Die SQARES AG über Tokenization: Wie Off-Chain-Compliance zur Zeitbombe wird

SQARES AG

• 30.10.2025

Marktbericht | Asset Tokenization – Advertorial

Vor zehn Jahren war Tokenisierung das große Versprechen: Compliance automatisieren, Intermediäre überflüssig machen, globale Märkte öffnen. Heute zeigt sich: Statt Klarheit herrscht Flickwerk.

Off-Chain-Regeln, Admin-Kill-Switches, Proposals, die als Standards verkauft werden. Das Ergebnis ist kompliziert in der Umsetzung, teuer im Betrieb – und zunehmend explosiv für Investoren wie Emittenten. Doch die SQARES AG aus dem schweizerischen Zug hat einen innovativen Ansatz entwickelt.

Kompliziert: Off-Chain-Bürokratie statt On-Chain-Eleganz

Die Blockchain sollte Prozesse vereinfachen. Doch die meisten Tokenisierungsprojekte sind zu Regelmaschinen mit Dutzenden Nebenrollen geworden. KYC-Provider für Identität, Datenbanken für Dokumente, Schnittstellen für Reporting, Plattformbetreiber für Handelszulassung – das alles muss permanent synchron laufen. Ein Fehler in nur einer Schicht, und das System blockiert.

Was als elegante Automatisierung begann, endet oft in Off-Chain-Bürokratie, die keiner mehr versteht. Nutzer klicken, Entwickler debuggen, Juristen improvisieren. Die versprochene Einfachheit der Blockchain löst sich in einem Geflecht aus Abhängigkeiten auf.

Wie viele Schichten liegen zwischen den Investoren und den Assets – und kann man das wirklich noch überblicken?

Teuer: Kostenlawine durch Abhängigkeiten

Emittenten berichten von sechs bis neun Monaten Setup-Zeit und Kosten zwischen 150.000 und 450.000 Euro – bevor der erste Investor ein Token in der Wallet hält. Der Grund: Jede zusätzliche Schicht zieht neue Integrationen, Verträge und Service-Fees nach sich. Compliance-Datenbanken, DAO-Governance, Custom-Standards – jedes Modul kostet Geld und Zeit.

Das Versprechen, durch Tokenisierung günstiger zu werden, kehrt sich ins Gegenteil um. Je mehr Standards und Plattformen eingebunden werden, desto höher explodieren die Kosten. Was als effiziente Alternative zu traditionellen Finanzstrukturen antreten sollte, produziert oft nur neue Mittelsmänner in digitaler Form.

Warum sollte man sechs bis neun Monate Setup-Zeit akzeptieren – und dann von Drittanbietern abhängig bleiben?

Explosiv: Ideale im Widerspruch

Tokenisierung orientiert sich an drei großen Idealen: Compliance & Datenschutz, Dezentralisierung & Kontrolle, Standardisierung & Flexibilität. Alle drei sind wichtig – doch sie ziehen in unterschiedliche Richtungen.

Wer Compliance off-chain betreibt, schafft Angriffsflächen und Blindzonen. Wer auf volle Dezentralität setzt, erzeugt rechtliche Black Boxes. Wer Standards folgt, landet in einem Märchenwald aus GitHub-Issues und Inkompatibilitäten. Wer auf ERC-20 setzt, übernimmt Approval-Schwachstellen, die 2024 Milliarden-Verluste verursachten. Das Problem: Anbieter versprechen meist, alles zugleich zu lösen. Doch das macht Systeme nicht stabiler, sondern anfälliger.

Tickende Zeitbomben – elegant verpackt in Whitepapers, aber brandgefährlich im Betrieb.

Die Standards-Illusion

ERC-1400 ist kein Standard. Die Bezeichnung "ERC" suggeriert einen offiziellen Ethereum Request for Comment – wie ERC-20 oder ERC-721, die den Community-Prozess durchlaufen haben. ERC-1400 ist jedoch lediglich eine Proposal-Sammlung auf GitHub aus 2018, die nie als offizielles EIP eingereicht oder von der Ethereum-Community akzeptiert wurde.

Das wäre nicht problematisch, wenn es transparent kommuniziert würde. Stattdessen wird "ERC-1400" als etablierter Standard vermarktet. Plattformen werben damit, "auf Standards" aufzubauen. Emittenten glauben, eine zukunftssichere Entscheidung zu treffen. Die Konsequenz: Fragmentierung statt Interoperabilität.

ERC-3643 – der einzige formalisierte Security-Token-Standard – zeigt das Dilemma zwischen Compliance und Kontrolle. Der Standard erfordert umfangreiche Off-Chain-Infrastruktur: ONCHAINID-Identitätssystem mit separaten Smart Contracts pro Investor, externe KYC-Provider für Claims, Trusted Issuer Registries, Claim Topics Registry, separate Compliance-Contracts, Transfer Manager.

32 Milliarden Dollar sollen per ERC-3643 tokenisiert worden sein. Belegt sind kleinere Millionenvolumen, wie Primär-Emissionen auf Polygon, ein institutioneller Fonds-Launch und Erprobungen von regulatorischen PoC-Trades auf dem Polygon-Testnet. Ein Blick ins komplexe System zeigt mehrschichtige Architektur mit zahlreichen Abhängigkeiten und zentralisierte Kontrolle durch Agent-Rollen.

Zudem fordert die Spezifikation explizit, Emittenten oder deren Agenten jederzeit einseitige Vollmacht über Investor-Wallets zu geben. Die offizielle Dokumentation formuliert es klar: "The issuer of the securities, or its agent, always keeps control of the tokens and the transfers." Das ist Custodial Tokenization mit Blockchain-Infrastruktur – keine Self-Custody.

Wer kann seinen Investoren erklären, dass er – oder der Agent – jederzeit ihre Token einfrieren, transferieren oder verbrennen kann?

Der ERC-20-Trugschluss

Dann gibt es Anbieter, die tokenisieren mit ERC-20 – dem Standard, der für hochvolatile Utility Tokens konzipiert wurde und dessen Approval-Mechanismus zum bevorzugten Angriffsziel von Hackern geworden ist.

Die Zahlen sprechen für sich: Im März 2024 machten ERC-20-Tokens 89,5 Prozent der 71,5 Millionen Dollar aus, die durch Phishing-Angriffe gestohlen wurden. Fast 90 Prozent der Wallet-Drainer-Verluste in der ersten Jahreshälfte 2024 erfolgten durch Permit/Permit2-Phishing – eine Angriffsmethode, die das ERC-20-Approval-System ausnutzt. Ein einzelnes Opfer verlor im September 2024 über 32 Millionen Dollar durch einen Permit-Phishing-Angriff.

Der Grund: Das approve()-Pattern von ERC-20 ist ein fundamentales Design-Problem. Nutzer geben Drittparteien unbegrenzte Zugriffsrechte auf ihre Token – oft ohne es zu verstehen. Diese "Allowances" bleiben bestehen, bis sie explizit widerrufen werden. Phishing-Sites nutzen dies systematisch aus, indem sie Nutzer zur Unterzeichnung von Approval-Transaktionen verleiten.

Security Tokens auf ERC-20-Basis erben diese Schwachstelle. Sie fügen Compliance-Layer hinzu, aber die grundlegende Angriffsfläche bleibt. Das ist keine theoretische Bedrohung: Von den 2,2 Milliarden Dollar, die 2024 gestohlen wurden, stammten 43,8 Prozent aus Private-Key- und Approval-Kompromissen.

ERC-20 wurde 2015 für Utility-Tokens konzipiert – für Handelsinstrumente, nicht für Vermögensverwaltung. Regulierte Assets darauf aufzubauen, bedeutet: Securities-Compliance auf einer Infrastruktur, die für Spekulation und kurzfristige Trades designt wurde.

Wer würde seinen Investoren ein Asset anbieten, das auf derselben Technologie basiert, durch die 2024 Milliarden gestohlen wurden?

• Zur Website der SQARES AG

SQARES AG: Governance statt Vollmacht

Hier setzt ein Ansatz aus Zug an. Die SQARES AG hat mit dem Q-Token eine radikale Entscheidung getroffen: Weder die Off-Chain-Bürokratie von ERC-3643, noch die Custodial-Kontrolle durch Agent-Rollen, noch die Approval-Schwachstellen von ERC-20.

On-Chain Compliance ohne Datenlecks. Verschlüsselte „enriched qualifications" direkt im Token, Audits via Zero-Knowledge-Beweisen. Keine Off-Chain-KYC-Datenbanken, keine Sync-Alpträume.

Protected Self Custody ohne einseitige Admin-Kontrolle. Keine Pausier-Funktion, kein Blacklisting, kein Forced Transfer. Compliance-Regeln sind fest im Contract verankert – entweder erfüllt oder abgelehnt, keine Hintertür. Freeze und Forced Transfer sind regulatorisch nicht gefordert – sie sind Over-Engineering, das Missbrauchspotenzial schafft.

Updates mit Transparenz. Änderungen am Contract verlaufen two-stage: Deployer schlägt vor, Emittent akzeptiert, optional Treuhänder validiert. Alles transparent, on-chain, mit Standard-Wallet und dApp – keine Zusatzsoftware erforderlich.

Peer-to-Peer ohne Plattformzwang. Kein DAO für Freigaben, keine zentrale Handelsinstanz. Der Contract prüft, ob Sender und Empfänger qualifiziert sind. Transfer erfolgt oder nicht – direkt, deterministisch, nachvollziehbar.

Das ist kein Marketing-Slogan, sondern ein architektonischer Schnitt. Komplexität wird gezielt eingedampft, Governance-Prozesse transparent gemacht, Kontrolle dezentralisiert.

Timing: MiCA als Brandbeschleuniger

Mit Inkrafttreten der Markets in Crypto-Assets Regulation (MiCA) am 30. Dezember 2024 steigen die Anforderungen. Gleichzeitig interpretieren Aufsichtsbehörden wie BaFin und FINMA die DSGVO strenger – die EDPB-Guidelines 02/2025 vom April 2025 verschärfen die Anforderungen an Blockchain-basierte Identitätssysteme weiter.

Off-Chain-Bürokratie wird dadurch noch teurer, Admin-Keys geraten noch stärker ins Visier, Schein-Standards fliegen schneller auf. Wer jetzt weiter auf Flickwerk setzt, baut ein Risiko ein, das regulatorisch wie technisch jederzeit detonieren kann.

Wer möchte in zwei Jahren erklären, warum seine Architektur nicht mehr MiCA-konform ist – oder warum ein Agent-Key kompromittiert wurde?

Fazit: Skalpell statt Sprengsatz

Die Branche steht vor einer Wahl: Weiter aufblasen – kompliziert, teuer, explosiv. Oder reduzieren – klar, überprüfbar, kontrollierbar.

Die SQARES AG setzt auf das Skalpell: ein schlanker Contract-Stack ohne Approval-Pattern, ohne Agent-Vollmacht, ohne Off-Chain-Abhängigkeiten. Das Notwendige abbilden, das Überflüssige weglassen, Governance transparent machen, Kontrolle dezentralisieren.

Das ist nicht weniger ambitioniert – sondern ein bewusster Gegenentwurf zum Over-Engineering der Branche.

Die Frage ist nicht, ob dieser Weg funktioniert. Die Frage ist: Warum sollte man einen anderen gehen?

• ?Was sind die Hauptprobleme bei der aktuellen Tokenisierung?

  Die Tokenisierung kämpft mit Off-Chain-Bürokratie, hohen Kosten durch verschiedene Abhängigkeiten und Angriffsflächen bei der Compliance. Komplexe Standards und übermäßige Mittelsmänner erschweren die Prozesse.

• ?Wie adressiert die SQARES AG die Herausforderungen der Tokenisierung?

  Die SQARES AG setzt mit ihrem Q-Token auf On-Chain Compliance und dezentralisierte Kontrolle. Sie vermeiden Off-Chain-Abhängigkeiten, komplizierte Bürokratie und schwache Approval-Mechanismen.

• ?Warum ist ERC-1400 kein offizieller Standard?

  ERC-1400 ist lediglich eine Proposal-Sammlung auf GitHub, die nie als offizielles EIP eingereicht oder von der Ethereum-Community akzeptiert wurde. Sie wird fälschlicherweise als etablierter Standard vermarktet.

• ?Welche Risiken gibt es bei der Nutzung von ERC-20 für Security Tokens?

  Security Tokens auf ERC-20 Basis leiden unter denselben Sicherheitsproblemen wie andere ERC-20 Tokens, insbesondere das `approve()`-Pattern, das zu erheblichen Sicherheitslücken führt.

• ?Welche Rolle spielt MiCA in der zukünftigen Tokenisierung?

  Mit MiCA steigen die regulatorischen Anforderungen, was Off-Chain-Setups teurer und riskanter macht. Die SQARES AG setzt daher auf eine MiCA-konforme Architektur, um langfristige Compliance sicherzustellen.