KYC in der Wechselwirkung zum Datenschutz

Im Sommer 2020 erbeuteten Hacker bei der französischen Firma Ledger über 200.000 Datensätze ihrer Kunden. Ledger stellt die bekannten und erfolgreichen Cold- Wallets Ledger Nano s und x her und war bisher von Hacks verschont geblieben.


In den erbeuteten Datensätzen waren die Post-Adresse, E-Mail und Telefonnummer enthalten. Im Darknet waren die Datensätze dann zu Preisen von 10 bis 20 Bitcoin angeboten worden und für Erpressungs- und Drohmails verwendet worden.


Zum Glück handelte es sich bei den Daten ausschließlich um mit dem E-Commerce-Datensatz aus den Bestellungen der Ledger-Sticks. Der Zugriff auf die digitalen Währungen ließe sich mit den gehackten Daten nicht bewerkstelligen.


Trotzdem wirkte sich dieser Hack für die betroffenen Kunden dramatisch aus, wie Coinkurier zu berichten weiß:


„Menschen behaupten nun, sie erhalten Todesdrohungen in ihrer Muttersprache, einige sagen, dass sie Probleme mit SIM-Swaps haben und andere warnen ihre E-Mails werden verwendet, um Coinbase Konten einzurichten. In der Zwischenzeit sagte der CEO, dass Ledger die betroffenen Kunden nicht entschädigen wird, weil es das Unternehmen töten würde.


Die Hack-bezogenen Probleme scheinen endlos zu sein für Ledger und deren Kunden. “Ich gehörte zu den 270k Leuten. Ich bin Pole”, schrieb der Reddit-Nutzer “jurban84” am Dienstag. Die Person hinter der angeblichen E-Mail bat um 1,000 PLN an eine Bitcoin- Adresse zu senden und drohte, den Benutzer zu töten, wenn die Anfrage nicht erfüllt wird.“


https://www.coinkurier.de/die-…swaps-und-hauseinbrueche/


Nun befürchten viele Krypto-Inhaber, dass solche Hacks auch bei Handelsbörsen zustande kommen und dort noch viel mehr und noch sensiblere Daten, wie Steuernummer, Bilder vom Personalausweis oder Gewinne der letzten Jahre, erbeutet werden. Viele kritisieren deshalb die immer mehr um sich greifenden KYC und berufen sich auf den Datenschutz. Diesem Bedürfnis steht aber die Verteidigung des Staates gegen Geldwäsche und Terrorbekämpfung gegenüber.


Ende 2020 versuchten die Hacker bei europäischen FinTechs in die Systeme zu gelangen, indem sie mittels Spear Phishing im KYC-Prozess die Daten abgreifen wollten. Dies passierte über in JavaScript und C# geschriebene Programme. Letztlich ist die Sorge daher berechtigt, seine Daten bei Dienstleistern angeben zu müssen, andererseits ist das Interesse des Staates sehr gewichtig, den Benutzer eindeutig identifizieren zu können.


Manche Kunden schlagen nun vor, die KYC-Daten nur an einer zentralen stattlichen Stelle zu speichern und nur einen Sub-Verweis bei den einzelnen Dienstleistern zu hinterlegen, so dass ein Hacker mit den erbeuteten Sub-Verweisen alleine nichts anfangen kann, der Staat aus Sub-Verweis + Volldatensatz aber jederzeit den Kunden identifizieren kann. Da jedoch ein Datenabgleich auch für den Dienstleister möglich sein muss, damit der Dienstleister einen Kunden zweifelsfrei identifizieren kann, dürfte solch ein System neue Probleme aufwerfen.


Jedenfalls sollte sich das Bewusstsein bei den Dienstleistern derart ändern, dass Firmen wie Ledger eine solche Kundendatenbank nicht monatelang mit Daten online verfügbar halten und so der Gefahr eines Hacks aussetzen.

Comments