Topic: Warum KYC keine Lösung, sondern eine Gefahr ist (Read 1366 times)

Meiner Interpretation nach könnte es dann was bringen, wenn man verschiedene Namen (echter Name, Künstlername, abgekürzter Name, zweiter Vorname etc.) für verschiedene Dienste verwendet. Die Idee dahinter wäre, dass wenn die Daten gehackt werden sollten, man nicht so viele Konten miteinander über den gleichen Namen "verbunden" hätte. Oder dass nur der "unwichtige" Künstlername betroffen wäre, man diesen also für unwichtigere/unsicherere Dienste wie Übersee-Krypto-Tauschbörsen verwendet. Natürlich müsste man dabei darauf achten, dass man so wenige Daten wie möglich für die "Identitäten" miteinander teilt, also die Identitäten klar auseinanderhält. Also z.B. eine unterschiedliche E-Mail-Adresse oder falls verlangt Telefonnummer für jede Identität verwenden.

Der Allerweltsname als Künstlername ist natürlich da eine ziemlich gute Idee.

Um gegenüber Behördenanfragen zu verschleiern, wer man ist, taugt der Künstlername aber natürlich nichts, wie schon von anderen erwähnt.

Genau das. Es gibt so viele dubiose Tauschbörsen, bei denen die Kunden ihre gesamten Einlagen über Nacht verlieren können und die Betreiber haben gute Chancen, niemals dafür belangt zu werden.
Ganz zu schweigen von den Einlagen, selbst wenn die Betreiber belangt werden.
FTX ist da auch ein gutes Beispiel, wo selbst bei seriöser Aufmachung die Kundengelder geradewegs veruntreut wurden.
Die Kunden stehen nun mit großem Schaden da und gelernt (dass man endlich gewisse Mindeststandards vom Betreiber fordert) hat man auch nichts...

Das Limit von Bitcoin mit 21 Millionen Stück ist schön aber wenn es durch "Buch-Bitcoin" verwässert wird (was bei vielen Tauschbörsen durchaus zu vermuten ist, dass dort kein echtes Bitcoin zu 100% hinterlegt ist), am Ende des Tages nicht viel Wert. 

Noch zu @1miau: Ein sehr kluger Artikel!

Ich verstehe nicht, wie ein im Ausweis eingetragener Künstlername nützlich sein soll. Wie bei Verheirateten, die einen anderen Namen als Geburtsnamen haben. Steht doch alles im Ausweis und Pass.

Nicht nur Poloniex, auch Kucoin und andere haben keine ladungsfähige Anschrift.
Die Unverschämtheit von international agierendem Handel keine Anschrift, keinen bevollmächtigten Anwalt, keine amtliche Zulassung eines Staats zu haben ist bestürzend.

Ein Anwalt kann im Klagefall keine Forderungen durch Postbrief zustellen. Des Händlers Residenz  muss geklärt sein. KYC ist eigentlich verkehrt herum: Wer mein Geld oder Werte annimmt, muss sich mir gegenüber identifizieren! Also Wohnadresse des Geschäftsführers und seine Handelsregistereintragung. Es muss KYD = Know your dealer geben.

Sehe ich tatsächlich ein bissl anders. Sofern man einfach von Beginn darauf achtet, dass da keine Verknüpfung existiert ließe sich das a.h.S. vermeiden. Verlinkung bei den Behörden ja, aber in der Öffentlichkeit (Internet) sicher nicht.

Schaut man sich den Fall Xanathon bzw. das Urteil an, dann heißt es wörtlich "bezüglich der Verkehrsgeltung als Voraussetzung für die Eintragung eines Künstlernamens [dürfen] keine allzu hohen Anforderungen gestellt werden."
Digitale Kunst zählt als Kunst. Die "Qualität" der Kunst ist irrelevant. Verkehrsgeltung hat man mitunter schon mit ~500 Follower / Likes. In Zeiten von ChatGPT / Midjourney und Social Media Marketing mit allen möglichen entsprechenden Angeboten auf Fiverr sehe ich da keine Hürde.
Knackpunkt ist denke ich eher den Namen "seit längerer Zeit" zu verwenden und ggf. real-physische Auftritte/Ausstellungen zu haben.

Gewerbliche Tätigkeit als freiberuflicher Künstler (Nachweis Berufsverband / Agentur) sind keine Pflicht, aber wenn die Künstlersozialkasse den Künstlerstatus bereits mittels Fragebogen geprüft hat, ist das natürlich ein sehr sehr starkes Indiz. Die gewerbliche Tätigkeit ließe sich über eine eigene juristische Person sicher auch abbilden, aber ob man das will ist eine andere Frage (zusätzliche Verbindung Real- mit Künstlername).

Insgesamt sollte man da also wohl mit weniger als 1.000€ (für die Unternehmergesellschaft mir Fantasienamen) zurecht kommen und ein besseres Ergebnis erzielen (Realname steht in keinen öffentlichen Register). ChatGPT / Midjourney dürften ja auch so ein spannendes Freizeitprojekt sein. Vielleicht sollte ich das mal angehen und dazu einen eigenen Faden machen.

So schnell, wie sich KI aktuell insgesamt verbessert, würde ich deine Vermutung auf jeden Fall teilen.
Der Bericht über die täuschend echten Bilder des Fake-KYC ist da wohl auch erst der Anfang und vielleicht gibt es da noch einige Dinge mehr, die nur bisher noch nicht aufgefallen sind.
Vor fast genau einem Jahr hatte CoinEraser den KI-Faden gestartet und auch, wenn man die ersten, wirklich leicht zu erkennenden KI-Bilder von damals zu heute vergleicht, ist der Fortschritt der KI wirklich enorm.

Aber der Fall mit dem KYC ist auch ein genereller Hinweis, dass man vielleicht besser beraten ist, wenn man kritische Prozesse nicht digitalisiert. Denn jede Digitalisierung birgt auch eine Gefahr, die selbst ohne KI besteht.
Wie oft hört man, dass wieder eine Behörde gehackt wurde, was sich bei weiterer Digitalisierung auch nicht vermeiden lässt - und das ist ein ganz generelles Problem. Die Gefahr wird immer da sein, wenn man online auf diese potentiell gefährdeten Daten zugreifen kann.
Daher: Digitalisierung gut und schön aber man sollte mal abwägen, ob der Nutzen wirklich den potentiellen Schaden übersteigt. Und im Zweifel lieber auf die Digitalisierung verzichten bzw. sie Rückgängig machen, wenn man da auf Probleme stößt, wenn z.B. ein Schutz nicht ausreichend möglich ist. Sonst freut das nur die Hacker.
Das kann nicht passieren, wenn der Kram erst gar nicht digitalisiert ist oder zumindest ohne physischen Zugang zum Gebäude nicht online geht.

Und in diese Richtung muss das mit dem KYC geändert werden. Mehr offline als online und wenn gar keine Abhilfe möglich ist, muss man die Kunden halt in der Filiale verifizieren und die Akte wird einsortiert.  
Hört sich vielleicht etwas rückständig an aber wenn man mal überlegt, was der ganze KI und Digitalisierungskram auch für Probleme verursachen kann, blickt man vielleicht in 10 Jahren anders auf diese Dinge.
Führt vielleicht auch dazu, dass die Anbieter aufhören, auf dem Rücken der Kunden zu sparen und anfangen, sich um echte Lizenzen bemühen anstatt irgendwo auf den Seychellen ihre Briefkastenfirma zu unterhalten.

Wir werden also mit KI und der Digitalisierung noch unseren Spaß haben.
Aber das greift hier glaube ich etwas weit und wäre eher etwas für den KI-Faden von CoinEraser.  

---

Ansonsten sind die 4 Punkte von virginorgange zum KYC sehr gut zusammengefasst. 

---

Das mit dem Künstlernamen ist interessant aber ich würde ebenfalls vermuten, dass beim Erreichen der nötigen Punkte, wie von bct_ail ausgeführt, irgendwann der eigene Name im Internet landet und dann ist die Frage, ob sich der Aufwand dafür wirklich lohnt.  

Wenn es "nur" darum geht BTC zu kaufen, hast du natürlich recht. Da wären Non-KYC Lösungen sicherlich besser geeignet und mit deutlich weniger Aufwand umzusetzen.
Aber es gibt ja auch durchaus Altcoin Projekte wo es nicht die Option gibt ohne KYC dabei zu sein....


Bei einer Firma steht der Geschäftsführer aus gutem Grund mit Klarnahmen im Handelsregister, Handelsregisterauszug kostet <50€. Die Hürde ist also nicht besonders hoch.
Auch beinhaltet ein Firmen-KYC (z.B. für ein Geschäftskonto) i.d.R. auch ein persönliches KYC des Geschäftsführers, da hat man also nur bedingt was gekonnt.
 Will man selber nicht im Handelsregister stehen, dann muss man wen anders als (Schein-)Geschäftsführer anstellen. Das wirkt auf mich zumindest erstmal deutlich weniger legal.

Beim Künstlernamen wüsste ich dagegen ehrlich gesagt nicht wie man da die Verknüpfung herstellen sollte. Klar, die Behörden haben Zugriff auf die Datenbank, aber für alle anderen wäre der Künstlername ja der echte Name.
Beispiel: Bankkonto unter Künstlernamen mit postident eröffnen und mich bei der Postangestellten verifizieren lassen (das gäbe mit Sicherheit ein interessantes Gespräch). Der Echtname schafft es ja dann gar nicht erst in die Datenbank der Bank.
Und wenn Anonymität das Ziel ist, würde man ja auch einen (ggf. noch prominenten) Allerweltsnamen aussuchen.
Ich sag nur viel Spaß beim googlen nach einem Thomas Müller...

Die KI wird hier über kurz oder lang sicher massiv die KYC-Pflicht umkrempeln, davon gehe ich schon aus. Die "Lösung" ist für mich aber eher eine allgemeingültige digitale ID, die die jeweilige Person dann ständig und überall begleitet. Angefangen vom allgemeinen Zugriff aufs Internet über die Accountanlage bei Social Media-Plattformen bis hin zur Registrierung bei (Crypto-)Börsen wäre das natürlich die "Ideallösung". Ob Daten- und Personenschützer damit ebenso eine Freude hätten wage ich aber zu bezweifeln!

---

Sehe ich tatsächlich auch nicht als soo abwegig an und könnte mir in der Tat gut vorstellen, dass man das genehmigt bekommt. Die Frage ist nur ob man dann nicht auch ein Unternehmen gründen könnte (bspw. Turbartuluk GmbH.) und als diese auftritt. Das hätte ja einen ähnlichen Effekt. "googlen" könnte man einen Künstlernamen ja auch um an die tatsächliche Identität zu kommen.

Top 4: Ich finde die Idee mit dem Künstlernamen grundsätzlich interessant.

Top 3: Für Menschen, die nicht bereits Künstler sind, ist es aber wohl einfacher eine Unternehmergesellschaft mit 1000 Kapital und einem Phantasie-Firmennamen zu gründen, anstatt Künstler zu werden.

Top 2: Noch besser wir nutzen eine non KYC-Plattformen (Bisq, Robosats) idealerweise über TOR.

Top 1: Noch besser als non KYC-Plattformen finde ich bilaterale Handelsbeziehungen. Alte Bitcoiner, die regelmäßig Bitcoin verkaufen möchten, und neue Bitcoiner, die regelmäßig Bitcoin kaufen, kommen gemeinsam ins Geschäft. Hier müssen nur zwei Iban-Nummern und der Name des Käufers ausgetauscht werden. Bei stabilen Geschäftsbeziehungen ist die Anzahl der Menschen, die deinen Namen kennen, sehr überschaubar.

Es findet meines Wissens kein Kontonummer Namensabgleich statt, d.h. wenn ich an die korrekte IBAN aber mit dem falschen Empfängernamen überweise, geht die Überweisung trotzdem durch. Wer aber einen Allerweltsnamen hat, der kann darauf verzichten. Das riskanteste ist sowieso die Preisgabe der eigenen Adresse, denn wer will schon Räuber bei sich zu Hause einladen.

Weißt du ja nicht ob ich nicht schon seit Jahren als Künstler tätig bin und der Nachweis für mich ganz leicht wäre...

Aber das mal außen vor gelassen...
Ich kenne das nur von Autoren die unter Pseudonym schreiben und für die Adresse (Impressumspflicht) einen Dienstleister nutzen. Gilt gleichermaßen auch für youtuber und influencer. Zusammen mit der Eintragung im Perso und einem Bankaccount können die ja auch quasi anonym bleiben. Wüsste jetzt nicht warum damit nicht auch alle KYC Anforderungen unter Künstlernamen legal erfüllt werden könnten.

Die Behörden könnten die Verknüpfung leicht herstellen, aber bei einem Scam oder Hack wäre durch die Angreifer nur ein "wertloser" Datensatz zu erbeuten.

Also klar gibt es Hürden, aber so abwegig finde ich den Ansatz jetzt auch wieder nicht....

Also wenn ich nach den Voraussetzungen schaue, ist es nicht mal eben schnell gemacht:

https://verwaltung.bund.de/leistungsverzeichnis/DE/leistung/99008001000000/herausgeber/BW-6008443/region/08

Das heißt also, dass dein Künstlername ( z.B. Turbartuluk) in der Öffentlichkeit bekannt sein muss und du ihn schon längere Zeit verwendest. Ebenso musst du das auch beweisen:
https://verwaltung.bund.de/leistungsverzeichnis/DE/leistung/99008001000000/herausgeber/BW-6008443/region/08

Also alles nicht so einfach und da du die Adresse ja nicht ändern kannst, steht ja ein wichtiges Datum im Perso weiterhin drin.

--------------

Generell glaube ich nicht, dass durch die ganzen Fälschungen durch Nutzung der KI die Regierungen plötzlich auf KYC verzichten werden. Eher würden sie noch weitere Daten einfordern, um eine Person genauer zu kennzeichnen. Wie wäre es mit der DNA? Oder Augenscan (-> Worldcoin...)?

Hat sich in der Runde hier schonmal jemand intensiver mit Künstlernamen auseinander gesetzt?
Auf dem Perso eingetragen kann man damit ja auch Verträge schließen oder Bankkonten eröffnen...

Wäre ja vielleicht auch noch eine Option um die "echten" kyc Daten auf legalem Weg zumindest ein wenig zu verschleiern?!

Ergänzten könnte man hier ev. noch die digitale Identität ins Rennen werfen, die ja bspw. auch die EU für alle EU-Bürger anstrebt. Die Idee dahinter klingt erstmal nach einer guten Lösung für genau solche Anwendungsfälle:


Man müsste sich so also keinem KYC mehr auf Börsen, die die digitale Identität unterstützen, unterziehen, sondern es reicht ein Login damit - wie immer der dann auch aussieht. Das steht und fällt natürlich mit der Diebstahlssicherheit und einfachen Verifizierbarkeit dieser ID, aber grundsätzlich wäre das für diese Art von Identitätsnachweisen durchaus möglich.

Dass man sich damit potenziell ein ganz anderes Fass aufmacht steht natürlich auf einem anderen Blatt. So fordern bspw. erste Parteien, dass man auch für den Zugriff aufs Internet allgemein diese ID benötigt.

Ich könnte mir noch vorstellen, dass die Online-Verifizierung mit elektronisch auslesbaren Dokumenten und Lesegerät als Alternative weiterbestünde. Das dürfte jedoch für den Diensteanbieter aufwändiger sein.
Aber dennoch, Postident und Co. dürften eher einen Aufschwung erleben in der Zukunft, zu Ungunsten von Videoident. Wenn kein Marktversagen besteht ... (etwa durch "digital ist cooler")
Postident scheint es ja inzwischen auch mit Videochat zu geben, aber das hätte ja die selben Probleme wie Videoident. Mit einer relativ einfachen Fälschung des Dokuments dürfte dies auszutricksen sein.

Stimme übrigens natürlich zu, dass Kleinbeträge immer KYC-frei umgetauscht werden dürfen sollten. Ich vermute auch, dass dies eigentlich in den meisten Staaten möglich sein sollte, aber aus "vorausschauendem Gehorsam" von den Börsen anders gehandhabt wird. Natürlich steht immer der Kauf/Verkauf von Sachwerten, Gutscheinen und ähnlichem (Bitrefill usw.) und P2P zur Verfügung, aber das kann manchmal unpraktisch sein.

Was ich mir immer mal wieder als Alternative vorgestellt hatte, wenn es mal "dick auf dick" kommen sollte und z.B. auch bei Bitrefill KYC gefordert wird, wäre der Umtausch von Speicherplatz oder Rechenleistung, also rein digital handelbaren Produkten die von vielen Menschen bereitgestellt aber auch nachgefragt werden können, in Kryptowerte. Ich könnte also z.B. eine zusätzliche Festplatte mit Fiat kaufen und gegen BTC den Speicherplatz vermieten, oder eben umgekehrt. Mit Siacoin gibt es ja schon länger so was ähnliches, es dürfte aber auch mit Bitcoin möglich sein.

Heftig, was mit KI mittlerweile alles gefälscht werden kann und das wird in Zukunft sicher nicht besser.
Die Dienste wie OKX wollen gerade bei solchen Dingen wie Sicherheit sparen, was im Bezug auf KYC höchst problematisch ist.

Vielleicht sehen wir ja als Resultat der neuesten Entwicklungen irgendwann:
- dass das gefährliche Videoident-Verfahren endlich verboten wird. Ist ja nicht das erste mal, dass es negativ auffällt, abgesehen von den ganzen dubiosen Firmen, die dadurch hochsensible Daten in die Hände bekommen.
- mehr auf die sicheren Verfahren gesetzt wird, die d5000 oben erwähnt, insbesondere PostIdent.
- es eine Option ist, Geldwäsche dadurch vorzubeugen, dass kleine Beträge ohne KYC getauscht werden können. Geldwäsche lohnt sich mit solchen Kleckerbeträgen einfach nicht und legitime Kunden müssen nicht für gelegentliche, geringe Bitcoin-Käufe / Bitcoin-Verkäufe Identitätsdiebstahl riskieren.

Mit fortgeschrittener KI sind die einzigen, ausreichend fälschungssicheren Verfahren ausschließlich physischer Natur, denn früher oder später wird sich für alles KI finden, um Dinge täuschend echt zu manipulieren.
Verifizierung der zu verifizierenden Person wird dann nur physisch, ggf. sogar von geschulten Experten, möglich sein.
Was ja auch wünschenswert ist, um viele im Eingangsbeitrag genannte Risiken des Identitätsdiebstahls zu vermeiden.
Und ein KYC, welches in signifikantem Ausmaß von Betrügern unterlaufen wird, ist halt auch komplett nutzlos. 

Habe die Bilder gestern auch gesehen, Wahnsinn eigentlich mit wie wenig Aufwand das Ganze funktioniert.
Dass der KYC-Check - zumindest der Level 1-Check - damit absolviert werden kann wundert mich aber tatsächlich nicht. Dort werden in der Regel ja nur die Dokumente gescanned und geprüft, ob so Dinge wie Passnummer und der Name klar ersichtlich sind. Auch ein allfälliger "Liveness-Check" lässt sich mit einem gefälschten Pass problemlos umgehen ... sofern man den gefälschten Pass auch drucken lässt. Das große "Problem" an der Sache: Ein Abgleich mit einer Datenbank findet nicht statt um die Daten nochmals gegenzuprüfen. Hier müssen sich sicherlich die KYC-Anbieter besser aufstellen und KI-resistente Systeme entwickeln.

Aber zeigt wie immer sehr schön: Es ist ein Wettlauf zwischen Leuten, die das System umgehen wollen und Leuten, die das System möglichst sicher gestalten wollen.

---

Ich handhabe das ähnlich, zumindest bei der Mailadresse. Telefon wird da schon schwieriger, da bräuchte man tatsächlich Wegwerfnummern ... sollte dann aber niemals in die Verlegenheit kommen, die Mobiladresse für eine Rücksetzung eines Passworts o.ä. zu benötigen.

Vielen Dank für die Verlinkung auf Nostr, kannte ich so noch nicht!

Ja, das Thema wird eigentlich immer aktueller, auch "dank" MiCa und Co. ... daher danke für den Bump.

Wenn man jetzt komplette Fake-Identitäten schaffen kann, ist das vielleicht sogar ganz gut. Erstens wird dadurch der Druck auf Kriminelle, "echte" Daten zu beschaffen, geringer - vielleicht geht dann der Identitätsdiebstahl zurück. Und zweitens könnten die Dienste ihre bisherige KYC-Strategie überdenken. Vielleicht könnte der einige oder andere auch zu dem Schluss kommen, dass die Umstellung des Geschäftsmodells so, dass kein KYC mehr nötig ist, oder der Umzug in ein privacy-freundlicheres Land eine gute Option darstellen könnte ...

Oder eben ein besseres, weniger invasives und trotzdem (vergleichsweise) sichereres KYC-Verfahren. Ich habe vor einiger Zeit im englischen Forum mal einen Thread erstellt, bei dem KYC-Methoden gesammelt werden sollen, bei denen ein geringeres (im Idealfall kein) Risiko für Identitätsdiebstahl besteht. Ein Beispiel wäre das deutsche Postident - das würde sich auch durch "die KI" noch bei weitem nicht austricksen lassen.

Wichtig wäre mir als Appell für Dienste: Wenn ihr KYC braucht, weil gesetzlich vorgeschrieben, verzichtet bitte auf die Bedingung, E-Mail-Adresse oder gar Telefonnummern bei der Anmeldung bereitzustellen! Das hört sich auf den ersten Blick komisch an, denn irgendwie muss man ja mit dem Nutzer kommunizieren, etwa bei Passwortverlust. Aber da bieten sich andere Dienste wie Nostr oder zur Not auch Mastodon an. Dort kann man sich eine Identität speziell für die Kommunikation mit dem Dienst erstellen.

Konten solcher Dienste sollte man zumindest als Alternative bereitstellen. Denn: Wird die E-Mail/Telefonnummer in den Datensatz eingepflegt, ist es viel einfacher für Kriminelle, verschiedene Datensätze miteinander zu verbinden, weil ja oft die gleiche E-Mail-Adresse für mehrere Dienste verwendet wird. Wegwerf-Mails sind zwar auch eine Lösung, aber die werden oft nicht akzeptiert, zudem ist dann die Kommunikation mit dem Dienst z.B. bei Passwortverlust komplizierter.

Vielleicht kennt jemand weitere "Best Practices"? (gibts da eigentlich ein deutsches Wort dafür?)

Nur damit keine Zweifel aufkommen: Der Idealfall ist weiterhin für mich, dass kein KYC angewendet wird. Es ist aber manchmal schwierig, solche Dienste zu finden - oder die Dienste gesetzeskonform zu betreiben, für diese Fälle ist dieser Post bzw. der Faden im englischen Forum gedacht.

Und auch ist klar, dass diesen Beitrag hier weniger Diensteanbieter lesen werden, aber dafür Nutzer, die ja durch ein Feature Request die Dienstebetreiber auf solche Möglichkeiten aufmerksam machen können

Um den Thread nach einer ganzen Weile mal wieder ins Gedächtnis zu rufen:

Auf X gehen gerade mehrere Screenshots eines Journalisten/Nutzers herum, der sich innerhalb von ein paar Minuten mittels KI einen Fake-Passport erstellt hat und mit diesen dann problemlos den KYC einer großen Kryptobörse (OKX) durchlaufen hat. Ich weiß nicht inwiefern man die Screenshots und den Thread hier im Forum teilen darf, auch wenn es sich nur um ein zu Testzwecken gefälschtes Dokument handelt.

Das Ganze wird aber aktuell häuft geteilt, sodass es in ein paar Tagen wohl auch den ein oder anderen Artikel zu diesem Thema geben wird, den wir dann hier verlinken können.

Dennoch zeigt das ganze wieder einmal wie anfällig das KYC System ist und welche Gefahren hiervon ausgehen. Passt auf euch auf und gebt eure wertvollen Daten nicht jeder Schrottbörse!

Genau, Privatsphäre im Netz ist immer sehr wichtig, egal ob es um KYC oder andere Dinge geht, von denen Betrüger profitieren könnten, wie dem großen Ledger Hack.
Dabei sollte man auch bedenken, dass es noch einen Unterschied im Risiko gibt, wenn man z.B. das etablierte Postident mit einem KYC bei einer unseriösen Hinterhofklitsche (z.B. BigONE oder YoBit etc. ) vergleicht.

Kryptowährungen sind schon riskant genug. ^^

Und sorry, dass der Beitrag hier schon übersetzt war und du ihn dadurch umsonst übersetzt hattest, weil er im internationalen Teil nicht verlinkt war (ist jetzt erledigt). Daher zur Entschädigung ein bisschen Merit. 

Vielen Dank für deinen Beitrag. Ich habe zwar geahnt, dass KYC nichts besonders gutes ist aber dass es si kritisch werden kann hatte ich auch nicht auf dem Schirm

Sofern sie sie gezahlt haben.
Ich mutmaße da zwar nur, aber ich gehe davon aus, dass sich diverse Online-Brief-Anbieter durchaus "missbrauchen" lassen, ggf. mithilfe gephishter Kontoverbindungen, und dann kosten die Briefe halt nix.

Solange noch Briefmarken drauf sind, braucht man sich vielleicht keine allzu großen Sorgen machen. Erst wenn sie ohne kommen, also direkt eingesteckt, würde mir auch mulmig in der Magengegend werden



Zukünftig kauft man also Handy und PCs direkt nur noch mit Identverfahren und unsere Daten liegen dann bestimmt gut gesichert irgendwo in einer Behördencloud

Au Backe. Das ist aber so richtig scheiße. Wie kommst du damit zurecht?



Hoffnung ist nie verkehrt Seehofer will Personalausweis-Pflicht für E-Mail und Messenger einführen  

Genau, völlig richtig. Was man nicht weggibt, kann auch nicht abhanden kommen und missbraucht werden.  

---

Briefe per Post? Also da ist den Verbrechern ja kein Aufwand zu viel. 
Die Briefmarken haben sie immerhin umsonst gezahlt.  
Kann mir aber gut vorstellen, dass doch einige bei Briefen überweisen werden.  

Aber gut, dass du es hier sagst und man sollte immer wieder die Gefahr des KYC und anderen personenbezogenen Angaben im Internet betonen. Das lässt einerseits darauf hoffen, dass der Datenschutz einen höheren Stellenwert bekommt und andererseits Nutzer vorsichtig mit ihren Daten umgehen.

Sehr guter und richtiger Artikel, ich vermeide KYC auch, soweit es mir möglich ist.

Ich bin schon Opfer von gestohlenen Ausweisdaten gewesen, es wurde z.B. mal auf meinem Namen ein Konto bei N26 angelegt, die Daten stammten von einem Hack bei einem Carsharing anbieter. Die hatten alles: Foto Perso, Photo Führerschein, alle Daten, Adresse und gescannte Unterschrift. 

Dazu war ich in der Ledgerdatenbank und habe bisher ca. 25 Spammails, diverse krasse Phisingversuche (legder statt ledger in der langen URL) und acht Briefe per Post mit Drohungen und Lösegeldforderungen erhalten, dafür, dass keiner Vorbei kommt.

Mir reicht es! 

Autsch, das tut schon beim lesen weh!
Nun ja, und da wohl anscheinend auch einige hochrangige Diplomaten betroffen sind, ist natürlich auch das öffentliche Interesse geweckt.

Aber ob es was daran ändert, dass viele Menschen immer noch mit ihren Daten umherwerfen, als wären es Bonbons zu Karneval...

Und zack, wieder was gehackt... 



Quelle: Nach Cyberangriff: Passdaten von 12.000 Deutschen im Netz

Aber hey, manche KYC-Freunde behaupten ja immer noch, IHRE Systeme seien sicher...

Abgesehen davon, dass es sicherlich kaum praktikabel (und im Sinne des Gesetzgebers) wäre, seinen Personalausweis nach jedem Handy-Vertrag, Internet-Anschluss, Kontowechsel, Anmeldung bei Paypal, Kreditkarten-Antrag, etc. pp. (praktisch alles, wo man der SCHUFA "erlaubt", willkürlich Daten über einen zu sammeln) zu tauschen, und ich überdies nicht ganz einsehe, wieso ich jedesmal 30 EUR bezahlen soll, weil die entsprechenden Firmen nicht sorgfältig mit meinen Daten umgehen, kann ich auch nicht ganz erkennen, wie der Wechsel des Personalausweises geeignet sein sollte, das Missbrauchsrisiko zu verringern

Ein neuer Personalausweis kostet knapp 30€. Man kann also regelmäßig wechseln (zB. nach jedem KYC) und so das Missbrauchsrisiko verringern.

Wirklich ein vorbildlich ausgearbeiteter Artikel! 
Eine echte Bereicherung, hätte ich Merit übrig, würde ich sie dir sofort schicken...

Nein ernsthaft, es ist gut das es solche Beiträge gibt, damit die "Neuen" nicht in diesselben "Fallen" tappen, aus denen der ein oder andere von uns schon gelernt hat.
Bzw. eben auch, wie hier in diesem Fall, eventuelle Blauäugigkeit und angewöhnte Verhaltensweisen mancher Individuen in Frage zu stellen und ihnen damit vielleicht sogar zum nachdenken zu verhelfen!

DANKE dafür

Und dann Blockchain-basierten ID Verifications Tür und Tor geöffnet wird, dann schließt sich der Kreis auch wieder zu meinem Post und alle sind glücklich

Spaß beiseite, sowas geht denke ich nur weil der Exchange:
a) auf den Seychellen sitzt
b) Keine FIAT Transaktionen erlaubt
c) noch nichtmal ein Mainnet und Tradingpairs abseits deren Shitcoin hat

Das Ganze ist wohl eher als Marketingmaßnahe zu sehen, sollten sie jemals FIAT Transaktionen anbieten wollen kommen sie um KYC nicht mehr herum denke ich. Ohne KYC traden kann man bspw auch auf Bitfinex ... solange man die FIAT Pairs nicht benötigt:

Hehe. ^^
Es wäre sogar garnicht mal so unwahrscheinlich, dass das mit dem digitalen KYC irgendwann verbreitet stark in Verruf kommt. Was man auch an den vermehrt erscheinenden fundiert KYC-kritischen Berichten merkt.
Prinzipiell braucht es da hierzulande nur einen größeren Skandal und schon kommt die Debatte auf. Und wenn man das dann rational betrachtet, wird man feststellen, dass es eine sehr blöde Idee ist. ^^

Stellenweise ist die Argumentation des CEOs aus dem Artikel aber noch nicht ganz fundiert, da hätte er sich mal meinen Artikel durchlesen sollen. 

Na, das ist doch mal eine Ansage. Da schmeißt doch tatsächlich jemand KYC raus  Mit nachvollziehbaren Argumenten.
https://cointelegraph.com/news/crypto-exchange-digitex-removes-kyc-to-protect-user-data
 

Prinzipiell braucht es dafür ja bloß wenige Spezialisten mit diesem Wissen und dem Willen dieses Wissen einzusetzen um damit einen "Service" anzubieten, der diese vermeintlich "verifizierten" Konten verkauft. Noch lange bevor der Hobby-Scammer aus Telegram selbst eine App dafür irgendwoher bekommt.
Damit wären die Verkäufer verifizierter Accounts die Schaufelverkäufer des KYC-Zeitalters für Scammer. Hört sich lukrativ an. ^^

Wobei man bei den Shitcoins die Wahlfreiheit hat und entscheiden kann, ob man mitmacht oder nicht (ok, Forks belegen das Gegenteil  ), während man beim Security-Salat automatisch mehr oder weniger betroffen ist, wenn etwas als innovativ angepriesen wird und es daher "Standard" werden MUSS. Wobei sich dass dann später oft als Trugschluss heraustellt und keiner will es als Standard eingeführt haben. ^^

Der E-Perso ist an sich eine tolle Sache, das Missbrauchspotential allerdings IMHO auch deutlich zu hoch.
Ich mag mir kaum vorstellen, in wievielten Altersheimen in Zukunft die Personalausweise der Bewohner nebst PIN eingesammelt werden "um die gelegentlichen Behördengänge" zu bewerkstelligen. Und ob dann besonders sorgsam mit diesen hochsensiblen Daten umgegangen wird, sei mal dahingestellt. Ich wage jedenfalls, das zu bezweifeln.

Hier erinnere ich mich "gerne" an einen Fall vor ein paar Jahren, wo massenhaft Briefwahlunterlagen in einem Altersheim eingesammelt wurden, um letztlich Wahlbetrug zu begehen:
https://www.spiegel.de/panorama/justiz/wahlen-das-letzte-kreuz-a-568583.html

Man muss bei aller Liebe zum E-Government letzten Endes zu dem Ergebnis kommen, dass der gestiegene Komfort stets einhergeht mit reduzierter Sicherheit und einem gerüttelt Maß an Missbrauchspotential.
Aber auch das ist nur Ausdruck einer allgemeingültigeren Regel der IT-Sicherheit: mit gestiegenem Komfort reduziert sich die Sicherheit.

Ich fange erst gerade an, mich näher mit dem E-Perso (eID) zu beschäfitgen. Aber auf dem ersten Blick finde ich das besser als das derzeitige Video-Ident, wo ich nichts schwärzen darf, ich irgendwelche Stromrechnung vorzeigen soll und nach dem Zufallsprinzip ausgewählte Verrenkungen vor der Webcam aufführen muss, damit die Gegenseite das Hologram auch erkennen kann.....

Mittels einer App erhält die Gegenseite nur die Daten, die notwendig sind. Angezeigt werden sollen die Daten auch (Transparenz gegeben).
Die App
https://www.heise.de/ct/artikel/Was-man-mit-dem-E-Perso-im-Netz-anfangen-kann-4647067.html

Ist die Frage, ob sie dann noch ein Livebild von mir benötigen, aber durch den persönlichen PIN sollte das ja eigentlich nicht erforderlich sein.

Was meinen die Profis?

[ Augmented Reality Webcam-KYC ]
Da geht es natürlich zunächst einmal um die Grenzen des technisch machbaren.
Natürlich sind simplere SCAMS heute deutlich profitabler.
Andererseits ist es natürlich nur eine Frage der Zeit, bis solche Methoden massenhaft, billig und einfach quasi als App (vergleichbar Deepfake) zur Verfügung stehen, und dann zeigt sich eben, wofür Webcam-Face-ID in der Realität wirklich taugt: für die Mülltonne.

Das wussten natürlich alle Security-Experten bereits vor Jahren/Jahrzehnten, und haben auch eindringlich davor gewarnt, so einen Schrott einzusetzen, die Industrie konnte aber wie gewohnt ihre Kostenoptimierung mit dem Argument durchsetzen "bisher hat's noch keiner gehackt".


So in etwa ist das jedesmal mit den Segnungen vermeintlicher "Sicherheitsfeatures", sei es die CVC-Prüfsumme auf der Kreditkarte, die Biometrie, oder irgendeine andere Sau, die gerade durch's Dorf getrieben wird.

In gewisser Weise ähnelt die stetig wechselnde Abfolge immer neuer "Security-Hypes", die dem gewöhnlich gut informierten Security-Experten stets nur ein Augenrollen bescheren, doch arg der Shitcoin- und Tokenisierungs-Welle.

Als "Experte" verliert man so langsam den Glauben, dass die Vernunft noch Leitfaden für die Einführung von neuen technologischen Errungenschaften ist

Von einen freiwilligen wollen kann mittlerweile keine Rede mehr sein.

Das Stichwort hierfür ist Steganographie. Sollte sich wirklich jeder mit befassen. Ist generell sinnvoll für jede Art von wichtigen Dokumenten die man digital weitergeben muss.
Aber auch bei ausgedruckten wichtigen Dokumenten sollte immer ein sichtbares Wasserzeichen mit Datum und Zweckbestimmung rauf.
Das ergibt zwar keinen 100%-igen Schutz vor unberechtigter Datenweitergabe, aber ein weiterer Schritt zur Nachweisbarkeit.

Wenn sich jemand unbedingt per KYC verifizieren will, dann können unsichtbare Wasserzeichen in den hochgeladenen Dokumenten hilfreich sein. Natürlich einzeln pro Börse signiert. Zumindest im Fall der Fälle, kann damit  wenigstens der Missbrauch evtl. zugeordnet werden.

Hatte ich nicht gesehen sorry! War nur hoch motiviert das Video aufzustöbern nach dem Beitrag von hodlcoins
Wenn man es sich aussuchen kann hast du natürlich recht mit den bestehenden Konten. Zeigt aber trotzdem was mit Daten heutzutage angestellt werden kann... Aber da die Videoident Anbieter auch nicht von gestern sind steigen da auch die Möglichkeiten sowas zu aufzudecken.

Der Link zur Vorstellung ist im ersten Beitrag ebenfals verknüpft. 

Ich vermute aber, dass es sich aktuell noch mehr lohnt, bereits verifizierte Konten zu hacken / kaufen anstatt welche mit solch aufwändigen Methoden zu verifizieren.

Ich habs versucht, kam aber nicht mehr drauf.
Danke für deinen Link!

das war das richtige stichwort dafür
mit etwas recherche habe ich das angesprochene video gefunden. faszinierend

link zum video und quelle vom zitat: https://media.ccc.de/v/35c3-9616-circumventing_video_identification_using_augmented_reality#t=1554

was es alles gibt!

//edit: hatte mich noch garnicht geäußert zu dem thema. danke für den mega post 1miau!
zu beginn bin ich vom gefühl her auch viel zu unvorsichtig mit meinen daten umgegangen. Ende 2017 im ICO/FOMO hype habe ich meinen reisepass inkl. anderer daten schon ein paar mal weitergegeben... hoffe da ging nie was schief in letzter zeit bin ich aber umso vorsichtiger und neue user sollten von beginn an auf die gefahren hingewiesen werden. daher können die potentiellen gefahren durch KYC/AML nicht oft genug erwähnt werden

wir hatten selbst schon mal einen kreditkartenbetrug in der familie und das ist nicht so witzig. wenn einem die komplette identität gestohlen wird ist das natürlich nochmal ein ordentliches stück schlimmer

Ich hab schon vor ewigen Zeiten (bestimmt 1-2 Jahre, wenn nicht mehr) ein Experiment eines CCC-Nahen Hackers gesehen, bei dem sein Ausweis für das KYC-Webcamchatdings eine Karte mit Pixeln war, und ein Programm auf dem PC hat das Bild live und 3-dimensional mit einem gefrickelten Ausweis ersetzt, inklusive der reflektierenden Teile, die dann je nach Winkel "aufleuchten".
Mit Daumen drauf oder auch nicht, in alle Richtungen drehen und schwenken, und glaubwürdigen Beleuchtungseffekten.
Das war zwar noch nicht 100%, speziell an den Kanten konnte man es teilweise erkennen, aber ein bissel Antialiasing und es wäre durch.
War sogar in HD, augmented Reality vom feinsten.

Gute Frage denn wenn ich daran denke wie aufwändig so etwas bisher immer war bei mir frage ich mich das auch.
Mit genug Geld und anderen Möglichkeiten wäre es vielleicht sogar möglich Verantwortliche mit einzubeziehen und daher einfacher an Konten oder Accounts zu kommen. Das kann ich mir schon gut vorstellen. Oder es wird die Identität mit einem Trick für mehrere Leute verwendbar gemacht. Es gab das Thema Morphing erst im TV: https://www.faz.net/aktuell/wissen/computer-mathematik/morphing-ein-pass-fuer-zwei-16588552.html
Bankkonten sind sicher mit eines der schwierigsten Dinge. Handyverträge oder Amazon Abbucher sind da um Einiges einfacher und reichen auch schon aus um dem echten Menschen Probleme zu bereiten.

Wie schaffen es die Betrüger überhaupt, auf fremden Namen Konten und Co. zu eröffnen? Die meisten Anbieter verlangen doch einen Chat mit Webcam (Schauen sie nach oben, halten sie das Dokument X in die Kamera, schauen sie bitte nach links..). Orientieren sich die Betrüger dann eher auf Seiten, wo eine Verifzierung keine Webcam benötigt oder schaffen die es mittlerweile sogar, die Webcam mit einem gefakten Video auszutricksen?

@allyouracid, guter Punkt, das werde ich bei Zeit noch in den Beitrag einarbeiten.

Bekannt dazu wurde vor allem die Kritik an Coinbase, über deren Dienstleister Nutzerdaten verkauft wurden (Coinbase: Former provider sold user data to third parties prompting neutrino acquisition), was im Zuge der Ankündigung einer Zusammenarbeit mit Neutrino, einem ebenfalls in der Kritik stehendem Blockchain-Auswertungsunternehmen öffentlich wurde. Was genau verkauft wurde und in welchem Umfang ist allerdings umstritten.

Hier auf Deutsch: Analyse der #DeleteCoinbase-Kontroverse: Verkauft Coinbase Nutzerdaten?
 
Christine Sandler, Direktorin für den institutionellen Vertrieb bei Coinbase

Kurzer Hinweis – hoffe, er war so noch nicht da; im OP stand so dazu jedenfalls noch nichts: es sind nicht nur die Verbrecher, die die Daten verkaufen können, sondern die KYC-Unternehmen tun (Update: AGB weisen nicht auf Derartiges hin, siehe Ende des Posts) es offensichtlich auch selbst.

D.h. der ganze KYC-Bullshit ist von vorne bis hinten nur ein Vorwand, um Daten von entweder ahnungslosen Trotteln oder von Leuten, die unter Zwang stehen zu sammeln und zu verkaufen.

Ich finde, dass die Crypto-Unternehmen, die 3rd party KYC implementieren, hier auch in der Verantwortung stehen und zumindest solche Unternehmen, die mit den Daten grob fahrlässig (laut AGB) umgehen, kategorisch ausschließen sollten. In diesem Beispiel wird veriff dot me von Bitcasino genutzt.

.edit:
Hier finde ich allerdings nichts dergleichen.

Werde mal schauen, ob es irgendwo noch genauere Terms gibt...

@Lakai01: Ja, genau das meinte ich - das hat also meine Vermutung bestätigt.

Zu Bitcoin-aware PoS-Systeme (im Sinn von Point of Sale): Ich habe mal etwas gegoogelt, natürlich gibt es die (sonst könnten ja Geschäfte nur mit technischer Expertise Bitcoin annehmen), aber das sind Payment-Prozessoren im Bitpay-Stil. Das heißt, ihr Geschäftsmodell beruht, wenn ich das richtig verstehe, darauf, dass sie selbst Mittelsmänner sind, also den Exchange-Vorgang übernehmen und dann auf den Bitcoinkurs eine Gebühr aufschlagen.

Diese könnten natürlich auch ein "umgekehrtes System" (also für Fiat->BTC Zahlungen) in ihre Software einbauen, aber dadurch würde sich ihr Geschäftsmodell ändern. Normalerweise greifen sie ja die Gebühren von der Bitcoin-Zahlung ab, aber bei Fiat-to-BTC müssten sie selbst einen Fiat-Zahlungskanal aufbauen nur für die Gebühr (ohne Gebühr würden sie's ja sicher nicht tun). Wäre natürlich möglich aber mit etwas Aufwand für den Anbieter verbunden. Ich sehe gerade, dass Coingate einen Fiat->BTC-Kauf über Kreditkarten anzubieten scheint, aber eine Anbindung von Supermärkten wäre dann wohl doch nochmal eine andere Hausnummer.

Für BTC->Fiat wäre ein "Bitcoin-aware" PoS-System allerdings durchaus eine Option, beispielsweise über eine "Bargeld-an-der-Supermarktkasse" Funktion (wie heißt sowas eigentlich richtig auf Deutsch?). Diese sollte einfach nachzurüsten sein. Allerdings würde dann der Supermarkt als Exchange fungieren, was wieder zu KYC führen könnte, zumindest bei hohen Beträgen ...

Bisher gefällt mir jedenfalls das Modell mit dem Omni/Counterparty/whatever Token am besten, ich glaube das ist am sichersten, was KYC-Pflichten angeht. Es müsste natürlich erörtert werden welche Pflichten für einen derartigen Tokenbetreiber entstehen, oder ob sie besser auf ein "externes" Token wie Dai zurückgreifen.

Der Vollständigkeit halber: In Österreich werden solche Gutscheincodes bei jeder Post-Filiale angeboten, die Stückelung ist 50, 100 oder 500€.
Bekommt man natürlich anonym, nur der große Haken ist, dass diese nur bei Bitpanda eingelöst werden können, Bitpanda verlangt seit Anfang Jänner jetzt jedoch zwingend KYC. Hinzu kommt, dass hier ein extra Aufschlag von 3% fällig wird sobald die Codes eingelöst werden.

Ist also eine Möglichkeit um Fiat Richtung Börse zu bringen, von Anonymität ist aber spätestens beim Tausch in CC aber keine Spur mehr.

Wer mehr über die Codes erfahren möchte: https://www.bitpanda.com/en/togo

Über die Frage habe ich mir auch schon den Kopf zerbrochen. Wenn es eine Karte mit einem festen Wert in Fiat (also z.B. Euro) ist,  dann braucht man zwingend eine Exchange oder einen "Kryptoverwahrdienst" als Mittelsmann, und dann können wieder KYC-Pflichten entstehen ...

Ich vermute, wenn man Gutscheine mit fixen BTC-Beiträgen verkaufen möchte (und z.B. gleich den Private Key bekommt), bräuchte man ein Point-of-Sale-System, das den Bitcoinpreis verfolgen müsste. Wäre sicher machbar, aber ob es das schon auf dem Markt gibt? Ein solches System bräuchte ja eine gewisse Verbreitung. Falls dies nicht möglich ist: Die Preisschilder könnten täglich aktualisiert werden und der Verkäufer übernimmt das Restrisiko und kassiert dafür einen Aufpreis. Würde bei hohem Volumen vielleicht funktionieren, wäre aber nichts für ein kleines Startup, denn dann ist beim ersten Crash gleich eventuell die Insolvenz nahe ...

Eine Krücke wäre natürlich das Verkaufen von Stablecoin-Gutscheinen (z.B. Tether oder Dai). Vielleicht könnte das Gutschein-Unternehmen auch selbst einen Private Key für ein eigenes Token verkaufen (z.B. auf Omni oder ETH) und per Atomic Swap (da dann kein KYC nötig ist) die Umtauschbarkeit des Tokens in BTC garantieren. (Man müsste dem Gutscheinunternehmen dann aber natürlich vertrauen können, dass es dies tut.)

Für eine "integrale Lösung" wäre aber auch der umgekehrte Weg (Bitcoin -> Fiat) nötig. Da bliebe nur der private Verkauf solcher Gutscheine über eine Kleinanzeigenplattform oder ähnliches, und dann hätte man wieder das gleiche Problem wie beim "Person-to-Person-Handel".

PS: Ich meine, dass ich diese Bitcoin-Gutscheine schon mal gesehen habe, vermutlich sogar in Deutschland, bin mir aber nicht sicher.

Finde insbesondere die Amazon-Codes interessant um an BTC zu kommen, sollte kein ATM in der Nähe sein.
Als andere Idee hätte ich noch Bitcoin-Gutscheinkarten - wenn das über Amazon-Karten geht, sollte das auch direkt gehen. Aber ich kenne keine Anbieter und auch im Netz findet man kaum Treffer. Habe das hierzu gefunden:


https://www.risewallet.com/

Hat da wer Erfahrungen?

Wäre generell eine schöne Marktlücke und ich fände es super, wenn man das in jedem Supermarkt neben PlayStore / iTunes / Amazon etc. Gutscheinen kaufen könnte.
Also an alle, die eine Marktlücke suchen und ein Unternehmen gründen wollen: bringt Bitcoin-Gutscheine auf den Markt!
Die Frage wäre nur, wie wird das an der Kasse abgerechnet, wenn z.B. 0,001 BTC fix auf der Karte sind? Dann kostet sie mal so viel und später wieder anders? 

Sehr guter Beitrag, danke Hab ihn erst jetzt gelesen ...

Am interessantesten finde ich bei solchen Diskussionen eigentlich immer die Lösungsvorschläge, in diesem Fall für das KYC-Problem. Bei Coin/Coin-Trades gibt es ja mit Atomic Swaps eine Alternative, aber das KYC-lose, unproblematische Tauschen von BTC in Fiat ist weiterhin eine Herausforderung, wenn man sich nicht neuen Risiken aussetzen will.

Bekannt sind mir folgende Methoden:
- Persönliche Treffen (oft organisiert oft über P2P Exchange). Problem: oft hoher Zeitaufwand, eventuell Fahrtkosten, Risiko eines Diebstahls/Raubes.
- P2P-Handel über Bankkonten (egal ob über Bisq, Localbitcoins und Co. oder z.B. hier im Forum). Probleme/Risiken: Kontonummer wird offengelegt, eventuell betreibt Gegenüber Geldwäsche was zu rechtlichen Risiken führt.
- P2P-Handel über PayPal und ähnliche Dienste. Extrem hohes Risiko eines Chargeback Frauds, daher nur bei Vertrauen zu empfehlen.
- KYC-loser Geldautomat. Ist eigentlich eine fast "optimale" Methode, leider sind diese in vielen Regionen sehr selten oder per Regulierung verboten, oft auch bei den Gebühren teuer.
- KYC-lose zentrale Exchange. Erstens besteht das gleiche Problem wie beim P2P-Bankkontenhandel ("Shit-Exchanges" können selber Geldwäsche betreiben), zweitens besteht wie bereits erwähnt das Risiko, dass "plötzlich" KYC eingeführt wird und Funds eingefroren werden.
- Handel von BTC online gegen "geldähnliche" Dinge wie Gutscheincodes. Problem: Weiterer Schritt ausgehend von/hin zu Fiat nötig.

Denkbar wären noch exotische Methoden wie ein Austausch per Post mit Escrow, was aber auch eher riskant erscheint. Alle Methoden haben jedenfalls Schwächen, zentrale, große KYC-Exchanges sind bei weitem am bequemsten und auf den ersten Blick "risikolosesten".

Kennt jemand mehr bzw. kommt zu einer anderen Einschätzung, welche Methoden würdet ihr empfehlen?

Ja, da sprichst du ein generelles Problem an. Angenommen, die Exchange hat keine böswilligen Intentionen, kann das durchaus passieren. Das Hauptproblem besteht dabei daraus, dass die Auswirkungen mancher Gesetze nicht ins Detail durchdacht sind. Oder erst dann den Verantwortlichen bewusst werden, wenn man gegen die Wand läuft. Das ist insbesondere der Fall, wenn die Angelegenheiten sehr komplex und vor allem sehr neu sind. Also all das, was auf Kryptowährungen zutrifft.
Zudem ist es bekanntlich nicht immer so, dass die Gesetzgeber vom Fach sind.

Sollte es wirklich einen Verdacht geben, dass die Börse illegale Transaktionen abwickelt, wäre die logische Schlussfolgerung, dass die Leute, die in der Post fordern, gleich alle Konten komplett einzufrieren, lieber mit der Exchange zusammenarbeiten. Die Transparenz der öffentlichen Blockchain ist dazu in besonderem Maße förderlich.
Denn wenn dort das Guthaben unschuldiger Bürger eingefroren wird, es keine individuelle, transparente Begründung gibt, warum Nutzer xy und es keine Chance mehr gibt es abzuziehen, ist die gefundene Lösung keine gute. Eine Regelung nach Augenmaß, indem man mit der Exchange zusammenarbeitet und mit individueller Begründung nur betroffene Konten einfriert, ist stets die deutlich sinnvollere Variante als der unbegründete, radikale Rundumschlag, der alle unschuldige Kunden genauso betrifft, wie die kriminellen.

Und ja, solche Präzision würde ich persönlich von einer tatsachenorientierten Vorgehensweise erwarten.

Ich möchte auch nicht die diversen böswilligen Versuche von Scamexchanges in Schutz nehmen, die es bisher schon gab und definitiv leider auch weiterhin geben wird aber daher ist es besonders wichtig, bald eine anständige Lösung zu finden bevor weiterer Schaden für die Guthaben der Kunden als auch für das Ansehen der Exchanges entsteht.

Ich kann das jetzt für den konkreten Fall Poloniex natürlich nicht bestätigen oder widerlegen, nur will ich auch hier der lieben Ordnung halber mal darauf hinweisen, dass die Betreiber in solchen Fällen tatsächlich oft "unschuldig" sind.

Betreibst du eine Börse, wo du erstmal "ohne KYC machst", geht das eine Weile gut, solange du noch "unter dem Radar" bleibst.
Also kommen eine Menge Kunden zu dir, die sich freuen, Bitcoin ohne KYC traden zu können.
Dadurch wirst du so groß, dass du den Kontrollorganen des Staates auffällst.
In dem Moment bekommst du plötzlich Post von der BaFin oder anderen für dich relevanten Behörden deines Landes.
Und in der Post wird dir untersagt, weiterhin Gelder auszuzahlen, also auch, Bitcoins ihren rechtmäßigen Besitzern zurückzugeben, ohne KYC zu machen.
Wenn du dich dem widersetzt, kannst du sehr schnell auch in den Knast gehen (das ist Charlie Shrem seinerzeit passiert).

Nicht ganz Civic stellt die Blockchain zur Verfügung, in der deine KYC-Signatur abgelegt wird. Echte Dokumente bekommt die Chain nie zu Gesicht.
Anders sieht das bei den Validatoren aus, also jene Firmen, die deine Daten initial prüfen und die Signatur erstellen (im Screenshot von mir rechts unten). Diese bekommen die Dokumente natürlich zu Gesicht und das eben in digitaler Form.

Darum steht und fällt das Ganze für mich auch mit der Vertrauenswürdigkeit der Validatoren. Einer Deutschen Bank vertraut man prinzipiell mehr als einer privaten Firma mit Sitz auf den Caymans - ich zumindest

Und genau das zentralisierte würde man hier bekommen, denn letztendlich ist im o.g. Beispiel die Fa. "Civic" der einzige, der allen anderen deinen Ausweis zeigt.
Wenn die gehackt werden, ist man dran.

Grundsätzlich macht es schon Sinn, wenn Daten sicher und über mehrere Knoten verteilt abgelegt werden.

SSL ist ja nur ein Verschlüsselungsprotokoll, dass hat mit der zugrunde- liegenden Architektur, Client/Server vs. p2p, nichts zu tun.
SSL sollte bei einer Datenbankverbindung sowieso immer verwendet werden.

Kommt ja auch immer wieder mal vor, dass sich jemand Zugriff auf z.B. die Server eines Krankenhauses verschafft, sämtliche Daten verschlüsselt, mit der Forderung die Daten erst wieder zu entschlüsseln, wenn ein bestimmter Betrag bezahlt wurde. (hier ein Beispiel)
Und in den meisten Fällen ist es wirtschaftlich sinnvoller den Betrag zu bezahlen, bevor man einen Stillstand in Kauf nimmt.

In dem Beispiel gehts zwar um Patientendaten aber grundsätzlich ja völlig egal um welche Art sensibler Daten es sich handelt.

Ob dafür unbedingt eine Blockchain nötig ist oder man nicht auch eine andere Form der verteilten Datenspeicherung verwenden kann, sei mal dahingestellt.

Zentralisierte Architekturen bzw. zentrale Datenspeicherung stellen grundsätzlich halt immer ein optimales Angriffsziel dar.

Da gebe ich dir natürlich vollkommen recht, das ist - wie bei ungefähr 99% aller hippen Blockchain-Projekte - ein "machen wir mal irgendwas mit Blockchain, das klingt gut, wir brauchen die aber garnicht, unsere Investoren stehen aber auf Buzzwords"

Auch das sehe ich genauso. Ich würde die Daten niemals einer privaten Firma in die Hand drücken. Ich vertraue hier jedoch - anders als in anderen Dingen - dem Staat einfach mehr. Vor allem auch, da sie die Daten ja sowieso schon haben.

@Lakai01
Danke für die Erklärung.
Da ist die Blockchain aber auch nichts anderes als eine Verschlüsselungs- oder Zertifikatsüberprüfung, also nichts was nicht auch "via SSL" gehen würde.
Kurz gesagt: "Wir machen das mit Blockchain, das ist voll 2019!eins!elf!"-Bullshitbingo.
Wirklich Sinn macht sie da nicht.

Und all das was 1miau sagt.


Ich wette, das es speziell im Bitcoinbereich nicht wenige Leute gibt, die "Staat" und "trusted Source" nicht in einem Satz benutzen.


Normal sind die nicht kurzzeitig dort, und damit klaubar. Sind sie jetzt auch, und werden sie auch. Ob ein Blockchainstartup das besser kann?

Der lieben Vollständigkeit halber, bzw. um hier einem gängigen Missverständnis zuvor zu kommen:

"Der Staat" verfügt nicht über eine zentrale Datensammlung.
Vielmehr ist der Staat einer der wenigen "Anbieter", die das Problem einer zentralen Datenspeicherung und -verarbeitung bereits frühzeitig erkannt haben, und es deshalb (zumindest in der Vergangenheit) umgangen haben. So liegen verschiedene Daten zu den Bürgern in verschiedenen Datenbanken bei verschiedenen Ämtern.
Natürlich geht das auch mit einem Komfortverlust einher, wenn man sich zunächst "Papiere" von einer Behörde holen muss, um sie bei einer anderen einzureichen. Da denkt der Bürger sich häufig "warum greifen die nicht einfach direkt zu"?

Insgesamt liegt das Thema Datenspeicherung in einem schwierigen Spannungsfeld zwischen
- Datenschutz
- Komfort
- Strafverfolgung
- kommerziellen Interessen
Hier die richtige Feinabstimmung zu finden, ist natürlich immer kompliziert.

Ich will hier in gewisser Weise eine Lanze brechen für den Staat, der IMHO einiges besser macht als die Privatwirtschaft, zumindest im Umgang mit unseren Daten.
Noch zumindest geht der Staat mit unseren Daten respektvoller um als die Datenkraken facebook, amazon, google und Co.

Umso trauriger stimmt es mich dann stets, wenn irgendwelche Law-and-Order-Hinterbänkler nach zentralen Registern, Rasterfahndung, Vorratsdatenspeicherung, Videoüberwachung, Gesichtserkennung etc. schreien. Da wird dann eines der höchsten Rechtsgüter unserer Gesellschaftsordnung auf dem Altar des Populismus geopfert.

Civic war jetzt nur ein Beispiel, heißt nicht, dass ich das jemals nutzen würde. Bin weder in Civic investiert noch habe ich mich näher mit dem Projekt direkt  auseinandergesetzt Bei solchen Firmen ist einfach ganz klar das Problem des Validators. Solange da nur unbekannte Firmen sich als Validatoren anbieten kann ich gleich meine KYC-Daten an eine Shitcoin-Bounty wie bspw. SVD schicken die das dann "alles gewissenhaft händisch überprüfen".

In Betracht ziehen würde ich jedoch so ein System sobald es von einer "trusted Source" kommt, also bspw. ein Staat (oder Staatenverbund übergreifend) so etwas aufstellt und dort die Validatoren bspw. Banken sind. Warum? Die haben meine Daten sowieso - auch digital - das Problem der zentralisierten, one point of interest-Institution für einen großangelegten Hack existiert also bereits jetzt und wäre jetzt per se kein zusätzlicher Angriffsvektor für meine Daten.


zu
1) Die Daten liegen nur bei dir bzw. (kurzzeitig?) dem Validator, der diese überprüfen muss. Also nichts anderes wie wenn du heute ein Bankkonto eröffnest, da wird auch der Pass eingescannt. Was uns auch zu 2) führt ... die Daten sind wie weiter oben schon geschrieben sowieso schon digitalisiert


Das ist denke ich kein Problem, da gibt es Lösungen. Civic machts in dem Fall so, dass der Requester dir auf ein Smartphone den Request schickt und du den von dort aus freigeben musst (ist ja nix anderes als 2FA). Hat jemand dein entsperrtes Smartphone und deinen abgeschnittenen Finger (ok, das geht mittlerweile denke ich nicht mehr ) dann kann er die App entsperren und den Request freigeben, ja. Ist aber im Prinzip nichts anderes wie bspw. auch E-Banking mit 2FA oder ein 2FA-Login an der Börse deiner Wahl passiert. Bekommt jemand dein Smartphone und hat Zugriff auf die 2FA-Codes ist Schluss mit Lustig.

Da gebe ich dir definitiv recht. Darum auch nochmal mein eingangs erwähntes Statement: Wir sind noch weit weg von brauchbarem und sicherem digitalem KYC, sehe darin aber durchaus Potenzial, aber eben nicht für eine "Wald und Wiesenfirma".

Genau. Dabei wäre es wünschenswert, wenn Zynismus expliziter gekennzeichnet würde.
Wenn jemand meine Daten will, darf ich doch bitte die Seinigen anfordern, oder zumindest eine Art Legitimation. Hier im Forum ist das absoluter Usus. Wird dies verweigert, ist von einem Scam auszugehen.

Also ich weiß auch nicht, was das mit diesen ganzen Blockchain-KYC "Ideen" am eigentlichen Problem verbessert werden soll.

Die beiden Probleme, die ich bei der ganzen KYC-Sache aus technischer Sicht sehe:

- Dass man die Daten aus der eigenen Kontrolle gibt und ab diesem Zeitpunkt absolut machtlos gegen Missbrauch ist.
- Dass die Daten in digitalisierter (also nicht physischer) Form vorliegen (und man auch zur Validierung immer digital agieren muss, was Raum für Manipulation bietet).

Bei den Blockchain-KYC-Services wird ein weiteres Probelm geschaffen: dass man individuell bestätigen muss, dass eine spezifische Verifizierung für Börse xy legitim ist. Oder anders, dass man nur mehr mit einer Schnittstelle eine Verifizierung durchführen kann.

Das führt dazu, dass ein Angreifer lediglich die Information benötigt, die du übermitteln musst, um zu bestätigen, dass du Lakai01 bist. Wer garantiert, dass diese Aktion durch dich ausgeführt wird? Mit diesen einmal abgegriffenen Daten könnte ein Angreifer praktisch jedes beliebige Konto verifizieren, dass diese Blockchain-Verifizierung akzeptiert. 
Abgesehen von dem Problem, das man hat, wenn man sich initial verifizieren muss. Das muss ja auch irgendwie "in die Blockchain kommen" und wenn da etwas abgegriffen wird, ist der Prozess direkt hinfällig.

Und das ist jetzt nur mal oberflächlich betrachtet, wenn man bei so hochkomplexen Dingen alles tiefer betrachtet, sind die Details nie so schön einfach, wie im Whitepaper dargelegt. 

Diese Idee der eins-für-alles KYCs treibt die von qwk schön dargelegten Punkte auf die Spitze: Es gibt nur einen zentralen Kontrollpunkt, der hier umgangen werden muss und schon kann man sich auf diversen Plattformen als Lakai01 ausgeben. Das resultiert in einem unvorstellbar hohen Wert dort, der für Kriminelle einen Anreiz darstellt, diesen Schwachpunkt auszuhebeln.

Ich habe eher das Gefühl, hier wird wieder eine Pseudolösung für "Blockchain" in Stellung gebracht, die keines der Probleme wirklich löst aber dafür andere schafft. Und mit der man natürlich einen neuen Shitcoin auflegen kann, den die Leute kaufen sollen, das ist ganz wichtig. 
Gegen Shitcoins habe ich nix. Aber dann, wenn mit persönlichen Daten der Kunden experimentiert wird, ist das schon echt bedenklich.

---

Ohman, das ist echt mies. Was ich an der Sache so unfair finde: als Kunden hat man dort keinerlei Rechte. Man muss immer diesdas machen und kann jederzeit seine Coins eingefroren bekommen. Die Exchange versteckt sich dann hinter leeren Phrasen, dass sie xy machen müssen und nutzen das praktisch als Vorwand, um sich die Taschen zu füllen. 

So sorry, da hab ich mich wohl missverständlich ausgedrückt. Du lädst da natürlich niemals (ok, niemals bin ich mir nicht sicher, aber zumindest nicht in den Implementierungen die ich kenne ) deinen Personalausweis oder ähnliches hoch, sondern quasi nur eine Signatur/einen Hash davon. Hier der Prozess, wie bspw. Civic das macht:


Quelle: https://www.civic.com/products/reusable-kyc/

Es gibt also 3 Rollen:
- Den User, der die Blockchain für "Reusable-KYC" nutzen will
- Einen Validator, der die Identität des Users bestätigt (bspw. eine Bank)
- Einen Requestor, der für was auch immer eine Identitätsbestimmung benötigt, bspw. für einen Fahrzeugkauf

Der User macht irgendwann sein KYC, gibt also seinen Pass/Führerschein/Personalausweis zu einem Validator seines Vertrauens. Diese prüfen nun die Identität, im positiven Fall wird die Bestätigung, dass die Daten valide sind, in der Blockchain abgelegt und die verifizierten Daten zurück an den User übertragen, dieser hat diese nun "secure" in seiner App (bspw. jener von Civic direkt, gibt aber soweit ich weiß auch Alternativen) abgelegt.
Der Requester stellt nun einen KYC-Antrag an den User (Civic macht das mit einem QR-Code), dieser gibt den Request frei oder nicht. Im Falle der Freigabe wird über die Blockchain geprüft, ob die Daten valide sind und der User wirklich der User ist, für den er sich ausgibt.

Im Whitepaper (https://tokensale.civic.com/CivicTokenSaleWhitePaper.pdf) auf Seite 14 wird auf den Prozess der so genannten "Attestation" genauer eingegangen.

Es gibt auch noch andere Implementation wie bspw. Hydros Snowflake (https://github.com/hydrogen-dev/hydro-docs/tree/master/Snowflake) oder auch IBM Verify (https://www.ibm.com/blockchain/solutions/identity) die alle in dieselbe Richtung abzielen.

Vielen Dank für die Warnung 1miau, der Fred sollte oben festgepinnt werden.


Poloniex z.B. hat es genau so zelebriert. Daraufhin habe ich nach den Verantwortlichen der Börse gefragt (Name, Anschrift), man möchte ja wissen wer die Daten letztendlich in die Hände bekommt. Der Support hat die Anfrage ignoriert und nur darauf verwiesen, dass sie sich an alle Datenschutzgesetze halten, blabla. Da dies nicht die erste schlechte Erfahrung dort war, ist der Verein für mich gestorben.

Wie du Dokumente für Dritte nachvollziehbar nur mit dem öffentlichen Key ablegen willst, musst du mir mal erklären, bitte.
Ehrlich, ich versteh's nicht.
Entweder kann ich deinen Perso mit meinem Programm sehen, weil er in der Chain ist, oder nicht.
Wenn ich kann, kann ich alles damit machen.

Gleiches gilt für 30 Sekunden Gültigkeit: Das ist eine reine Funktion der anzeigenden Software, das Zertifikat oder der Schlüssel kann keine Gültigkeit haben, da die Daten unveränderbar in der Chain sind.
Oder du machst es noch schlimmer: dein QR ist ein Gutschein, den ich bei einem Server einlösen kann, und der ist "vertrauenswürdig" und kann mir das Bild liefern oder eben nicht.
Was wenn der Server gehackt wird, der prinzipbedingt das Bild dauerhaft haben muss, weil er es ausliefern soll wann immer ein Gutschein des Weges kommt?

Ja, sicher. Darum hab ich ja auch "verschlüsselt" geschrieben. Quasi ein Keypair, wo nur mir der private Schlüssel bekannt ist, den Public-Teil des Schlüssels aber gern jeder haben kann. Für den Vollzugriff auf die Dokumente ist dann der private Schlüssel notwendig, den jedoch nur ich habe.
Eine Wallet mit öffentlicher Adresse ist ja quasi auch nichts anderes nur mit dem private Key darfst (und kannst) du zugreifen. Überweisen darf dir aber jeder was

Der QR Code legitimiert dann zB die Prüfung deiner Daten und ist - ähnlich wie bei 2FA - dann zB auch nur 30 Sekunden gültig.

Dem habe ich wenig hinzuzufügen.

Man könnte auch versuchen, das allgemeingültiger zu formulieren:
Die Zentralisierung von Sicherheit funktioniert nicht, sondern ist gefährlich.

Die Sicherheitsfunktion von Systemen besagt, vereinfacht, dass ein System dann als (relativ) sicher gelten kann, wenn der Aufwand, der zum Brechen der Sicherheit notwendig ist, höher ist als der Nutzen, der sich aus dem Angriff ergibt.

Je wertvoller also das Ziel, desto unwahrscheinlicher ist es, erfolgreich Sicherheitsmaßnahmen zu ergreifen.
Zentrale Datenregister werden üblicherweise eingesetzt, um Kosten und Effizienzvorteile zu gewinnen.
Daraus folgt aber in der wirtschaftlichen Realität stets, dass die Kosten für die Sicherung minimiert werden müssen.
Je mehr Datensätze in einem System vereint sind, desto größer sind die Kostenvorteile.
Zugleich wird der Wert des Angriffsziels durch die Sammlung immer umfangreicherer Datensätze erhöht.

Es ergibt sich also, dass die wirtschaftlichen Anreize für den Betreiber eines zentralisierten Systems dahin gehen, ein System:
a) mit möglichst geringem Aufwand zu betreiben
b) möglichst große Datenmengen, also einen möglichst hohen "Wert" dort zu speichern
Das stellt nachgerade die Umkehrfunktion der ursprünglichen Sicherheitsfunktion dar.

Und du bist dir sicher, das der Vollzugriff auf alle Dokumente nur durch einen QR "geschützt" die Sicherheit erhöht?
Das ist eher ganz im Gegenteil die völlige Offenlegung einer Person in einer nicht veränderbaren Blockchain, und das ist eher eine seeehr starke Verringerung der Sicherheit, denn jeder der deinen Schlüssel bekommen hat (z.B. durch deine Legitimation) kann den ebenso böswillig nutzen.

Immer dran denken: Daten die erhoben werden, werden auch genutzt.
In dem Moment, wo deine Daten in der Blockchain sind, sind sie da für alle Ewigkeit und werden attackiert und genutzt.

Spitzen Artikel, vielen Dank für deine Mühen 1miau! Auf einen Punkt möchte ich gesondert eingehen:


Ich halte digitales KYC sehr wohl für eine sehr sehr gute Lösung. Wie läuft denn KYC aktuell ab? Ich brauch ein neues Konto, geh zur Bank und muss alle meine Daten vorlegen. Ich meld ein Auto an ... und muss alle meine Daten vorlegen. Brauche ich einen neuen Handyvertrag, einen Kredit, Auszüge aus dem Grundbuch, eine neue Küche, einen Sammelpass bei einem großen österr. Möbelhaus (und und und) so brauch ich meine persönlichen Dokumente.

Ich sehr hier schon sehr viel Potenzial darin, dass man all diese Dokumente zB in einer Blockchain verschlüsselt und signiert ablegt, einmal zentral von einer Behörde oder einem Institut auf Validität geprüft (oder durch die Chain sogar von mehreren). Möchte eine Firma X nun meine Dokumente prüfen so bekommen sie von mir meine (öffentliche) Signatur vorgelegt (bspw über einen QR Code). Matched diese, so sind meine Daten in der Chain korrekt und ich bin authentifiziert. Es speichert nun also nicht mehr jede Firma eine Kopie meines Pass es sondern nur mehr meine Signatur, die zum Zeitpunkt X gültig ist.

Es gibt Unternehmen wie Hydro, die genau an sowas arbeiten. Da sehe ich schon ein großes Potenzial, vor allem hinsichtlich Sicherheit und Schutz der Daten. Meine öffentliche Signatur kann auch jede Shitcoin-Bounty haben, mit der könnens nix anfangen per se

Bin prinzipiell gegen KYC‘s und würde sie wirklich nur bei sehr seriösen Anbietern durchführen, nicht weil ich etwas zu verstecken habe sondern ganz einfach, warum soll ich irgendwelchen Fremden Menschen meine Identitätsdokumente zukommen lassen? Nur weil ich kein KYC absolvieren möchte, bedeutet es nicht, dass ich kriminell bin (Stichwort: Unschuldsvermutung), daher bin ich eigentlich ein Gegner davon. Wenn ein KYC sein muss, dann wäre es mir lieber, wenn es nur 1-2 Institute geben würde die das Seriös machen und wo man weiß was mit den Daten passiert (löschen der Dokumente nach der Feststellung)... aber davon sind wir noch weit entfernt

Es ist verständlich, Angst vor dem Verlust des eigenes Geldes zu haben, entweder durch Hacks, Betrug, eigene Fehler oder falsche Entscheidungen (durch nutzlose Shitcoins / zu spät verkauft / zu früh verkauft etc.). Die meisten Beiträge im Bitcointalk behandeln solche Themen. Aber wenn es um Verluste geht, sollte man sich bewusst sein, dass nicht nur Geld verloren gehen kann. Nämlich personenbezogene Daten und Dokumente aller Art, die eigene Identität, in dessen Namen Betrüger, falls sie diese erlangt haben, Straftaten begehen können. Der Schutz dieser Daten und die Sicherstellung der Privatsphäre sollten mindestens die gleiche Priorität haben wie der Schutz der Coins. Denn Coins sind ersetzbar, sie sind „lediglich“ ein materieller Verlust. Ist die Identität erst einmal in die falschen Hände geraten, hat man keine Chance, dies wieder rückgängig zu machen.
Daher sollte einem der Schutz dieser Daten sehr wichtig sein, denn sie sind in Gefahr. Nicht nur durch kriminelle Hacker, Scammer und andere Verbrecher, sondern etwas, das auf den ersten Blick harmlos daherkommt: KYC.

Es gibt immer wieder Dienstleistungen, zu deren Teilnahme es ab bestimmten Beträgen nötig ist, ein KYC zu machen. KYC steht für know you customer (kenne deinen Kunden) und besteht daraus, dass Teilnehmer an den Veranstalter persönliche Dokumente (Personalausweis, Papiere etc.) senden müssen. Das Ziel eines KYC soll darin bestehen, Geldwäsche (AML, anti money laundering) und Terrorismusfinanzierung zu unterbinden.

Das hört sich auf den ersten Blick gut an.
Leider sieht das in der Realität ganz anders aus. Es gibt einen eklatanten Unterschied zwischen Ziel und Resultat des KYCs. Denn KYC für Kryptodienstleister in der aktuellen Form hilft weder zur Unterbindung von Geldwäsche noch zur Verhinderung damit verbundener krimineller Aktivitäten, wie z.B. Terrorismusfinanzierung. Im Gegenteil - KYC fördert kriminelle Aktivitäten sogar (die sogenannten KYC-Scams als auch Identitätsdiebstahl und bietet professionellen Verbrechern einen lukrativen Markt, doch dazu später mehr).

---

Gefahr durch KYC: Identitätsdiebstahl

Wie mit allen Dingen in einer digitalisierten Welt sind diese anfällig gegen Hacks. Selbst Binance, die aktuell größte Kryptobörse, wurde bereits gehackt, als die Hacker etliche KYC-Datensätze entwenden konnten. Das sind bloß die Dinge, die auch gemeldet werden. Es scheint also nicht unwahrscheinlich, dass dies bloß die Spitze eines Eisbergs an fiesen KYC-Hacks ist, die bisher nicht bekannt gegeben wurden, weil es den Exchanges oder KYC-Anbietern selbsterklärenderweise sehr schaden würde.

Bei allen Nutzern, die also gezwungen werden, irgendein KYC zu machen, können die persönlichen Daten auf den Schwarzmarkt gelangen.
Damit ist es für Verbrecher wiederum ohne weiteres möglich, die aus Hacks zusammengestellten „Identitätspakete“ auf dem Schwarzmarkt zu erwerben, die alle Daten enthalten, um sich als die betroffene Person ausgeben zu können und in ihrem Namen einen Account zu öffnen über den dann die kriminellen Aktivitäten laufen.

Quelle


Gehackte Identitäten können für Personen mit kriminellen Absichten ebenfalls sehr wertvoll sein, wenn die Identität mit anderen Details verknüpft werden kann, die für Verbrechen gegen die betroffene Person relevant sind:

• Name und physikalische Adresse (aus verschiedenen Dokumenten oder Rechnungen)
• Personalausweis, Reisepass, Bilder oder Selfies
• biometrische Daten (Fingerabdruck-, Gesichts- oder Iris-Scan)
• verschiedene Daten aus Stromrechnungen, Vermögensquelle, vom Arbeitgeber oder dem verwendeten Bankkonto
• Passwörter, verwendete E-Mail-Adresse
• Verwendete Krypto-Adressen einschließlich Ein- / Auszahlungen (+ Verknüpfung anderer verbundener Adressen über Blockchain-Recherche)

Verbrecher können diese Daten auf verschiedene Arten gegen die Betroffenen verwenden:

• Sie können damit kriminellen Tätigkeiten nachgehen, indem sie einfach die gestohlene Identität weitergeben, um KYC bei der nächsten Börse / ICO usw. zu bestehen und ein Konto im Namen der betroffenen Person zu eröffnen.
• Kriminelle können einige der Daten verwenden, um auf andere Konten der Person zuzugreifen, deren Daten gehackt wurden:
  
  • Zurücksetzen von Konten per E-Mail-Adresse
  • Zurücksetzen von Konten über biometrische Daten
  • versuchen, andere Seiten mit dem gleichen Passwort zu hacken
• Eine der schlimmsten Folgen wäre die Möglichkeit für Verbrecher, genügend gehackte Daten über eine Person zu sammeln, um zu bewerten, wie rentabel ein Raubüberfall auf sie sein würde. Erforderliche Daten für die Kriminellen:
  
  • physische Adresse eines Opfers (aus einem persönlichen Dokument zu erhalten)
  • Informationen über ihr Vermögen (aus Einzahlungen / Auszahlungen auf dem Konto oder aus verknüpften Krypto-Adressen, die auf dem gehackten Konto verwendet werden oder aus übermittelten Privatdokumenten über Vermögensquellen, vom Arbeitgeber oder dem verwendeten Bankkonto)
    Ein solcher Datensatz könnte ausreichen, um zu analysieren, ob ein Raubüberfall auf die potentiellen Opfer profitabel wäre. Und selbst wenn sich die Betrüger in einem anderen Land befinden, könnten sie Informationen über "vielversprechende Raubüberfallziele" an andere Verbrecher verkaufen, praktisch ein Kataster für lohnende Überfälle genau dort, wo ein Verbrecher jemanden ausrauben möchte.
• Oder sie können Daten sammeln und mit anderen gehackten Daten abgleichen, wodurch der Datensatz wertvoller wird und sie erneut verkauft werden.

Es steht außer Frage, dass ab bestimmten, sehr hohen Beträgen eine geeignete Verifizierung der Nutzer notwendig ist, um eben Geldwäsche und Finanzierung von terroristischen Aktivitäten zu verhindern. Aber es macht es geradezu absurd, selbst für niedrige Beträge eine umfangreiche Verifizierung durchlaufen zu müssen, ohne dass die anfallenden Beträge dies in irgendeiner Weise rechtfertigen würden.
Es ist nicht nur so, dass hier der Verbraucherschutz vernachlässigt wird, es ist sogar direkt betrachtet erst durch ein KYC die Gefahr gegeben, dass der Verbraucherschutz massiv gefährdet wird. In dieser unausgewogenen Diskussion spielt diese Tatsache bisher überhaupt keine Rolle, was in Anbetracht der bereits erwähnten Sachen geradezu fahrlässig ist.

Für die Betroffenen ist das natürlich übel, ihre sensiblen, persönlichen Daten landen auf dem Schwarzmarkt und in den Händen von Kriminellen. In ihrem Namen werden dann Straftaten begangen.
Nicht nur das - das digitale Zeitalter ist noch sehr jung und es könnte Dynamik geben, die wir heute noch nicht sehen können. Denn sind die Daten erst einmal in den falschen Händen, ist man machtlos, Missbrauch zu verhindern.

---

Gefahr durch KYC: KYC-Scams

Neben Identitätsdiebstahl bietet KYC auch ein neues Geschäftsfeld für Scammer, um Leute betrügen zu können:
Eine sich aktuell ausbreitende Unart sind die sogenannten „KYC-Scams“.

Dabei gehen die Scammer wie folgt vor:

• Die Nutzer zahlen auf einer Seite ohne KYC Kryptowährungen ein.
• Wenn genug Leute eingezahlt haben, reklamiert die Seite, dass sie nun doch KYC benötigt und friert alle Einzahlungen der Kunden ein.
• Die Seite erpresst die Nutzer, ein KYC zu machen. Sollten die Nutzer das nicht wollen, kommen sie nicht mehr an ihre Kryptowährungen. Sollte die Exchange sogar Scam sein, hätten die KYC-Scammer die wertvolle Identität des Nutzers, die sie verwenden oder verkaufen können.
  
• Der Nutzer hat keinerlei Möglichkeit, sich zu wehren.

Das gleiche Prinzip verwenden auch Bounties, besonders Altcoin-Bounties von Shitcoin-ICOs.
Daher: seid vorsichtig vor KYC-Scams, die insbesondere bei unbekannten Exchanges oder Shitcoin-Bounties zunehmen. Verwendet nur vertrauensvolle, große Börsen, die mit solch einer Aktion viele Nutzer verlieren würden.
In keinem Fall sollte man das KYC der KYC-Scammer erfüllen. Eine seriöse Exchange wird immer die AGBs nutzen, mit denen der Nutzer das Geld eingezahlt hat und eine Benachrichtigung senden, bevor er unter den neuen AGBs Geld einzahlt bzw. das Limit herabsetzen, sodass die Nutzer ihre Kryptowährungen gestückelt abziehen können.

---

Gefahr durch KYC: Verbrecher bleiben unentdeckt

Trotz KYC ist es für die Verbrecher dennoch möglich, ihren kriminellen Aktivitäten auch weiterhin nachzugehen. Zum einen gibt es für professionelle Verbrecher keine Hürden, dass sie ein KYC nicht stoppen würde. Wo viel Geld im Spiel ist, rentiert es sich, viel Geld in die Aufrechterhaltung der kriminellen Tätigkeit zu stecken:

• Einerseits gibt es auf dem Schwarzmarkt bereits eine breite Auswahl an persönlichen Datensätzen (zumeist aus anderen von Scammern veranstalteten oder gehackten KYCs). Je vollständiger die Datensätze dabei sind, desto wertvoller sind diese. Die Verbrecher brauchen zum Bestehen eines KYC also bloß auf dem Schwarzmarkt entsprechende Datensätze zu erwerben.
• Vielmehr könnten die Scammer auch selbst ein ICO veranstalten oder eine Scam-Exchange aufsetzen und dort ein KYC verlangen. Die Daten, die sie benötigen, können die Kriminellen selbst festlegen, je nachdem was sie damit später vorhaben. Damit wäre es für die Kriminellen möglich, bestimmte KYC-Daten für ein ausgewähltes ICO / eine ausgewählte Exchange zu erhalten. Oder sie verkaufen die persönlichen Daten einfach auf dem Schwarzmarkt weiter.

Manche „Experten“ schlagen nun an dieser Stelle vor, die KYC-Verfahren umfangreicher zu gestalten und zu „verbessern“, dass Leute mehr Daten hinterlegen müssen, wie z.B. auch biometrische Daten.
Das ist ein großer Trugschluss, denn solche Maßnahmen gefährden die Sicherheit der Nutzer umso mehr:  

• Bei Biometrischen Daten (Fingerabdruck-, Gesichts- oder Iris-Scan) sind diese genauso verloren, wenn sie erst einmal durch Hacks in den Fingern von Kriminellen landen. Der Schaden für die Betroffenen ist hier nochmals um ein Vielfaches größer, denn biometrische daten sind die sensibelsten, die man preisgeben kann.
• Eine Verbesserung der Auflösung der übermittelten Daten führt bloß dazu, dass die Hacker noch akkuratere und damit wertvollere Daten anderer Personen erhalten, mit dessen verbesserter Qualität sie sich leichter als diese Person ausgeben können.
• Vermehrt gehen die Kriminellen dazu über, auf der Grundlage bestehender, gestohlener KYC-Datensätze, fehlende Teile zu rekonstruieren.
  Als Beispiele wären zur Umgehung von Videoident Deep-Fake Videos zu nennen, eine sich sehr schnell entwickelnde Technologie.
  Oder die Herstellung realistischer Masken, die mittlerweile kaum mehr von realen Menschen zu unterscheiden sind.
  Bereits 2018 wurden auf der 35c3 in Leipzig Methoden vorgestellt, mit denen sich Videoident-Verfahren umgehen lassen.

Das mag sich aktuell noch in einem sehr frühen Stadium befinden und die Verfahren sind nicht perfekt aber prinzipiell ist so etwas bei gegebener Profitabilität schon heute in Ansätzen möglich und mit einem flächendeckend eingeführtem KYC wird sich das weiter professionalisieren.
Es bedarf hier prinzipiell nur weniger Krimineller, denen es möglich ist, Accounts mit gehackten Daten zu verifizieren. Diese könnten sie über das Darknet an andere Kriminelle verkaufen. Allein damit wäre es möglich, den globalen KYC-Prozess komplett auszuhebeln.

Wenn also ein KYC dazu gedacht war, Verbrecher von ihren Tätigkeiten abzuhalten, so kann man schon jetzt sagen, dass es kläglich gescheitert ist. Es gibt vermutlich Millionen von KYC-Sätzen auf dem Schwarzmarkt, täglich steigend, je flächendeckender das KYC eingeführt wird.
Mit den neuesten aufkommenden Techniken zur Manipulation sämtlicher Online-KYC Verfahren sind die kriminellen Banden ebenfalls gut aufgestellt. Vielmehr könnte sich hieraus ein Service von Kriminellen entwickeln, Accounts zu verifizieren und auf dem Schwarzmarkt als bereits verifizierte Accounts teuer an andere Kriminelle zu verkaufen. Oder sie hacken einfach bereits verifizierte Accounts.
Verbrechern mit bösen Absichten steht also eine Fülle an Möglichkeiten zur Auswahl, wie sie das KYC umgehen können.

---

Schlussfolgerung: KYC ist nutzlos

Wenn man das Ergebnis der Auswertung betrachtet, fällt dieses durchweg ernüchternd aus: KYC ist nicht nur nutzlos, sondern fördert sogar das, was es verhindern soll. Durch KYC werden neue Bereiche der Kriminalität geschaffen (Identitätshandel echter Nutzer) und bestehende Bereiche der Kriminalität erhalten auftrieb (die Kriminellen bleiben durch das Verwenden von Identitäten unschuldiger Nutzer unentdeckt). Zudem gefährdet dies die Privatsphäre und die Sicherheit aller betroffenen Verbraucher eklatant.

Die angepriesene Effektivität eines KYCs im Bereich der Kryptowährungen existiert daher nur auf dem Papier und es dürfte sich rasch herumsprechen, dass KYC nicht nur nutzlos, sondern auch gefährlich ist sowie Kriminalität fördert.
Es entwickelt sich hierbei eine gefährliche Dynamik für die Nutzer, die mehr oder weniger gezwungen sind, ein KYC zu machen: es sammeln sich Unmengen an persönlichen Dokumenten in den Händen von Verbrechern, die irgendwann irgendwo wieder auftauchen, wie wir es noch nicht gesehen haben.

---

Wie kann man sich vor KYC schützen?

Leider sind die Möglichkeiten dazu aktuell begrenzt. Für deutsche Anbieter sind anonyme Bitcoin-Käufe nur noch bis 2.000 Euro ohne Abtreten persönlicher Daten möglich, für Anbieter aus der Schweiz liegen die Werte aber etwas höher.
Es ist daher ratsam, die Beträge zu stückeln, um nicht über das Limit zu kommen. Jeder, der also keine Gefahr laufen möchte, dass seine Daten von Kriminellen abgegriffen werden, müsste täglich jeweils unter den Limits bleiben, denn sonst wäre er von der Nutzung des Dienstes ausgeschlossen.

Leider gibt es auch Fälle, in denen man komplett von der Nutzung eines Dienstes ausgeschlossen wird, wenn man seine Identität nicht beim Unternehmen hinterlegt, insbesondere Unternehmen aus der USA sind damit rigoros. Prinzipiell sollte man solche Dienste meiden, muss man sie dennoch verwenden, wären die folgenden Punkte ratsam:

- Seid vorsichtig und versucht zu bewerten, ob die Nutzung des Dienstes es wirklich wert ist, die eigene Identität und die Gefahr eines Identitätsdiebstahls einschließlich aller negativen Konsequenzen zu riskieren. Seid auch vorsichtig, welche Adressen ihr mit diesem Konto verknüpft, sollte es gehackt werden. Das Verknüpfen der Identität mit Bitcoin- / Altcoin-Adressen kann nicht rückgängig gemacht werden, sofern es jemand einmal weiß. Schaut nach Alternativen, die kein KYC erfordern aber lasst euch dabei nicht scammen. Eine gute Möglichkeit ist es, hier im Forum Bitcoin zu kaufen, in Biete / Suche gibt es immer wieder Angebote. Es ist jedoch zu empfehlen, immer eine vertrauenswürdige Excrow zu nutzen und Treffen am besten an öffentlichen Orten sowie nicht alleine durchzuführen.
Oder man nutzt P2P Exchanges: List of P2P/no-KYC exchanges

KYC für alles andere sollte man vermeiden:
- Kein KYC für Shitcoin Bounties oder Shitcoin Airdrops, bei denen die Besitzer wahrscheinlich Scammer oder Idioten sind
- Kein KYC für unseriöse Börsen, bei denen die Besitzer wahrscheinlich Scammer oder Idioten sind
- Kein KYC für Geldbeträge, bei denen es sich nicht lohnt, ein Risiko einzugehen (wahrscheinlich alles, was einen nicht reich macht ^^)

Selbstverständlich sollte man auch präventiv die Gefahren eines KYC ansprechen. Es ist nur eine Frage der Zeit, bis es einen großen KYC-Skandal gibt, bei dem der breiten Öffentlichkeit bewusst wird, wie gefährlich und nutzlos ein KYC ist. Leider wird es dann zu spät sein und der Schaden ist bereits passiert. Gerne könnt ihr also diesen Text verlinken, damit möglichst vielen Nutzern (und Anbietern) die Tragweite des KYC-Problems bewusst wird.
Insbesondere Anbieter, die die Sicherheit der Nutzer missbrauchen, um ihre eigenen Taschen zu füllen, sollten sich ihres unverantwortlichen Handelns bewusst werden.

Es ist also essentiell, stets einen Anbieter zu nutzen, der kein KYC benötigt (oder zumindest Limits, die gerechtfertigt sind). Damit schützt man nicht nur sich selbst, sondern unterstützt auch die Anbieter, die die Kunden schützen.
Wenn uns unsere Sicherheit im Internet nicht wichtig ist und wir unser Recht auf Schutz vor Verbrechern nicht einfordern, werden wir bald in Schwierigkeiten geraten. Die Vermeidung von KYC bedeutet Schutz vor solchen Kriminellen und ist ein sehr wertvolles Gut, das jedem von uns zusteht.  


Anmerkung: an dem Text schreibe ich nun schon länger, etwa seit Anfang 2019. Während ich zu Beginn das meiste durch die uns bekannten Faktoren zusammengefasst habe, gab es in der Zwischenzeit immer mehr gute Artikel im Internet, die die Probleme des KYCs sehr tiefgreifend analysieren und benennen.
Dabei haben sich die von mir bisher notierten Punkten beim Durchlesen vieler Artikel nicht bloß bestätigt, sondern ich scheine in meiner damals niedergeschriebenen Variante die Gefahr und Nutzlosigkeit des KYCs deutlich unterschätzt zu haben. Die Technik und der kriminelle Markt für KYC ist bereits weitaus fortgeschrittener, als befürchtet und dürfte durch das sich zunehmend exzessiv ausbreitende KYC weiter an Lukrativität gewinnen. Kriminelle Betrüger haben für sich das KYC entdeckt, um mit dessen Hilfe eine neue Masche von Straftaten zu begehen (KYC-Scam), Identitätshandel zu betreiben und gleichzeitig mit den Identitäten unschuldiger Nutzer weiterhin ihren kriminellen Tätigkeiten unbemerkt nachgehen zu können.

Es wäre förderlich für die Sicherheit, den Datenschutz und die Verhinderung von Kriminalität, wenn rasch erkannt wird, dass digitales KYC keine Lösung sondern eine Gefahr ist.

---

---

Weitere gute Artikel zum Thema (allerdings in Englisch):

https://medium.com/@wilderko/how-does-kyc-aml-pose-a-serious-threat-to-your-privacy-and-should-not-be-used-at-all-88f7acd3f3b

https://medium.com/mycrypto/be-careful-with-your-kyc-documents-978ab532f2be

https://blog.goodaudience.com/the-unseen-danger-of-kyc-e3e1c4448eee