Phishing-Welle: 306 Millionen Euro Verluste – SFC schärft Regeln
Veröffentlicht: 10.07.2026 um 13:54 Uhr, Redaktion boerse-global.de
Die Hong Kong Securities and Futures Commission (SFC) hat mit sofortiger Wirkung den Einsatz von Einmalpasswörtern per SMS, E-Mail oder App für Krypto-Handelsplattformen und Online-Broker untersagt. Grund ist eine drastische Zunahme von Phishing-Angriffen auf Anleger.
Passkeys als neuer Sicherheitsstandard
In einem Rundschreiben vom 9. Juli 2026 verpflichtet die Regulierungsbehörde alle lizenzierten virtuellen Asset-Handelsplattformen (VATPs) und Internet-Broker, auf phishing-resistente Authentifizierungsmethoden umzustellen. Konkret fordert die SFC die Einführung von Passkeys und Device Binding – einer Technik, die Benutzerkonten an ein bestimmtes physisches Gerät koppelt.
Die Umstellungsfrist beträgt zwölf Monate, der endgültige Stichtag ist der 8. Juli 2027. Große Online-Broker müssen die neuen Sicherheitsstandards jedoch sofort umsetzen.
Phishing-Welle mit Milliardenverlusten
Die SFC hat SMS-Passwörter verboten – und macht das Top-Management persönlich haftbar. Wer jetzt nicht auf Passkeys und Device Binding umstellt, riskiert Millionenverluste. Dieser Report zeigt Ihnen in 30 Tagen den Weg zur Compliance. Jetzt kostenlosen Report anfordern
Der Schritt ist eine Reaktion auf alarmierende Zahlen: Von den 15.877 gemeldeten Cybervorfällen im Jahr 2025 entfielen 57 Prozent auf Phishing – ein Anstieg um 27 Prozent im Vergleich zum Vorjahr. Die finanziellen Schäden sind enorm: Allein im ersten Quartal 2026 gingen weltweit 306 Millionen Euro durch Krypto-Phishing verloren.
Die SFC will mit der Pflicht zu hardwarebasierter oder kryptografischer Authentifizierung die gängigsten Angriffsmethoden unterbinden. Täter hatten es vor allem auf die kurzlebigen Einmalcodes abgesehen, die sie durch Social Engineering oder technische Tricks abfingen.
Führungskräfte in der Haftung
Phishing-Verluste von 306 Mio. Euro im Q1 2026 – die SFC reagiert mit scharfen Regeln. Für Krypto-Broker bedeutet das: sofortige Umstellung auf Passkeys und Device Binding. Unser Leitfaden liefert die konkreten Implementierungsschritte, bevor die Frist endet. Compliance-Leitfaden jetzt sichern
Besonders brisant: Die Behörde macht das Top-Management der betroffenen Firmen persönlich verantwortlich. Bei Sicherheitslücken mit Verlusten für Kunden haften die Führungskräfte – wenn interne Kontrollen versagen oder die geforderten Schutzmaßnahmen nicht rechtzeitig umgesetzt wurden.
Über die Login-Umstellung hinaus verlangt das Rundschreiben eine verbesserte Überwachung verdächtiger Kontobewegungen sowie strengere Protokolle für die Gerätebindung. Ziel ist ein mehrstufiger Schutz: Selbst wenn Zugangsdaten kompromittiert werden, bleibt ein unbefugter Zugriff ohne das registrierte Endgerät oder biometrische Verifikation praktisch unmöglich.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
