Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

07.10.2022

Crypto Weekly #74: Das steckt hinter dem 570-Mio.-Dollar-Hack der Binance-Blockchain

Weil Binance die BNB-Blockchain anhalten konnte, dürfte der tatsächliche Schaden deutlich geringer ausfallen. Doch wie konnte es überhaupt zu dem Hack kommen? Und wie dezentral kann eine Blockchain wirklich sein, die man einfach anhalten kann? Außerdem diese Woche: Das EU-Framework zur Krypto-Regulierung nimmt die nächste Hürde - und Bitpandas Geschäftszahlen für 2021 sind öffentlich geworden.

/artikel/crypto-weekly-74

✨ AI Kontextualisierung

Das brutkasten Crypto Weekly ist unser wöchentliches Briefing zum Kryptomarkt und kann hier als Newsletter abonniert werden. Jeden Freitag blicken wir auf die wichtigsten Kursbewegungen und Nachrichten der Krypto-Woche zurück.

Die Kurstafel:

Bitcoin (BTC): 19.600 US-Dollar (+0,8 % gegenüber Freitagnachmittag der Vorwoche)
Ethereum (ETH): 1.300 Dollar (-0,3 %)
BNB: 282 Dollar (-1 %)
Solana (SOL): 33 Dollar (-2,5 %)

Wie es zum Hack der Binance-Blockchain BNB kam

Millionenschwere Hacks sind im Kryptobereich leider alles andere als eine Seltenheit – wie nicht zuletzt ein Blick auf die Rangliste des Portals rekt zeigt, das solche Hacks dokumentiert. Diese Woche hat es nun aber einen ganz großen Namen erwischt: Die größte Kryptobörse der Welt, Binance. Oder genauer gesagt: Die von Binance ins Leben gerufene Blockchain BNB, deren gleichnamiger Token übrigens mit einer Marktkapitalisierung von rund 46 Mrd. US-Dollar aktuell die drittgrößte Kryptowährung nach Bitcoin und Ether ist.

Um Missverständnisse auszuschließen: Die Börse Binance selbst wurde nicht gehackt. Wer nicht nach dem Prinzip “Not your keys, not your coins” vorgeht und seine Bitcoin oder Ether entgegen vieler Empfehlungen auf der Börse liegen lässt, muss sich in diesem Fall dennoch keine Sorgen machen. Der Hack betrifft ausschließlich die BNB-Blockchain und nicht die Börse.

Aber was ist nun passiert? In der Nacht auf Freitag veröffentlichte der offizielle Twitter-Account der BNB Chain eine Stellungnahme, dass aufgrund “irregulärer Aktivitäten” die Blockchain angehalten worden sei. Was natürlich PR-Sprech für einen Hack ist. Die Blockchain wurde am Freitagvormittag wieder in Betrieb genommen.

Mittlerweile sind auch einige Details zum Hack bekannt: Insgesamt betrifft der Hack nach Angaben von Binance BNB-Token im Gegenwert von rund 570 Mio. Dollar. Die tatsächliche Beute des Hackers soll sich allerdings auf deutlich geringere 100 Mio. Dollar belaufen. Durch das Anhalten der Blockchain dürfte der Hacker den restlichen Betrag nicht mehr von der BNB-Chain bekommen haben. Jedenfalls aber sind die Token laut Binance-Chef CZ nicht aus bestehenden Wallets entwendet worden – vielmehr handele es sich um neu geschaffene Token.

Die Kursreaktion des BNB-Token hielt sich übrigens in Grenzen. Gegenüber dem Vortag verlor er rund 3,5 Prozent – auf 7-Tages-Sicht ergibt sich nur ein geringfügiges Minus.

Wie aber kam es überhaupt zum Hack? Laut CZ soll er auf die Cross-Chain-Bridge BSC Token Hub zurückzuführen sein. Cross-Chain-Bridges ermöglichen grob gesagt das Transferieren eines Tokens von einer Blockchain auf eine andere. Das ist etwa für Anwendungen im Bereich Decentralized Finance (DeFi) nützlich – aber gleichzeitig stehen Cross-Chain-Bridges aufgrund von Sicherheitsbedenken schon länger in der Kritik.

So hatte beispielsweise Ethereum-Gründer Vitalik Buterin Anfang des Jahres in einem ausführlichen Reddit-Posting argumentiert, dass die Sicherheit solcher Blockchain-Brücken per se Grenzen habe. Buterins damalige Schlussfolgerung: Die Zukunft heißt zwar “Multi Chain” – nicht aber “Cross Chain”. Anderes formuliert: Ja, mehrere große Blockchains werden nebeneinander existieren, aber nicht unbedingt ineinander verschränkt.

Blockchain-Brücken haben auch bei mehreren der größten Krypto-Hacks dieses Jahres eine Rolle gespielt: So etwa beim 625 Mio. Dollar schweren Hack von Axie Infinity im März. Oder beim Hack der Solana-Bridge Wormhole im Jänner, bei dem 320 Mio. Dollar erbeutet wurden (wobei bei diesem Vorfall das Problem nicht die Sicherheitsarchitektur der Bridge das Problem war, sondern ein klassischer Smart-Contract-Bug). Nun haben wir also einen weiteren großen Hack, der auf eine Bridge zurückzuführen ist.

Wie dezentral kann eine Blockchain sein, die man einfach so anhalten kann?

Aber es gibt noch einen anderen Aspekt, den die Angelegenheit wieder offen gelegt hat: Die mangelnde Dezentralität der Blockchain. Denn: Wie dezentral kann eine Chain wirklich sein, wenn man sie einfach so anhalten kann?

Kritische Stimmen weisen schon länger darauf hin, dass die BNB-Chain mehr oder weniger vollständig von Binance kontrolliert wird. Binance ist darauf bedacht, dieses Image loszuwerden – unter anderem, indem man die Chain von Binance Smart Chain in BNB Smart Chain umbenannt hat (und beim Token lieber das Kürzel BNB verwendet anstelle der vorher gebräuchlicheren Bezeichnung Binance Coin).

Das ist aber natürlich völlig wertlos, wenn keine tatsächlichen Schritte in Richtung stärkerer Dezentralisierung folgen. Dass die Chain nun im Zuge des Hacks angehalten wurde, dürfte die Kritikerinnen und Kritiker weiter bestärken.

Übrigens: Ähnliche Kritik gibt es ja auch an der Solana-Blockchain. Diese ist seit vergangenem Jahr gleich mehrfach offline gegangen, einmal sogar für fast einen ganzen Tag. Auch diese Woche war es wieder einmal soweit. Da der Newswert hier aber mittlerweile eher gering ist, belassen wir es an dieser Stelle dabei.

EU-Krypto-Regulierung-Framework MiCA nimmt nächste Hürde

Stattdessen kommen wir zum Thema Regulierung. Hier standen in den vergangenen Wochen vor allem die USA im Mittelpunkt. Nahezu im Wochentakt gab es entsprechende Neuigkeiten von der US-Börsenaufsicht. Vor kurzem ging etwa aus einer Klage hervor, dass die Behörde Zuständigkeit für sämtliche Token und Anwendungen, die auf Ethereum laufen, beansprucht. Zuvor hatte der Chef der Behörde, Gary Gensler, Staking-Anbietern indirekt mit rechtlichen Schritten gedroht. Und diese Woche wurde bekannt, dass die Börsenaufsicht Kim Kardashian zu einer Millionenstrafe verdonnert hat. Kardashian hatte eine dubiose Coin gegen Bezahlung beworben, ohne dies offen zu legen.

Angesichts der Fülle an Meldungen aus den USA könnte man ganz vergessen, dass sich auch auf dieser Seite des Atlantiks regulatorisch einiges bewegt. Bereits Ende Juni haben Verhandlungsteams des Europäischen Parlaments und der EU-Ratspräsidentschaft eine vorläufige Einigung zum geplanten Regulierungsrahmen “Markets in Crypto-Assets” (MiCA) erzielt.

Diese Woche hat MiCA den nächsten Schritt genommen. Die Staats- und Regierungschefs haben im Europäischen Rat dem Entwurf zugestimmt. Anfang nächster Woche kommt er nun im Ausschuss für Wirtschaft und Währung (ECON) im Europäischen Parlament zur Abstimmung. Und in weiterer Folge wird dann auch im Plenum des Parlaments darüber abgestimmt.

Die Eckpunkte des Entwurfs sind in Crypto Weekly #63 nachzulesen. Außerdem hat der brutkasten im Juli eine detaillierte Analyse des Texts von EY-Rechtsanwalt Martin Hanzl und Blockpit-Chief-Legal-Officer Max Bernt veröffentlicht, die hier abrufbar ist.

MiCA and TFR are finally out – Was verändert sich nun für Krypto-Unternehmen?

Bitpanda machte 2021 fast eine halbe Milliarde Umsatz

Kommen wir abschließend noch nach Österreich – und zwar zu Bitpanda. Die Wiener Investment-Plattform ist im Vorjahr zum Unicorn und – mit dem Aufbau des Aktien-Angebots “Bitpanda Stocks” – zum Neobroker geworden. Diese Woche wurden über einen Bericht des deutschen Magazins Finance FWD nun erstmals konkrete Geschäftszahlen für 2021 öffentlich.

Demnach hat Bitpanda im Vorjahr bei einem Handelsvolumen von 17,9 Milliarden Euro über die Plattform einen Umsatz von 477,9 Millionen Euro erzielt. Zum Vergleich: 2020 waren es deutlich geringere 55 Mio. Euro gewesen. Das Betriebsergebnis lag den Zahlen zufolge 2021 bei 51,7 Mio. Euro, nach Steuern blieb ein Jahresgewinn von 37,5 Mio. Euro.

Diese Zahlen liefern ein interessantes Bild zum Geschäftsverlauf im Bullenmarkt 2021 – aber mittlerweile hat die Stimmung am Markt natürlich gedreht. Rückschlüsse auf die aktuelle Situation lassen die Zahlen somit kaum zu. Klar ist aber: Die schwierige Situation am Markt spürt man auch bei Bitpanda. Im Juni hatte sich das Unternehmen, wie berichtet, von über 200 Mitarbeiterinnen und Mitarbeitern getrennt.

Im Geschäftsbericht 2021 wird für das laufende Jahr ein „moderates Wachstum des Gesamtunternehmens und des damit verbundenen Handelsvolumens“ prognostiziert. Angesichts der Situation am Markt wäre dies sicherlich als Erfolg zu werten.

Bitpanda: Letztes Jahr fast halbe Milliarde Euro Umsatz

Hier geht’s zu allen Folgen des brutkasten Crypto Weekly

Disclaimer: Dieser Text sowie die Hinweise und Informationen stellen keine Steuerberatung, Anlageberatung oder Empfehlung zum Kauf oder Verkauf von Wertpapieren dar. Sie dienen lediglich der persönlichen Information. Es wird keine Empfehlung für eine bestimmte Anlagestrategie abgegeben. Die Inhalte von brutkasten.com richten sich ausschließlich an natürliche Personen.

Deine ungelesenen Artikel:

Carolin Desirée Töpfer

02.06.2026

Cybersecurity: Was tun, wenn die KI angreift?

Gastbeitrag: Während große Konzerne aufgrund des regulatorischen Drucks ihr Cybersicherheits-Level hochschrauben, werden kleine Unternehmen für Angreifer immer interessanter. Mithilfe von Künstlicher Intelligenz erreichen Hacker ganz neue Umsatz-Dimensionen.

/artikel/cybersecurity-was-tun-wenn-die-ki-angreift

Carolin Desirée Töpfer

02.06.2026

Cybersecurity: Was tun, wenn die KI angreift?

/artikel/cybersecurity-was-tun-wenn-die-ki-angreift

Carolin Desirée Töpfer ist externe Chief Information Security Officer, Cybersecurity-Strategin und Gründerin von Cyttraction mit Fokus auf kosteneffizientes Risikomanagement, sichere KI-Nutzung und Cybersecurity-Zertifizierungen. Mit praxisnahen Lernformaten und strategischer Expertise unterstützt sie regulierte Unternehmen dabei, Sicherheitsanforderungen effizient umzusetzen und nachhaltige digitale Resilienz aufzubauen. In ihrem Beitrag warnt sie vor KI-Cyberangriffen und rät Startups und kleinen Unternehmen Cybersicherheit frühzeitig strategisch zu verankern.

„Wir konzentrieren uns jetzt erst mal auf Produkt, Teamaufbau und Sales – Cybersicherheit machen wir dann später.“ Ein Satz, den ich so oder ähnlich häufig von Gründer:innen höre – und der einige Unternehmen schon Multi-Millionen gekostet hat.

Identität stehlen

Cyberkriminelle haben seit KI ihr Repertoire erweitert und finden Milliarden von bereits geleakten Datasets, mit denen sie arbeiten können. Das Ergebnis sind nicht nur technische Attacken, die es in die Headlines internationaler Medien schaffen. Viel schmerzhafter ist es für Unternehmen, wenn es Angreifer zwischen Arbeitsprozesse schaffen, E-Mails und Nachrichten zwischen Team-Mitgliedern, Geschäftspartnern und mit Kunden manipulieren. Anweisungen versenden, die zweifellos echt aussehen und dann mit ganzen Sammlungen an sensiblen Daten verschwinden. Die Identität des CxO stehlen oder Entführungen von Führungskräften vortäuschen, um dem Unternehmen zu schaden.

Neben dem Zeitverlust, der Budget-Verschwendung und den Aufräum-Kosten, kommt dann auch noch der Vertrauensverlust am Markt hinzu, gegenüber Kunden und Investoren. Dinge, auf die Gründer:innen oft erst kommen, wenn es bereits zu spät ist.

„Gesunder Menschenverstand“ oder „Hausverstand“ existiert nicht in der Cybersicherheit!

Aufgrund der oft vernachlässigten digitalen Bildung in Schulen und da viele Arbeitgeber immer noch nicht in effektive Trainings investieren, kommen in jedem Unternehmen Menschen mit ganz unterschiedlichen digitalen Fähigkeiten zusammen. Das gilt für Startup-Teams, Kunden und Investoren gleichermaßen. Hinzu kommen volle ToDo-Listen, Stress-Situationen und die eigene Scham.

Angreifer lieben gestresste, beschämte Arbeitstiere!

Ob jemand in so einem Umfeld eine gefälschte KI-Mail erkennt, die im schlimmsten Fall noch aus dem echten Postfach eines gehackten Geschäftspartners kommt, ist nur noch Glücksfall.

Trotzdem gibt es Teams, die tägliche Angriffe auf allen Ebenen erfolgreich abwehren – weil sie eine holistische Cybersicherheits-Strategie implementiert haben. Diese besteht je nach Geschäftsmodell und Branche aus einem präzisen Projektmanagement und zwischen 60 und 90 Einzelmaßnahmen. Zweck ist in erster Linie der umfassende Schutz der eigenen Arbeit. Gleichzeitig erfüllt das Unternehmen damit Anforderungen von Kunden sowie regulatorische Vorgaben, von denen Gründer:innen oft nicht einmal wissen.

Erste Basis-Maßnahmen sind auch für Startups mit kleinem Budget machbar!

Jede/ r hat heutzutage Angst, gehackt zu werden, Geld zu verlieren und seine eigenen sensiblen Informationen öffentlich im Internet zu finden. Das sehe ich nicht nur an den Fragen, die ich über meine „Social Media“-Kanäle bekomme. Dabei können schon 30-Minuten-Team-Meetings einen enormen Unterschied machen. Offen über Angriffsszenarien und Ängste sprechen, gleichzeitig die aktuellen Sicherheits-Maßnahmen ins Gedächtnis rufen, erhöhen die Aufmerksamkeit für Cyber-Themen sofort!

Auch um Ruhe reinzubringen. Denn wer sowieso immer gleich springt, wenn eine neue Aufgabe um die Ecke kommt, wird wahrscheinlich auch die Aufgaben von Hackern erfüllen. Klare Arbeitsprozesse, 4-Augen-Prinzip und die allgemeine Erlaubnis im Team, Dinge kritisch zu durchdenken, noch zweimal nachzufragen, oder einfach mal kurz durchzuatmen, hat schon so einige teure Fehler verhindert.

Verantwortlichkeiten in ruhigen Zeiten klären

Den größten Hebel haben dabei Gründer und Entscheider. „Founder Mode“ bedeutet oft auch, vieles selbst zu machen. IT Systeme und Sicherheits-Lösungen sind mittlerweile aber so komplex, dass sich das Investment in einen seriösen IT-Dienstleister lohnt. Viele bieten auch eine Hotline für Notfälle an.

Wesentlich günstiger ist es allerdings, diese Notfälle zu verhindern. Denn nach meiner Erfahrung brauchen selbst schnelle kleine Unternehmen sechs bis zwölf Monate, um eine funktionierende Cybersicherheits-Strategie mit allen Maßnahmen aufzubauen. Neben den technischen Upgrades, müssen dabei auch die organisatorischen Strukturen sitzen.

Wo klar ist, wer was wann macht und auch, wer sich um die Cybersecurity Maßnahmen kümmert, Aufräum-Aktionen, Updates und Backups organisiert, geht weniger schief. Bei kleinen Unternehmen muss die Person nicht einmal einen IT-Hintergrund mitbringen. Es beginnt mit Interesse am Thema, Projektmanagement-Skills und der Bereitschaft, das Team regelmäßig mit aktuellen Informationen zu versorgen.

Konflikte eingehen, um sichere Lösungen zu finden

Und auch darum, Konfliktsituationen smart zu lösen. Zum Beispiel beim Thema „Zugriff und Zutritt„: Nicht jeder sollte Zugriff auf alles haben. Dabei geht es nicht darum, Team-Mitglieder zu degradieren, sondern eine saubere Segmentierung zu schaffen. Am stärksten trenne ich hier zwischen Marketing und Kern-Business.

Alles, was sowieso für die Öffentlichkeit und mit verschiedenen Partnern produziert wird, findet bei mir selbst sogar in einer anderen Firma statt. Für Kunden richten wir technische Lösungen und Prozesse ein, die kreatives Marketing erlauben, Kunden-Kommunikation klar strukturiert und gleichzeitig das eigentliche Geschäftsmodell und die damit verbundenen Daten auf einem hohen Level schützt. Wer mit besonders sensiblen Informationen arbeitet, seine Patente aus Forschung und Entwicklung schützen will oder an einer einzigartigen Datenbasis für KI-Modelle arbeitet, kann über Segmentierung kosteneffizient Datenintegrität dort gewährleisten, wo sie wirklich notwendig ist.

Solche Konzepte stehen und fallen mit sicheren Login-Lösungen und der Bereitschaft aller Nutzer, diese auch zu nutzen. Die Aktivierung von 2 Faktor- oder Multi-Faktor-Authentifizierung führt dabei immer wieder zu Diskussionen.

Passwörter reichen schon lange nicht mehr aus, um Accounts zu schützen. Häufig bekommen Nutzer nur über die Abfrage des 2. Faktors mit, dass gerade ein Angreifer versucht, in ihren Account zu kommen.

Keine Schatten-IT, keine Schatten-KI

Wesentlich einfacher wird es, wenn alle im Team wirklich nur die Accounts nutzen, die sie wirklich für ihre tägliche Arbeit brauchen – und die sichere Funktion dieser über regelmäßige Tests oder technisches Tracking sicherstellen. So lässt sich auch vermeiden, dass das eigene Unternehmen zehn Tage offline und per E-Mail nicht erreichbar ist. Wie es zuletzt einer Wiener Geschäftsinhaberin passiert ist.

Auch aus wirtschaftlichen Gründen, kaufen Unternehmen kaum noch komplette Enterprise-Lizenzen für alle Mitarbeiter. Und auch bei Startups lohnt es sich, Lizenzen mindestens einmal im Jahr auszumisten und den jeweiligen Support zu bitten, vorhandene Daten EU DSGVO-konform zu löschen. Denn Accounts die ordentlich gelöscht wurden, können auch nicht zu Datenlecks führen.

Das gleiche gilt für alle KI Tools. Wer ein klares Prüfschema verfolgt, sich nicht vom Hype treiben lässt, unkontrolliertes Vibe Coding verhindert und auch hier ungenutzte Accounts wieder ordnungsgemäß löscht, kann von KI Effizienz profitieren, ohne seine eigene Arbeit oder gleich das ganze Unternehmen zu zerstören.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag