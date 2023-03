• Opfer von Krypto-Betrug verklagt Coinbase• Mangelhafte Sicherheitsvorkehrungen?• SIM-Swapping diente dazu, Zwei-Faktor-Authentifizierung zu umgehen

Zwei-Faktor-Authentifizierung als Einfallstor für Betrüger

Am 6. März 2023 hat Jared Ferguson laut öffentlich einsehbaren Gerichtsdokumenten eine Klage gegen Coinbase vor dem US District Court for the Northern District of California eingereicht. Der Fall zeugt von grosser Brisanz und könnte, falls zugunsten des Klägers entschieden wird, weitreichende Konsequenzen für die zukünftige Rechtsprechung im Zusammenhang mit Krypto-Betrug auf Handelsplattformen haben. Ferguson wirft der grössten US-amerikanischen Krypto-Handelsplattform Coinbase in der Anklageschrift vor, keine ausreichenden Sicherheitsvorkehrungen getroffen zu haben, obwohl er den Betrug rechtzeitig gemeldet habe.

Die Methode, mit der die Betrüger es schafften, laut Ferguson innerhalb von acht Stunden seine gesamten Krypto-Werte und damit rund 90 Prozent seiner Lebensersparnisse zu erbeuteten, setzt bei der Zwei-Faktor-Authentifizierung (2FA) an, die eigentlich eine zusätzliche Sicherheitsstufe für Nutzer gewährleisten soll. Wenn Nutzer Transaktionen vornehmen oder sich in ihr Konto einloggen wollen, müssen sie im Zuge der 2FA die Aktivität auf einem zusätzlichen Gerät bestätigen. Viele Nutzer verwenden hierfür ihr Smartphone, so wie auch Ferguson. Bei dem sogenannten SIM-Swapping verleiten Betrüger Mobilfunkanbieter jedoch dazu, eine neue SIM-Karte mit der Nummer des Opfers auf einem neuen Handy freizuschalten. Dadurch ist es ihnen dann möglich, die 2FA per SMS erfolgreich zu durchlaufen. Um auf das Konto zuzugreifen, brauchen sie nur noch das Passwort, das meistens schon im Vorfeld geknackt wurde.

Laut Ferguson hatte ihn sein Mobilfunkanbieter im Mai vergangenen Jahres darauf hingewiesen, dass ein SIM-Karten-Änderungsantrag eingegangen sei, obwohl er diesen nicht veranlasst hatte. Am darauffolgenden Tag, nachdem er sein Smartphone zurückgesetzt hatte, habe er den Diebstahl dann entdeckt. Ferguson behauptet in der Anklage, daraufhin Coinbase unverzüglich kontaktiert zu haben. Coinbase habe ihm eine Reihe von Fragen bezüglich unautorisierter Transaktionen und der Sicherheit seines Gerätes gestellt. Zwei Wochen später habe Coinbase ihm dann mitgeteilt, dass sie ihm nicht helfen können.

Coinbase weist wiederum alle Vorwürfe von sich. Laut einer in der Anklage zitierten E-Mail an Ferguson schreibt Coinbase, dass "die Kunden für alle Aktivitäten verantwortlich sind, die stattfinden, wenn diese Geräte oder Passwörter kompromittiert werden." Als Kunde trage man die alleinige Verantwortlichkeit für die Sicherheit seiner Passwörter, der Zwei-Faktor-Authentifizierung und der Geräte, so die E-Mail von Coinbase, die dem United States District Court for the Northern District of California vorliegt.

Erfolg der Klage ungewiss

Die erste rechtliche Hürde, wie bei den meisten Betrugsopfern im Zusammenhang mit Krypto-Handelsplattformen, besteht in den allgemeinen Geschäftsbedingungen (AGB) der Handelsplattformen. "Streitigkeiten, die zwischen uns vor dem Datum des Inkrafttretens dieser Bedingungen entstanden sind (…), werden durch ein verbindliches Schiedsverfahren und nicht vor Gericht beigelegt", so die AGB von Coinbase. Schon öfters führte diese bei Handelsplattformen übliche Formulierung dazu, dass Klagen gegenüber Handelsplattformen vom Gericht abgewiesen wurden. Die Anklageschrift wirft Coinbase daher insbesondere vor, gegen den Electronic Fund Transfer Act (EFTA) und den Artikel 4A des California Uniform Commercial Code (UCC) verstossen zu haben. Der Artikel 4A UCC legt fest, dass Banken, die eine unautorisierte Transaktion durchführen, dem geschädigten Kunden zu einer Rückerstattung verpflichtet sind. Der EFTA legt die Rechte, Pflichten und Verantwortlichkeiten der Teilnehmer an elektronischen Überweisungssystemen fest und bestimmt Anforderungen an Finanzinstitute in Bezug zur Abrechnung von Transaktionen und die Behebung von Fehlern. Ausserdem werden Haftungsgrenzen für Verluste durch nicht autorisierte Überweisungen festgelegt.

Ferguson wirft Coinbase in der Anklage ausserdem vor, wegen der fehlenden Überwachung seiner Transaktionen und der unzureichenden Sicherheitsmassnahmen gegen kalifornisches Recht verstossen zu haben. Im Vergleich zu seiner vorherigen Kontoaktivität habe es sich bei der Transaktion um eine sehr unübliche Bewegung gehandelt, die Coinbase hätte auffallen müssen. Ausserdem sei die Transaktionen von einem neuen Gerät mit einer neuen IP-Adresse veranlasst worden, kurz nachdem das Passwort zurückgesetzt worden sei. Die Transaktion sei ausserdem ohne Gesichtserkennung durchgeführt worden, obwohl er diese vor dem Angriff aktiviert habe. "Jede wirtschaftlich vernünftige Vorgehensweise hätte diese Kombination beunruhigender Faktoren bewertet, die Transaktionen als verdächtig gekennzeichnet und als wahrscheinlich betrügerisch eingestuft oder abgelehnt", so die Anklageschrift.

"Not your Keys, not your Coins"

Unabhängig vom Ausgang des Prozesses führt der Fall erneut vor Augen, wie einfach es ist, seine Krypto-Werte zu verlieren, wenn diese lediglich bei Handelsplattformen hinterlegt sind. Solange die Krypto-Werte sich nicht in privatem Besitz befinden, sondern auf einer Handelsplattform oder auf einer sonstigen Online-Adresse aufbewahrt werden, besteht die ernstzunehmende Gefahr, dass diese entweder durch Betrüger gestohlen oder durch unlauteres Verhalten der Handelsbörsen verloren gehen können. Erst kürzlich mussten die Kunden der mittlerweile insolventen Krypto-Börse FTX die schmerzhafte Erfahrung machen, dass selbst etabliert scheinende Handelsplattformen kein Garant für Sicherheit sind. "Not your keys, not your coins" ist ein bekanntes Mantra der Krypto-Welt. Der einzige Weg, sich vor Hacks und Online-Diebstahl zu schützen, sind sogenannte Hardware Wallets, die als private Offline-Geldbörse fungieren. Dadurch, dass die Krypto-Werte nicht mehr im Internet gelagert sind, wird ein deutlich höherer Schutz vor Angriffen und sonstigen Gefahren gewährleistet.

C. Kusche / Redaktion finanzen.ch