ZAIOS.NETBlogSecurity
Security 6. März 2026 9 Min. Lesezeit

Offline-Sicherheit: REINER SCT und Air-Gapped Devices

Warum Geräte ohne Internetverbindung die sicherste Form der Authentifizierung bieten — von chipTAN bis Hardware Wallets.

Offline-Sicherheit: REINER SCT und Air-Gapped Devices

In der IT-Sicherheit gibt es ein Prinzip, das so alt ist wie die Informatik selbst und trotzdem aktueller denn je: Was nicht im Internet ist, kann nicht über das Internet angegriffen werden. Dieses Prinzip klingt trivial, aber seine konsequente Anwendung führt zu den sichersten Authentifizierungs- und Transaktionsmethoden, die es gibt. In diesem Artikel schauen wir uns an, wie Geräte ohne Netzwerkverbindung — von Banking-Lesegeräten bis zu Hardware Wallets — eine Sicherheitsebene bieten, die kein noch so ausgeklügelter Software-Schutz erreichen kann.

Air-Gapped erklärt

Ein Air-Gapped Device (wörtlich: „Luft-Spalt-Gerät“) ist ein Gerät, das physisch von jeglicher Netzwerkverbindung getrennt ist. Kein WLAN, kein Bluetooth, kein Ethernet, kein Mobilfunk, kein USB-Datenübertragung — nichts, was eine digitale Brücke zur Außenwelt schlagen könnte.

Die Idee dahinter ist denkbar einfach: Die überwiegende Mehrheit aller Cyberangriffe erfordert eine Netzwerkverbindung zum Ziel. Ransomware muss heruntergeladen werden. Phishing erfordert einen Browser. Remote-Exploits brauchen eine offene Netzwerkverbindung. Command-and-Control-Server müssen kommunizieren können. Nimmt man all diese Verbindungswege weg, bleiben nur noch physische Angriffsvektoren — und die erfordern physische Präsenz, was die Angriffsfläche dramatisch reduziert.

Air-Gapping wird seit Jahrzehnten in Hochsicherheitsumgebungen eingesetzt: Militärische Netzwerke, Atomkraftwerk-Steuerungen, Geheimdienstinfrastrukturen — überall dort, wo die Konsequenzen eines Einbruchs katastrophal wären. Aber das Prinzip ist längst im Alltag angekommen, und zwar in Form von Geräten, die jeder kaufen und nutzen kann.

REINER SCT tanJack: Banking ohne Internet

Der REINER SCT tanJack ist ein chipTAN-Lesegerät, das in Deutschland und Österreich millionenfach im Einsatz ist. Es ist das perfekte Beispiel für alltagstaugliche Air-Gapped-Sicherheit.

Was ist chipTAN?

chipTAN (auch Smart-TAN oder Sm@rt-TAN) ist ein Verfahren zur Transaktionsautorisierung im Online-Banking. Es kombiniert zwei physische Elemente: den Chip deiner Bankkarte und ein eigenständiges Lesegerät ohne Internetverbindung. Kein Server, kein Cloud-Dienst, kein App-Store — nur Hardware und Kryptografie.

Wie funktioniert chipTAN?

Der Ablauf einer chipTAN-Transaktion ist elegant in seiner Einfachheit:

  1. Du erstellst eine Überweisung in deinem Online-Banking im Browser
  2. Die Bank generiert einen Flicker-Code oder QR-Code, der die Transaktionsdaten enthält (Empfänger-IBAN, Betrag, Verwendungszweck)
  3. Du hältst den tanJack an den Bildschirm (Flicker) oder scannst den QR-Code
  4. Du steckst deine Bankkarte in den tanJack
  5. Das Gerät zeigt dir auf seinem eigenen Display die Transaktionsdaten an: Empfänger-IBAN und Betrag
  6. Du prüfst die Daten auf dem Gerätedisplay und bestätigst mit der Taste
  7. Der tanJack erzeugt eine TAN (Transaktionsnummer), die du im Browser eingibst
  8. Die Überweisung wird ausgeführt

Der entscheidende Sicherheitsvorteil liegt in Schritt 5 und 6: Du prüfst die Transaktionsdaten auf einem separaten, nicht manipulierbaren Gerät. Selbst wenn dein Computer mit einem Banking-Trojaner infiziert ist, der die Überweisungsdaten im Browser manipuliert (z.B. die IBAN ändert), würdest du die Manipulation auf dem tanJack-Display sofort erkennen, denn dort werden die tatsächlichen Daten angezeigt, nicht die manipulierten.

Warum ist chipTAN so sicher?

chipTAN bietet ein Sicherheitsniveau, das app-basierte Verfahren nicht erreichen können:

  • Keine Internetverbindung: Der tanJack hat kein WLAN, kein Bluetooth, keinen USB-Datenübertragung. Er kann nicht gehackt, nicht ferngesteuert und nicht mit Malware infiziert werden.
  • Separates Display: Die Transaktionsdaten werden auf einem Gerät angezeigt, das der Angreifer nicht kontrollieren kann. Man-in-the-Browser-Angriffe werden wirkungslos.
  • Physische Bankkarte: Die TAN-Generierung erfordert den Chip der physischen Bankkarte. Selbst mit dem Lesegerät allein kann ein Angreifer keine TAN erzeugen.
  • Transaktionsbindung: Die TAN ist an die spezifische Transaktion gebunden. Eine TAN, die für eine Überweisung von 50€ an Max Mustermann generiert wurde, kann nicht für eine andere Überweisung missbraucht werden.
  • Keine Software-Updates nötig: Das Gerät benötigt keine Updates, weil es keine Software hat, die Schwachstellen entwickeln könnte. Die Firmware ist in einem Read-Only-Chip gebrannt.

Kosten und Verfügbarkeit

Der REINER SCT tanJack QR kostet etwa 35€ — eine einmalige Anschaffung, die unbegrenzt funktioniert. Kein Abo, kein App-Store, keine Smartphone-Abhängigkeit. Im Vergleich dazu: Banking-Apps müssen regelmäßig aktualisiert werden, sind an ein bestimmtes Smartphone gebunden und erfordern ein aktuelles Betriebssystem. Wer ein älteres Gerät ohne Sicherheitsupdates nutzt, setzt sich mit einer Banking-App größeren Risiken aus als mit einem chipTAN-Lesegerät.

REINER SCT cyberJack

Neben den tanJack-Geräten bietet REINER SCT auch die cyberJack-Serie an — Smartcard-Lesegeräte, die für andere Anwendungen genutzt werden:

  • ELSTER: Steuererklärung mit dem elektronischen Personalausweis oder der Signaturkarte
  • ePA (elektronische Patientenakte): Zugriff auf Gesundheitsdaten mit der eGK
  • Qualifizierte elektronische Signatur: Rechtsgültige digitale Unterschrift für Verträge, Anträge und Dokumente

Auch hier gilt das Prinzip: Die Smartcard und das Lesegerät bilden eine Sicherheitszone außerhalb des potenziell kompromittierten Computers.

Hardware Wallets: Kryptowährungen offline schützen

Im Bereich der Kryptowährungen hat das Air-Gapping-Prinzip eine besonders konsequente Umsetzung gefunden: Hardware Wallets. Die bekanntesten Hersteller sind Ledger und Trezor.

Das Grundprinzip

Bei Kryptowährungen wie Bitcoin und Ethereum besteht der Zugang zu deinem Vermögen aus einem einzigen Element: dem privaten Schlüssel (Private Key). Wer diesen Schlüssel kennt, hat vollständige Kontrolle über alle zugeordneten Coins und Token. Es gibt keinen Kundendienst, keine Passwort-Zurücksetzung, kein „Ich habe mein Konto vergessen“. Private Key verloren = Geld verloren. Für immer.

Ein Hardware Wallet speichert diesen privaten Schlüssel auf einem dedizierten Sicherheitschip (Secure Element), der das Gerät niemals verlässt. Transaktionen werden folgendermaßen durchgeführt:

  1. Du erstellst eine Transaktion auf deinem Computer (z.B. „Sende 0.5 BTC an Adresse xyz“)
  2. Die unsignierte Transaktion wird an das Hardware Wallet gesendet
  3. Das Wallet zeigt die Transaktionsdetails auf seinem eigenen Display an
  4. Du prüfst Empfängeradresse und Betrag auf dem Gerät und bestätigst physisch
  5. Das Wallet signiert die Transaktion intern mit dem privaten Schlüssel
  6. Die signierte Transaktion wird zurück an den Computer gesendet und ans Netzwerk übermittelt

Zu keinem Zeitpunkt verlässt der private Schlüssel das Gerät. Selbst wenn dein Computer vollständig kompromittiert ist, kann ein Angreifer keine Transaktion autorisieren, ohne das Hardware Wallet physisch zu besitzen und die PIN zu kennen.

Seed-Phrase: Das ultimative Backup

Bei der Ersteinrichtung eines Hardware Wallets wird eine Seed-Phrase (auch Recovery Phrase) generiert — typischerweise 24 zufällige Wörter. Diese Phrase ist eine menschenlesbare Repräsentation des privaten Schlüssels und ermöglicht die vollständige Wiederherstellung auf einem neuen Gerät.

Die wichtigste Regel: Schreibe die Seed-Phrase physisch auf und verwahre sie offline. Niemals digital speichern — nicht als Foto, nicht als Notiz, nicht in der Cloud, nicht in einem Passwort-Manager. Ein Foto der Seed-Phrase auf einem mit dem Internet verbundenen Gerät entwertet das gesamte Sicherheitskonzept des Hardware Wallets.

Für Langzeitaufbewahrung gibt es Edelstahl-Backup-Lösungen wie Cryptosteel oder Billfodl, die die Wörter in Metallplatten einprägen — feuer-, wasser- und korrosionsbeständig.

Air-Gapped Signing für Entwickler

Hardware-gestützte Offline-Sicherheit ist nicht nur für Banking und Kryptowährungen relevant. Für Softwareentwickler bietet die Kombination aus YubiKey und GPG-Subkeys ein mächtiges Setup:

GPG-Subkeys auf dem YubiKey

Statt den GPG-Master-Key auf dem Computer zu speichern, werden drei Subkeys (Sign, Encrypt, Auth) auf den YubiKey verschoben. Der Master-Key wird offline aufbewahrt (z.B. auf einem verschlüsselten USB-Stick im Tresor). Auf dem Computer existiert nur ein Stub, der auf den YubiKey verweist.

  • Git-Commits signieren: Jeder Commit wird kryptografisch mit dem Signing-Subkey auf dem YubiKey signiert. GitHub zeigt ein „Verified“-Badge an. Wenn dein Laptop gestohlen wird, kann der Dieb keine signierten Commits in deinem Namen erstellen.
  • E-Mails verschlüsseln und signieren: Mit dem Encryption- und Signing-Subkey können E-Mails Ende-zu-Ende verschlüsselt werden. Der private Schlüssel verlässt nie den YubiKey.
  • SSH-Authentifizierung: Der Authentication-Subkey kann als SSH-Schlüssel verwendet werden. Jede SSH-Verbindung erfordert den physischen YubiKey plus PIN.

SSH-Agent-Forwarding mit Hardware-Token

Ein besonders elegantes Setup: Der SSH-Agent auf deinem lokalen Rechner nutzt den YubiKey für die Authentifizierung. Über SSH-Agent-Forwarding kannst du dich von einem Jump-Host auf weitere Server verbinden, ohne dass dein privater Schlüssel jemals den lokalen Rechner (bzw. den YubiKey) verlässt. Der Jump-Host sieht nur die Signatur-Anfragen, nicht den Schlüssel selbst.

Weitere Air-Gapped Geräte und Konzepte

Coldcard: Bitcoin-only, komplett Air-Gapped

Die Coldcard von Coinkite ist ein Bitcoin-only Hardware Wallet, das das Air-Gapping-Prinzip auf die Spitze treibt. Im Gegensatz zu Ledger und Trezor, die für die Transaktionsübertragung eine USB-Verbindung nutzen, kommuniziert die Coldcard ausschließlich über MicroSD-Karten. Der Workflow: Unsignierte Transaktion auf MicroSD speichern, in die Coldcard einlegen, prüfen, signieren, MicroSD zurück in den Computer. Zu keinem Zeitpunkt ist die Coldcard mit dem Computer verbunden — weder über USB noch über ein anderes Protokoll.

Faraday-Taschen

Faraday-Taschen (auch Signal-Blocker genannt) sind Beutel oder Hüllen aus leitfähigem Material, die alle elektromagnetischen Signale blockieren. Ein Smartphone in einer Faraday-Tasche kann keine Mobilfunkverbindung, kein WLAN, kein Bluetooth und kein GPS-Signal empfangen oder senden. Anwendungsfälle:

  • Forensische Sicherung: Beschlagnahmte Geräte werden sofort in Faraday-Taschen verpackt, um Remote-Löschbefehle zu verhindern
  • Standort-Privatsphäre: Kein Tracking über Mobilfunk-Triangulation oder GPS möglich
  • Abhörschutz: Kein Mikrofon-Zugriff durch Malware, wenn das Gerät keinen Netzwerkzugang hat
  • Schlüssel-Relay-Angriffe verhindern: Keyless-Go-Autoschlüssel in Faraday-Taschen schützen vor Relay-Diebstahl

Air-Gapped Computer für hochsensible Operationen

Für die höchsten Sicherheitsanforderungen setzen Organisationen und Individuen dedizierte Air-Gapped Computer ein:

  • Tails OS: Ein Live-Betriebssystem, das von USB bootet und keinerlei Spuren auf dem Host-Computer hinterlässt. Kann auch komplett offline betrieben werden — für Verschlüsselung, Dokumentenbearbeitung oder Schlüsselgenerierung.
  • Netzwerkadapter physisch entfernt: In extremen Fällen werden WLAN-Karten, Bluetooth-Module und sogar Ethernet-Ports physisch aus dem Computer entfernt oder deaktiviert (BIOS-Ebene).
  • Datenübertragung nur via Einweg-Medien: Daten werden ausschließlich über beschreibbare DVDs oder SD-Karten übertragen — niemals über bidirektionale Verbindungen.

Edward Snowden und die Journalisten, die mit den NSA-Dokumenten arbeiteten, nutzten Air-Gapped Laptops mit Tails OS. Der Grund: Selbst die fortschrittlichsten Geheimdienste der Welt können ein Gerät nicht remote kompromittieren, das schlicht keine Netzwerkverbindung hat.

Prinzip der minimalen Angriffsfläche

Hinter all diesen Geräten und Konzepten steht ein universelles Sicherheitsprinzip: Jede Verbindung ist ein potenzielles Einfallstor. Je weniger Verbindungen ein System hat, desto weniger Angriffsmöglichkeiten gibt es. Dies gilt auf jeder Ebene:

  • Netzwerk: Weniger offene Ports = weniger Angriffsfläche
  • Software: Weniger installierte Programme = weniger potenzielle Schwachstellen
  • Berechtigungen: Weniger Zugriffsrechte = weniger Schadenspotenzial
  • Physisch: Weniger Schnittstellen (USB, WLAN, Bluetooth) = weniger Einbruchsvektoren

Air-Gapping treibt dieses Prinzip auf die Spitze: null Netzwerkverbindungen, null Remote-Angriffsfläche.

Wann Online, wann Offline? Eine Entscheidungshilfe

Nicht alles muss und kann offline sein. Hier eine praktische Orientierung:

  • Offline (Air-Gapped): Kryptowährungs-Langzeitspeicherung, GPG-Master-Keys, Seed-Phrases, hochsensible Transaktionen (Banking via chipTAN), Forensik, Geheimdienstoperationen.
  • Hardware-geschützt mit eingeschränkter Verbindung: Tägliches Banking, SSH-Schlüssel (YubiKey), Git-Signing, MFA für kritische Konten, VPN-Zertifikate.
  • Software-basiert (Online): Nicht-kritische Accounts, Social Media, Shopping, allgemeine Kommunikation, Zwei-Faktor-Authentifizierung für Dienste ohne FIDO2-Support.

Die Zukunft der Offline-Sicherheit

Man könnte meinen, dass Air-Gapped Devices in einer zunehmend vernetzten Welt ein Auslaufmodell sind. Das Gegenteil ist der Fall. Je mehr Systeme vernetzt werden, desto größer wird die Angriffsfläche — und desto wertvoller werden die wenigen Systeme, die bewusst nicht vernetzt sind. Die zunehmende Verbreitung von IoT-Geräten, Cloud-Diensten und vernetzter Infrastruktur macht Air-Gapped Devices nicht obsolet, sondern unverzichtbar — als letzte Verteidigungslinie für das, was wirklich zählt.

Die sicherste Technologie ist die, die gar nicht erst angegriffen werden kann. Nicht weil sie gut verteidigt ist, sondern weil sie für den Angreifer schlicht nicht erreichbar ist.

Fazit

Offline-Sicherheit ist kein Relikt aus der Vorzeit des Internets — sie ist die logische Antwort auf eine Bedrohungslandschaft, in der jede Netzwerkverbindung ein Risiko darstellt. Ob chipTAN-Lesegerät für 35€, Hardware Wallet für 79€ oder YubiKey für 55€ — diese Geräte bieten ein Sicherheitsniveau, das keine Software-Lösung erreichen kann, weil sie das fundamentalste Sicherheitsprinzip anwenden: physische Trennung vom Netzwerk. In einer Welt, in der alles verbunden sein will, ist bewusste Nicht-Verbindung der stärkste Schutz.

Praktische Empfehlungen zum Einstieg

Wer die Vorteile der Offline-Sicherheit für sich nutzen möchte, kann mit wenig Aufwand beginnen. Für Online-Banking genügt die Anschaffung eines REINER SCT tanJack QR für etwa 35 Euro — eine einmalige Investition, die sofort wirkt. Für Kryptowährungen empfiehlt sich ein Ledger Nano oder Trezor ab etwa 79 Euro, zusammen mit einer Edelstahl-Backup-Lösung für die Seed-Phrase. Für SSH und Code-Signing ist ein YubiKey mit GPG-Subkeys die ideale Lösung. Der gemeinsame Nenner all dieser Geräte: Sie halten das Wertvollste — den privaten Schlüssel, die TAN-Generierung, die Transaktionsbestätigung — in einer physisch isolierten Umgebung, die kein Angreifer aus der Ferne erreichen kann. Die Gesamtinvestition für ein umfassendes Offline-Sicherheitssetup liegt bei unter 200 Euro — ein Bruchteil dessen, was ein einzelner erfolgreicher Angriff auf ein ungeschütztes Konto kosten kann.

Quellen & Referenzen

securityair-gappedreiner-sctchiptanhardware-walletoffline

Das könnte dich auch interessieren

Security

YubiKey: Dein digitaler Türsteher

Was ein YubiKey ist, wie FIDO2 funktioniert und warum ein Hardware-Schlüssel besser schützt als jede...

Security

Passwörter sind tot — Passkeys leben

Warum '123456' keine Option ist, was NIST empfiehlt und wie Passkeys die Zukunft der Authentifizieru...

Security

MFA: Warum die App auf deinem Handy dich nicht schützt

Authenticator-Apps gelten als sicher — aber SIM-Swapping, Malware und Phishing-Proxies machen sie ve...