Kraken
Security Labs
Kraken ist die sicherste Börse für digitale Assets, weil wir Sicherheit leben – mehrere erstklassige Teams testen unsere Produkte und Services.
Wir wissen aber auch, dass unser Erfolg vom Erfolg anderer in der Kryptowährungs-Community abhängt.
Kraken
Security Labs
Deshalb haben wir Kraken Security Labs ins Leben gerufen. Dieses Team besteht aus herausragenden Sicherheitsforschern, die sich zum Ziel gesetzt haben, das Kryptowährungs-Ökosystem zu schützen und zu fördern, indem sie:
Gängige Produkte und Dienstleistungen von Drittanbietern testen
mit Anbietern zusammenarbeiten, um Probleme zu beheben
die Öffentlichkeit darüber informieren, wie sie sich am besten schützen kann
Verpflichtung zur verantwortungsvollen Offenlegung
Wenn ein Sicherheitsforscher eine Schwachstelle entdeckt, sollte er sich am besten mit dem Anbieter in Verbindung setzen, damit dieser das Problem beheben kann.
Obwohl dies theoretisch einfach klingt, können in der Praxis viele Herausforderungen auftreten:
Was passiert, wenn der betroffene Anbieter nicht reagiert?
Möglicherweise will der Anbieter das Problem nicht eingestehen oder er hat kein Bug Bounty-Programm.
Wie viel Zeit sollte dem Anbieter eingeräumt werden, um das Problem zu beheben?
Einige Sicherheitslücken sind nicht einfach zu schließen und Anbieter ziehen es oft vor, neue Funktionen zu entwickeln, anstatt bestehende Probleme zu beheben.
Sollte der Forscher das Problem der Öffentlichkeit mitteilen und wenn ja, wann?
Jeder White-Hat-Hacker macht sich Sorgen, dass die von ihm gefundene Schwachstelle bereits bekannt ist und von böswilligen Akteuren ausgenutzt wird. Jeder Moment, in dem der Anbieter keinen Patch veröffentlicht, lässt die Öffentlichkeit im Dunkeln und ohne Schutzmaßnahmen. Die Offenlegung ist das einzige Druckmittel, den Forscher haben, um einen Anbieter zur Behebung des Problems zu bewegen.
Kurz gesagt: Verantwortungsvolle Offenlegung von Schwachstellen bedeutet für jeden etwas anderes – es ist grundsätzlich schwierig, die Interessen von Anbietern und Nutzern in Einklang zu bringen.
Wir bei Kraken Security Labs sind der festen Überzeugung, dass es für Forschungsteams wie uns unerlässlich ist, mit Anbietern zusammenzuarbeiten, um Probleme in ihren Produkten zu beheben und sie der Öffentlichkeit mitzuteilen.
Um dieses Ziel zu erreichen, hat Kraken Security Labs Schwachstellen in einer Vielzahl von Kryptowährungs-Produkten und -Diensten offengelegt und mit den Anbietern an deren Behebung gearbeitet. Die Details unserer Richtlinie zur Offenlegung von Schwachstellen findest du hier.
Hardware-Wallets für Kryptowährungen
Wir finden, du solltest dein gesamtes Guthaben nicht auf einer Börse aufbewahren – auch nicht bei uns.
Deshalb kaufen und testen wir regelmäßig Produkte, mit denen Kunden ihre Kryptoassets selbst verwahren können.
Wir haben für folgende Produkte Sicherheitslücken und Hinweise veröffentlicht:
Kryptowährungsdienste
Bei Kraken ermutigen wir alle unsere Kunden, jeden Kryptowährungsdienst zu testen und zu verifizieren, dem sie ihre Mittel oder Daten anvertrauen möchten.
Wir haben Sicherheitshinweise und Meldungen zu folgenden Diensten veröffentlicht:
Unsere Grundsätze zur Offenlegung von Schwachstellen
Du hast widersprüchliche Berichte zu einer Veröffentlichung von Kraken Security Labs gehört?
Es ist üblich, dass Anbieter und Sicherheitsforscher die Schwere einer Sicherheitslücke unterschiedlich einschätzen.
Sicherheitsforscher wollen mit ihrer Arbeit möglichst viel bewirken – Anbieter hingegen neigen dazu, das Ausmaß eines Problems herunterzuspielen.
Interpretation des Schweregrads
Sicherheitslücken werden üblicherweise nach Schweregrad von Low bis Critical eingestuft. Nicht jede von Kraken Security Labs oder anderen Forschern veröffentlichte Schwachstelle ist Critical.
Dennoch halten wir es für wichtig, dass diese Fehler aufgedeckt werden.
Selbst eine Handvoll Schwachstellen mit niedrigem, mittlerem und hohem Schweregrad kann von Angreifern auf koordinierte Weise genutzt werden, um einen großen Schaden am Zielgerät zu verursachen.
Vorteile der Offenlegung
Die Veröffentlichung dieser Erkenntnisse kann weitere Forschungsarbeiten anstoßen.
Sicherheitsforscher bauen häufig auf den Ergebnissen anderer auf – sie veröffentlichen Schwachstellen, die behoben werden sollten, aber keine vollständige Übernahme ermöglichen, und publizieren Forschung, die der Anbieter nicht sofort für behebungswürdig hält.
Deshalb wäre es nicht verantwortungsvoll, als Sicherheitsforscher zu schweigen, nur weil eine Schwachstelle nicht als Critical eingestuft ist.
Wir bemühen uns, Offenlegungen zu veröffentlichen, die für die Öffentlichkeit so verständlich und transparent wie möglich sind, damit du dir ein eigenes Bild von der Schwere des Problems machen kannst.
Gemeinsam für eine stärkere Branche
Nicht nur Kraken ist überzeugt: Die Branche ist stärker und sicherer, wenn Forschungsteams und Anbieter zusammenarbeiten.
Wie du aus den folgenden Erfahrungsberichten sehen kannst, stehen die Werte und Bedürfnisse der Kryptowährungsindustrie im Einklang mit der Arbeit von Kraken Security Labs.
Wir freuen uns, dass Kraken Security Labs Ressourcen in die Verbesserung der Sicherheit des gesamten Bitcoin-Ökosystems investiert. Wir schätzen diese verantwortungsvolle Offenlegung und Zusammenarbeit sehr.
CoolBitX dankt dem Team von Kraken Security Labs herzlich dafür, dass sie die Sicherheitsprozesse von CoolWallet S so genau unter die Lupe genommen haben. Eine so frische und fachkundige Perspektive auf mögliche Angriffsvektoren und Geräteanfälligkeiten ist für unser Team und die Community, die wir bedienen, von unschätzbarem Wert.
Wir möchten uns auch bei Kraken für ihre unglaubliche Arbeit bedanken. Wir schätzen es sehr, dass sie eine ähnliche Position einnehmen wie unser eigenes Ledger Donjon-Team: Wir tragen unseren Teil dazu bei, die Sicherheit der gesamten Kryptowährungsbranche zu verbessern.
Folge uns!
Um unsere Arbeit zu verfolgen und über Neuigkeiten auf dem Laufenden zu bleiben, kannst du ein Lesezeichen für unseren offiziellen Blog erstellen oder deine E-Mail-Adresse eingeben, um unseren Newsletter zu abonnieren und Benachrichtigungen über neue Beiträge per E-Mail zu erhalten.