Kraken
Security Labs
Kraken gilt als die sicherste Börse für digitale Assets, weil Sicherheit bei uns oberste Priorität hat. Wir haben sogar mehrere Weltklasse- Teams, die sich ausschließlich dem Testen unserer Produkte und Dienstleistungen widmen.
Wir wissen aber auch, dass unser Erfolg vom Erfolg anderer in der Kryptowährungs-Community abhängt.
Kraken
Security Labs
Deshalb haben wir Kraken Security Labs ins Leben gerufen. Dieses Team besteht aus herausragenden Sicherheitsforschern, die sich zum Ziel gesetzt haben, das Kryptowährungs-Ökosystem zu schützen und zu fördern, indem sie:
Gängige Produkte und Dienstleistungen von Drittanbietern testen
mit Anbietern zusammenarbeiten, um Probleme zu beheben
die Öffentlichkeit darüber informieren, wie sie sich am besten schützen kann
Verpflichtung zur verantwortungsvollen Offenlegung
Wenn ein Sicherheitsforscher eine Schwachstelle entdeckt, sollte er sich am besten mit dem Anbieter in Verbindung setzen, damit dieser das Problem beheben kann.
Obwohl dies theoretisch einfach klingt, können in der Praxis viele Herausforderungen auftreten:
Was passiert, wenn der betroffene Anbieter nicht reagiert?
Möglicherweise will der Anbieter das Problem nicht eingestehen oder er hat kein Bug Bounty-Programm.
Wie viel Zeit sollte dem Anbieter eingeräumt werden, um das Problem zu beheben?
Einige Sicherheitslücken sind nicht einfach zu schließen und Anbieter ziehen es oft vor, neue Funktionen zu entwickeln, anstatt bestehende Probleme zu beheben.
Sollte der Forscher das Problem der Öffentlichkeit mitteilen und wenn ja, wann?
Jeder White-Hat-Hacker macht sich Sorgen, dass die von ihm gefundene Schwachstelle bereits bekannt ist und von böswilligen Akteuren ausgenutzt wird. Jeder Moment, in dem der Anbieter keinen Patch veröffentlicht, lässt die Öffentlichkeit im Dunkeln und ohne Schutzmaßnahmen. Die Offenlegung ist das einzige Druckmittel, den Forscher haben, um einen Anbieter zur Behebung des Problems zu bewegen.
Einfach gesagt: die verantwortungsvolle Offenlegung von Schwachstellen bedeutet für jeden etwas anderes – es ist von Natur aus schwierig, die Bedürfnisse von Anbietern und Benutzern in Einklang zu bringen.
Wir bei Kraken Security Labs sind der festen Überzeugung, dass es für Forschungsteams wie uns unerlässlich ist, mit Anbietern zusammenzuarbeiten, um Probleme in ihren Produkten zu beheben und sie der Öffentlichkeit mitzuteilen.
Um dieses Ziel zu erreichen, hat Kraken Security Labs Schwachstellen in einer Vielzahl von Kryptowährungs-Produkten und -Diensten offengelegt und mit den Anbietern an deren Behebung gearbeitet. Die Details unserer Richtlinie zur Offenlegung von Schwachstellen findest du hier.
Hardware-Wallets für Kryptowährungen
Wir bei Kraken sind der Meinung, dass du nicht alle deine Mittel auf einer Börse aufbewahren solltest, auch nicht bei uns.
Deshalb kaufen und testen wir regelmäßig Produkte, mit denen Kunden ihre Krypto-Assets selbst verwahren können.
Wir haben für folgende Produkte Sicherheitslücken und Hinweise veröffentlicht:
Kryptowährungsdienste
Bei Kraken ermutigen wir alle unsere Kunden, jeden Kryptowährungsdienst zu testen und zu verifizieren, dem sie ihre Mittel oder Daten anvertrauen möchten.
Wir haben für folgende Dienste Sicherheitslücken und Hinweise veröffentlicht:
Unsere Grundsätze zur Offenlegung von Schwachstellen
Vielleicht hast du schon einmal von widersprüchlichen Berichten über eine Offenlegung von Kraken Security Labs gehört.
Es ist völlig normal, dass Anbieter und Sicherheitsforscher die Schwere eines Problems unterschiedlich einschätzen.
Einfach gesagt: Forscher wollen, dass ihre Arbeit die größtmögliche Wirkung erzielt, während Anbieter den Umfang des Problems oft herunterspielen wollen.
Interpretation des Schweregrads
Sicherheitslücken werden normalerweise mit einem Schweregrad von „Niedrig“ bis „Kritisch“ bewertet. Aber nicht jede von Kraken Security Labs oder anderen Forschern aufgedeckte Schwachstelle ist gleich „kritisch“.
Dennoch halten wir es für wichtig, dass diese Fehler aufgedeckt werden.
Selbst eine Handvoll Schwachstellen mit niedrigem, mittlerem und hohem Schweregrad kann von Angreifern auf koordinierte Weise genutzt werden, um einen großen Schaden am Zielgerät zu verursachen.
Vorteile der Offenlegung
Das Veröffentlichen dieser Erkenntnisse kann weitere Arbeiten voranbringen.
Es ist üblich, dass Sicherheitsforscher auf der Arbeit anderer aufbauen, Probleme veröffentlichen, die behoben werden sollten, aber keine vollständige Kompromittierung ermöglichen, und dass sie Forschungsergebnisse veröffentlichen, die der Anbieter im ersten Moment nicht für wichtig hält.
Deshalb wäre es für einen Sicherheitsforscher unverantwortlich, zu schweigen, nur weil er kein Problem von kritischem Schweregrad gefunden hat.
Wir bemühen uns, Offenlegungen zu veröffentlichen, die für die Öffentlichkeit so verständlich und transparent wie möglich sind, damit du dir ein eigenes Bild von der Schwere des Problems machen kannst.
Gemeinsam für eine stärkere Branche
Nicht nur bei Kraken glauben wir daran, dass die Branche stärker und sicherer wird, wenn Forschungsteams und Anbieter zusammenarbeiten.
Wie du aus den folgenden Erfahrungsberichten sehen kannst, stehen die Werte und Bedürfnisse der Kryptowährungsindustrie im Einklang mit der Arbeit von Kraken Security Labs.
Wir freuen uns, dass Kraken Security Labs Ressourcen in die Verbesserung der Sicherheit des gesamten Bitcoin-Ökosystems investiert. Wir schätzen diese verantwortungsvolle Offenlegung und Zusammenarbeit sehr.
CoolBitX dankt dem Team von Kraken Security Labs herzlich dafür, dass sie die Sicherheitsprozesse von CoolWallet S so genau unter die Lupe genommen haben. Eine so frische und fachkundige Perspektive auf mögliche Angriffsvektoren und Geräteanfälligkeiten ist für unser Team und die Community, die wir bedienen, von unschätzbarem Wert.
Wir möchten uns auch bei Kraken für ihre unglaubliche Arbeit bedanken. Wir schätzen es sehr, dass sie eine ähnliche Position einnehmen wie unser eigenes Ledger Donjon-Team: Wir tragen unseren Teil dazu bei, die Sicherheit der gesamten Kryptowährungsbranche zu verbessern.
Folge uns!
Um unsere Arbeit zu verfolgen und über Neuigkeiten auf dem Laufenden zu bleiben, kannst du ein Lesezeichen für unseren offiziellen Blog erstellen oder deine E-Mail-Adresse eingeben, um unseren Newsletter zu abonnieren und Benachrichtigungen über neue Beiträge per E-Mail zu erhalten.