Topic: Warum KYC keine Lösung, sondern eine Gefahr ist (Read 1421 times)

Meiner Interpretation nach könnte es dann was bringen, wenn man verschiedene Namen (echter Name, Künstlername, abgekürzter Name, zweiter Vorname etc.) für verschiedene Dienste verwendet. Die Idee dahinter wäre, dass wenn die Daten gehackt werden sollten, man nicht so viele Konten miteinander über den gleichen Namen "verbunden" hätte. Oder dass nur der "unwichtige" Künstlername betroffen wäre, man diesen also für unwichtigere/unsicherere Dienste wie Übersee-Krypto-Tauschbörsen verwendet. Natürlich müsste man dabei darauf achten, dass man so wenige Daten wie möglich für die "Identitäten" miteinander teilt, also die Identitäten klar auseinanderhält. Also z.B. eine unterschiedliche E-Mail-Adresse oder falls verlangt Telefonnummer für jede Identität verwenden.

Der Allerweltsname als Künstlername ist natürlich da eine ziemlich gute Idee.

Um gegenüber Behördenanfragen zu verschleiern, wer man ist, taugt der Künstlername aber natürlich nichts, wie schon von anderen erwähnt.

Genau das. Es gibt so viele dubiose Tauschbörsen, bei denen die Kunden ihre gesamten Einlagen über Nacht verlieren können und die Betreiber haben gute Chancen, niemals dafür belangt zu werden.
Ganz zu schweigen von den Einlagen, selbst wenn die Betreiber belangt werden.
FTX ist da auch ein gutes Beispiel, wo selbst bei seriöser Aufmachung die Kundengelder geradewegs veruntreut wurden.
Die Kunden stehen nun mit großem Schaden da und gelernt (dass man endlich gewisse Mindeststandards vom Betreiber fordert) hat man auch nichts...

Das Limit von Bitcoin mit 21 Millionen Stück ist schön aber wenn es durch "Buch-Bitcoin" verwässert wird (was bei vielen Tauschbörsen durchaus zu vermuten ist, dass dort kein echtes Bitcoin zu 100% hinterlegt ist), am Ende des Tages nicht viel Wert. 

Noch zu @1miau: Ein sehr kluger Artikel!

Ich verstehe nicht, wie ein im Ausweis eingetragener Künstlername nützlich sein soll. Wie bei Verheirateten, die einen anderen Namen als Geburtsnamen haben. Steht doch alles im Ausweis und Pass.

Nicht nur Poloniex, auch Kucoin und andere haben keine ladungsfähige Anschrift.
Die Unverschämtheit von international agierendem Handel keine Anschrift, keinen bevollmächtigten Anwalt, keine amtliche Zulassung eines Staats zu haben ist bestürzend.

Ein Anwalt kann im Klagefall keine Forderungen durch Postbrief zustellen. Des Händlers Residenz  muss geklärt sein. KYC ist eigentlich verkehrt herum: Wer mein Geld oder Werte annimmt, muss sich mir gegenüber identifizieren! Also Wohnadresse des Geschäftsführers und seine Handelsregistereintragung. Es muss KYD = Know your dealer geben.

Sehe ich tatsächlich ein bissl anders. Sofern man einfach von Beginn darauf achtet, dass da keine Verknüpfung existiert ließe sich das a.h.S. vermeiden. Verlinkung bei den Behörden ja, aber in der Öffentlichkeit (Internet) sicher nicht.

Schaut man sich den Fall Xanathon bzw. das Urteil an, dann heißt es wörtlich "bezüglich der Verkehrsgeltung als Voraussetzung für die Eintragung eines Künstlernamens [dürfen] keine allzu hohen Anforderungen gestellt werden."
Digitale Kunst zählt als Kunst. Die "Qualität" der Kunst ist irrelevant. Verkehrsgeltung hat man mitunter schon mit ~500 Follower / Likes. In Zeiten von ChatGPT / Midjourney und Social Media Marketing mit allen möglichen entsprechenden Angeboten auf Fiverr sehe ich da keine Hürde.
Knackpunkt ist denke ich eher den Namen "seit längerer Zeit" zu verwenden und ggf. real-physische Auftritte/Ausstellungen zu haben.

Gewerbliche Tätigkeit als freiberuflicher Künstler (Nachweis Berufsverband / Agentur) sind keine Pflicht, aber wenn die Künstlersozialkasse den Künstlerstatus bereits mittels Fragebogen geprüft hat, ist das natürlich ein sehr sehr starkes Indiz. Die gewerbliche Tätigkeit ließe sich über eine eigene juristische Person sicher auch abbilden, aber ob man das will ist eine andere Frage (zusätzliche Verbindung Real- mit Künstlername).

Insgesamt sollte man da also wohl mit weniger als 1.000€ (für die Unternehmergesellschaft mir Fantasienamen) zurecht kommen und ein besseres Ergebnis erzielen (Realname steht in keinen öffentlichen Register). ChatGPT / Midjourney dürften ja auch so ein spannendes Freizeitprojekt sein. Vielleicht sollte ich das mal angehen und dazu einen eigenen Faden machen.

So schnell, wie sich KI aktuell insgesamt verbessert, würde ich deine Vermutung auf jeden Fall teilen.
Der Bericht über die täuschend echten Bilder des Fake-KYC ist da wohl auch erst der Anfang und vielleicht gibt es da noch einige Dinge mehr, die nur bisher noch nicht aufgefallen sind.
Vor fast genau einem Jahr hatte CoinEraser den KI-Faden gestartet und auch, wenn man die ersten, wirklich leicht zu erkennenden KI-Bilder von damals zu heute vergleicht, ist der Fortschritt der KI wirklich enorm.

Aber der Fall mit dem KYC ist auch ein genereller Hinweis, dass man vielleicht besser beraten ist, wenn man kritische Prozesse nicht digitalisiert. Denn jede Digitalisierung birgt auch eine Gefahr, die selbst ohne KI besteht.
Wie oft hört man, dass wieder eine Behörde gehackt wurde, was sich bei weiterer Digitalisierung auch nicht vermeiden lässt - und das ist ein ganz generelles Problem. Die Gefahr wird immer da sein, wenn man online auf diese potentiell gefährdeten Daten zugreifen kann.
Daher: Digitalisierung gut und schön aber man sollte mal abwägen, ob der Nutzen wirklich den potentiellen Schaden übersteigt. Und im Zweifel lieber auf die Digitalisierung verzichten bzw. sie Rückgängig machen, wenn man da auf Probleme stößt, wenn z.B. ein Schutz nicht ausreichend möglich ist. Sonst freut das nur die Hacker.
Das kann nicht passieren, wenn der Kram erst gar nicht digitalisiert ist oder zumindest ohne physischen Zugang zum Gebäude nicht online geht.

Und in diese Richtung muss das mit dem KYC geändert werden. Mehr offline als online und wenn gar keine Abhilfe möglich ist, muss man die Kunden halt in der Filiale verifizieren und die Akte wird einsortiert.  
Hört sich vielleicht etwas rückständig an aber wenn man mal überlegt, was der ganze KI und Digitalisierungskram auch für Probleme verursachen kann, blickt man vielleicht in 10 Jahren anders auf diese Dinge.
Führt vielleicht auch dazu, dass die Anbieter aufhören, auf dem Rücken der Kunden zu sparen und anfangen, sich um echte Lizenzen bemühen anstatt irgendwo auf den Seychellen ihre Briefkastenfirma zu unterhalten.

Wir werden also mit KI und der Digitalisierung noch unseren Spaß haben.
Aber das greift hier glaube ich etwas weit und wäre eher etwas für den KI-Faden von CoinEraser.  

---

Ansonsten sind die 4 Punkte von virginorgange zum KYC sehr gut zusammengefasst. 

---

Das mit dem Künstlernamen ist interessant aber ich würde ebenfalls vermuten, dass beim Erreichen der nötigen Punkte, wie von bct_ail ausgeführt, irgendwann der eigene Name im Internet landet und dann ist die Frage, ob sich der Aufwand dafür wirklich lohnt.  

Wenn es "nur" darum geht BTC zu kaufen, hast du natürlich recht. Da wären Non-KYC Lösungen sicherlich besser geeignet und mit deutlich weniger Aufwand umzusetzen.
Aber es gibt ja auch durchaus Altcoin Projekte wo es nicht die Option gibt ohne KYC dabei zu sein....


Bei einer Firma steht der Geschäftsführer aus gutem Grund mit Klarnahmen im Handelsregister, Handelsregisterauszug kostet <50€. Die Hürde ist also nicht besonders hoch.
Auch beinhaltet ein Firmen-KYC (z.B. für ein Geschäftskonto) i.d.R. auch ein persönliches KYC des Geschäftsführers, da hat man also nur bedingt was gekonnt.
 Will man selber nicht im Handelsregister stehen, dann muss man wen anders als (Schein-)Geschäftsführer anstellen. Das wirkt auf mich zumindest erstmal deutlich weniger legal.

Beim Künstlernamen wüsste ich dagegen ehrlich gesagt nicht wie man da die Verknüpfung herstellen sollte. Klar, die Behörden haben Zugriff auf die Datenbank, aber für alle anderen wäre der Künstlername ja der echte Name.
Beispiel: Bankkonto unter Künstlernamen mit postident eröffnen und mich bei der Postangestellten verifizieren lassen (das gäbe mit Sicherheit ein interessantes Gespräch). Der Echtname schafft es ja dann gar nicht erst in die Datenbank der Bank.
Und wenn Anonymität das Ziel ist, würde man ja auch einen (ggf. noch prominenten) Allerweltsnamen aussuchen.
Ich sag nur viel Spaß beim googlen nach einem Thomas Müller...

Die KI wird hier über kurz oder lang sicher massiv die KYC-Pflicht umkrempeln, davon gehe ich schon aus. Die "Lösung" ist für mich aber eher eine allgemeingültige digitale ID, die die jeweilige Person dann ständig und überall begleitet. Angefangen vom allgemeinen Zugriff aufs Internet über die Accountanlage bei Social Media-Plattformen bis hin zur Registrierung bei (Crypto-)Börsen wäre das natürlich die "Ideallösung". Ob Daten- und Personenschützer damit ebenso eine Freude hätten wage ich aber zu bezweifeln!

---

Sehe ich tatsächlich auch nicht als soo abwegig an und könnte mir in der Tat gut vorstellen, dass man das genehmigt bekommt. Die Frage ist nur ob man dann nicht auch ein Unternehmen gründen könnte (bspw. Turbartuluk GmbH.) und als diese auftritt. Das hätte ja einen ähnlichen Effekt. "googlen" könnte man einen Künstlernamen ja auch um an die tatsächliche Identität zu kommen.

Top 4: Ich finde die Idee mit dem Künstlernamen grundsätzlich interessant.

Top 3: Für Menschen, die nicht bereits Künstler sind, ist es aber wohl einfacher eine Unternehmergesellschaft mit 1000 Kapital und einem Phantasie-Firmennamen zu gründen, anstatt Künstler zu werden.

Top 2: Noch besser wir nutzen eine non KYC-Plattformen (Bisq, Robosats) idealerweise über TOR.

Top 1: Noch besser als non KYC-Plattformen finde ich bilaterale Handelsbeziehungen. Alte Bitcoiner, die regelmäßig Bitcoin verkaufen möchten, und neue Bitcoiner, die regelmäßig Bitcoin kaufen, kommen gemeinsam ins Geschäft. Hier müssen nur zwei Iban-Nummern und der Name des Käufers ausgetauscht werden. Bei stabilen Geschäftsbeziehungen ist die Anzahl der Menschen, die deinen Namen kennen, sehr überschaubar.

Es findet meines Wissens kein Kontonummer Namensabgleich statt, d.h. wenn ich an die korrekte IBAN aber mit dem falschen Empfängernamen überweise, geht die Überweisung trotzdem durch. Wer aber einen Allerweltsnamen hat, der kann darauf verzichten. Das riskanteste ist sowieso die Preisgabe der eigenen Adresse, denn wer will schon Räuber bei sich zu Hause einladen.

Weißt du ja nicht ob ich nicht schon seit Jahren als Künstler tätig bin und der Nachweis für mich ganz leicht wäre...

Aber das mal außen vor gelassen...
Ich kenne das nur von Autoren die unter Pseudonym schreiben und für die Adresse (Impressumspflicht) einen Dienstleister nutzen. Gilt gleichermaßen auch für youtuber und influencer. Zusammen mit der Eintragung im Perso und einem Bankaccount können die ja auch quasi anonym bleiben. Wüsste jetzt nicht warum damit nicht auch alle KYC Anforderungen unter Künstlernamen legal erfüllt werden könnten.

Die Behörden könnten die Verknüpfung leicht herstellen, aber bei einem Scam oder Hack wäre durch die Angreifer nur ein "wertloser" Datensatz zu erbeuten.

Also klar gibt es Hürden, aber so abwegig finde ich den Ansatz jetzt auch wieder nicht....

Also wenn ich nach den Voraussetzungen schaue, ist es nicht mal eben schnell gemacht:

https://verwaltung.bund.de/leistungsverzeichnis/DE/leistung/99008001000000/herausgeber/BW-6008443/region/08

Das heißt also, dass dein Künstlername ( z.B. Turbartuluk) in der Öffentlichkeit bekannt sein muss und du ihn schon längere Zeit verwendest. Ebenso musst du das auch beweisen:
https://verwaltung.bund.de/leistungsverzeichnis/DE/leistung/99008001000000/herausgeber/BW-6008443/region/08

Also alles nicht so einfach und da du die Adresse ja nicht ändern kannst, steht ja ein wichtiges Datum im Perso weiterhin drin.

--------------

Generell glaube ich nicht, dass durch die ganzen Fälschungen durch Nutzung der KI die Regierungen plötzlich auf KYC verzichten werden. Eher würden sie noch weitere Daten einfordern, um eine Person genauer zu kennzeichnen. Wie wäre es mit der DNA? Oder Augenscan (-> Worldcoin...)?

Hat sich in der Runde hier schonmal jemand intensiver mit Künstlernamen auseinander gesetzt?
Auf dem Perso eingetragen kann man damit ja auch Verträge schließen oder Bankkonten eröffnen...

Wäre ja vielleicht auch noch eine Option um die "echten" kyc Daten auf legalem Weg zumindest ein wenig zu verschleiern?!

Ergänzten könnte man hier ev. noch die digitale Identität ins Rennen werfen, die ja bspw. auch die EU für alle EU-Bürger anstrebt. Die Idee dahinter klingt erstmal nach einer guten Lösung für genau solche Anwendungsfälle:


Man müsste sich so also keinem KYC mehr auf Börsen, die die digitale Identität unterstützen, unterziehen, sondern es reicht ein Login damit - wie immer der dann auch aussieht. Das steht und fällt natürlich mit der Diebstahlssicherheit und einfachen Verifizierbarkeit dieser ID, aber grundsätzlich wäre das für diese Art von Identitätsnachweisen durchaus möglich.

Dass man sich damit potenziell ein ganz anderes Fass aufmacht steht natürlich auf einem anderen Blatt. So fordern bspw. erste Parteien, dass man auch für den Zugriff aufs Internet allgemein diese ID benötigt.

Ich könnte mir noch vorstellen, dass die Online-Verifizierung mit elektronisch auslesbaren Dokumenten und Lesegerät als Alternative weiterbestünde. Das dürfte jedoch für den Diensteanbieter aufwändiger sein.
Aber dennoch, Postident und Co. dürften eher einen Aufschwung erleben in der Zukunft, zu Ungunsten von Videoident. Wenn kein Marktversagen besteht ... (etwa durch "digital ist cooler")
Postident scheint es ja inzwischen auch mit Videochat zu geben, aber das hätte ja die selben Probleme wie Videoident. Mit einer relativ einfachen Fälschung des Dokuments dürfte dies auszutricksen sein.

Stimme übrigens natürlich zu, dass Kleinbeträge immer KYC-frei umgetauscht werden dürfen sollten. Ich vermute auch, dass dies eigentlich in den meisten Staaten möglich sein sollte, aber aus "vorausschauendem Gehorsam" von den Börsen anders gehandhabt wird. Natürlich steht immer der Kauf/Verkauf von Sachwerten, Gutscheinen und ähnlichem (Bitrefill usw.) und P2P zur Verfügung, aber das kann manchmal unpraktisch sein.

Was ich mir immer mal wieder als Alternative vorgestellt hatte, wenn es mal "dick auf dick" kommen sollte und z.B. auch bei Bitrefill KYC gefordert wird, wäre der Umtausch von Speicherplatz oder Rechenleistung, also rein digital handelbaren Produkten die von vielen Menschen bereitgestellt aber auch nachgefragt werden können, in Kryptowerte. Ich könnte also z.B. eine zusätzliche Festplatte mit Fiat kaufen und gegen BTC den Speicherplatz vermieten, oder eben umgekehrt. Mit Siacoin gibt es ja schon länger so was ähnliches, es dürfte aber auch mit Bitcoin möglich sein.

Heftig, was mit KI mittlerweile alles gefälscht werden kann und das wird in Zukunft sicher nicht besser.
Die Dienste wie OKX wollen gerade bei solchen Dingen wie Sicherheit sparen, was im Bezug auf KYC höchst problematisch ist.

Vielleicht sehen wir ja als Resultat der neuesten Entwicklungen irgendwann:
- dass das gefährliche Videoident-Verfahren endlich verboten wird. Ist ja nicht das erste mal, dass es negativ auffällt, abgesehen von den ganzen dubiosen Firmen, die dadurch hochsensible Daten in die Hände bekommen.
- mehr auf die sicheren Verfahren gesetzt wird, die d5000 oben erwähnt, insbesondere PostIdent.
- es eine Option ist, Geldwäsche dadurch vorzubeugen, dass kleine Beträge ohne KYC getauscht werden können. Geldwäsche lohnt sich mit solchen Kleckerbeträgen einfach nicht und legitime Kunden müssen nicht für gelegentliche, geringe Bitcoin-Käufe / Bitcoin-Verkäufe Identitätsdiebstahl riskieren.

Mit fortgeschrittener KI sind die einzigen, ausreichend fälschungssicheren Verfahren ausschließlich physischer Natur, denn früher oder später wird sich für alles KI finden, um Dinge täuschend echt zu manipulieren.
Verifizierung der zu verifizierenden Person wird dann nur physisch, ggf. sogar von geschulten Experten, möglich sein.
Was ja auch wünschenswert ist, um viele im Eingangsbeitrag genannte Risiken des Identitätsdiebstahls zu vermeiden.
Und ein KYC, welches in signifikantem Ausmaß von Betrügern unterlaufen wird, ist halt auch komplett nutzlos. 

Habe die Bilder gestern auch gesehen, Wahnsinn eigentlich mit wie wenig Aufwand das Ganze funktioniert.
Dass der KYC-Check - zumindest der Level 1-Check - damit absolviert werden kann wundert mich aber tatsächlich nicht. Dort werden in der Regel ja nur die Dokumente gescanned und geprüft, ob so Dinge wie Passnummer und der Name klar ersichtlich sind. Auch ein allfälliger "Liveness-Check" lässt sich mit einem gefälschten Pass problemlos umgehen ... sofern man den gefälschten Pass auch drucken lässt. Das große "Problem" an der Sache: Ein Abgleich mit einer Datenbank findet nicht statt um die Daten nochmals gegenzuprüfen. Hier müssen sich sicherlich die KYC-Anbieter besser aufstellen und KI-resistente Systeme entwickeln.

Aber zeigt wie immer sehr schön: Es ist ein Wettlauf zwischen Leuten, die das System umgehen wollen und Leuten, die das System möglichst sicher gestalten wollen.

---

Ich handhabe das ähnlich, zumindest bei der Mailadresse. Telefon wird da schon schwieriger, da bräuchte man tatsächlich Wegwerfnummern ... sollte dann aber niemals in die Verlegenheit kommen, die Mobiladresse für eine Rücksetzung eines Passworts o.ä. zu benötigen.

Vielen Dank für die Verlinkung auf Nostr, kannte ich so noch nicht!

Ja, das Thema wird eigentlich immer aktueller, auch "dank" MiCa und Co. ... daher danke für den Bump.

Wenn man jetzt komplette Fake-Identitäten schaffen kann, ist das vielleicht sogar ganz gut. Erstens wird dadurch der Druck auf Kriminelle, "echte" Daten zu beschaffen, geringer - vielleicht geht dann der Identitätsdiebstahl zurück. Und zweitens könnten die Dienste ihre bisherige KYC-Strategie überdenken. Vielleicht könnte der einige oder andere auch zu dem Schluss kommen, dass die Umstellung des Geschäftsmodells so, dass kein KYC mehr nötig ist, oder der Umzug in ein privacy-freundlicheres Land eine gute Option darstellen könnte ...

Oder eben ein besseres, weniger invasives und trotzdem (vergleichsweise) sichereres KYC-Verfahren. Ich habe vor einiger Zeit im englischen Forum mal einen Thread erstellt, bei dem KYC-Methoden gesammelt werden sollen, bei denen ein geringeres (im Idealfall kein) Risiko für Identitätsdiebstahl besteht. Ein Beispiel wäre das deutsche Postident - das würde sich auch durch "die KI" noch bei weitem nicht austricksen lassen.

Wichtig wäre mir als Appell für Dienste: Wenn ihr KYC braucht, weil gesetzlich vorgeschrieben, verzichtet bitte auf die Bedingung, E-Mail-Adresse oder gar Telefonnummern bei der Anmeldung bereitzustellen! Das hört sich auf den ersten Blick komisch an, denn irgendwie muss man ja mit dem Nutzer kommunizieren, etwa bei Passwortverlust. Aber da bieten sich andere Dienste wie Nostr oder zur Not auch Mastodon an. Dort kann man sich eine Identität speziell für die Kommunikation mit dem Dienst erstellen.

Konten solcher Dienste sollte man zumindest als Alternative bereitstellen. Denn: Wird die E-Mail/Telefonnummer in den Datensatz eingepflegt, ist es viel einfacher für Kriminelle, verschiedene Datensätze miteinander zu verbinden, weil ja oft die gleiche E-Mail-Adresse für mehrere Dienste verwendet wird. Wegwerf-Mails sind zwar auch eine Lösung, aber die werden oft nicht akzeptiert, zudem ist dann die Kommunikation mit dem Dienst z.B. bei Passwortverlust komplizierter.

Vielleicht kennt jemand weitere "Best Practices"? (gibts da eigentlich ein deutsches Wort dafür?)

Nur damit keine Zweifel aufkommen: Der Idealfall ist weiterhin für mich, dass kein KYC angewendet wird. Es ist aber manchmal schwierig, solche Dienste zu finden - oder die Dienste gesetzeskonform zu betreiben, für diese Fälle ist dieser Post bzw. der Faden im englischen Forum gedacht.

Und auch ist klar, dass diesen Beitrag hier weniger Diensteanbieter lesen werden, aber dafür Nutzer, die ja durch ein Feature Request die Dienstebetreiber auf solche Möglichkeiten aufmerksam machen können

Um den Thread nach einer ganzen Weile mal wieder ins Gedächtnis zu rufen:

Auf X gehen gerade mehrere Screenshots eines Journalisten/Nutzers herum, der sich innerhalb von ein paar Minuten mittels KI einen Fake-Passport erstellt hat und mit diesen dann problemlos den KYC einer großen Kryptobörse (OKX) durchlaufen hat. Ich weiß nicht inwiefern man die Screenshots und den Thread hier im Forum teilen darf, auch wenn es sich nur um ein zu Testzwecken gefälschtes Dokument handelt.

Das Ganze wird aber aktuell häuft geteilt, sodass es in ein paar Tagen wohl auch den ein oder anderen Artikel zu diesem Thema geben wird, den wir dann hier verlinken können.

Dennoch zeigt das ganze wieder einmal wie anfällig das KYC System ist und welche Gefahren hiervon ausgehen. Passt auf euch auf und gebt eure wertvollen Daten nicht jeder Schrottbörse!

Genau, Privatsphäre im Netz ist immer sehr wichtig, egal ob es um KYC oder andere Dinge geht, von denen Betrüger profitieren könnten, wie dem großen Ledger Hack.
Dabei sollte man auch bedenken, dass es noch einen Unterschied im Risiko gibt, wenn man z.B. das etablierte Postident mit einem KYC bei einer unseriösen Hinterhofklitsche (z.B. BigONE oder YoBit etc. ) vergleicht.

Kryptowährungen sind schon riskant genug. ^^

Und sorry, dass der Beitrag hier schon übersetzt war und du ihn dadurch umsonst übersetzt hattest, weil er im internationalen Teil nicht verlinkt war (ist jetzt erledigt). Daher zur Entschädigung ein bisschen Merit. 

Vielen Dank für deinen Beitrag. Ich habe zwar geahnt, dass KYC nichts besonders gutes ist aber dass es si kritisch werden kann hatte ich auch nicht auf dem Schirm