wallet unterscheidet, und der Grund, warum Angreifer den Private Key nicht durch einen Netzwerkangriff stehlen können. Dieselbe Chiptechnologie schützt Daten auf Bankkarten, Reisepässen, SIM-Karten und Apple Pay.
Wie ein Secure Element funktioniert
Ein Secure Element ist eine eigenständige Computerumgebung mit eigenem Prozessor, Speicher und Betriebssystem, alles in einem einzigen Chip versiegelt. Das Host-Gerät kann Anweisungen senden und Ausgaben empfangen, aber nicht inspizieren, was darin geschieht oder auf die gespeicherten Daten zugreifen.
Im Kontext einer Krypto-Wallet funktioniert der Prozess wie folgt:
- Beim Setup generiert das Secure Element einen Private Key mit seinem internen Zufallszahlengenerator
- Der Key wird im geschützten Speicher des Chips gespeichert und nirgendwohin übertragen
- Wenn eine Transaktion signiert werden muss, übergibt das System die unsignierte Transaktionsdaten an den Chip
- Das Secure Element führt den Signiervorgang intern mit dem gespeicherten Key durch
- Nur die fertige Signatur wird an die Begleit-App zurückgegeben
- Die App überträgt die signierte Transaktion an das Netzwerk
Der Private Key ist nur in Schritt vier beteiligt. Das Host-Gerät sieht ihn nie. Die Begleit-App sieht ihn nie.
Zertifizierung von Secure Elements
Secure Elements sind nicht selbstzertifiziert. Sie durchlaufen unabhängige Evaluierungsprogramme, die sowohl die Hardware als auch die Software gegen bekannte Angriffsmethoden testen:
- Common Criteria (CC). Ein international anerkanntes Framework, bei dem Chips von unabhängigen Labors evaluiert und auf verschiedenen Sicherheitsniveaus zertifiziert werden. EAL5+, EAL6 und EAL7 sind die typischen Niveaus für Finanzklasse-Secure-Elements.
- EMVCo. Der Standard hinter chipbasierten Bankkarten und kontaktlosen Zahlungen weltweit.
Secure Element vs. Standard-Chip
| Faktoren | Secure Element | Standard-Mikrocontroller |
|---|---|---|
| Physische Manipulationssicherheit | Ja | Nein |
| Speicher extern zugänglich | Nein | Potenziell ja |
| Unabhängige Sicherheitszertifizierung | Ja (CC, EMVCo) | Nein |
| Verwendet in | Bankkarten, Reisepässe, Hardware-Wallets | Consumer Electronics, einfache Embedded Devices |
| Angriffsresistenz | Seitenkanal, Fehlerinjektion, Probing | Begrenzt |
| Key-Extraktion möglich | Konstruktiv unmöglich | Unter bestimmten Bedingungen möglich |
Einige Hardware-Wallets verwenden statt eines dedizierten Secure Elements einen Standard-Mikrocontroller. Dies ist ein wesentlicher Sicherheitsunterschied.
Secure Element in der Praxis
Wenn Spyware ein Telefon infiziert, kann die Malware Dateien lesen, auf Speicher zugreifen und Daten exfiltrieren. Bei einer Software-Wallet ist der Private Key für alles zugänglich, was auf Betriebssystemebene läuft.
Bei demselben Telefon mit einer angetippten Tangem-Karte sieht die Malware die Begleit-App, die eine Transaktion an die Karte sendet, und die Karte, die eine Signatur zurückgibt. Sie kann den Private Key nicht abfangen, weil er nie im Telefonspeicher erscheint. Der Signiervorgang fand im Secure Element der Karte statt.
Risiken und häufige Missverständnisse
„Ein Secure Element bedeutet, die Wallet ist völlig unknackbar." Es schützt den Private Key vor Software-Angriffen und den meisten physischen Angriffen, aber nicht vor betrügerischen Transaktionen oder einer kompromittierten Seed-Phrase.
„Alle Hardware-Wallets verwenden ein Secure Element." Tun sie nicht. Einige verwenden Allzweck-Mikrocontroller. Prüfen Sie die technischen Spezifikationen.
„Secure Elements können mit genug Aufwand gebrochen werden." Das Brechen eines zertifizierten Secure Elements erfordert Spezialausrüstung, erhebliches Fachwissen und physischen Besitz des Chips.
„Das Wallet-Unternehmen kann über das Secure Element auf den Key zugreifen." Ein korrekt implementiertes Secure Element generiert den Key intern, und er verlässt den Chip nie.
Tangems Ansatz zum Secure Element
Das von Tangem verwendete Secure Element ist nach Common Criteria EAL6+ zertifiziert - eines der höchsten verfügbaren Sicherheitsniveaus in kommerzieller Hardware. Dies ist dieselbe Chip-Kategorie wie in biometrischen Reisepässen und hochsicheren Bankkarten.
Tangems Standardeinrichtung generiert keine Seed-Phrase, was die häufigste externe Schwachstelle beseitigt: ein gut geschützter Key, kombiniert mit einem nachlässig gespeicherten Recovery Sheet.
Häufig gestellte Fragen
Was ist der Unterschied zwischen einem Secure Element und einem Secure Enclave?
Ein Secure Enclave ist eine geschützte Ausführungsumgebung, die in einen Allzweckprozessor integriert ist. Ein Secure Element ist ein völlig separater, unabhängig zertifizierter Chip mit eigenem Prozessor und Speicher.
Verwenden Software-Wallets Secure Elements?
Im Allgemeinen nein. Software-Wallets speichern Keys im geschützten Speicher des Betriebssystems.
Kann ein Secure Element kopiert oder geklont werden?
Nein. Physische Schutzmaßnahmen im Chip zerstören gespeicherte Daten, wenn Manipulation erkannt wird.
Warum verwenden Bankkarten dieselbe Technologie wie Hardware-Wallets?
Beide benötigen dieselbe Eigenschaft: Ein Geheimnis, das hochwertige Transaktionen autorisiert, muss so gespeichert werden, dass Angreifer es nicht extrahieren können.