Zurück zu Nachrichten
Diese Nachricht ist veraltet. Die Marktbedingungen können sich seit der Veröffentlichung geändert haben.

Hongkong: Krypto-Plattformen müssen Login-Sicherheit erhöhen

Die Aufsichtsbehörde von Hongkong hat lizenzierten Krypto-Handelsplattformen eine Frist von 12 Monaten gesetzt, um stärkere Anmeldemethoden einzuführen und so Phishing-Angriffe zum Diebstahl von Nutzerpasswörtern zu verhindern. Dies soll Anleger schützen und die allgemeine Sicherheit auf dem Markt für digitale Vermögenswerte verbessern.
Hongkongs Securities and Futures Commission (SFC) hat alle lizenzierten Krypto-Handelsplattformen und Online-Broker in der Stadt angewiesen, innerhalb der nächsten 12 Monate Phishing-resistente Anmeldeanforderungen zu implementieren. Die am 9. Juli veröffentlichte Richtlinie setzt eine Frist für die Einhaltung bis Mitte 2027.

Der Schritt zielt auf eine anhaltende Schwachstelle in den Märkten für digitale Vermögenswerte ab: den Diebstahl von Anmeldedaten. Phishing-Angriffe – bei denen böswillige Akteure Benutzer dazu verleiten, Passwörter oder Zwei-Faktor-Codes preiszugeben – haben weltweit Millionen von Börsenkonten geleert. Die neuen Regeln der SFC drängen Plattformen dazu, Authentifizierungsmethoden einzuführen, die nicht leicht abgefangen oder wiederholt werden können.

Obwohl die Aufsichtsbehörde keine genaue Technologie spezifizierte, bezieht sich der Begriff „Phishing-resistent“ typischerweise auf hardwarebasierte Sicherheitsschlüssel (FIDO2/WebAuthn) oder biometrische Verifizierung, die an das Gerät eines Benutzers gebunden ist. Standard-SMS-Codes und App-basierte Einmalpasswörter, die beide im Krypto-Bereich verbreitet sind, sind anfällig für Echtzeit-Phishing-Proxys. Die SFC fordert die Plattformen damit auf, diese Schwachstelle zu beseitigen.

Der 12-monatige Zeitrahmen gibt den Betreibern Raum, ihre Anmeldevorgänge umzugestalten und die Benutzer zu schulen. Hongkong hat seine Kontrolle über den Sektor verschärft, seit es 2023 sein obligatorisches Lizenzierungssystem für Anbieter von Dienstleistungen im Bereich virtueller Vermögenswerte eingeführt hat. Eine Handvoll Plattformen hat bereits Lizenzen erhalten oder beantragt; andere haben ihren Betrieb eingestellt oder die Stadt verlassen.

Für Händler ist die praktische Auswirkung unkompliziert: Sie müssen damit rechnen, einen Sicherheitsschlüssel zu registrieren oder eine Gesichtserkennung einzurichten, bevor sie handeln können. Dieser zusätzliche Schritt, obwohl mit etwas Aufwand verbunden, schließt den häufigsten Vektor für Kontoübernahmen. Die Anordnung der SFC gilt sowohl für Privat- als auch für professionelle Anlegerkonten unter ihrer Aufsicht.

Die Richtlinie kommt zu einer Zeit, in der globale Regulierungsbehörden den Druck auf die Sicherheit von Börsen erhöhen. Japans FSA schreibt bereits hardwarebasierte MFA für bestimmte Krypto-Dienste vor. Die britische FCA hat Phishing als eine der obersten Prioritäten bei der Strafverfolgung eingestuft. Hongkongs Regel macht es zum ersten großen asiatischen Zentrum, das einen spezifischen Anti-Phishing-Standard für digitale Vermögenswerte kodifiziert und nicht nur eine allgemeine Empfehlung für eine „starke Authentifizierung“ ausspricht.

Das entscheidende Datum für die Plattformen: Juli 2027. Jedes Unternehmen, das die Anforderung nicht erfüllt, riskiert Lizenzauflagen oder im schlimmsten Fall den Entzug der Lizenz. Vorerst interpretierte der Markt die Nachricht als bullisch – eine strengere Sicherheit verringert die Wahrscheinlichkeit von Börsenhacks, die historisch gesehen Ausverkäufe auslösen und das Vertrauen der Privatanleger untergraben. Ob diese bullische Einschätzung Bestand hat, wird davon abhängen, wie reibungslos die Einführung verläuft.

Verwandte Nachrichten