Das insolvente Krypto-Unternehmen Celsius verschuldet ein Datenleck, durch das sämtliche Nutzer des Dienstes mitsamt angelegtem Vermögen publik werden. Erneut sind die staatlich verordneten KYC-Massnahmen Schuld am Ereignis. Wieso die Identifizierung auch immer ein persönliches Risiko ist.
Celsius: Nutzerdaten geraten an die Öffentlichkeit
Im Juli meldete das Celsius Network Insolvenz an. Der Krypto-Lender verspekulierte sich im Laufe des anhaltenden Bärenmarktes. Nun gerät das New Yorker Unternehmen erneut in den Fokus der Öffentlichkeit.
Während des Gerichtsverfahrens rund um die Insolvenz von Celsius, versendet der Betrieb eine PDF-Datei, die anschliessend an die Öffentlichkeit gelangt. Das Internet Archive, bei dem der Leak bis vor einigen Stunden abrufbar war, entfernte die Datei inzwischen aus Datenschutzgründen.
Darin ist der Name von Zehntausenden Celsius-Kunden ersichtlich. Jeder einzelne Name ist mit den genauen Anlagen und den Tätigkeiten innerhalb des Krypto-Lenders hinterlegt. Neben normalen Nutzern finden sich auch bekannte Namen.
So lässt sich ein Blick auf die Anlagen des Celsius-Gründer Alex Mashinsky erhaschen, der seit der Insolvenz seines Unternehmens viel Spott in der Krypto-Szene erntete.
KYC verschuldet Datenleck
Damit die empfindlichen Daten überhaupt erst an die Öffentlichkeit kommen konnten, mussten sie erst einmal gesammelt werden. Das geschieht seit 2016 im Namen von KYC. Der Identifizierungsprozess ist eine staatlich verordnete Massnahme, die allmählich sämtliche zentralisierte Krypto-Börsen erfasste.
KYC soll dazu dienen, Terrorismusfinanzierung, Geldwäscherei, Steuerhinterziehung oder Internetkriminalität wie Betrug und Hacking zu bekämpfen. Dass dieser Identifizierungsprozess zum Schaden des Nutzers erfolgen kann, ist keine neue Erkenntnis.
Immer wieder kam es über die vergangenen Jahre zu Datenlecks. Da KYC das Geburtsdatum des Kunden mit seiner Email-Adresse, Wohnanschrift und einem persönlichen Foto verbindet, kann der Prozess schnell zur folgenschweren Gefahr werden.
Erlangen Unbefugte Zugriff auf KYC-Daten, landen die Daten häufig im Darknet. Dort werden sie auf Marktplätzen verkauft und für Identitätsbetrug verwendet. Die damit einhergehenden Risiken trägt dann erst einmal das Opfer, welches seine Daten mit einer Krypto-Börse teilen musste.
Wie schlimm ist das Celsius-Datenleck?
Im Falle des Celsius-Datenlecks ist die Situation nicht ganz so schlimm. Das Unternehmen entfernte im Vorfeld die Wohnanschrift sämtlicher Kunden. Ausserdem fehlen Portraitaufnahmen oder eine Bewegtbildaufnahme, die bei KYC ebenfalls nötig ist.
Unbefugte können mit den Celsius-Kundendaten allein also keinen Identitätsdiebstahl vornehmen. Dennoch können Personen durch das Leck Schaden nehmen. Grosse Vermögen kommen so an die Luft, die zuvor möglicherweise unbekannt waren.
Nutzniesser dieser Erkenntnisse können immer auch Kriminelle sein. Ein konkreter Vorfall zeigt, dass Personen, die in der Öffentlichkeit stehen, zusätzlich eine Rufschädigung erfahren können.
So sind Anlagen des Krypto-YouTubers Lark Davis bekannt geworden, der in der Vergangenheit ein wechselhaftes Verhältnis zu Celsius hatte. Abonnenten berichten, dass Davis lange Zeit als Gegner des Lenders auftrat.
Irgendwann wechselte Davis seine Meinung. Offenbar aufgrund eines gemeinsam getroffenen Geschäfts. Der YouTuber empfahl seinen Anhängern den Dienst daraufhin.
Wie aus dem Dokument hervorgeht, nahm Davis im Juni eine Auszahlung von Celsius in Höhe von umgerechnet 2,5 Millionen US-Dollar vor. Diese erfolgte nur wenige Tage, bevor der Dienst sämtliche Abhebungen stoppte.
Die zeitliche Nähe beider Ereignisse sorgt bei vielen seiner Zuschauer für das Gefühl, es handele sich dabei um eine interne Absprache. Davis warnte seine Anhänger erst wenige Tage später vor einer möglichen Insolvenz. Für viele Investoren war eine Abhebung da bereits unmöglich.
