Eine Sammelklage gegen Coinbase hat Bedenken hinsichtlich der Erfassung und Speicherung biometrischer Daten durch Technologieunternehmen aufgeworfen. Nanak Nihal Khalsa argumentiert, dass die Abhängigkeit von unveränderlichen biometrischen Identifikatoren ein dauerhaftes Risiko darstellt, da sie nicht zurückgesetzt werden können, wenn sie kompromittiert werden.
Biometrische Datensicherheit unter Beobachtung nach Coinbase-Klage; Experte fordert modulare Privatsphäre
GESCHRIEBEN VON
TEILEN
Flickenteppich staatlicher Datenschutzvorschriften
Eine kürzlich eingereichte Sammelklage gegen die Kryptowährungsbörse Coinbase hat erneut auf die Erfassung und Nutzung biometrischer Daten durch Technologieunternehmen aufmerksam gemacht. Obwohl die Klage darauf basiert, dass Coinbase angeblich gegen das Biometric Information Privacy Act des US-Bundesstaates Illinois verstoßen hat oder sich geweigert hat, dies zu tun, hebt die Sammelklage dennoch die Herausforderungen hervor, vor denen Technologiefirmen stehen, die Kunden oder Nutzer in mehr als einer Gerichtsbarkeit bedienen.
Web3- und Technologieunternehmen sind oft zuversichtlich, dass ihre Sammlung oder Nutzung biometrischer Daten von Kunden gesetzeskonform ist. Frühere Fälle, in denen selbst Unternehmensriesen wie Google gezwungen waren, über 1,3 Milliarden Dollar zu zahlen, um Verstöße gegen Datenschutzgesetze beizulegen, scheinen jedoch die Idee zu unterstützen, dass ein umfassendes Bundesdatenschutzgesetz besser wäre als der Flickenteppich staatlicher Vorschriften.
Für Kunden oder Nutzer, deren sensible biometrische Daten von führenden Web3-Unternehmen, darunter Krypto-Börsen, erfasst werden, sind die Risiken jedoch noch höher. Die zunehmenden Vorfälle, bei denen Kryptowährungsnutzer mit erheblichen Beständen von bewaffneten Banden ins Visier genommen werden, scheinen darauf hinzudeuten, dass Cyberkriminelle möglicherweise im Besitz sensibler Benutzerdaten, einschließlich biometrischer Informationen, sind.
Wie der jüngste Cyberangriff auf Coinbase zeigt, kann es sich finanziell als teuer erweisen, wenn nicht wesentliche Mitarbeiter Zugang zu Benutzerdaten haben. Doch wie Michael Arrington, Mitbegründer von Arrington Capital, kürzlich ausführte, werden die menschlichen Kosten wahrscheinlich viel höher sein als die gestohlenen 400 Millionen Dollar. Diese Behauptung scheint durch die immer häufiger werdenden Vorfälle gestützt zu werden, in denen Krypto-Influencer oder Inhaber erheblicher Krypto-Vermögenswerte von bewaffneten Kriminellen ins Visier genommen werden.
In einem kürzlichen Vorfall wurde Festo Ivaibi, der Gründer einer in Uganda ansässigen Krypto- und Blockchain-Bildungsplattform, von Kriminellen entführt, die sich als Mitglieder der Sicherheitskräfte des Landes ausgaben. Während der Tortur wurde Ivaibi von den Kriminellen angegriffen, die offenbar wussten, dass er erhebliche Krypto-Bestände in seiner Binance-Wallet hatte. Letztendlich verlor der Gründer 500.000 Dollar, überlebte aber, um die Geschichte zu erzählen. Sowohl der Cyberangriff auf Coinbase als auch die Begegnung des afrikanischen Gründers zeigen, wie wichtig es ist, sensiblen Benutzerdaten zu speichern und zu bestimmen, wer Zugriff darauf hat.
‘Privacy by Architecture, Not Privacy by Hope’
Unterdessen zeigt Arringtons Forderung nach Bestrafung, einschließlich Gefängnisstrafen für Führungskräfte von Unternehmen, die es nicht schaffen, Benutzerdaten angemessen zu behandeln, die Schwierigkeiten, vor denen Web3- und Technologieunternehmen bei der Erfassung und Speicherung sensibler Kundeninformationen stehen. Das Dilemma, dem sich Unternehmen wie Coinbase und andere gegenübersehen, zeigt auch, wie begrenzt die Schutzmaßnahmen für Web3-Unternehmen derzeit sind. Wie können Unternehmen also die Sicherheit von Systemen zur Web3-Identität gewährleisten?
Laut einigen Experten liegt die Lösung in modularer Datenschutz-Architektur, die Flexibilität und Benutzerkontrolle über starre, biometrieintensive Modelle priorisiert. Anstatt Benutzer in ein System zu zwingen, in dem ihre biometrischen Daten zentral erfasst und gespeichert werden, ermöglicht diese Architektur anpassbarere und benutzergesteuerte Datenschutzeinstellungen. Das bedeutet, dass Benutzer wählen können, wie und wann sie Aspekte ihrer Identität überprüfen möchten, ohne unbedingt die zugrundeliegenden rohen, sensiblen Daten preiszugeben.
Nanak Nihal Khalsa, der Mitbegründer des Web3-Projekts Holonym, ist ein Befürworter dieses Ansatzes. Er sagte gegenüber Bitcoin.com News, dass KYC ohne datenschutzerhaltendes Design, insbesondere Zero-Knowledge-Beweise, eine tickende Zeitbombe ist. Er fügte hinzu, dass solange Börsen und Plattformen sensible Benutzerdaten in zentralen Datenbanken speichern, sie Honigtöpfe schaffen, die zwangsläufig Angreifer anziehen. Er erklärte, warum ein modularer Ansatz bahnbrechend ist.
“Ein modularer Ansatz zur Datenschutz-Architektur ändert die Gleichung. Zero-Knowledge-Beweise und andere überprüfbare Berechtigungen ermöglichen es Plattformen, Compliance-Anforderungen zu erfüllen, ohne die sensibelsten Informationen der Benutzer zu speichern oder sogar zu sehen. Identität wird zu einem Nachweis, nicht zu einer Datei.”
Der Mitbegründer betont, dass solche Lösungen zunehmend wichtig werden, weil die von Web3-Unternehmen gesammelten Daten immer persönlicher werden. Er argumentiert, dass die Abhängigkeit von Biometrics wie Fingerabdrücken oder DNA zur Identifikation ein dauerhaftes Risiko darstellt: Einmal kompromittiert, können diese einzigartigen persönlichen Identifikatoren im Gegensatz zu staatlichen Ausweisen nicht zurückgesetzt werden.
Khalsas Holonym bietet eine modulare digitale Identitätslösung, die ZKPs für Datenschutz und Compliance anstelle von Biometrics verwendet. Sein Human ID-Protokoll hat es bisher über 125.000 pseudonymen Benutzern in 180 Ländern ermöglicht, ihre Person ohne Preisgabe ihrer Identität zu überprüfen. Mit einem primär auf Datenschutz ausgerichteten und dezentralisierten Design verfolgt Holonym das Ziel, „digitale Rechte in die Welt zu bringen“, indem es Webseiten und sogar Regierungen ermutigt, sein Protokoll zur ID-Überprüfung zu übernehmen. Dieser modulare Ansatz, so Holonym, trägt dazu bei, Sicherheitsrisiken zu mindern und Vertrauen in die digitale Identität aufzubauen.
Unterdessen erkannte Khalsa an, dass Vorfälle wie der jüngste Verstoß bei Coinbase ein tieferes Problem in der Kryptoinfrastruktur verdeutlichen und zeigen, wie fehlerhaft die auf zentralisierten, monolithischen Architekturen basierten Identitätssysteme sind.
“Die Zukunft der Compliance dreht sich nicht um das Sammeln von mehr Daten. Es geht darum, mehr mit weniger zu beweisen. Datenschutz durch Architektur, nicht durch Hoffnung,” sagte der Mitbegründer.
