Topic: Warum KYC keine Lösung, sondern eine Gefahr ist - page 3. (Read 1366 times)

Der Link zur Vorstellung ist im ersten Beitrag ebenfals verknüpft. 

Ich vermute aber, dass es sich aktuell noch mehr lohnt, bereits verifizierte Konten zu hacken / kaufen anstatt welche mit solch aufwändigen Methoden zu verifizieren.

Ich habs versucht, kam aber nicht mehr drauf.
Danke für deinen Link!

das war das richtige stichwort dafür
mit etwas recherche habe ich das angesprochene video gefunden. faszinierend

link zum video und quelle vom zitat: https://media.ccc.de/v/35c3-9616-circumventing_video_identification_using_augmented_reality#t=1554

was es alles gibt!

//edit: hatte mich noch garnicht geäußert zu dem thema. danke für den mega post 1miau!
zu beginn bin ich vom gefühl her auch viel zu unvorsichtig mit meinen daten umgegangen. Ende 2017 im ICO/FOMO hype habe ich meinen reisepass inkl. anderer daten schon ein paar mal weitergegeben... hoffe da ging nie was schief in letzter zeit bin ich aber umso vorsichtiger und neue user sollten von beginn an auf die gefahren hingewiesen werden. daher können die potentiellen gefahren durch KYC/AML nicht oft genug erwähnt werden

wir hatten selbst schon mal einen kreditkartenbetrug in der familie und das ist nicht so witzig. wenn einem die komplette identität gestohlen wird ist das natürlich nochmal ein ordentliches stück schlimmer

Ich hab schon vor ewigen Zeiten (bestimmt 1-2 Jahre, wenn nicht mehr) ein Experiment eines CCC-Nahen Hackers gesehen, bei dem sein Ausweis für das KYC-Webcamchatdings eine Karte mit Pixeln war, und ein Programm auf dem PC hat das Bild live und 3-dimensional mit einem gefrickelten Ausweis ersetzt, inklusive der reflektierenden Teile, die dann je nach Winkel "aufleuchten".
Mit Daumen drauf oder auch nicht, in alle Richtungen drehen und schwenken, und glaubwürdigen Beleuchtungseffekten.
Das war zwar noch nicht 100%, speziell an den Kanten konnte man es teilweise erkennen, aber ein bissel Antialiasing und es wäre durch.
War sogar in HD, augmented Reality vom feinsten.

Gute Frage denn wenn ich daran denke wie aufwändig so etwas bisher immer war bei mir frage ich mich das auch.
Mit genug Geld und anderen Möglichkeiten wäre es vielleicht sogar möglich Verantwortliche mit einzubeziehen und daher einfacher an Konten oder Accounts zu kommen. Das kann ich mir schon gut vorstellen. Oder es wird die Identität mit einem Trick für mehrere Leute verwendbar gemacht. Es gab das Thema Morphing erst im TV: https://www.faz.net/aktuell/wissen/computer-mathematik/morphing-ein-pass-fuer-zwei-16588552.html
Bankkonten sind sicher mit eines der schwierigsten Dinge. Handyverträge oder Amazon Abbucher sind da um Einiges einfacher und reichen auch schon aus um dem echten Menschen Probleme zu bereiten.

Wie schaffen es die Betrüger überhaupt, auf fremden Namen Konten und Co. zu eröffnen? Die meisten Anbieter verlangen doch einen Chat mit Webcam (Schauen sie nach oben, halten sie das Dokument X in die Kamera, schauen sie bitte nach links..). Orientieren sich die Betrüger dann eher auf Seiten, wo eine Verifzierung keine Webcam benötigt oder schaffen die es mittlerweile sogar, die Webcam mit einem gefakten Video auszutricksen?

@allyouracid, guter Punkt, das werde ich bei Zeit noch in den Beitrag einarbeiten.

Bekannt dazu wurde vor allem die Kritik an Coinbase, über deren Dienstleister Nutzerdaten verkauft wurden (Coinbase: Former provider sold user data to third parties prompting neutrino acquisition), was im Zuge der Ankündigung einer Zusammenarbeit mit Neutrino, einem ebenfalls in der Kritik stehendem Blockchain-Auswertungsunternehmen öffentlich wurde. Was genau verkauft wurde und in welchem Umfang ist allerdings umstritten.

Hier auf Deutsch: Analyse der #DeleteCoinbase-Kontroverse: Verkauft Coinbase Nutzerdaten?
 
Christine Sandler, Direktorin für den institutionellen Vertrieb bei Coinbase

Kurzer Hinweis – hoffe, er war so noch nicht da; im OP stand so dazu jedenfalls noch nichts: es sind nicht nur die Verbrecher, die die Daten verkaufen können, sondern die KYC-Unternehmen tun (Update: AGB weisen nicht auf Derartiges hin, siehe Ende des Posts) es offensichtlich auch selbst.

D.h. der ganze KYC-Bullshit ist von vorne bis hinten nur ein Vorwand, um Daten von entweder ahnungslosen Trotteln oder von Leuten, die unter Zwang stehen zu sammeln und zu verkaufen.

Ich finde, dass die Crypto-Unternehmen, die 3rd party KYC implementieren, hier auch in der Verantwortung stehen und zumindest solche Unternehmen, die mit den Daten grob fahrlässig (laut AGB) umgehen, kategorisch ausschließen sollten. In diesem Beispiel wird veriff dot me von Bitcasino genutzt.

.edit:
Hier finde ich allerdings nichts dergleichen.

Werde mal schauen, ob es irgendwo noch genauere Terms gibt...

@Lakai01: Ja, genau das meinte ich - das hat also meine Vermutung bestätigt.

Zu Bitcoin-aware PoS-Systeme (im Sinn von Point of Sale): Ich habe mal etwas gegoogelt, natürlich gibt es die (sonst könnten ja Geschäfte nur mit technischer Expertise Bitcoin annehmen), aber das sind Payment-Prozessoren im Bitpay-Stil. Das heißt, ihr Geschäftsmodell beruht, wenn ich das richtig verstehe, darauf, dass sie selbst Mittelsmänner sind, also den Exchange-Vorgang übernehmen und dann auf den Bitcoinkurs eine Gebühr aufschlagen.

Diese könnten natürlich auch ein "umgekehrtes System" (also für Fiat->BTC Zahlungen) in ihre Software einbauen, aber dadurch würde sich ihr Geschäftsmodell ändern. Normalerweise greifen sie ja die Gebühren von der Bitcoin-Zahlung ab, aber bei Fiat-to-BTC müssten sie selbst einen Fiat-Zahlungskanal aufbauen nur für die Gebühr (ohne Gebühr würden sie's ja sicher nicht tun). Wäre natürlich möglich aber mit etwas Aufwand für den Anbieter verbunden. Ich sehe gerade, dass Coingate einen Fiat->BTC-Kauf über Kreditkarten anzubieten scheint, aber eine Anbindung von Supermärkten wäre dann wohl doch nochmal eine andere Hausnummer.

Für BTC->Fiat wäre ein "Bitcoin-aware" PoS-System allerdings durchaus eine Option, beispielsweise über eine "Bargeld-an-der-Supermarktkasse" Funktion (wie heißt sowas eigentlich richtig auf Deutsch?). Diese sollte einfach nachzurüsten sein. Allerdings würde dann der Supermarkt als Exchange fungieren, was wieder zu KYC führen könnte, zumindest bei hohen Beträgen ...

Bisher gefällt mir jedenfalls das Modell mit dem Omni/Counterparty/whatever Token am besten, ich glaube das ist am sichersten, was KYC-Pflichten angeht. Es müsste natürlich erörtert werden welche Pflichten für einen derartigen Tokenbetreiber entstehen, oder ob sie besser auf ein "externes" Token wie Dai zurückgreifen.

Der Vollständigkeit halber: In Österreich werden solche Gutscheincodes bei jeder Post-Filiale angeboten, die Stückelung ist 50, 100 oder 500€.
Bekommt man natürlich anonym, nur der große Haken ist, dass diese nur bei Bitpanda eingelöst werden können, Bitpanda verlangt seit Anfang Jänner jetzt jedoch zwingend KYC. Hinzu kommt, dass hier ein extra Aufschlag von 3% fällig wird sobald die Codes eingelöst werden.

Ist also eine Möglichkeit um Fiat Richtung Börse zu bringen, von Anonymität ist aber spätestens beim Tausch in CC aber keine Spur mehr.

Wer mehr über die Codes erfahren möchte: https://www.bitpanda.com/en/togo

Über die Frage habe ich mir auch schon den Kopf zerbrochen. Wenn es eine Karte mit einem festen Wert in Fiat (also z.B. Euro) ist,  dann braucht man zwingend eine Exchange oder einen "Kryptoverwahrdienst" als Mittelsmann, und dann können wieder KYC-Pflichten entstehen ...

Ich vermute, wenn man Gutscheine mit fixen BTC-Beiträgen verkaufen möchte (und z.B. gleich den Private Key bekommt), bräuchte man ein Point-of-Sale-System, das den Bitcoinpreis verfolgen müsste. Wäre sicher machbar, aber ob es das schon auf dem Markt gibt? Ein solches System bräuchte ja eine gewisse Verbreitung. Falls dies nicht möglich ist: Die Preisschilder könnten täglich aktualisiert werden und der Verkäufer übernimmt das Restrisiko und kassiert dafür einen Aufpreis. Würde bei hohem Volumen vielleicht funktionieren, wäre aber nichts für ein kleines Startup, denn dann ist beim ersten Crash gleich eventuell die Insolvenz nahe ...

Eine Krücke wäre natürlich das Verkaufen von Stablecoin-Gutscheinen (z.B. Tether oder Dai). Vielleicht könnte das Gutschein-Unternehmen auch selbst einen Private Key für ein eigenes Token verkaufen (z.B. auf Omni oder ETH) und per Atomic Swap (da dann kein KYC nötig ist) die Umtauschbarkeit des Tokens in BTC garantieren. (Man müsste dem Gutscheinunternehmen dann aber natürlich vertrauen können, dass es dies tut.)

Für eine "integrale Lösung" wäre aber auch der umgekehrte Weg (Bitcoin -> Fiat) nötig. Da bliebe nur der private Verkauf solcher Gutscheine über eine Kleinanzeigenplattform oder ähnliches, und dann hätte man wieder das gleiche Problem wie beim "Person-to-Person-Handel".

PS: Ich meine, dass ich diese Bitcoin-Gutscheine schon mal gesehen habe, vermutlich sogar in Deutschland, bin mir aber nicht sicher.

Finde insbesondere die Amazon-Codes interessant um an BTC zu kommen, sollte kein ATM in der Nähe sein.
Als andere Idee hätte ich noch Bitcoin-Gutscheinkarten - wenn das über Amazon-Karten geht, sollte das auch direkt gehen. Aber ich kenne keine Anbieter und auch im Netz findet man kaum Treffer. Habe das hierzu gefunden:


https://www.risewallet.com/

Hat da wer Erfahrungen?

Wäre generell eine schöne Marktlücke und ich fände es super, wenn man das in jedem Supermarkt neben PlayStore / iTunes / Amazon etc. Gutscheinen kaufen könnte.
Also an alle, die eine Marktlücke suchen und ein Unternehmen gründen wollen: bringt Bitcoin-Gutscheine auf den Markt!
Die Frage wäre nur, wie wird das an der Kasse abgerechnet, wenn z.B. 0,001 BTC fix auf der Karte sind? Dann kostet sie mal so viel und später wieder anders? 

Sehr guter Beitrag, danke Hab ihn erst jetzt gelesen ...

Am interessantesten finde ich bei solchen Diskussionen eigentlich immer die Lösungsvorschläge, in diesem Fall für das KYC-Problem. Bei Coin/Coin-Trades gibt es ja mit Atomic Swaps eine Alternative, aber das KYC-lose, unproblematische Tauschen von BTC in Fiat ist weiterhin eine Herausforderung, wenn man sich nicht neuen Risiken aussetzen will.

Bekannt sind mir folgende Methoden:
- Persönliche Treffen (oft organisiert oft über P2P Exchange). Problem: oft hoher Zeitaufwand, eventuell Fahrtkosten, Risiko eines Diebstahls/Raubes.
- P2P-Handel über Bankkonten (egal ob über Bisq, Localbitcoins und Co. oder z.B. hier im Forum). Probleme/Risiken: Kontonummer wird offengelegt, eventuell betreibt Gegenüber Geldwäsche was zu rechtlichen Risiken führt.
- P2P-Handel über PayPal und ähnliche Dienste. Extrem hohes Risiko eines Chargeback Frauds, daher nur bei Vertrauen zu empfehlen.
- KYC-loser Geldautomat. Ist eigentlich eine fast "optimale" Methode, leider sind diese in vielen Regionen sehr selten oder per Regulierung verboten, oft auch bei den Gebühren teuer.
- KYC-lose zentrale Exchange. Erstens besteht das gleiche Problem wie beim P2P-Bankkontenhandel ("Shit-Exchanges" können selber Geldwäsche betreiben), zweitens besteht wie bereits erwähnt das Risiko, dass "plötzlich" KYC eingeführt wird und Funds eingefroren werden.
- Handel von BTC online gegen "geldähnliche" Dinge wie Gutscheincodes. Problem: Weiterer Schritt ausgehend von/hin zu Fiat nötig.

Denkbar wären noch exotische Methoden wie ein Austausch per Post mit Escrow, was aber auch eher riskant erscheint. Alle Methoden haben jedenfalls Schwächen, zentrale, große KYC-Exchanges sind bei weitem am bequemsten und auf den ersten Blick "risikolosesten".

Kennt jemand mehr bzw. kommt zu einer anderen Einschätzung, welche Methoden würdet ihr empfehlen?

Ja, da sprichst du ein generelles Problem an. Angenommen, die Exchange hat keine böswilligen Intentionen, kann das durchaus passieren. Das Hauptproblem besteht dabei daraus, dass die Auswirkungen mancher Gesetze nicht ins Detail durchdacht sind. Oder erst dann den Verantwortlichen bewusst werden, wenn man gegen die Wand läuft. Das ist insbesondere der Fall, wenn die Angelegenheiten sehr komplex und vor allem sehr neu sind. Also all das, was auf Kryptowährungen zutrifft.
Zudem ist es bekanntlich nicht immer so, dass die Gesetzgeber vom Fach sind.

Sollte es wirklich einen Verdacht geben, dass die Börse illegale Transaktionen abwickelt, wäre die logische Schlussfolgerung, dass die Leute, die in der Post fordern, gleich alle Konten komplett einzufrieren, lieber mit der Exchange zusammenarbeiten. Die Transparenz der öffentlichen Blockchain ist dazu in besonderem Maße förderlich.
Denn wenn dort das Guthaben unschuldiger Bürger eingefroren wird, es keine individuelle, transparente Begründung gibt, warum Nutzer xy und es keine Chance mehr gibt es abzuziehen, ist die gefundene Lösung keine gute. Eine Regelung nach Augenmaß, indem man mit der Exchange zusammenarbeitet und mit individueller Begründung nur betroffene Konten einfriert, ist stets die deutlich sinnvollere Variante als der unbegründete, radikale Rundumschlag, der alle unschuldige Kunden genauso betrifft, wie die kriminellen.

Und ja, solche Präzision würde ich persönlich von einer tatsachenorientierten Vorgehensweise erwarten.

Ich möchte auch nicht die diversen böswilligen Versuche von Scamexchanges in Schutz nehmen, die es bisher schon gab und definitiv leider auch weiterhin geben wird aber daher ist es besonders wichtig, bald eine anständige Lösung zu finden bevor weiterer Schaden für die Guthaben der Kunden als auch für das Ansehen der Exchanges entsteht.

Ich kann das jetzt für den konkreten Fall Poloniex natürlich nicht bestätigen oder widerlegen, nur will ich auch hier der lieben Ordnung halber mal darauf hinweisen, dass die Betreiber in solchen Fällen tatsächlich oft "unschuldig" sind.

Betreibst du eine Börse, wo du erstmal "ohne KYC machst", geht das eine Weile gut, solange du noch "unter dem Radar" bleibst.
Also kommen eine Menge Kunden zu dir, die sich freuen, Bitcoin ohne KYC traden zu können.
Dadurch wirst du so groß, dass du den Kontrollorganen des Staates auffällst.
In dem Moment bekommst du plötzlich Post von der BaFin oder anderen für dich relevanten Behörden deines Landes.
Und in der Post wird dir untersagt, weiterhin Gelder auszuzahlen, also auch, Bitcoins ihren rechtmäßigen Besitzern zurückzugeben, ohne KYC zu machen.
Wenn du dich dem widersetzt, kannst du sehr schnell auch in den Knast gehen (das ist Charlie Shrem seinerzeit passiert).

Nicht ganz Civic stellt die Blockchain zur Verfügung, in der deine KYC-Signatur abgelegt wird. Echte Dokumente bekommt die Chain nie zu Gesicht.
Anders sieht das bei den Validatoren aus, also jene Firmen, die deine Daten initial prüfen und die Signatur erstellen (im Screenshot von mir rechts unten). Diese bekommen die Dokumente natürlich zu Gesicht und das eben in digitaler Form.

Darum steht und fällt das Ganze für mich auch mit der Vertrauenswürdigkeit der Validatoren. Einer Deutschen Bank vertraut man prinzipiell mehr als einer privaten Firma mit Sitz auf den Caymans - ich zumindest

Und genau das zentralisierte würde man hier bekommen, denn letztendlich ist im o.g. Beispiel die Fa. "Civic" der einzige, der allen anderen deinen Ausweis zeigt.
Wenn die gehackt werden, ist man dran.

Grundsätzlich macht es schon Sinn, wenn Daten sicher und über mehrere Knoten verteilt abgelegt werden.

SSL ist ja nur ein Verschlüsselungsprotokoll, dass hat mit der zugrunde- liegenden Architektur, Client/Server vs. p2p, nichts zu tun.
SSL sollte bei einer Datenbankverbindung sowieso immer verwendet werden.

Kommt ja auch immer wieder mal vor, dass sich jemand Zugriff auf z.B. die Server eines Krankenhauses verschafft, sämtliche Daten verschlüsselt, mit der Forderung die Daten erst wieder zu entschlüsseln, wenn ein bestimmter Betrag bezahlt wurde. (hier ein Beispiel)
Und in den meisten Fällen ist es wirtschaftlich sinnvoller den Betrag zu bezahlen, bevor man einen Stillstand in Kauf nimmt.

In dem Beispiel gehts zwar um Patientendaten aber grundsätzlich ja völlig egal um welche Art sensibler Daten es sich handelt.

Ob dafür unbedingt eine Blockchain nötig ist oder man nicht auch eine andere Form der verteilten Datenspeicherung verwenden kann, sei mal dahingestellt.

Zentralisierte Architekturen bzw. zentrale Datenspeicherung stellen grundsätzlich halt immer ein optimales Angriffsziel dar.

Da gebe ich dir natürlich vollkommen recht, das ist - wie bei ungefähr 99% aller hippen Blockchain-Projekte - ein "machen wir mal irgendwas mit Blockchain, das klingt gut, wir brauchen die aber garnicht, unsere Investoren stehen aber auf Buzzwords"

Auch das sehe ich genauso. Ich würde die Daten niemals einer privaten Firma in die Hand drücken. Ich vertraue hier jedoch - anders als in anderen Dingen - dem Staat einfach mehr. Vor allem auch, da sie die Daten ja sowieso schon haben.

@Lakai01
Danke für die Erklärung.
Da ist die Blockchain aber auch nichts anderes als eine Verschlüsselungs- oder Zertifikatsüberprüfung, also nichts was nicht auch "via SSL" gehen würde.
Kurz gesagt: "Wir machen das mit Blockchain, das ist voll 2019!eins!elf!"-Bullshitbingo.
Wirklich Sinn macht sie da nicht.

Und all das was 1miau sagt.


Ich wette, das es speziell im Bitcoinbereich nicht wenige Leute gibt, die "Staat" und "trusted Source" nicht in einem Satz benutzen.


Normal sind die nicht kurzzeitig dort, und damit klaubar. Sind sie jetzt auch, und werden sie auch. Ob ein Blockchainstartup das besser kann?