Hongkong verbietet SMS- und E-Mail-Logins für Krypto-Plattformen
Die SFC will Phishing und Account-Übernahmen nach einem Rekordjahr mit Cybervorfällen eindämmen. Plattformen sollen auf Passkeys und andere phishingresistente Logins umstellen.

Wichtigste Erkenntnisse
- Die Aufsicht in Hongkong, die SFC, untersagt OTP-Logins per SMS, E-Mail und Apps für Krypto-Plattformen und Internetbroker.
- Plattformen müssen auf Passkeys und andere phishingresistente Verfahren umstellen, große Broker sollen das sofort umsetzen.
- Hintergrund sind 15.877 Cybersicherheitsvorfälle in Hongkong im Jahr 2025, davon entfielen 57 Prozent auf Phishing.
Die SFC in Hongkong untersagt Krypto-Plattformen und Internetbrokern künftig One-Time-Password-Logins per SMS, E-Mail und Apps. Mit der Vorgabe will die Aufsicht Phishing-Risiken senken, nachdem die Region ein Rekordjahr bei Cybervorfällen verzeichnet hat. Anbieter müssen auf Passkeys und andere phishingresistente Verfahren umstellen, große Broker sind dazu sofort verpflichtet.
Strengere Login-Regeln
Die Securities and Futures Commission hat dazu ein Rundschreiben veröffentlicht. Darin verlangt sie, dass Anbieter Kunden-Logins mit Device Binding verknüpfen und verdächtige Login-Versuche, Trades sowie Withdrawals aktiv erkennen. Zudem sollen Kunden bei wichtigen Account-Ereignissen schneller informiert werden.
Nach Angaben der Aufsicht haben Unternehmen 12 Monate Zeit, um die neuen Vorgaben umzusetzen. Große Broker müssen sie ohne Übergangsfrist einhalten. Bereits im Februar 2025 hatte die SFC vor den Risiken von OTP-Logins gewarnt, macht diese Linie nun aber verbindlich.
Phishing treibt die Maßnahme an
Auslöser für den Schritt sind 15.877 Cybersicherheitsvorfälle in Hongkong im Jahr 2025, was einem Anstieg von 27 Prozent gegenüber dem Vorjahr entspricht. Auf Phishing entfielen 57 Prozent der Fälle. Botnets kamen auf 18 Prozent, Malware auf 15 Prozent. Im Jahr 2023 lag die Gesamtzahl noch bei 7.752 Vorfällen.
Die Aufsicht verweist zudem auf den breiteren Druck im Kryptosektor. Weltweit beliefen sich die Phishing-Verluste rund um crypto Wallets im ersten Quartal 2026 auf etwa 306 $ Millionen (268 € Millionen). Nach Einschätzung der SFC greifen Angreifer immer häufiger auf gestohlene Zugangsdaten zurück, statt technische Schwachstellen auszunutzen.
Was das für Krypto bedeutet
Für europäische Krypto-Leser ist vor allem relevant, dass Hongkong die Verantwortung nun klar beim Anbieter verortet. Laut SFC kann das Senior Management direkt für Kundenschäden haftbar gemacht werden, wenn die Sicherheit nicht ausreicht. Das fügt sich in einen internationalen Trend ein, bei dem Aufsichtsbehörden Phishing und Account-Übernahmen strenger adressieren.
Die Aufsicht in Hongkong hat in der Vergangenheit auch betrügerische Websites auf eine Blacklist setzen lassen, die sich als lizenzierte Krypto-Exchanges ausgegeben haben. Damit zeigt sich, dass es bei dem Ansatz nicht nur um sichere Logins geht, sondern um einen breiteren Schutz vor Scams und Missbrauch rund um Handelsplattformen.