OpenZeppelin: Sicherheitsstandards für Finanzinstitute beim Aufbau von Onchain-Infrastruktur

OpenZeppelin hat am 11. Juni 2026 einen Leitfaden veröffentlicht, der beschreibt, welche Sicherheitsstandards Finanzinstitute beim Aufbau von Onchain-Infrastruktur einhalten sollten. Das Unternehmen, dessen Vertragsbibliotheken nach eigenen Angaben von allen zehn führenden tokenisierten Geldmarktfonds und neun der zehn größten Stablecoins nach Marktkapitalisierung genutzt werden, gliedert die Anforderungen in drei Schichten: Code-Sicherheit, operationale Sicherheit und Compliance. Für deutsche Institutionen, die im Rahmen von MiCA digitale Finanzprodukte aufbauen, liefert der Artikel eine praxisnahe Orientierung.

OpenZeppelin skizziert dreischichtiges Sicherheitsmodell für institutionelle Onchain-Finanzprodukte

In einem am 11. Juni 2026 veröffentlichten Artikel legt OpenZeppelin dar, welche Sicherheitsstandards Finanzinstitute beim Aufbau von Onchain-Infrastruktur berücksichtigen sollten. Der Beitrag What Security Standards Actually Mean for Financial Institutions Building Onchain (OpenZeppelin) gliedert das Thema in drei Schichten: Code-Sicherheit, operationale Sicherheit und Compliance-Positionierung.

Für die operative Ebene nennt der Artikel SOC 2 und ISO 27001 als etablierte Ausgangspunkte. Als größte Risikofaktoren bei Onchain-Systemen identifiziert OpenZeppelin schwaches Key-Management, kompromittierte Accounts, unzureichende Zugriffskontrollen sowie menschliche Fehler bei Routineoperationen. Ein einzelnes Smart-Contract-Audit gilt dabei ausdrücklich nur als Baseline — für institutionelle Systeme werden laufende Überwachung und erneute Audits nach Code-Änderungen als Industriestandard beschrieben.

Ein umfassendes Risikoassessment für digitale Assets soll laut Artikel fünf Bereiche abdecken: Blockchain-Infrastruktur, Sicherheitenqualität, Markt- und Liquiditätsdynamik, operative Kontrollen sowie die Smart-Contract-Sicherheitshistorie. OpenZeppelin selbst pflegt und koautoriert Token-Standards wie ERC-20, ERC-721, ERC-1155 sowie ERC-4626 für tokenisierte Vaults. Die Contracts-Bibliothek des Unternehmens wird nach eigenen Angaben von 10 der 10 größten tokenisierten Geldmarktfonds und 9 der 10 größten Stablecoins nach Marktkapitalisierung genutzt.

Drei Schichten, ein Rahmen – was das Modell für regulierte Institute in der EU bedeutet

Der von OpenZeppelin beschriebene Dreiklang aus Code-Sicherheit, operationaler Sicherheit und Compliance-Positionierung ist kein neues Konzept – er spiegelt wider, wie traditionelle IT-Sicherheit seit Jahren in regulierten Branchen strukturiert wird. Neu ist die konsequente Übertragung auf Onchain-Systeme, wo jede Schwachstelle öffentlich sichtbar und oft irreversibel ist.

Für Finanzinstitute im EU-Raum kommt ein entscheidender Faktor hinzu: MiCA (Markets in Crypto-Assets Regulation) stellt konkrete Anforderungen an Emittenten von Stablecoins und Krypto-Dienstleister – unter anderem an die IT-Governance und das Risikomanagement. Das von OpenZeppelin skizzierte Modell, das ISO 27001 und SOC 2 als Ausgangspunkte nennt, lässt sich gut auf diese regulatorischen Erwartungen abbilden. Wer institutionelle Onchain-Produkte für den europäischen Markt aufbaut, sollte beide Ebenen – technische Sicherheit und Compliance-Framework – von Beginn an verzahnen, statt sie nachträglich zu verbinden.

Wichtig zu verstehen ist aber, was dieses Modell nicht leistet: Ein einzelnes Audit bleibt ein Momentaufnahme. Operationale Risiken wie schwaches Krypto-Verwahrung-Management oder fehlerhafte Zugriffskontrollen entstehen oft erst im laufenden Betrieb – und entziehen sich damit rein technischen Prüfverfahren. Das Dokument liefert eine nützliche Orientierung, ersetzt aber keine individuelle Risikoanalyse für konkrete Deployments.

Smart Contracts, Token-Standards und institutionelle Sicherheitsanforderungen

Wer Finanzprodukte auf einer öffentlichen Blockchain betreibt, arbeitet mit Smart Contracts – selbstausführendem Code, der Regeln wie Eigentumsübertragung oder Zugriffsrechte direkt in der Blockchain verankert. Sicherheitslücken in diesem Code lassen sich nach dem Deployment oft nicht ohne weiteres rückgängig machen, weshalb unabhängige Prüfverfahren wie ein Smart Contract Audit zum Pflichtprogramm institutioneller Deployments gehören.

Eng damit verknüpft ist die Frage der Schlüsselverwaltung: Wer darf Transaktionen autorisieren, und wie wird verhindert, dass ein einzelner kompromittierter Account kritische Operationen auslöst? Für institutionelle Akteure sind Lösungen wie eine Multisig Wallet ein verbreiteter Ansatz, um Entscheidungsgewalt auf mehrere unabhängige Parteien zu verteilen.

Token-Standards wie ERC-20 oder ERC-4626 definieren dabei gemeinsame technische Schnittstellen, die Interoperabilität zwischen Protokollen und Produkten erst möglich machen – ihre Pflege und Weiterentwicklung ist damit eine Grundvoraussetzung für das Funktionieren tokenisierter Finanzmärkte.

Häufige Fragen

Quellen

• OpenZeppelin