Die US-Kryptobörse Coinbase hat ein neues Datenleck über einen externen Dienstleister bestätigt. Nach Unternehmensangaben wurden personenbezogene Informationen von rund 30 Kundenkonten unbefugt eingesehen. Der Vorfall ereignete sich im Dezember 2025 und steht nicht im Zusammenhang mit der deutlich größeren Kompromittierung zu Jahresbeginn, bei der der Outsourcing-Partner TaskUs involviert war.
Begrenzter, aber sicherheitsrelevanter Vorfall bei externem Dienstleister
Coinbase teilt mit, dass ein externer Vertragspartner unerlaubten Zugriff auf Daten eines kleinen Teils der Kundschaft hatte. Offiziell ist von einem „sehr begrenzten Kreis Betroffener“ die Rede – etwa 30 Nutzerkonten. Der Dienstleister, über dessen Systeme der Zugriff erfolgte, arbeitet nach Angaben von Coinbase nicht länger für die Plattform.
Alle identifizierten Betroffenen wurden informiert und erhielten Angebote für Dienste zum Schutz vor Identitätsdiebstahl. Zudem wurden Aufsichtsbehörden benachrichtigt, wie es die regulatorischen Vorgaben für Finanz- und Kryptodienstleister vorsehen. Welche konkreten Datenfelder kompromittiert wurden, bleibt aus Sicherheitsgründen offen. Coinbase betont jedoch, es handele sich um einen lokal begrenzten Vorfall, nicht um eine systemweite Datenpanne.
Welche Kundendaten typischerweise im Fokus von Angreifern stehen
Auch wenn Coinbase im aktuellen Fall keine vollständige Liste veröffentlicht, lassen sich aus ähnlichen Vorfällen typische Muster ableiten. Besonders häufig betroffen sind personenbezogene Identifikatoren wie Name, Geburtsdatum, Anschrift, Telefonnummer und E-Mail-Adresse. Hinzu kommen oft Auszüge aus der KYC-Dokumentation (Know Your Customer), also Ausweiskopien oder Verifizierungsdaten.
Solche Datensätze sind für Cyberkriminelle wertvoll, da sie sich für gezielte Phishing-Kampagnen, Social-Engineering-Angriffe und Identitätsdiebstahl nutzen lassen. Laut dem „Verizon Data Breach Investigations Report 2023“ sind gestohlene personenbezogene Daten in mehr als der Hälfte aller untersuchten Vorfälle ein zentrales Angriffsziel im Finanzsektor.
Rückblick: Das große Coinbase-Datenleck über TaskUs Anfang 2025
Die aktuelle Datenpanne wird vor dem Hintergrund einer deutlich größeren Coinbase-Datenkompromittierung Anfang 2025 bewertet. Damals bestachen Angreifer zwei Mitarbeiter des indischen Outsourcing-Unternehmens TaskUs, das den Kundensupport für Coinbase betrieb. In der Folge wurden Daten von nahezu 70.000 Kunden offengelegt.
Die Angreifer erbeuteten unter anderem Geburtsdaten, die letzten vier Ziffern von Sozialversicherungsnummern, Postadressen, Telefonnummern und E-Mail-Adressen. In zahlreichen Fällen wurden auch Scans von Führerscheinen und Pässen aus dem KYC/AML-Prozess kompromittiert. Die Kriminellen forderten anschließend ein Lösegeld von 20 Millionen US-Dollar, das Coinbase nach übereinstimmenden Berichten nicht zahlte.
Dieses Muster – die Kombination aus Diebstahl hochsensibler Identitätsdaten und anschließender Erpressung oder Weiterverkauf im Untergrund – gilt mittlerweile als typische Angriffsstrategie in der Kryptobranche. Ähnliche Vorgehensweisen wurden unter anderem bei Angriffen auf Krypto-Wallet-Anbieter und Payment-Dienstleister beobachtet.
Scattered Lapsus$ Hunters: Screenshots aus internen Support-Tools
Parallel zur aktuellen Meldung veröffentlichte die Telegram-Gruppe Scattered Lapsus$ Hunters zeitweise Screenshots, die offenbar aus einem internen Support-Interface von Coinbase stammen. Zu sehen waren Ansichten mit Kundendaten wie E-Mail-Adressen, Namen, Geburtsdaten, Telefonnummern, KYC-Informationen sowie Kontoständen und Transaktionshistorien.
Bislang gibt es keine bestätigte Verbindung zwischen diesen Veröffentlichungen und der Dezember-Panne beim Dienstleister. Möglich ist, dass die Screenshots von dritten, unabhängigen Angreifern weitergegeben wurden. Die Gruppierung selbst wird seit Längerem mit Bestechung von Mitarbeitern großer Unternehmen, darunter auch IT- und Sicherheitsdienstleister, in Verbindung gebracht.
Supply-Chain-Risiken: Warum Dienstleister zur Achillesferse von Kryptobörsen werden
Third-Party-Risiken als strukturelles Problem
Die Fälle Coinbase/TaskUs verdeutlichen ein zentrales Thema der modernen Informationssicherheit: Risiken in der Lieferkette (Supply Chain Risk). Selbst wenn eine Kryptobörse intern hohe Sicherheitsstandards etabliert, können schwächer geschützte Partner – etwa Callcenter, KYC-Provider oder Cloud-Anbieter – zum Einfallstor für Angreifer werden.
Branchenreports, darunter der „IBM Cost of a Data Breach Report 2023“, zeigen, dass ein signifikanter Anteil größerer Datenschutzvorfälle auf Drittdienstleister zurückzuführen ist. In der Kryptobranche verstärkt die direkte Nähe zu digitalen Vermögenswerten und sensiblen Ident-Daten diese Risiken zusätzlich.
Notwendige Sicherheitsmaßnahmen für Unternehmen
Organisationen im Krypto- und Finanzumfeld benötigen ein strukturiertes Third-Party-Risk-Management (TPRM). Dazu gehören strenge vertragliche Sicherheitsanforderungen, technische Zugriffsbeschränkungen nach dem Prinzip der minimalen Rechtevergabe („Least Privilege“), regelmäßige Audits sowie ein kontinuierliches Monitoring externer Zugriffe auf Kundendaten.
Als Best Practice gilt die Umsetzung eines Zero-Trust-Sicherheitsmodells: Kein Nutzer – intern oder extern – erhält pauschales Vertrauen oder unbegrenzten Zugriff. Stattdessen werden alle Zugriffe protokolliert, mit Systemen zur Anomalieerkennung korreliert und bei Auffälligkeiten automatisiert eingeschränkt oder blockiert.
Was Nutzer von Kryptobörsen selbst tun können
Auch Kunden können ihre Angriffsfläche spürbar reduzieren. Empfehlenswert sind insbesondere starke Multifaktor-Authentifizierung (vorzugsweise mit Hardware-Sicherheitsschlüsseln), ein eigener E-Mail-Account nur für Börsen- und Finanzdienste, die sorgfältige Prüfung verdächtiger Nachrichten sowie die regelmäßige Kontrolle von Bonitäts- und Kontoauszügen.
Je nach Rechtsraum kann zudem eine Kreditauskunfts-Sperre oder -Warnung sinnvoll sein, um die Eröffnung neuer Kreditlinien im eigenen Namen zu erschweren. Services zum Monitoring der eigenen Identität helfen, missbräuchliche Verwendungen personenbezogener Daten schneller zu erkennen.
Die aktuellen und vergangenen Datenlecks bei Coinbase zeigen, dass selbst große, regulierte Kryptobörsen nicht vor Vorfällen über Dienstleister gefeilt sind. Nutzer sollten deshalb stets davon ausgehen, dass übermittelte KYC-Daten theoretisch kompromittiert werden können, und eine eigene, konsequente Cyberhygiene-Strategie etablieren – von der sicheren Verwaltung von Accounts und Passwörtern bis zur Nutzung spezialisierter Identitätsschutz-Dienste.
