Die Sicherheit rund um den Kauf und Besitz von Hardware-Wallets ist für viele Krypto-Enthusiasten ein zentrales Thema. Gerade wieder hat es den Branchenriesen Ledger getroffen – jedoch nicht direkt, sondern über einen seiner Zahlungsdienstleister Global-e. Was genau passiert ist, welche Folgen das für dich haben könnte und wie du dich am besten schützt, erfährst du in diesem Beitrag.
Was ist passiert? – Die Hintergründe zum neuen Datenleck
Ledger, weltweit bekannt für seine Hardware-Wallets zur sicheren Verwahrung von Bitcoin, Ethereum und Co., war jüngst erneut von einem Datendiebstahl betroffen. Bemerkenswert ist dabei: Wie schon beim Vorfall im Jahr 2020 liegt die Ursache nicht in Ledgers eigener Infrastruktur, sondern bei einem externen Partnerunternehmen.
Der aktuelle Leak: Nicht Ledger, sondern Dienstleister betroffen
Konkret wurde die E-Commerce- und Zahlungsplattform GlobalE Opfer eines Hackerangriffs. GlobalE wickelt für Ledger Bestellungen und Zahlungen ab. Das bedeutet, dass alle Bestelldaten – von der Lieferadresse über Kontaktinformationen bis hin zu Zahlungsdetails – an diesen Partner übermittelt werden. Durch die Kompromittierung von GlobalE gelangten sensible Kundendaten in die Hände von Unbefugten.
Dieser Fall ist kein Einzelfall: Bereits 2020 war Ledgers damaliger Partner Shopify betroffen, mit ähnlichen Konsequenzen. Auch wenn sich diesmal erneut alles außerhalb des unmittelbaren Einflussbereichs von Ledger abspielte, bleibt der Schaden für viele Nutzer bestehen.
Wichtig: Betroffen sind nicht die Hardware-Wallets!
Vorweg eine beruhigende Nachricht: Die Sicherheit deiner Ledger-Geräte, deiner Seed-Phrase oder der Software Ledger Live ist durch diesen Vorfall nicht beeinträchtigt. Der Angriff betrifft ausschließlich personenbezogene Informationen rund um die Bestellung. Nicht die Inhalte der Wallets und auch keine Zugangsdaten zu deinen Krypto-Beständen.
Wenn du also bereits einen Ledger Nano S Plus, Nano X oder ein anderes Modell besitzt, kannst du es weiterhin wie gewohnt nutzen. Die Geräte selbst sind nach wie vor sicher.
Welche Daten wurden entwendet?
Laut dem Schreiben, das Ledger an betroffene Kunden verschickt hat, handelt es sich bei den gestohlenen Informationen wie zum Beispiel:
- Vor- und Nachnamen
- E-Mail-Adresse
- Telefonnummer
- Lieferadresse (also deine physische Adresse)
- Bestelldetails
Nicht betroffen sind sensiblere Daten wie Kreditkarteninformationen, Bankverbindungen oder Personalausweisnummern.
Solche Leaks sind dennoch ernstzunehmen. Namen, Adressen und Kontaktinformationen reichen für gezielte Phishing-Angriffe oder sogar zur Vorbereitung von gezielten Einbrüchen bzw. Überfällen aus, wie traurige Fälle aus der Vergangenheit belegen.
Phishing & Social Engineering als reale Risiken
Wie nach dem ersten Ledger-Leak 2020 berichten viele Kunden bis heute von Phishing-E-Mails und -SMS/Anrufe, die angeblich im Namen von Ledger versendet werden. Ziel ist es häufig, dich zur Preisgabe deiner Seed-Phrase zu bewegen, indem du auf präparierte Webseiten gelockt wirst. Teilweise werden sogar echte Briefe mit gefälschten Supportanfragen verschickt (Beispiel).
Insbesondere, wer im Zusammenhang mit Hardware-Wallets seine echte Adresse angegeben hat, kann theoretisch ins Visier Krimineller geraten. Zwar ist das Risiko im Einzelfall gering, aber die Möglichkeit besteht, besonders, wenn Krypto-Besitz in sozialen Medien offen gezeigt wird.
Warum sind solche Leaks im Kryptobereich so gefährlich?
Im Vergleich zu einer rein digitalen Dienstleistung wie Spotify oder Amazon haben Datendiebstähle im Krypto-Sektor ein besonderes Gewicht. Die konkrete Verbindung zwischen deinem Realnamen, deiner Adresse und dem Kauf einer Hardware-Wallet legt nahe, dass du Inhaber von Kryptowährungen sein könntest – ein potenzielles Ziel für Hacker, Betrüger und sogar Kriminelle.
Obwohl ein Hardware-Wallet allein noch keine garantierte Verbindung zu größeren Krypto-Beständen bedeutet, gehen Kriminelle zunehmend gezielt solchen Hinweisen nach. Listen mit Datenleaks werden zum Teil im Darknet gehandelt und können gezielt zum Zweck der Erpressung, Einbruchsplanung oder Social Engineering verwendet werden.
Was kannst du jetzt tun? Praktische Tipps zum Selbstschutz
Die schlechte Nachricht vorweg: Es ist kaum möglich, nach einem Datenleck Kontaktinformationen wie Name oder Adresse effektiv und schnell zu ändern. Doch es gibt einige sinnvolle Vorkehrungen – auch für zukünftige Käufe:
1. Sei wachsam bei E-Mails, SMS und Briefen
- Phishing-Angriffe erkennen: Sei besonders vorsichtig bei Nachrichten, in denen du aufgefordert wirst, deine Seed-Phrase preiszugeben oder Software-Updates zu installieren. Ledger (und auch andere Wallet-Anbieter) werden dich niemals nach deinem Seed oder Recovery-Seed fragen.
- Absender prüfen: Kommt eine Mail oder ein Brief vermeintlich von Ledger, überprüfe die Absender-Adresse und suche gezielt nach Rechtschreibfehlern oder ungewöhnlichen Informationen.
2. Verwende separate Kontaktinformationen
Wenn du in Zukunft Hardware-Wallets oder kritische Krypto-Dienste verwendest, kannst du Folgendes tun:
- Exklusive E-Mail-Adresse: Lege dir eine E-Mail nur für solche Bestellungen an. So kannst du Spam und Phishing leichter erkennen.
- Prepaid- oder temporäre Telefonnummer: Für die Bestellung kann eine Zweitnummer sinnvoll sein.
- Alternative Lieferadresse: Pakete kannst du häufig auch an Packstationen, Postfilialen oder einen Abholpunkt liefern lassen. So bleibt deine Wohnadresse privat.
3. Kaufe, sofern möglich, anonym
Viele Hardware-Wallets sind mittlerweile auch im stationären Handel, auf Meetups oder Konferenzen erhältlich. Beim Kauf vor Ort musst du keine persönlichen Daten angeben.
4. Rede nicht öffentlich über deine Kryptobestände
Vermeide es – vor allem in sozialen Medien – zu veröffentlichen, wie viel Krypto du besitzt und welche Wallets du nutzt. Je weniger Informationen draußen sind, desto weniger angreifbar bist du.
5. Beachte: Die Sicherheit der Wallets bleibt hoch
Auch wenn die Datendiebstähle von Dienstleistern Sorgen bereiten – die Geräte und die grundlegende Technologie von Hardware-Wallets wie Ledger oder BitBox bleiben ein sehr sicheres Mittel zur Selbstverwahrung von Kryptowährungen. Der größte Risikofaktor bist und bleibst du selbst: Gib niemals deinen Seed an Dritte weiter!
Fazit – Wie geht es jetzt weiter?
Der erneute Datenklau im Umfeld von Ledger ist ohne Zweifel ein Ärgernis – und wirft die Frage auf, wie Ledger und andere Anbieter künftig mit Partnern und deren IT-Sicherheit umgehen werden. Für dich als Nutzer/in heißt das:
- Deine Coins sind durch das Leck nicht unmittelbar gefährdet – sofern du keine sensiblen Zugangsdaten preisgibst.
- Deine Daten könnten allerdings für gezielte Betrugsversuche, Phishing oder im Extremfall für gezielte Angriffe missbraucht werden.
- Nutze Anonymisierungsmöglichkeiten beim nächsten Kauf, sei besonders vorsichtig bei jeglichen Supportanfragen und spiele mit dem Gedanken, alternative Kontaktoptionen zu verwenden.
