CeFi und DeFi Was können Krypto-Unternehmen von der klassischen Finanzwelt lernen?

Kryptowährungen haben ein turbulentes Jahr hinter sich. Einerseits sorgte die wachsende Popularität von Bitcoin, Ethereum und Co. dafür, dass ihre Bewertungen in die Höhe schnellten. Andererseits bewirkten staatliche Eingriffe in den Kryptomarkt in Ländern wie China und der Türkei, neben den Tweets von Elon Musk, ebenso dramatische Kurseinbrüche.

Hagen Pollmüller
Teilen
Wall Street

Beitragsbild: Shutterstock

Nichtsdestotrotz werden digitale Währungen zunehmend vom klassischen Finanzwesen akzeptiert und integriert: So haben Finanzinstitute Krypto-Assets mittlerweile in großen Mengen gekauft und wieder verkauft. Etablierte Zahlungsdienstleister haben begonnen, ihren Kunden digitale Assets anzubieten und in El Salvador ist Bitcoin zum gesetzlichen Zahlungsmittel geworden. 

Diese Entwicklungen wurden jedoch von regelmäßigen Berichten über massive Cyberangriffe auf Krypto-Börsen und -Depots überschattet. Studien zufolge haben Hacker allein im Jahr 2020 Kryptowährungen im Wert von 1,9 Milliarden US-Dollar erbeutet. Erst vor einem Monat sind bei einem Angriff auf die japanische Blockchain-Plattform Poly Network mehr als 600 Millionen US-Dollar in Ethereum- und Binance-Coins sowie Tokens der stabilen Kryptowährung USD Coin (USDC) entwendet worden.

Die Herausforderung der Krypto-Regulierung

Seit der Erfindung von Kryptowährungen hinkt die Regulierung den technologischen Fortschritten in diesem Bereich hinterher. Dessen ungeachtet bahnen sich die Kryptowährungen ihren Weg in die breite Masse. Im klassischen Finanzwesen müssen Banken und Geldinstitute ebenso komplexe wie anspruchsvolle Sicherheitsstandards einhalten. Dadurch wird sichergestellt, dass sie über genügend Ressourcen und Kompetenzen verfügen, um sich fortlaufend an die sich rasant verändernde Cyber-Bedrohungslandschaft anzupassen. 

Die Krypto-Landschaft hingegen ist nach wie vor kaum reguliert – und das, trotz enormer Anstrengungen von Regierungsbehörden und Währungsorganisationen weltweit. Dies lässt sich, zumindest teilweise, auf das halsbrecherische Innovationstempo in der Branche zurückführen. Für Politiker und Entscheidungsträger wird es dabei nahezu unmöglich, den Schutz von Verbrauchern zu gewährleisten. 

Gary Gensler, Chef der US-Börsenaufsicht, forderte daher vor Kurzem Krypto-Handelsplattformen dazu auf, sich bei seiner Behörde registrieren zu lassen. Denn viele Kryptowährungen gelten mittlerweile als Wertpapier. Darüber hinaus warnte er die Unternehmen, dass diese sich in Zukunft in einem vordefinierten und regulierten Rahmen bewegen müssen, damit der Kryptomarkt in den kommenden zehn Jahren nicht an Relevanz verliert. 

Viele Zentralbanken arbeiten derzeit an der Herausgabe ihrer eigenen digitalen Währung. Dieses sogenannte digitale Zentralbankgeld (Central Bank Digital Currencies; CBDC) wird dann auf dem Kryptomarkt mit Währungen privater Anbieter wie dem Bitcoin konkurrieren. Die Europäische Zentralbank hat im Juli dieses Jahr beschlossen, das Digital-Euro-Projekt zu starten. Die neue digitale Währung wird allerdings erst ab 2026 in die digitalen Geldbörsen kommen. Noch ist die Einführung von staatlichem Kryptogeld ein laufender Prozess, aber sowohl Branchenverbände als auch Regierungen bemühen sich bereits jetzt um die Etablierung von Vorschriften und Leitlinien zur Gewährleistung eines fairen Wettbewerbs. 

Lehren müssen gezogen werden

Jede technologische Innovation bringt unweigerlich ein gewisses Cybersicherheitsrisiko mit sich. Kryptowährungen sind da keine Ausnahme. Jede neue Art des Handels, der Speicherung oder der Monetarisierung digitaler Vermögenswerte eröffnet Hackern neue Möglichkeiten, diese auszunutzen. Ähnlich wie bei der Veröffentlichung einer aktualisierten Version des Apple-Betriebssystems folgt daher in der Regel eine Flut von Sicherheitsupdates, da die Entwickler potenzielle Schwachstellen und Sicherheitslücken schließen müssen. Der Unterschied liegt jedoch darin, dass die meisten Krypto-Unternehmen nicht annähernd über das gleiche Maß an Forschungs- und Entwicklungsressourcen wie große Finanzinstitute oder Tech-Giganten verfügen.

Das bedeutet aber nicht, dass der Kampf um die Cybersicherheit verloren ist und Krypto-Unternehmen zukünftig mit häufigen Cyberangriffen rechnen müssen. Vielmehr gibt es eine ganze Reihe praktischer, realisierbarer Schritte, die Unternehmen gehen können, um sich zu schützen. Schauen wir uns den jüngsten Hackerangriff auf Coinbase an: Für die 68 Millionen Nutzer, die vom Verlust ihrer Guthaben bedroht waren, kam der Angriff einer Katastrophe gleich. Doch nach klassischen Finanzmaßstäben war der Grund dafür denkbar einfach – und ließe sich somit in Zukunft relativ leicht verhindern. Experten zufolge handelte es sich bei dem Angriff um einen sogenannten “SIM-Swap”, eine Betrugsmasche, bei der Hacker die Handynummern ihrer Opfer erbeuten und sich dann als rechtmäßige Kontoinhaber ausgeben. 

Lange Jahre war SIM-Swapping eine gängige Methode, mit der sich Betrüger Zugang zu den Bankkonten ahnungsloser Verbraucher verschafft haben. Infolgedessen sind Finanzinstitute davon abgekommen, SMS-Nachrichten als Authentifizierungsform zu nutzen. Bei der Verwendung von SMS-Nachrichten für die Multi-Faktor-Authentifizierung (MFA) stehen im Hinblick auf den Schutz der Kundendaten häufig die Mobilfunknetzbetreiber in der Pflicht. Deren Systeme sind allerdings nicht dafür ausgelegt, Hackerangriffe abzuwehren. Sicherheitstechnisch ist dies in etwa so, als würde man die Mona Lisa in einem Mietlager aufbewahren und nicht im Louvre.

Die meisten großen Banken verwenden deshalb für die MFA jetzt Push-Benachrichtigungen, um die Identität ihrer Kunden über eine sichere App zu verifizieren. Diese Apps nutzen häufig die neuesten Technologien zur Identitätsüberprüfung – wie KI, Biometrie und Liveness-Detection – um sicherzustellen, dass nur der echte Kontoinhaber Zugang erhält. Mit Blick auf die Zukunft müssen Krypto-Firmen ihre Praktiken zur Benutzerauthentifizierung dringend überarbeiten und die entsprechenden Technologien nutzen, um Hackerangriffen, die sich Authentifizierungsdaten zunutze machen, zu verhindern.

Lest auch

Implementierung von Richtlinien zur Benutzerverifizierung 

Anders als beim Online-Banking-Betrug oder Karten-Identitätsdiebstahl ist es für Krypto-Firmen extrem schwierig, die Auswirkungen eines Hackerangriffs abzufedern. Dies liegt in erster Linie daran, dass Transaktionen mit Kryptowährungen nicht rückgängig gemacht werden können und eine Rückerstattung nur durch den Empfänger selbst möglich ist. Sobald ein Hackerangriff stattfindet, sind die Gelder also in der Regel für immer verloren. Umso wichtiger ist es, derartige Hacks von vornherein zu verhindern. 

Außerdem beruhen Krypto-Netzwerke normalerweise auf Pseudoanonymität, das heißt, die Nutzer werden nur anhand einer Zeichenkette aus zufällig gewählten Buchstaben und Zahlen, der sogenannten Adresse, identifiziert. Dies macht es sehr schwierig, die Täter hinter einem Hack zu identifizieren und zur Rechenschaft zu ziehen. Obendrein sind die Netzwerke dezentral aufgebaut und “trustless” (das heißt, nicht auf einen glaubwürdigen Intermediär wie etwa eine Bank angewiesen), weshalb Transaktionen, die mit gestohlener Kryptowährung durchgeführt wurden, nicht nachvollzogen werden können. 

Im Gegensatz dazu unterliegen traditionelle Banken seit vielen Jahren stringenten “Know Your Customer”-Vorschriften zur Verhinderung von Geldwäsche. Im Jahr 2019 beschloss die Financial Action Task Force (FATF) strenge Anforderungen im Bereich der Bekämpfung von Geldwäsche und Terrorismusfinanzierung für Virtual Asset Service Providers (VASPs), zu denen auch Krypto-Börsen gehören. In ihrem jüngsten Entwurf zur Überarbeitung der Anforderungen von 2019 heißt es: “Unabhängig von der Art der Beziehung oder Transaktion sollten die Länder sicherstellen, dass VASPs über wirksame Verfahren verfügen, um die Identität eines Kunden zu ermitteln und anhand einer Risikoanalyse zu überprüfen, und zwar auch bei der Begründung einer Geschäftsbeziehung mit diesem Kunden oder wenn ein Verdacht auf Geldwäsche/Terrorismusfinanzierung besteht, ungeachtet etwaiger Ausnahmeregelungen für Schwellenwerte, oder wenn sie Zweifel an der Echtheit oder der Angemessenheit zuvor erhaltener Kundenidentifikationsdaten haben.”

Es steht außer Frage, dass Krypto-Unternehmen das Thema Sicherheit ernster nehmen müssen. Tun sie dies nicht, sind die Risiken enorm. Einerseits untergräbt jeder erfolgreiche Hackerangriff das ohnehin schon angeschlagene Vertrauen der Verbraucher. Andererseits besteht die sehr reale Möglichkeit, den Zorn der Regulierungsbehörden auf sich zu ziehen, deren strenge Vorschriften das Wachstum dieser aufstrebenden Branche gehörig dämpfen würden. 

In puncto Sicherheit können Krypto-Unternehmen also viel von ihren älteren, etablierteren Kollegen aus der klassischen Finanzwelt lernen. Wenn sie sich als vertrauenswürdige Anbieter von Finanzdienstleistungen etablieren wollen, müssen sie es vermeiden, die gleichen Fehler zu machen, die in der Vergangenheit Banken und Finanzinstituten unterlaufen sind – dafür ist der Aufbau und die Aufrechterhaltung von Glaubwürdigkeit unabdingbar. Um dies zu erreichen, liegt es nun an den Krypto-Unternehmen, die Vielzahl der ihnen zur Verfügung stehenden Sicherheitsressourcen zu nutzen.

Über

Hagen Pollmüller ist DACH Regional Strategy Director bei OneSpan.

Du willst Chainlink (LINK) kaufen oder verkaufen?
Wir zeigen dir in unserem Leitfaden, wie und wo du einfach und seriös echte Chainlink (LINK) kaufen kannst.
Chainlink kaufen