StartBlockchainRegolamentazioneHongkonger Krypto-Phishing-Regulierung verbietet Einmalpasswörter nach Verlusten in Höhe von 306 Mio. US-Dollar

Hongkonger Krypto-Phishing-Regulierung verbietet Einmalpasswörter nach Verlusten in Höhe von 306 Mio. US-Dollar

Krypto-Investoren in Hongkong werden bald erleben, dass sich die Art und Weise, wie sie sich bei Handelsplattformen anmelden, drastisch verändert. Die Hongkonger Securities and Futures Commission hat weitreichende neue Anforderungen zur Hongkonger Krypto-Phishing-Regulierung erlassen und alle virtuellen Vermögenshandelsplattformen und Online-Broker in der Stadt angewiesen, Einmalpasswörter abzuschaffen und sie innerhalb von 12 Monaten durch stärkere, phishing-resistente Anmeldemethoden zu ersetzen.

Wichtigste Erkenntnisse

  • Die SFC hat OTP-basierte Logins per SMS, E-Mail und App-basierte Methoden für Krypto-Plattformen und Online-Broker verboten, mit einer Umsetzungsfrist von 12 Monaten.
  • Zugelassene Alternativen umfassen Passkeys, registrierte Geräte mit kryptografischer Verifizierung und Hardware-Sicherheitsschlüssel.
  • Phishing-Angriffe und Social-Engineering-Betrugsmaschen verursachten allein im 1. Quartal 2026 306 Millionen US-Dollar an Verlusten in der Kryptoindustrie, bei Gesamtverlusten von 482 Millionen US-Dollar.
  • Fälschungs- und Betrugsangriffe machten 57 % aller Cybersicherheitsvorfälle aus, die 2025 beim Cyber Security Accident Coordination Center in Hongkong gemeldet wurden.
  • Die SFC wird die Geschäftsleitung lizenzierter Unternehmen direkt für Kundenverluste verantwortlich machen, die auf unzureichende interne Kontrollen zurückzuführen sind.

Hongkong schreibt phishing-resistente Logins für Krypto-Plattformen vor

Die regulatorische Maßnahme signalisiert eine deutliche Abkehr von der am häufigsten verwendeten Form der Kontoauthentifizierung im Finanzsektor. Einmalpasswörter – die sechsstelligen Codes, die per SMS, E-Mail oder Authenticator-App zugestellt werden – waren lange Zeit der Branchenstandard für Zwei-Faktor-Logins. Die SFC hält sie nun für unzureichend gegenüber modernen Phishing-Techniken und fordert die Unternehmen auf, den Übergang als dringlich und nicht als optional zu behandeln.

Insbesondere große Internet-Brokerage-Unternehmen wurden angewiesen, sofort zu handeln, anstatt auf das Ende des 12-monatigen Zeitfensters zu warten.

Abschaffung von Einmalpasswörtern innerhalb von 12 Monaten

Das neue Rundschreiben verbietet OTP-basierte Logins auf allen lizenzierten Plattformen. Die Position der SFC ist klar: Traditionelle Einmalpasswörter lassen sich zu leicht durch Social Engineering, Spoofing-Kampagnen und Phishing-Websites abfangen oder replizieren, die Nutzer dazu verleiten, ihre Zugangsdaten auf gefälschten Oberflächen einzugeben.

Die Aufsichtsbehörde verlangt außerdem von den Unternehmen, Erkennungs- und Überwachungssysteme zu implementieren, um verdächtige Anmelde-, Handels- und Abhebungsaktivitäten zu kennzeichnen. Plattformen müssen Kunden zeitnah über wichtige Kontoaktionen informieren und ohne Verzögerung auf Hacking-Vorfälle reagieren. Regelmäßige Warnhinweise an Kunden über neue Betrugsmaschen mit Identitätsanmaßung sind nun ebenfalls Teil der Compliance-Anforderungen.

Entscheidend ist, dass die SFC klarstellte, dass die Geschäftsleitung letztlich die Verantwortung trägt für die Angemessenheit dieser Kontrollen. Unternehmen, deren interne Systeme unzureichend sind, könnten für daraus resultierende Kundenverluste haftbar gemacht werden – eine Haftungsformulierung, die diesem Rundschreiben echten Biss verleiht.

Zugelassene Authentifizierungsmethoden und Gerätebindung

Die SFC hat drei Kategorien akzeptabler phishing-resistenter Lösungen festgelegt: Passkeys, registrierte Geräte mit kryptografischer Verifizierung und Hardware-Sicherheitsschlüssel. Allen drei ist gemeinsam, dass sie die Authentifizierung an ein physisches Gerät oder einen kryptografischen Nachweis binden, der nicht ohne Weiteres aus der Ferne abgefangen oder repliziert werden kann, selbst wenn ein Nutzer dazu verleitet wird, eine gefälschte Website zu besuchen.

Dieser Ansatz spiegelt wider, wie sich globale Standards für phishing-resistente Authentifizierung entwickelt haben. Anders als OTPs, die in Echtzeit von Angreifern abgegriffen werden können, die Man-in-the-Middle-Angriffe durchführen, erfordern Passkeys und Hardware-Schlüssel den Besitz des tatsächlich registrierten Geräts. Es gibt keinen Code, der gestohlen werden kann.

Steigende Phishing- und Betrugsverluste bedrohen Krypto-Investoren

Die SFC hat diese Anordnung nicht im luftleeren Raum erlassen. Die zugrunde liegenden Zahlen zeichnen ein unangenehmes Bild.

Globale Krypto-Phishing-Verluste und jüngste Betrugsfälle

Phishing-Angriffe und Social-Engineering-Betrugsmaschen führten im 1. Quartal 2026 zu 306 Millionen US-Dollar an Verlusten in der Kryptoindustrie – und machten damit den Großteil der gesamten Verluste des Sektors in Höhe von 482 Millionen US-Dollar in diesem Zeitraum aus. Bis zur ersten Jahreshälfte 2026 waren die phishing-bezogenen Verluste auf 366 Millionen US-Dollar angestiegen, was eher auf einen beschleunigten Trend als auf einen isolierten Ausschlag hindeutet.

Einzelne Vorfälle zeichnen ein ebenso beunruhigendes Bild. Nur wenige Tage vor dem Rundschreiben der SFC verlor ein Krypto-Investor fast 1 Million US-Dollar, nachdem er eine bösartige Phishing-Token-Genehmigungstransaktion auf Ethereum signiert hatte. Anfang desselben Monats verlor ein Wallet-Inhaber 1,65 Millionen US-Dollar, nachdem er sich mit einer gefälschten Börse verbunden und einen bösartigen Vertrag signiert hatte – eine Transaktion, die den Angreifern unbegrenzten Zugriff auf die Gelder gewährte, so der Forscher Ryan Coleman. Am 25. Mai berichtete der Onchain-Analyst „b-block“, dass Betrüger bösartige Google-Anzeigen geschaltet hatten, die die dezentrale Börse Uniswap imitierten, und mehr als 400.000 US-Dollar von Opfern stahlen, die glaubten, sie würden die echte Plattform besuchen.

Statistiken zu Cybersicherheitsvorfällen in Hongkong

Vor Ort ist das Bedrohungsprofil ebenso gravierend. Daten des Hong Kong Cyber Security Accident Coordination Center zeigen, dass Fälschungs- und Betrugsangriffe 57 % aller gemeldeten Sicherheitsvorfälle im Jahr 2025 ausmachten. Diese Konzentration des Risikos in einer einzigen Bedrohungskategorie – Spoofing und Identitätsanmaßung – deckt sich direkt mit dem, was die neuen Anforderungen der SFC bekämpfen sollen.

Das Zusammenfallen lokaler Vorfallsdaten mit globalen Phishing-Verlusten macht das Timing dieser Regulierung leicht nachvollziehbar. Hongkongs Kryptomarkt hat sich ausgeweitet, und mit mehr Nutzern auf lizenzierten Plattformen wächst die Angriffsfläche. Die SFC scheint zu handeln, bevor ein größerer lokaler Vorfall sie dazu zwingt.

Reaktionen der Branche und Forderungen nach stärkerer Wallet-Sicherheit

Binance-Mitgründer setzt sich für besseren Wallet-Schutz ein

Der Druck zur Anhebung der Sicherheitsstandards kam nicht nur von den Aufsichtsbehörden. Changpeng Zhao, Mitgründer von Binance, hat öffentlich bessere Wallet-Sicherheitsmaßnahmen gefordert, nachdem ein Investor im Dezember 2025 bei einem Address-Poisoning-Betrug 50 Millionen US-Dollar verlor. Address Poisoning ist ein anderer Angriffsvektor als Phishing – er funktioniert, indem eine nahezu identische betrügerische Wallet-Adresse in den Transaktionsverlauf eines Opfers eingeschleust wird – spiegelt aber dasselbe übergeordnete Muster wider: Angreifer nutzen kleine Momente der Unaufmerksamkeit mit verheerenden finanziellen Folgen aus.

Das Ausmaß dieses Vorfalls und das öffentliche Profil der Person, die ihn anprangerte, trugen dazu bei, das Thema Krypto-Sicherheit in der Branchen-Debatte auf dem Weg ins Jahr 2026 präsent zu halten.

Bemerkenswerte Address-Poisoning-Betrugsfälle sorgen für Alarm

Address Poisoning hat einige der auffälligsten individuellen Verlustsummen der jüngeren Vergangenheit verursacht. Im Mai 2024 verlor ein Opfer 71 Millionen US-Dollar bei einem Address-Poisoning-Angriff – ein ungewöhnlicher Fall, der letztlich damit endete, dass der Angreifer den vollen Betrag zurückgab, nachdem Ermittler behauptet hatten, eine mögliche IP-Adresse ausfindig gemacht zu haben. Dieses Ergebnis war eine Ausnahme. Die meisten Opfer in solchen Betrugsschemata erhalten nichts zurück.

Expertenperspektiven zur Bekämpfung von Krypto-Phishing

„Um Kundenkonten vor zunehmend komplexen und sich wandelnden Fälschungs- und Betrugsangriffen zu schützen, müssen umfassende Maßnahmen in Verbindung mit Prävention, Erkennung, Reaktion und Aufklärung umgesetzt werden“, sagte Ye Zhiheng, Exekutivdirektor der Abteilung für Intermediäre der China Securities Regulatory Commission.

Die Einordnung ist wichtig. Prävention durch bessere Authentifizierung ist nur eine Ebene. Erkennungssysteme, schnelle Reaktion auf Vorfälle und kontinuierliche Nutzeraufklärung bilden den Rest des Ansatzes, den Aufsichtsbehörden nun für notwendig halten. Das Rundschreiben der SFC spiegelt dieses mehrschichtige Denken wider – es schreibt nicht einfach nur bessere Login-Technologie vor und belässt es dabei. Es fordert die Unternehmen auf, eine integrierte Sicherheitsarchitektur aufzubauen, von der Anmeldeseite bis zur Kundenkommunikation.

Was die Regulierung bislang nicht beantwortet, ist die Frage, wie kleinere virtuelle Vermögenshandelsplattformen die Kosten und die technische Komplexität der Implementierung von Hardware-Sicherheitsschlüsseln und kryptografischer Gerätebindung in großem Maßstab bewältigen werden. Das 12-monatige Zeitfenster gibt den Unternehmen Raum zur Planung, aber die Kluft zwischen einem großen lizenzierten Broker und einer kleineren VATP in Bezug auf die Kapazitäten im Sicherheits-Engineering ist real. Wie die SFC mit diesem Ungleichgewicht umgeht – und ob die Strafen für Nichteinhaltung verhältnismäßig sein werden – könnte entscheidend dafür sein, wie wirksam dieses Mandat tatsächlich sein wird.

FAQ

Welche neuen Login-Anforderungen hat die Hong Kong Securities and Futures Commission für Krypto-Plattformen eingeführt?

Die SFC verlangt von Krypto-Plattformen und Online-Brokern, phishing-resistente Authentifizierungsmethoden einzuführen – konkret Passkeys, registrierte Geräte mit kryptografischer Verifizierung und Hardware-Sicherheitsschlüssel – und verbietet gleichzeitig Einmalpasswörter, die per SMS, E-Mail oder App-basierte Logins zugestellt werden. Unternehmen haben 12 Monate Zeit, die Änderungen umzusetzen, wobei große Internet-Broker angewiesen wurden, sofort zu handeln.

Warum werden diese neuen phishing-resistenten Login-Methoden gerade jetzt vorgeschrieben?

Die Anordnung folgt auf einen starken Anstieg von Phishing-Angriffen und Social-Engineering-Betrugsmaschen, die im 1. Quartal 2026 zu 306 Millionen US-Dollar an Verlusten in der Kryptoindustrie führten, sowie auf Daten, die zeigen, dass Fälschungs- und Betrugsangriffe 57 % der 2025 in Hongkong gemeldeten Cybersicherheitsvorfälle ausmachten. Die SFC hält OTPs für unzureichend angesichts der Raffinesse aktueller Angriffstechniken.

Welche Alternativen zu Einmalpasswörtern akzeptiert die Hongkonger Aufsichtsbehörde?

Die SFC hat drei Kategorien phishing-resistenter Lösungen genehmigt: Passkeys, registrierte Geräte mit kryptografischer Verifizierung und Hardware-Sicherheitsschlüssel. Diese Methoden binden die Authentifizierung an ein physisches Gerät oder einen kryptografischen Nachweis und machen es für Angreifer deutlich schwieriger, sie selbst über gefälschte Websites oder Social Engineering abzufangen.

Wie hat die Kryptoindustrie auf diese Phishing-Bedrohungen reagiert?

Branchenführer, darunter Binance-Mitgründer Changpeng Zhao, haben nach prominenten Vorfällen, darunter ein Address-Poisoning-Betrug über 50 Millionen US-Dollar im Dezember 2025, zu stärkerer Wallet-Sicherheit aufgerufen. Das Vorgehen der SFC formalisert, was prominente Akteure der Branche seit Monaten informell fordern.

{„@context“:“https://schema.org“,“@type“:“FAQPage“,“mainEntity“:[{„@type“:“Question“,“name“:“Welche neuen Login-Anforderungen hat die Hong Kong Securities and Futures Commission für Krypto-Plattformen eingeführt?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Die SFC verlangt von Krypto-Plattformen und Online-Brokern, phishing-resistente Authentifizierungsmethoden einzuführen – konkret Passkeys, registrierte Geräte mit kryptografischer Verifizierung und Hardware-Sicherheitsschlüssel – und verbietet gleichzeitig Einmalpasswörter, die per SMS, E-Mail oder App-basierte Logins zugestellt werden. Unternehmen haben 12 Monate Zeit, die Änderungen umzusetzen, wobei große Internet-Broker angewiesen wurden, sofort zu handeln.“}},{„@type“:“Question“,“name“:“Warum werden diese neuen phishing-resistenten Login-Methoden gerade jetzt vorgeschrieben?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Die Anordnung folgt auf einen starken Anstieg von Phishing-Angriffen und Social-Engineering-Betrugsmaschen, die im 1. Quartal 2026 zu 306 Millionen US-Dollar an Verlusten in der Kryptoindustrie führten, sowie auf Daten, die zeigen, dass Fälschungs- und Betrugsangriffe 57 % der 2025 in Hongkong gemeldeten Cybersicherheitsvorfälle ausmachten. Die SFC hält OTPs für unzureichend angesichts der Raffinesse aktueller Angriffstechniken.“}},{„@type“:“Question“,“name“:“Welche Alternativen zu Einmalpasswörtern akzeptiert die Hongkonger Aufsichtsbehörde?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Die SFC hat drei Kategorien phishing-resistenter Lösungen genehmigt: Passkeys, registrierte Geräte mit kryptografischer Verifizierung und Hardware-Sicherheitsschlüssel. Diese Methoden binden die Authentifizierung an ein physisches Gerät oder einen kryptografischen Nachweis und machen es für Angreifer deutlich schwieriger, sie selbst über gefälschte Websites oder Social Engineering abzufangen.“}},{„@type“:“Question“,“name“:“Wie hat die Kryptoindustrie auf diese Phishing-Bedrohungen reagiert?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Branchenführer, darunter Binance-Mitgründer Changpeng Zhao, haben nach prominenten Vorfällen, darunter ein Address-Poisoning-Betrug über 50 Millionen US-Dollar im Dezember 2025, zu stärkerer Wallet-Sicherheit aufgerufen. Das Vorgehen der SFC formalisert, was prominente Akteure der Branche seit Monaten informell fordern.“}}]}

Artikel mit Unterstützung künstlicher Intelligenz erstellt und von der Redaktion überprüft.

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST