Hongkongs Vorstoß zur Stärkung der Kryptosicherheit hat gerade einen konkreten und folgenreichen Schritt gemacht. Die Securities and Futures Commission der Stadt hat ein Rundschreiben herausgegeben, das Einmalpasswort-Logins auf allen Krypto-Handelsplattformen und bei Internet-Brokern verbietet – eine direkte Reaktion auf eine Phishing-Epidemie, die still und leise Nutzerkonten leert und die Cybersicherheitsinfrastruktur der Region überlastet.
Summary
Wichtigste Erkenntnisse
- Die SFC Hongkongs hat SMS-, E-Mail- und App-basierte OTP-Logins für Krypto-Plattformen und Internet-Broker verboten und verlangt stattdessen Passkeys oder andere phishing-resistente Methoden.
- Betreiber haben eine Frist von 12 Monaten, um die Vorgaben zu erfüllen; große Broker müssen sofort handeln.
- Hongkong verzeichnete im Jahr 2025 15.877 Cybersicherheitsvorfälle – ein Anstieg um 27 % gegenüber dem Vorjahr – wobei Phishing 57 % der Fälle ausmachte.
- Das obere Management lizenzierter Plattformen sieht sich nun mit einer direkten persönlichen Haftung für Kundenverluste konfrontiert, die auf schwache Authentifizierungskontrollen zurückzuführen sind.
- Jüngste Phishing-Angriffe entzogen 12.300 $ von einem HyperSwap-Nutzer und rund 400.000 $ über gefälschte Uniswap-Websites, was das Ausmaß der Bedrohung verdeutlicht.
Hongkong verbietet OTP-Logins zur Bekämpfung von Phishing-Risiken
Das Rundschreiben der SFC ist für eine Finanzaufsicht ungewöhnlich direkt: Hören Sie auf, Einmalpasswörter zu verwenden – und tun Sie es sofort, wenn Sie ein großer Broker sind. Für kleinere Betreiber beträgt das Zeitfenster 12 Monate ab Veröffentlichung des Rundschreibens. Es gibt keine Unklarheiten und keinen erwähnten Verlängerungsmechanismus.
Details des OTP-Verbots und neue Authentifizierungsanforderungen
Das Verbot umfasst jede gängige Form von OTP – SMS-Codes, E-Mail-Bestätigungslinks und app-generierte Token – und entfernt damit eine der historisch vertrautesten Sicherheitsschichten beim Login im Finanzsektor. An ihrer Stelle müssen Plattformen Passkeys, registrierte Geräte mit kryptografischer Verifizierung und Hardware-Sicherheitsschlüssel implementieren. Die SFC bezeichnete diese zusammenfassend als phishing-resistente Lösungen, was bedeutet, dass sie so konzipiert sind, dass sie selbst dann unbrauchbar bleiben, wenn ein Nutzer dazu verleitet wird, eine betrügerische Website zu besuchen.
„Um Kundenkonten zu schützen vor zunehmend ausgefeilten und vielfältigen Phishing-Angriffen, ist ein umfassender Ansatz erforderlich, der Prävention, Erkennung, Reaktion und Aufklärung kombiniert“, sagte Dr. Yip Chi-hang, Executive Director der Intermediaries Division der SFC. Er fügte hinzu, dass lizenzierte Institute ihre erste Verteidigungslinie durch robuste Authentifizierung stärken und schnell reagieren müssen, bevor Schaden entsteht.
Die zugrunde liegende Logik ist einfach: OTPs können in Echtzeit von einer Phishing-Website abgefangen oder weitergeleitet werden. Passkeys und kryptografische Gerätebindung können das nicht. Der Angreifer, der einen Nutzer dazu bringt, einen Einmalcode auf einer gefälschten Börsenseite einzugeben, erhält alles, was er braucht. Der Angreifer, der auf einen passkey-gebundenen Login trifft, erhält nichts Verwertbares.
Compliance-Fristen und unmittelbare Auswirkungen auf große Broker
Das 12-monatige Zeitfenster gilt allgemein für Betreiber, aber große Internet-Brokerage-Firmen stehen unter sofortiger Beobachtung ohne Schonfrist. Die Formulierung der SFC – „so bald wie praktikabel“ – signalisiert, dass sie von großen Instituten erwartet, dies als operativen Notfall zu behandeln, nicht als zukünftigen Projektmeilenstein. Unternehmen, die die Frist verpassen, riskieren Durchsetzungsmaßnahmen und Reputationsschäden – eine Kombination, die sowohl den aufsichtsrechtlichen Status als auch das Vertrauen der Kunden in einem Markt beeinträchtigen kann, in dem die Glaubwürdigkeit der Lizenzierung alles ist.
Zunehmende Phishing-Angriffe und Cybersicherheitsbedrohungen in Hongkong
Die Zahlen hinter dieser Regulierung sind eindeutig. Hongkong verzeichnete 15.877 Cybersicherheitsvorfälle im Jahr 2025, was einem Anstieg von 27 % gegenüber dem Vorjahr entspricht – und mehr als dem Doppelten der 7.752 Vorfälle im Jahr 2023. Phishing- und Spoofing-Angriffe machten laut Daten des Hong Kong Cyber Security Incident Coordination Centre, auf die sich die SFC in ihrer Erklärung beruft, 57 % aller gemeldeten Fälle aus.
Anstieg der Cybervorfälle durch Phishing getrieben
Die Beschleunigung ist bemerkenswert. Von rund 7.752 Vorfällen im Jahr 2023 auf fast 16.000 zwei Jahre später zu steigen, stellt ein strukturelles Problem dar, keinen statistischen Ausreißer. Botnet-Angriffe folgten mit 18 % der Fälle auf Phishing, Malware lag bei 15 %. Doch Phishing steht im Zentrum der Sorge der SFC – gerade weil es der Angriffsvektor ist, der am direktesten durch OTP-basierte Login-Systeme ermöglicht wird.
Weltweit ist das Bild ähnlich alarmierend. Phishing-Angriffe und Social-Engineering-Betrugsmaschen machten im ersten Quartal 2026 allein 306 Mio. $ der gesamten Verluste der Kryptoindustrie von 482 Mio. $ aus. In der ersten Jahreshälfte erreichten die gesamten phishing-bezogenen Verluste 366 Mio. $, wie aus Branchen-Tracking-Daten hervorgeht, auf die sich begleitende Berichte beziehen.
Bemerkenswerte Kryptodiebstähle im Zusammenhang mit Phishing-Betrug
Zwei jüngste Fälle veranschaulichen genau das, was die SFC zu stoppen versucht. Ein gefälschter Airdrop-Phishing-Betrug entzog 12.300 $ von einem HyperSwap-Nutzer in weniger als 90 Sekunden. Etwa im gleichen Zeitraum setzten Betrüger bösartige Google-Anzeigen ein, die die dezentrale Börse Uniswap imitierten, und zogen Berichten zufolge rund 400.000 $ aus mehreren Wallets über eine gefälschte Website ab. In beiden Fällen kam es zum Diebstahl von Zugangsdaten im Moment des Logins – genau die Schwachstelle, die OTP-Systeme offenlassen.
Dies sind keine isolierten Randfälle. Ein Krypto-Investor verlor fast 1 Mio. $, nachdem er eine bösartige Phishing-Token-Genehmigung auf Ethereum signiert hatte. Ein weiterer Wallet-Inhaber verlor Berichten zufolge 1,65 Mio. $, nachdem er sich mit einer gefälschten Börse verbunden und einen Vertrag signiert hatte, der Angreifern unbegrenzten Zugriff auf Gelder gewährte. Das Muster ist konsistent, skalierbar und zunehmend schwer von legitimen Plattforminteraktionen zu unterscheiden.
Aufsichtsrechtliche Durchsetzung und Verantwortlichkeit des Managements
Vielleicht das folgenreichste Element des neuen Rahmens ist die Frage, wo die Verantwortung liegt. Die SFC hat deutlich gemacht, dass das obere Management lizenzierter Plattformen die letztendliche Verantwortung für den Schutz von Kundenkonten trägt. Schwache Cybersicherheitskontrollen sind nicht länger eine Compliance-Lücke, die stillschweigend behoben wird – sie sind ein direkter Auslöser für die Haftung des Managements, wenn Kundenverluste auftreten.
Haftung des oberen Managements für Kundenverluste
Dies ist ein strengerer Standard als frühere Leitlinien. Zuvor konzentrierte sich das aufsichtsrechtliche Risiko für Unternehmen in erster Linie auf institutionelle Sanktionen. Der neue Rahmen rückt einzelne Führungskräfte in den Fokus. Wenn die Authentifizierungskontrollen einer Plattform unzureichend sind und ein Kunde durch einen Phishing-Angriff Gelder verliert, führt die Verantwortungskette nun direkt zu den Personen an der Spitze des Unternehmens.
Diese Verschiebung der Verantwortlichkeit verändert die interne Kalkulation erheblich. Compliance-Teams werden es deutlich leichter haben, Budget und Priorität für Authentifizierungs-Upgrades zu sichern, wenn die Alternative die persönliche Haftung des CEO oder CTO ist.
Folgen von Nicht-Compliance und betriebliche Anforderungen
Über die Haftungsfrage hinaus müssen Plattformen nun laufende Erkennungs- und Überwachungssysteme implementieren, die in der Lage sind, verdächtige Logins, Trades und Abhebungen in Echtzeit zu identifizieren. Sie sind außerdem verpflichtet, Kunden zeitnah über bedeutende Kontoaktivitäten zu informieren – einschließlich Ereignissen der Gerätebindung, Login-Auffälligkeiten und ungewöhnlicher Transaktionsmuster – und Nutzer regelmäßig vor neuen Imitationsbetrügereien zu warnen.
Unternehmen, die die 12-monatige Frist verpassen, sehen sich Durchsetzungsmaßnahmen und Reputationsschäden gegenüber. In Hongkongs streng reguliertem Krypto-Umfeld, in dem die Glaubwürdigkeit der Lizenzierung ein Wettbewerbsfaktor ist, hat diese Kombination erhebliches Gewicht.
Was dies für die globale Kryptoindustrie bedeutet
Hongkongs Verbot existiert nicht im luftleeren Raum. Das FBI führt globale Cybercrime-Razzien durch, die auf Netzwerke abzielen, die auf gestohlenen Zugangsdaten basieren. Tether, das gemeinsam mit der T3-Einheit von TRON operiert, friert Krypto-Assets ein, die mit organisierten Zugangsdaten-Diebstahloperationen in Verbindung stehen. Die Regulierungs- und Strafverfolgungsbehörden bewegen sich eindeutig in die gleiche Richtung – und Hongkong hat sich schneller bewegt als die meisten.
Die Frage ist nun, ob Gleichrangige in Singapur, dem Vereinigten Königreich und anderen wichtigen Krypto-Regulierungsjurisdiktionen dies als Vorlage behandeln oder warten, bis ihre eigenen Verluststatistiken einen ähnlichen Schwellenwert erreichen. MiCAR, der EU-Kryptorahmen, der am 1. Juli 2026 vollständig in Kraft trat, hat strenge Governance- und Compliance-Standards gesetzt – schreibt jedoch noch keine Passkeys ausdrücklich vor. Die Lücke zwischen allgemeinen Cybersicherheitsanforderungen und der Art von authentifizierungsspezifischem Mandat, das Hongkong gerade erlassen hat, könnte zur nächsten Front der regulatorischen Konvergenz werden.
Für Krypto-Plattformen, die global operieren, ist die praktische Implikation bereits sichtbar: Die technische Infrastruktur, die zur Einhaltung der Vorschriften in Hongkong erforderlich ist – Passkeys, kryptografische Gerätebindung, Echtzeit-Anomalieerkennung – ist genau das, was Aufsichtsbehörden anderswo als Nächstes verlangen dürften. Sie jetzt aufzubauen, statt auf einer Jurisdiktions-zu-Jurisdiktions-Basis, könnte der rationalere Weg nach vorn sein.
FAQ
Welche Login-Methoden hat Hongkong für Krypto-Plattformen verboten?
Die Securities and Futures Commission Hongkongs hat SMS-, E-Mail- und App-basierte Einmalpasswörter für Logins auf Krypto-Handelsplattformen und für die Gerätebindung verboten.
Welche Authentifizierungsmethoden sind anstelle von OTPs erforderlich?
Plattformen müssen Passkeys, registrierte Geräte mit kryptografischer Verifizierung und Hardware-Sicherheitsschlüssel implementieren – Methoden, die die SFC als phishing-resistente Lösungen beschreibt, die nicht durch Standard-Phishing-Angriffe abgefangen werden können.
Welche Fristen gelten für Krypto-Plattformen zur Einhaltung der neuen Regeln?
Betreiber haben eine Frist von 12 Monaten, um die neuen Authentifizierungsanforderungen zu erfüllen. Große Internet-Brokerage-Firmen müssen jedoch sofort und ohne Schonfrist auf die neuen Methoden umstellen.
Welche Folgen haben Versäumnisse bei der Einhaltung der Frist?
Unternehmen, die die Frist verpassen, riskieren aufsichtsrechtliche Durchsetzungsmaßnahmen und Reputationsschäden. Darüber hinaus kann das obere Management direkt für Kundenverluste haftbar gemacht werden, die durch unzureichende Cybersicherheitskontrollen verursacht werden – ein strengerer Verantwortlichkeitsstandard als frühere Leitlinien.
{„@context“:“https://schema.org“,“@type“:“FAQPage“,“mainEntity“:[{„@type“:“Question“,“name“:“Welche Login-Methoden hat Hongkong für Krypto-Plattformen verboten?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Die Securities and Futures Commission Hongkongs hat SMS-, E-Mail- und App-basierte Einmalpasswörter für Logins auf Krypto-Handelsplattformen und für die Gerätebindung verboten.“}},{„@type“:“Question“,“name“:“Welche Authentifizierungsmethoden sind anstelle von OTPs erforderlich?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Plattformen müssen Passkeys, registrierte Geräte mit kryptografischer Verifizierung und Hardware-Sicherheitsschlüssel implementieren – Methoden, die die SFC als phishing-resistente Lösungen beschreibt, die nicht durch Standard-Phishing-Angriffe abgefangen werden können.“}},{„@type“:“Question“,“name“:“Welche Fristen gelten für Krypto-Plattformen zur Einhaltung der neuen Regeln?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Betreiber haben eine Frist von 12 Monaten, um die neuen Authentifizierungsanforderungen zu erfüllen. Große Internet-Brokerage-Firmen müssen jedoch sofort und ohne Schonfrist auf die neuen Methoden umstellen.“}},{„@type“:“Question“,“name“:“Welche Folgen haben Versäumnisse bei der Einhaltung der Frist?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Unternehmen, die die Frist verpassen, riskieren aufsichtsrechtliche Durchsetzungsmaßnahmen und Reputationsschäden. Darüber hinaus kann das obere Management direkt für Kundenverluste haftbar gemacht werden, die durch unzureichende Cybersicherheitskontrollen verursacht werden – ein strengerer Verantwortlichkeitsstandard als frühere Leitlinien.“}}]}
Artikel mit Unterstützung künstlicher Intelligenz erstellt und von der Redaktion überprüft.

