Neue Cybersecurity-Anforderungen in Hongkong
Die Hongkonger Wertpapier- und Futures-Kommission (SFC) hat lizenzierten Krypto-Handelsplattformen und Online-Brokern befohlen, innerhalb der nächsten 12 Monate die SMS-basierte Authentifizierung durch phishing-resistente Anmeldemethoden zu ersetzen. Laut der SFC müssen virtuelle Handelsplattformen für Vermögenswerte (VATPs) und Online-Broker aufhören, sich auf Einmalpasswörter zu verlassen, die über SMS, E-Mail oder App-generierte Codes bereitgestellt werden. Stattdessen sollen sie stärkere Authentifizierungssysteme einführen, die für Angreifer schwerer zu kompromittieren sind. Der Regulierer gab die neuen Cybersecurity-Anforderungen am Donnerstag im Rahmen aktualisierter Standards zum Schutz von Kundenkonten bekannt.
Implementierung neuer Authentifizierungsmethoden
Im Rahmen des neuen Rahmens müssen Unternehmen phishing-resistente Authentifizierungsmethoden zusammen mit Gerätebindung implementieren. Die SFC identifizierte Passkeys, registrierte Geräte, die durch kryptografische Verifizierung gesichert sind, sowie Hardware-Sicherheitsschlüssel als akzeptable Alternativen. Alle lizenzierten Plattformen müssen den Übergang innerhalb eines Jahres abschließen.
Erweiterung des regulierten Marktes für digitale Vermögenswerte
Diese neuen Regeln treten in Kraft, während Hongkong weiterhin seinen regulierten Markt für digitale Vermögenswerte ausbaut und die Betriebsstandards für lizenzierte Unternehmen erhöht. Anfang dieser Woche kündigte die SFC auch Änderungen am Programm für zertifizierte Praktiker im Bereich virtueller Vermögenswerte an, nachdem sie mit Vertretern der Branche diskutiert hatte. Der Regulierer verpflichtete sich, die Zertifizierungsprüfung von seinem obligatorischen Kurs zu trennen, die Prüfungsgebühren zu senken und die Studienmaterialien zu verbessern.
Das von der Hongkonger Wertpapier- und Investmentinstitut (HKSI) unter den Standards der SFC verwaltete Zertifizierungsprogramm für Fachleute im Bereich virtueller Vermögenswerte dient als berufliche Qualifikation für den Sektor der digitalen Vermögenswerte. Das Programm umfasst Grundlagen der Blockchain, Produkte für digitale Vermögenswerte und die Einhaltung von Vorschriften zur Bekämpfung der Geldwäsche.
Reaktion auf wachsende Cyber-Bedrohungen
Zurück zu den Cybersecurity-Maßnahmen erklärte die SFC, dass die stärkeren Authentifizierungsanforderungen auf die wachsenden Phishing- und Betrugsrisiken reagieren, die Finanzplattformen betreffen. Daten, die von dem Regulierer zitiert wurden, zeigten, dass Fälschungen und Betrug 57 % der Sicherheitsvorfälle ausmachten, die im Jahr 2025 dem Hongkonger Cyber Security Accident Coordination Center gemeldet wurden.
Dr. Ye Zhiheng, Exekutivdirektor der Abteilung für Intermediäre der China Securities Regulatory Commission, betonte, dass Finanzinstitute koordinierte Präventions-, Erkennungs-, Reaktions- und Bildungsmaßnahmen benötigen, um Kundenkonten vor zunehmend ausgeklügelten Betrugsangriffen zu schützen.
Verluste durch Phishing und Betrug
Die Entscheidung der SFC folgt einer weiteren Phase schwerer Verluste, die mit Phishing- und Social-Engineering-Angriffen in der Kryptoindustrie verbunden sind. Branchendaten zeigten, dass Phishing-Angriffe und Social-Engineering-Betrügereien 306 Millionen US-Dollar der insgesamt 482 Millionen US-Dollar an Sicherheitsverlusten im Krypto-Sektor im ersten Quartal 2026 ausmachten.
Kürzlich verlor ein Krypto-Investor Berichten zufolge fast 1 Million US-Dollar, nachdem er eine bösartige Phishing-Token-Transaktion auf Ethereum genehmigt hatte, was zu phishingspezifischen Verlusten führte, die im ersten Halbjahr 2026 366 Millionen US-Dollar erreichten.
Warnungen und Sicherheitsmaßnahmen
Früher, am 25. Mai, warnte der On-Chain-Analyst b-block, dass Betrüger Google-Anzeigen verwendet hatten, um die dezentrale Börse Uniswap zu imitieren, wobei die Kampagne Berichten zufolge mehr als 400.000 US-Dollar von Opfern stahl. Auch aus der Branche kamen Forderungen nach stärkerer Wallet-Sicherheit. Binance-Mitbegründer Changpeng Zhao forderte die Nutzer zuvor auf, bessere Sicherheitspraktiken zu übernehmen, nachdem ein Investor im Dezember 2025 in einem Adressvergiftungsbetrug 50 Millionen US-Dollar verloren hatte.