So habe ich zwei weitere Möglichkeit entdeckt.
Die erste besteht darin den privaten Key in einer offline Wallet zu verwahren und zu nutzen um Transaktionen lediglich zu signieren. Die signierte Transaktion wird dann an einer online Wallet ins Netzwerk zurück gegeben und akzeptiert. Der private Key hat somit niemals Kontakt zu einem online Computer. Hab ich das richtig gecheckt?
So ist es.
Die zweite Methode ist ein Satoshi Trezor. Man speichert den privaten Key auf dem Gerät und schließt es an einen online Computer an um Transaktionen zu signieren.
Was genau macht das denn jetzt sicher?
Der Trezor (genau: die Hardware Wallet) gibt den Private Key nicht heraus. Daneben kann ein Schädling, der den Computer infiziert hat sehr wahrscheinlich (aber nicht unmöglich!) die Hardware Wallet nicht befallen.