Hong Kong SFC verbietet OTPs für Krypto-Plattformen
Die Securities and Futures Commission (SFC) von Hongkong hat einen richtungsweisenden Erlass herausgegeben, der alle Plattformen für den Handel mit virtuellen Vermögenswerten (VATPs) und Online-Broker dazu verpflichtet, für die Anmeldungen der Kunden phishing-resistente Authentifizierungsmethoden einzuführen.
Die neue Vorgabe erfolgt vor dem Hintergrund eines Anstiegs hochentwickelter Phishing-Angriffe, durch die unzählige Krypto-Userkonten kompromittiert wurden. Nach den aktualisierten Regeln gelten herkömmliche Einmalpasswörter (OTPs) für die Authentifizierung nicht mehr als ausreichend.
Wesentliche Anforderungen: Phishing-resistente Authentifizierungsmethoden müssen umgehend implementiert werden. Gerätebindung-Protokolle sind jetzt für alle Plattformen verpflichtend. Nur-OTP-Authentifizierung für Kundenanmeldungen ist mit sofortiger Wirkung untersagt.
Mit diesem Schritt positioniert sich Hongkong als globaler Vorreiter im Schutz von Krypto-Usern und adressiert direkt einen der häufigsten Angriffswege für Krypto-Diebstahl. Die SFC verwies auf alarmierende Statistiken, wonach Phishing-Angriffe zur wichtigsten Methode der Angreifer geworden seien, um Kundenkonten auf Handelsplattformen zu übernehmen.
Die Regulierung gilt für alle Plattformen für den Handel mit virtuellen Vermögenswerten (VATPs), für Online-Broker, die Krypto-Dienstleistungen anbieten, sowie für jede Plattform, die digitale Kundensätze in der Rechtsprechung von Hongkong verwaltet.
Die Reaktion der Branche ist überwiegend positiv. Große Börsen haben bereits damit begonnen, ihre Authentifizierungssysteme zu aktualisieren, um die neuen Standards einzuhalten. Sicherheitsexperten begrüßen die Maßnahme und betonen, dass phishing-resistente Methoden wie WebAuthn und Hardware-Sicherheitskeys einen deutlich besseren Schutz bieten als SMS-basierte OTPs.
Diese Entwicklung fügt sich in die breiteren globalen Trends zu strengeren Sicherheitsstandards für Krypto ein – im Anschluss an ähnliche Initiativen der Regulierungsbehörden in der EU, in Singapur und in Japan.
#CryptoSecurity #HongKongSFC #PhishingProtection