Sicherheitsvorfälle bei Kraken 2025/2026: Was bei der Krypto-Börse tatsächlich passiert ist

Anders als von verschiedenen Medien anfangs geschildert, war der bei Kraken 2025 aufgedeckte Sicherheitsvorfall kein externer Hack mit Zero-Day-Lücke, sondern ein Insider-Vorfall: Ein Mitarbeiter aus dem Support-Team hatte Videos interner Systeme aufgezeichnet und in einem kriminellen Forum geteilt. Im Frühjahr 2026 folgte ein zweiter, ähnlicher Vorfall mit einem anderen Mitarbeiter sowie ein Erpressungsversuch, den Kraken öffentlich zurückwies. Betroffen waren rund 2.000 Konten — 0,02 Prozent der globalen Nutzerbasis. Kraken-CSO Nick Percoco stellte klar: Keine Systeme kompromittiert, keine Kundengelder gefährdet. Der Fall steht im größeren Branchenkontext einer wachsenden Welle von Insider-Recruitment-Kampagnen, die auch Coinbase, Telekom-Anbieter und Gaming-Unternehmen treffen.

Eckdaten der Vorfälle

• Erstvorfall: Februar 2025
• Zweiter Vorfall: Frühjahr 2026, analoge Konstellation mit anderem Mitarbeiter
• Folgender Erpressungsversuch: April 2026, von Kraken öffentlich zurückgewiesen
• Betroffene Konten: ca. 2.000 (0,02 % der globalen Nutzerbasis)
• Art der gesehenen Daten: ausschließlich Kundensupport-Datensätze
• Nicht betroffen: Wallets, private Schlüssel, 2FA-Codes, Kundengelder
• Statement von CSO Nick Percoco: “Our systems were never breached; funds were never at risk; we will not pay these criminals.”
• Betreiber: Payward Inc. (Muttergesellschaft von Kraken)

Was tatsächlich passiert ist — kein klassischer Hack

Der Vorfall folgte einem Muster, das in der Sicherheits-Community seit etwa zwei Jahren stark zugenommen hat: Insider Threat statt externer Exploit.

Februar 2025. Kraken erhielt einen Hinweis auf ein in einem kriminellen Forum kursierendes Video, das eine Person beim Navigieren in internen Kundensupport-Systemen zeigte. Die interne Untersuchung identifizierte ein Mitglied des Support-Teams als Quelle. Der Zugang wurde sofort entzogen, zusätzliche Zugriffskontrollen eingeführt, betroffene Kunden informiert. Kraken arbeitete mit Strafverfolgungsbehörden in mehreren Jurisdiktionen zusammen.

Frühjahr 2026. Ein zweiter, analoger Hinweis. Wieder ein Support-Mitarbeiter, ein neues Video, dieselbe Reaktion: Identifikation, Sperrung, Information der betroffenen Konten. Im Anschluss begann die Erpressung — eine kriminelle Gruppe verlangte Zahlung mit der Drohung, das Videomaterial aus beiden Vorfällen an Medien und in sozialen Netzwerken zu verteilen. Kraken lehnte ab und kündigte juristische Verfolgung an.

Wichtig zur Einordnung: Es gab keinen Zero-Day-Exploit, keine Drittanbieter-Schwachstelle, keinen externen Eindringling, der Systemzugang erlangt hätte. Die Mitarbeiter hatten ihren Zugang regulär — sie haben ihn missbraucht.

Was die Angreifer wirklich gesehen haben — und was nicht

Der Begriff “Datenleck” wird in der Berichterstattung oft pauschal verwendet. Bei Kraken war der Datenumfang klar abgegrenzt:

Eingesehen werden konnten:

• Kundensupport-Tickets und zugehörige Kommunikation
• Stammdaten in dem Umfang, wie sie für Support-Vorgänge sichtbar sind (Name, E-Mail, ggf. Land)
• ggf. Hinweise auf Konto-Status oder Verifizierungslevel

Nicht eingesehen oder kompromittiert:

• Wallet-Adressen und private Schlüssel
• 2FA-Codes oder Authenticator-Seed
• Passwörter oder Passwort-Hashes
• Direkter Zugriff auf Handelskonten
• Möglichkeit, Trades oder Auszahlungen auszulösen

Verglichen mit echten Börsen-Hacks der vergangenen Jahre (Mt. Gox 2014, Coincheck 2018, FTX 2022, Bybit Februar 2025 mit 1,5 Mrd. USD Verlust) ist der Kraken-Vorfall in einer anderen Kategorie: kein Verlust von Kundengeldern, kein Eingriff in die Trading-Infrastruktur.

Das größere Muster — Insider Recruitment als Branchentrend

Der Kraken-Fall ist kein Einzelfall, sondern Teil einer professionellen, organisierten Welle. Wesentliche Merkmale:

• Dark-Web-Rekrutierung von Mitarbeitenden bei großen Krypto-Börsen, Gaming-Plattformen und Telekommunikationsanbietern
• Bezahlung typischerweise zwischen 3.000 und 15.000 USD pro Mitarbeitendem, abhängig vom Zugriffslevel
• Marketingversprechen der Recruiter: “keine Malware nötig, vollständige Anonymität”
• Ziel: kein direkter Diebstahl, sondern Datenmaterial für Phishing-Angriffe auf identifizierte Kunden mit hohem Kontostand

Der prominenteste Vergleichsfall ist Coinbase im Mai 2025: Angreifer bestachen Mitarbeitende eines indischen Customer-Support-Dienstleisters und kamen so an die Daten von rund 70.000 Konten. Coinbase schätzte den Gesamtschaden auf rund 400 Mio. USD — überwiegend durch Phishing-Folgewellen, in denen die geleakten Stammdaten zur Glaubwürdigkeitssimulation eingesetzt wurden. Coinbase lehnte ebenfalls eine 20-Mio.-USD-Lösegeldforderung ab und setzte stattdessen eine Belohnung in gleicher Höhe für Hinweise aus.

Verglichen mit Coinbase liegt der Kraken-Vorfall in Schadensgröße und betroffener Konto-Zahl um Größenordnungen niedriger — was sowohl an der unterschiedlichen Insider-Reichweite als auch an der frühen Erkennung durch Kraken liegt.

Kraken im europäischen Kontext: Erster MiCAR-Lizensiert globaler Anbieter

Für deutsche und europäische Nutzer ist eine zweite Entwicklung mindestens so relevant wie der Sicherheitsvorfall selbst: Kraken hat am 25. Juni 2025 als erste große globale Krypto-Börse eine vollumfängliche MiCAR-Lizenz erhalten — ausgestellt durch die Central Bank of Ireland.

Was das in der Praxis heißt:

• Kraken kann seine Dienste in allen 30 EWR-Staaten direkt und reguliert anbieten
• Aufsicht durch die irische Zentralbank, abgestimmt mit den nationalen Behörden (in Deutschland BaFin)
• EU-weite Schutzstandards für Konsumenten, Transparenzpflichten, robuste Aufsichtsmechanismen
• Lizenz umfasst alle sieben unter MiCAR regulierten Krypto-Aktivitäten — Verwahrung, Handel, Portfolio Management, Zahlungen u. a.

Mehr zum europäischen Regulierungsrahmen und den aktuellen ESMA-Beobachtungen liest du in unserem Beitrag zur MiCA-Verordnung und Maltas Lizenz-Praxis.

Diese regulatorische Einbettung ist für die Bewertung des Insider-Vorfalls relevant: Eine MiCAR-lizenzierte Börse unterliegt nicht nur internen Sicherheitsstandards, sondern auch Meldepflichten gegenüber der Aufsicht bei Sicherheitsvorfällen — über DORA für operationale Resilienz und über die DSGVO für Datenlecks. Kraken hat den Vorfall in beiden Strängen offiziell behandelt.

Bedeutung für Nutzerinnen und Nutzer in Deutschland

Konkrete Auswirkungen für Kraken-Kunden in Deutschland sind aus heutiger Sicht überschaubar. Die wichtigsten Punkte:

• Wer nicht zu den 2.000 betroffenen Konten gehört, ist von den Insider-Vorfällen praktisch nicht betroffen.
• Wer betroffen ist, wurde von Kraken direkt informiert. Hauptrisiko ist eine erhöhte Wahrscheinlichkeit gezielter Phishing-Versuche unter Bezugnahme auf echte Kundendaten.
• Phishing-Folgewellen sind das eigentliche Risiko nach Datenvorfällen dieser Art. Sie nutzen die geleakten Stammdaten, um Glaubwürdigkeit zu simulieren — etwa angebliche Support-Anrufe, die echte Kontonummern oder Verifizierungsstatus nennen.

Empfehlungen, die in diesem Kontext nicht selbstverständlich sind:

• 2FA mit Authenticator-App statt SMS (SIM-Swapping bleibt der häufigste Angriffsweg auf SMS-2FA)
• Withdrawal-Whitelist bei Kraken aktivieren — alle Auszahlungen nur an vorab freigegebene Adressen
• Separates E-Mail-Konto für Börsenkonten, das nicht in andere Dienste verstrickt ist
• Hardware Wallet für langfristig gehaltene Bestände — Trading-Konten halten nur, was aktiv gehandelt wird

Wenn doch Verluste eintreten — Phishing-Folgefälle

In unserer forensischen Praxis sehen wir nach Datenvorfällen dieser Art regelmäßig Phishing-Folgewellen mit 4–8 Wochen Versatz. Die Angreifer arbeiten gezielt mit den geleakten Daten und kontaktieren betroffene Kunden unter dem Vorwand eines “Sicherheitschecks” oder einer “verdächtigen Transaktion”. Wer die Wallet-Daten oder den Seed eines Kunden auf diese Weise erlangt, kann die Coins direkt abziehen.

In solchen Fällen ist das forensische Vorgehen klar:

1. Sofortige Beweissicherung — Wallet-Adressen, Transaktions-IDs, gesamter Kommunikationsverlauf mit den vermeintlichen “Support-Mitarbeitern”, siehe unseren Beitrag zu Beweismittel bei Kryptobetrug.
2. Forensische Erstbewertung über einen Wallet-Check — Klärung, wohin die Coins geflossen sind und welche Anknüpfungspunkte für die Verfolgung bestehen.
3. Stablecoin-Sperranfragen bei USDT- oder USDC-Verlusten — siehe Kryptowährungen blockiert: Wie Tether und Circle helfen. Tether hat seine Sperrkapazitäten 2025 durch die Investition in Crystal Intelligence weiter ausgebaut.
4. Strafanzeige — auch wenn die Aufklärungsquote in der Praxis begrenzt ist, ist die Anzeige Grundlage für eine zivilrechtliche Verfolgung und parallele Sperranfragen.

Fazit

Der Insider-Vorfall bei Kraken ist kein Beleg für eine generelle Unsicherheit der Plattform — er ist ein Beleg dafür, dass die größte aktuelle Bedrohung in der Krypto-Branche nicht in fehlerhafter Software, sondern in der Rekrutierung von Mitarbeitenden mit privilegierten Zugängen liegt. Kraken hat in beiden Fällen schnell reagiert, betroffene Konten informiert, regulatorische Meldewege eingehalten und Erpressungsversuchen widerstanden. Das ist die richtige Reaktion und unterscheidet den Vorfall klar von Fällen, in denen Börsen monatelang vertuschen oder zahlen.

Für deutsche Nutzer ist die zweite, leiser kommunizierte Entwicklung mindestens ebenso relevant: Kraken ist seit Juni 2025 die erste große globale Krypto-Börse mit voller MiCAR-Lizenz und damit in einem dichten EU-Aufsichtsrahmen. Wer die zentralen Hygiene-Maßnahmen (Authenticator-App, Withdrawal-Whitelist, separate E-Mail, Hardware Wallet für Bestände) konsequent umsetzt, ist gegen Phishing-Folgewellen aus Insider-Vorfällen dieser Art gut aufgestellt.

FAQ – Häufige Fragen zum Kraken-Sicherheitsvorfall