Es ist verständlich, Angst vor dem Verlust des eigenes Geldes zu haben, entweder durch Hacks, Betrug, eigene Fehler oder falsche Entscheidungen (durch nutzlose Shitcoins / zu spät verkauft / zu früh verkauft etc.). Die meisten Beiträge im Bitcointalk behandeln solche Themen. Aber wenn es um Verluste geht, sollte man sich bewusst sein, dass nicht nur Geld verloren gehen kann. Nämlich personenbezogene Daten und Dokumente aller Art, die eigene Identität, in dessen Namen Betrüger, falls sie diese erlangt haben, Straftaten begehen können. Der Schutz dieser Daten und die Sicherstellung der Privatsphäre sollten mindestens die gleiche Priorität haben wie der Schutz der Coins. Denn Coins sind ersetzbar, sie sind „lediglich“ ein materieller Verlust. Ist die Identität erst einmal in die falschen Hände geraten, hat man keine Chance, dies wieder rückgängig zu machen.
Daher sollte einem der Schutz dieser Daten sehr wichtig sein, denn sie sind in Gefahr. Nicht nur durch kriminelle Hacker, Scammer und andere Verbrecher, sondern etwas, das auf den ersten Blick harmlos daherkommt: KYC.
Es gibt immer wieder Dienstleistungen, zu deren Teilnahme es ab bestimmten Beträgen nötig ist, ein KYC zu machen. KYC steht für know you customer (kenne deinen Kunden) und besteht daraus, dass Teilnehmer an den Veranstalter persönliche Dokumente (Personalausweis, Papiere etc.) senden müssen. Das Ziel eines KYC soll darin bestehen, Geldwäsche (AML, anti money laundering) und Terrorismusfinanzierung zu unterbinden.
Das hört sich auf den ersten Blick gut an.
Leider sieht das in der Realität ganz anders aus. Es gibt einen eklatanten Unterschied zwischen Ziel und Resultat des KYCs. Denn KYC für Kryptodienstleister in der aktuellen Form hilft weder zur Unterbindung von Geldwäsche noch zur Verhinderung damit verbundener krimineller Aktivitäten, wie z.B. Terrorismusfinanzierung. Im Gegenteil - KYC fördert kriminelle Aktivitäten sogar (die sogenannten KYC-Scams als auch Identitätsdiebstahl und bietet professionellen Verbrechern einen lukrativen Markt, doch dazu später mehr).
Gefahr durch KYC: IdentitätsdiebstahlWie mit allen Dingen in einer digitalisierten Welt sind diese anfällig gegen Hacks. Selbst Binance, die aktuell größte Kryptobörse, wurde bereits gehackt, als die Hacker etliche KYC-Datensätze entwenden konnten. Das sind bloß die Dinge, die auch gemeldet werden. Es scheint also nicht unwahrscheinlich, dass dies bloß die Spitze eines Eisbergs an fiesen KYC-Hacks ist, die bisher nicht bekannt gegeben wurden, weil es den Exchanges oder KYC-Anbietern selbsterklärenderweise sehr schaden würde.
Bei allen Nutzern, die also gezwungen werden, irgendein KYC zu machen, können die persönlichen Daten auf den Schwarzmarkt gelangen.
Damit ist es für Verbrecher wiederum ohne weiteres möglich, die aus Hacks zusammengestellten „Identitätspakete“ auf dem Schwarzmarkt zu erwerben, die alle Daten enthalten, um sich als die betroffene Person ausgeben zu können und in ihrem Namen einen Account zu öffnen über den dann die kriminellen Aktivitäten laufen.
Two days ago ccn.com released an article “
Hacked Customer Data From World-Leading Cryptocurrency Exchanges For Sale On The Dark Web?” where on the darknet market called “Dread,” a vendor going by “ExploitDOT” is attempting to sell user data from the know-your-customer (KYC) data top cryptocurrency exchanges ask for, required by most jurisdictions.
Today my colleague contacted the seller who offered him the price 15 USD for each document (passport or ID, proof of address, selfie photo), totalling 45 USD per one person. It is necessary to buy at least 100 KYC identities (together for 4500 USD). The seller was willing to use a trusted escrow service for a crypto transaction which means this offer may be trustworthy.
Gehackte Identitäten können für Personen mit kriminellen Absichten ebenfalls sehr wertvoll sein, wenn die Identität mit anderen Details verknüpft werden kann, die für Verbrechen gegen die betroffene Person relevant sind:
- Name und physikalische Adresse (aus verschiedenen Dokumenten oder Rechnungen)
- Personalausweis, Reisepass, Bilder oder Selfies
- biometrische Daten (Fingerabdruck-, Gesichts- oder Iris-Scan)
- verschiedene Daten aus Stromrechnungen, Vermögensquelle, vom Arbeitgeber oder dem verwendeten Bankkonto
- Passwörter, verwendete E-Mail-Adresse
- Verwendete Krypto-Adressen einschließlich Ein- / Auszahlungen (+ Verknüpfung anderer verbundener Adressen über Blockchain-Recherche)
Verbrecher können diese Daten auf verschiedene Arten gegen die Betroffenen verwenden:
- Sie können damit kriminellen Tätigkeiten nachgehen, indem sie einfach die gestohlene Identität weitergeben, um KYC bei der nächsten Börse / ICO usw. zu bestehen und ein Konto im Namen der betroffenen Person zu eröffnen.
- Kriminelle können einige der Daten verwenden, um auf andere Konten der Person zuzugreifen, deren Daten gehackt wurden:
- Zurücksetzen von Konten per E-Mail-Adresse
- Zurücksetzen von Konten über biometrische Daten
- versuchen, andere Seiten mit dem gleichen Passwort zu hacken
- Eine der schlimmsten Folgen wäre die Möglichkeit für Verbrecher, genügend gehackte Daten über eine Person zu sammeln, um zu bewerten, wie rentabel ein Raubüberfall auf sie sein würde. Erforderliche Daten für die Kriminellen:
- physische Adresse eines Opfers (aus einem persönlichen Dokument zu erhalten)
- Informationen über ihr Vermögen (aus Einzahlungen / Auszahlungen auf dem Konto oder aus verknüpften Krypto-Adressen, die auf dem gehackten Konto verwendet werden oder aus übermittelten Privatdokumenten über Vermögensquellen, vom Arbeitgeber oder dem verwendeten Bankkonto)
Ein solcher Datensatz könnte ausreichen, um zu analysieren, ob ein Raubüberfall auf die potentiellen Opfer profitabel wäre. Und selbst wenn sich die Betrüger in einem anderen Land befinden, könnten sie Informationen über "vielversprechende Raubüberfallziele" an andere Verbrecher verkaufen, praktisch ein Kataster für lohnende Überfälle genau dort, wo ein Verbrecher jemanden ausrauben möchte.
- Oder sie können Daten sammeln und mit anderen gehackten Daten abgleichen, wodurch der Datensatz wertvoller wird und sie erneut verkauft werden.
Es steht außer Frage, dass ab bestimmten, sehr hohen Beträgen eine geeignete Verifizierung der Nutzer notwendig ist, um eben Geldwäsche und Finanzierung von terroristischen Aktivitäten zu verhindern. Aber es macht es geradezu absurd, selbst für niedrige Beträge eine umfangreiche Verifizierung durchlaufen zu müssen, ohne dass die anfallenden Beträge dies in irgendeiner Weise rechtfertigen würden.
Es ist nicht nur so, dass hier der Verbraucherschutz vernachlässigt wird, es ist sogar direkt betrachtet erst durch ein KYC die Gefahr gegeben, dass der Verbraucherschutz massiv gefährdet wird. In dieser unausgewogenen Diskussion spielt diese Tatsache bisher überhaupt keine Rolle, was in Anbetracht der bereits erwähnten Sachen geradezu fahrlässig ist.
Für die Betroffenen ist das natürlich übel, ihre sensiblen, persönlichen Daten landen auf dem Schwarzmarkt und in den Händen von Kriminellen. In ihrem Namen werden dann Straftaten begangen.
Nicht nur das - das digitale Zeitalter ist noch sehr jung und es könnte Dynamik geben, die wir heute noch nicht sehen können. Denn sind die Daten erst einmal in den falschen Händen, ist man machtlos, Missbrauch zu verhindern.
Gefahr durch KYC: KYC-ScamsNeben Identitätsdiebstahl bietet KYC auch ein neues Geschäftsfeld für Scammer, um Leute betrügen zu können:
Eine sich aktuell ausbreitende Unart sind die sogenannten „KYC-Scams“.
Dabei gehen die Scammer wie folgt vor:
- Die Nutzer zahlen auf einer Seite ohne KYC Kryptowährungen ein.
- Wenn genug Leute eingezahlt haben, reklamiert die Seite, dass sie nun doch KYC benötigt und friert alle Einzahlungen der Kunden ein.
- Die Seite erpresst die Nutzer, ein KYC zu machen. Sollten die Nutzer das nicht wollen, kommen sie nicht mehr an ihre Kryptowährungen. Sollte die Exchange sogar Scam sein, hätten die KYC-Scammer die wertvolle Identität des Nutzers, die sie verwenden oder verkaufen können.
- Der Nutzer hat keinerlei Möglichkeit, sich zu wehren.
Das gleiche Prinzip verwenden auch Bounties, besonders Altcoin-Bounties von Shitcoin-ICOs.
Daher: seid vorsichtig vor KYC-Scams, die insbesondere bei unbekannten Exchanges oder Shitcoin-Bounties zunehmen. Verwendet nur vertrauensvolle, große Börsen, die mit solch einer Aktion viele Nutzer verlieren würden.
In keinem Fall sollte man das KYC der KYC-Scammer erfüllen. Eine seriöse Exchange wird immer die AGBs nutzen, mit denen der Nutzer das Geld eingezahlt hat und eine Benachrichtigung senden, bevor er unter den neuen AGBs Geld einzahlt bzw. das Limit herabsetzen, sodass die Nutzer ihre Kryptowährungen gestückelt abziehen können.
Gefahr durch KYC: Verbrecher bleiben unentdecktTrotz KYC ist es für die Verbrecher dennoch möglich, ihren kriminellen Aktivitäten auch weiterhin nachzugehen. Zum einen gibt es für professionelle Verbrecher keine Hürden, dass sie ein KYC nicht stoppen würde. Wo viel Geld im Spiel ist, rentiert es sich, viel Geld in die Aufrechterhaltung der kriminellen Tätigkeit zu stecken:
- Einerseits gibt es auf dem Schwarzmarkt bereits eine breite Auswahl an persönlichen Datensätzen (zumeist aus anderen von Scammern veranstalteten oder gehackten KYCs). Je vollständiger die Datensätze dabei sind, desto wertvoller sind diese. Die Verbrecher brauchen zum Bestehen eines KYC also bloß auf dem Schwarzmarkt entsprechende Datensätze zu erwerben.
- Vielmehr könnten die Scammer auch selbst ein ICO veranstalten oder eine Scam-Exchange aufsetzen und dort ein KYC verlangen. Die Daten, die sie benötigen, können die Kriminellen selbst festlegen, je nachdem was sie damit später vorhaben. Damit wäre es für die Kriminellen möglich, bestimmte KYC-Daten für ein ausgewähltes ICO / eine ausgewählte Exchange zu erhalten. Oder sie verkaufen die persönlichen Daten einfach auf dem Schwarzmarkt weiter.
Manche „Experten“ schlagen nun an dieser Stelle vor, die KYC-Verfahren umfangreicher zu gestalten und zu „verbessern“, dass Leute mehr Daten hinterlegen müssen, wie z.B. auch biometrische Daten.
Das ist ein großer Trugschluss, denn solche Maßnahmen gefährden die Sicherheit der Nutzer umso mehr:
- Bei Biometrischen Daten (Fingerabdruck-, Gesichts- oder Iris-Scan) sind diese genauso verloren, wenn sie erst einmal durch Hacks in den Fingern von Kriminellen landen. Der Schaden für die Betroffenen ist hier nochmals um ein Vielfaches größer, denn biometrische daten sind die sensibelsten, die man preisgeben kann.
- Eine Verbesserung der Auflösung der übermittelten Daten führt bloß dazu, dass die Hacker noch akkuratere und damit wertvollere Daten anderer Personen erhalten, mit dessen verbesserter Qualität sie sich leichter als diese Person ausgeben können.
- Vermehrt gehen die Kriminellen dazu über, auf der Grundlage bestehender, gestohlener KYC-Datensätze, fehlende Teile zu rekonstruieren.
Als Beispiele wären zur Umgehung von Videoident Deep-Fake Videos zu nennen, eine sich sehr schnell entwickelnde Technologie.
Oder die Herstellung realistischer Masken, die mittlerweile kaum mehr von realen Menschen zu unterscheiden sind.
Bereits 2018 wurden auf der 35c3 in Leipzig Methoden vorgestellt, mit denen sich Videoident-Verfahren umgehen lassen.
Das mag sich aktuell noch in einem sehr frühen Stadium befinden und die Verfahren sind nicht perfekt aber prinzipiell ist so etwas bei gegebener Profitabilität schon heute in Ansätzen möglich und mit einem flächendeckend eingeführtem KYC wird sich das weiter professionalisieren.
Es bedarf hier prinzipiell nur weniger Krimineller, denen es möglich ist, Accounts mit gehackten Daten zu verifizieren. Diese könnten sie über das Darknet an andere Kriminelle verkaufen. Allein damit wäre es möglich, den globalen KYC-Prozess komplett auszuhebeln.
Wenn also ein KYC dazu gedacht war, Verbrecher von ihren Tätigkeiten abzuhalten, so kann man schon jetzt sagen, dass es kläglich gescheitert ist. Es gibt vermutlich Millionen von KYC-Sätzen auf dem Schwarzmarkt, täglich steigend, je flächendeckender das KYC eingeführt wird.
Mit den neuesten aufkommenden Techniken zur Manipulation sämtlicher Online-KYC Verfahren sind die kriminellen Banden ebenfalls gut aufgestellt. Vielmehr könnte sich hieraus ein Service von Kriminellen entwickeln, Accounts zu verifizieren und auf dem Schwarzmarkt als bereits verifizierte Accounts teuer an andere Kriminelle zu verkaufen. Oder sie hacken einfach bereits verifizierte Accounts.
Verbrechern mit bösen Absichten steht also eine Fülle an Möglichkeiten zur Auswahl, wie sie das KYC umgehen können.
Schlussfolgerung: KYC ist nutzlosWenn man das Ergebnis der Auswertung betrachtet, fällt dieses durchweg ernüchternd aus: KYC ist nicht nur nutzlos, sondern fördert sogar das, was es verhindern soll. Durch KYC werden neue Bereiche der Kriminalität geschaffen (Identitätshandel echter Nutzer) und bestehende Bereiche der Kriminalität erhalten auftrieb (die Kriminellen bleiben durch das Verwenden von Identitäten unschuldiger Nutzer unentdeckt). Zudem gefährdet dies die Privatsphäre und die Sicherheit aller betroffenen Verbraucher eklatant.
Die angepriesene Effektivität eines KYCs im Bereich der Kryptowährungen existiert daher nur auf dem Papier und es dürfte sich rasch herumsprechen, dass KYC nicht nur nutzlos, sondern auch gefährlich ist sowie Kriminalität fördert.
Es entwickelt sich hierbei eine gefährliche Dynamik für die Nutzer, die mehr oder weniger gezwungen sind, ein KYC zu machen: es sammeln sich Unmengen an persönlichen Dokumenten in den Händen von Verbrechern, die irgendwann irgendwo wieder auftauchen, wie wir es noch nicht gesehen haben.
Wie kann man sich vor KYC schützen? Leider sind die Möglichkeiten dazu aktuell begrenzt. Für deutsche Anbieter sind anonyme Bitcoin-Käufe nur noch bis 2.000 Euro ohne Abtreten persönlicher Daten möglich, für Anbieter aus der Schweiz liegen die Werte aber etwas höher.
Es ist daher ratsam, die Beträge zu stückeln, um nicht über das Limit zu kommen. Jeder, der also keine Gefahr laufen möchte, dass seine Daten von Kriminellen abgegriffen werden, müsste täglich jeweils unter den Limits bleiben, denn sonst wäre er von der Nutzung des Dienstes ausgeschlossen.
Leider gibt es auch Fälle, in denen man komplett von der Nutzung eines Dienstes ausgeschlossen wird, wenn man seine Identität nicht beim Unternehmen hinterlegt, insbesondere Unternehmen aus der USA sind damit rigoros. Prinzipiell sollte man solche Dienste meiden, muss man sie dennoch verwenden, wären die folgenden Punkte ratsam:
- Seid vorsichtig und versucht zu bewerten, ob die Nutzung des Dienstes es wirklich wert ist, die eigene Identität und die Gefahr eines Identitätsdiebstahls einschließlich aller negativen Konsequenzen zu riskieren. Seid auch vorsichtig, welche Adressen ihr mit diesem Konto verknüpft, sollte es gehackt werden. Das Verknüpfen der Identität mit Bitcoin- / Altcoin-Adressen kann nicht rückgängig gemacht werden, sofern es jemand einmal weiß. Schaut nach Alternativen, die kein KYC erfordern aber lasst euch dabei nicht scammen. Eine gute Möglichkeit ist es, hier im Forum Bitcoin zu kaufen, in Biete / Suche gibt es immer wieder Angebote. Es ist jedoch zu empfehlen, immer eine vertrauenswürdige Excrow zu nutzen und Treffen am besten an öffentlichen Orten sowie nicht alleine durchzuführen.
Oder man nutzt P2P Exchanges:
List of P2P/no-KYC exchangesKYC für alles andere sollte man vermeiden:
- Kein KYC für Shitcoin Bounties oder Shitcoin Airdrops, bei denen die Besitzer wahrscheinlich Scammer oder Idioten sind
- Kein KYC für unseriöse Börsen, bei denen die Besitzer wahrscheinlich Scammer oder Idioten sind
- Kein KYC für Geldbeträge, bei denen es sich nicht lohnt, ein Risiko einzugehen (wahrscheinlich alles, was einen nicht reich macht ^^)
Selbstverständlich sollte man auch präventiv die Gefahren eines KYC ansprechen. Es ist nur eine Frage der Zeit, bis es einen großen KYC-Skandal gibt, bei dem der breiten Öffentlichkeit bewusst wird, wie gefährlich und nutzlos ein KYC ist. Leider wird es dann zu spät sein und der Schaden ist bereits passiert. Gerne könnt ihr also diesen Text verlinken, damit möglichst vielen Nutzern (und Anbietern) die Tragweite des KYC-Problems bewusst wird.
Insbesondere Anbieter, die die Sicherheit der Nutzer missbrauchen, um ihre eigenen Taschen zu füllen, sollten sich ihres unverantwortlichen Handelns bewusst werden.
Es ist also essentiell, stets einen Anbieter zu nutzen, der kein KYC benötigt (oder zumindest Limits, die gerechtfertigt sind). Damit schützt man nicht nur sich selbst, sondern unterstützt auch die Anbieter, die die Kunden schützen.
Wenn uns unsere Sicherheit im Internet nicht wichtig ist und wir unser Recht auf Schutz vor Verbrechern nicht einfordern, werden wir bald in Schwierigkeiten geraten. Die Vermeidung von KYC bedeutet Schutz vor solchen Kriminellen und ist ein sehr wertvolles Gut, das jedem von uns zusteht.
Anmerkung: an dem Text schreibe ich nun schon länger, etwa seit Anfang 2019. Während ich zu Beginn das meiste durch die uns bekannten Faktoren zusammengefasst habe, gab es in der Zwischenzeit immer mehr gute Artikel im Internet, die die Probleme des KYCs sehr tiefgreifend analysieren und benennen.
Dabei haben sich die von mir bisher notierten Punkten beim Durchlesen vieler Artikel nicht bloß bestätigt, sondern ich scheine in meiner damals niedergeschriebenen Variante die Gefahr und Nutzlosigkeit des KYCs deutlich unterschätzt zu haben. Die Technik und der kriminelle Markt für KYC ist bereits weitaus fortgeschrittener, als befürchtet und dürfte durch das sich zunehmend exzessiv ausbreitende KYC weiter an Lukrativität gewinnen. Kriminelle Betrüger haben für sich das KYC entdeckt, um mit dessen Hilfe eine neue Masche von Straftaten zu begehen (KYC-Scam), Identitätshandel zu betreiben und gleichzeitig mit den Identitäten unschuldiger Nutzer weiterhin ihren kriminellen Tätigkeiten unbemerkt nachgehen zu können. Es wäre förderlich für die Sicherheit, den Datenschutz und die Verhinderung von Kriminalität, wenn rasch erkannt wird, dass digitales KYC keine Lösung sondern eine Gefahr ist.
Weitere gute Artikel zum Thema (allerdings in Englisch):
https://medium.com/@wilderko/how-does-kyc-aml-pose-a-serious-threat-to-your-privacy-and-should-not-be-used-at-all-88f7acd3f3bhttps://medium.com/mycrypto/be-careful-with-your-kyc-documents-978ab532f2behttps://blog.goodaudience.com/the-unseen-danger-of-kyc-e3e1c4448eee 
Bei solchen Firmen ist einfach ganz klar das Problem des Validators. Solange da nur unbekannte Firmen sich als Validatoren anbieten kann ich gleich meine KYC-Daten an eine Shitcoin-Bounty wie bspw. SVD schicken die das dann "alles gewissenhaft händisch überprüfen". 
Da dies nicht die erste schlechte Erfahrung dort war, ist der Verein für mich gestorben. 
