1 + 1 = 3 248/365. Bild von Dennis Skley über flickr.com. Lizenz: Creative Commons

Jeden Tag stehlen Hacker Kreditkarteninformationen, ID-Scans und andere private Informationen von Websites, die im Darknet zum Verkauf angeboten werden. Die schlimmsten Folgen hätten längst verhindert werden können. Denn mit Kryptowährungen und Identitätstoken sind die Tools bereits vorhanden. Aber der Wille von Verbraucherschutzbeauftragten und Regierungen fehlt.

Einige Dinge sind eine dumme Idee, und doch tun es die meisten Leute. Zum Beispiel mit Kreditkarte im Internet bezahlen, obwohl auch virtuelle Währungen möglich wären.

Ein Beitrag der Sicherheitsanalysten von Cyble zeigt, wie gefährlich es ist, Ihre Kreditkarteninformationen an eine Website weiterzugeben. Das Team stöberte durch die Darknet-Märkte und stieß auf einen Hacker, der 80.000 Kreditkartendaten zum Verkauf anbot. Die Karten stammen aus Frankreich, den USA, Australien, Großbritannien, Kanada, Singapur und Indien. Laut Ciscomag werden Kartendaten für 5 USD pro Karte verkauft und sind in Kryptowährungen zahlbar.

Es ist üblich, dass Websites gehackt und Daten gestohlen werden. Manchmal liegt es daran, dass es einen Zero-Day-Exploit für WordPress, Shopify oder ein anderes Content-Management-System gibt. Mal vergaßen die Website-Betreiber, ein notwendiges Update zu installieren. Daten im Internet sind selten wirklich sicher, insbesondere nicht in kleinen Online-Shops. Nicht jeder ist Amazon oder Ebay.

Kreditkartendaten sind mehr oder weniger das Worst-Case-Szenario eines Datenlecks. Unter bestimmten Umständen kann jemand online oder vor Ort mit ihm einkaufen gehen, während die Betroffenen dies nur in der Kreditkartenabrechnung erfahren. Die meisten Kreditkartenanbieter buchen die Zahlungen erneut zurück, aber als Kunde haben Sie die Mühe, und die Kosten werden letztendlich durch Bargeldabhebungen, unbezahlte Rechnungen aus einem Geschäft oder die Gebühren für Kreditkartenzahlungen sozialisiert, so dass der Kunde auch indirekt leidet Ende. [19659004] Es ist sehr einfach, den Diebstahl von Kreditkartendaten zu verhindern: Sie sollten im Internet nicht mit einer Kreditkarte bezahlen. Gleiches gilt wahrscheinlich für Ihre Kontonummer, die Sie mit Lastschrift und wahrscheinlich auch mit sofortiger Überweisung an eine Website übermitteln. PayPal mag hier relativ harmlos sein, aber es geht Hand in Hand mit der Tatsache, dass ein US-amerikanisches Unternehmen Ihre privaten Daten an Dutzende von Drittanbietern verkauft.

Wenn Verbraucheranwälte und die Regierung den Datenschutz ernst nehmen würden, sollte dies zum Standard werden, dass JEDER Online-Shop auch Kryptowährungen akzeptiert. Weil Kryptowährungen eines der wenigen Zahlungsmittel sind, die weder gefährliche Daten wie Kreditkarten- oder IBAN-Nummern generieren noch private Daten enthalten, die gespeichert und verkauft werden. Der Verbraucherschutz sollte aktiv vor Online-Shops warnen, in denen Sie nicht mit Krypto bezahlen können.

Postanschriften und Kopien von ID-Karten

Es werden jedoch nicht nur Kreditkartendaten regelmäßig durchgesickert. Der Cyble-Blog ist eine Kammer des Schreckens, nach der man den Internetstecker ziehen möchte.

REvil-Ransomware-Distributoren haben kürzlich begonnen, das Auslaufen erfasster Daten immer mehr zu bedrohen. Zum Beispiel erhielten sie vom Online-Modehaus Plaza Collection zahlreiche Daten über Mitarbeiter, Kunden und Lieferanten, einschließlich Personalausweise. In einem dunklen Markt fand Cyble auch 100.000 ID-Karten von Indianern die dort zum Verkauf stehen, und konnte ihre Echtheit durch zufällige Stichproben von durchgesickerten Beispielen bestätigen. Und nur wenige Tage zuvor gab es ein Leck auf einem Regierungsgelände in Taiwan bei dem die Daten von 20 Millionen Bürgern gestohlen wurden. Und all dies sind nur Fälle von wenigen Wochen.

Wenn Sie Ihrem Online-Shop Ihre Adressdaten geben, werden diese früher oder später durchgesickert. Es ist mehr oder weniger unvermeidlich. Die Tatsache, dass viele Leute aus diesem Grund Packstations verwenden, ist ebenso verständlich wie sinnvoll.

Es wird jedoch schlecht, wenn Sie Ihre ID einer Website anvertrauen müssen. Jeder, der regelmäßig Krypto-Sites besucht, kennt das Verfahren. Es ist immer unangenehm und beunruhigend, aber auch unvermeidlich, wenn Sie eine Seite verwenden möchten. Aber zumindest wissen Sie über Krypto-Plattformen, dass es sich um digitale Festungen handeln muss. Im Falle eines Hacks sind ID-Karten das kleinste Problem, da die Server normalerweise Schlüssel für Kryptowährungen im Wert von Millionen von Dollar enthalten. In keiner Branche ist die Sicherung Ihres eigenen Servers so wichtig wie hier. Daher wäre ich fast besorgter, wenn etablierte Finanzdienstleister, Verkaufsplattformen oder andere Websites – wie Glücksspiele oder Domains – ein Ausweisdokument von mir hätten.

Die Tatsache, dass Sie einen Ausweis scannen müssen, um sich selbst zu überprüfen, ist eine unendlich veraltete Technologie. Viele Börsen versuchen, sich selbst zu helfen, indem sie eine Notiz mit einem Datum und einem Code in die Kamera stecken müssen, wenn sie ein Selfie von sich und ihrem Ausweis machen. Aber auch das ist ziemlich stückweise, wie der Versuch, ein Fax zu verbessern, anstatt eine E-Mail zu schreiben. Die einzige wirkliche Lösung wäre, keine ID-Karten zu scannen.

Token anstelle von ID-Karten

Blockchains und Token können anstelle von ID-Scans verwendet werden. Es gibt viele Ideen für eine digitale, Blockchain-basierte Identität, die häufig auf einem Token basiert. Consensys bietet auf dem Unternehmensblog einen Überblick über Systeme rund um Ethereum . Die Stadtverwaltung der Schweizer Stadt Zug experimentiert bereits mit der uPort-Lösung. Eine Adresse auf Ethereum ist mit einer Identität verknüpft, die ebenfalls überprüft werden kann. So können Sie sich identifizieren, ohne Ihren Ausweis vorzuzeigen. Versuchen Sie etwas ähnliches Civic und viele andere Startups.

Das Modell selbst ist nicht mehr schwierig: Sie haben ein Token – oder eine Adresse – für die Sie nur den privaten Schlüssel haben. Ein Dritter, dem Sie und Ihre Geschäftspartner vertrauen – der auch eine Regierung sein kann – bestätigt, dass Sie der Eigentümer dieses Tokens sind. Sie können es auch bei der Ausstellung eines Personalausweises verteilen. Sie können sich dann mit dem Token anmelden. Unter bestimmten Umständen kann der Dritte in den Prozess einbezogen werden, um beispielsweise zu überprüfen, ob das Token tatsächlich mit der betreffenden Person verknüpft ist, entweder mittels eines kurzen Video-Chats oder per SMS. Dies würde es für andere Unternehmen unnötig machen, unsere Kopien von ID-Karten zu speichern.

Unter bestimmten Umständen kann das Verfahren auch auf Postanschriften ausgedehnt werden: Sie entwickeln ein Adress-Token, und wenn Sie es an den Einzelhändler übertragen, kann dieser die Adresse einmal von einem Partner abholen. Es wäre also nicht notwendig, dass er es auf seinem eigenen Server speichert.

Während das Adress-Token noch weit entfernt ist – und vielleicht das am wenigsten brennende Problem -, sind Lösungen zum Tokenisieren von Identitätsdokumenten bereits weit fortgeschritten und angesichts des Problems der wiederkehrenden Datenlecks dringend. Es ist ein enormer Misserfolg, dass Regierungen und Interessengruppen der Finanzindustrie nicht energischer auf verbindlichen Lösungen und Standards bestehen, unter denen jeder leiden muss, dessen Identifikation schließlich im Darknet verkauft wird.

Die Situation beim Bezahlen ist noch schlechter. Kreditkarten und Lastschriften werden fast überall angeboten, obwohl die Gefährlichkeit dieser Verfahren immer wieder bewiesen wurde. Kaum wo wird die sicherste und privateste Zahlungsart – nämlich Kryptowährungen – akzeptiert? Dass dies so ist, kann nur als ein Versagen des Verbraucherschutzes und des Datenschutzes angesehen werden. Die Lösung gibt es schon lange. Sie sollten sicherstellen, dass es endlich verwendet wird.


Genialer Text dieser Text kam von
[ENGLISH]