Beim Berliner Identity-Start-up Fractal ID gab es vor kurzem einen Hack: Die Daten von mehr als 6.000 Kunden wurden gestohlen. Das ist schade, weil Fractal ID eigentlich ein spannendes Produkt für dezentrale Finanzen anbietet.
Am 14. Juli dieses Jahres dürfte im Berliner Büro von Fractal ID Aufregung geherrscht haben. Um 7 Uhr morgens schlugen die Systeme Alarm, weil es ungewöhnliche Aktivitäten auf einem Server entdeckte. Kurz darauf stand fest, dass es sich um einen Angriff handelte. Die Ingenieure schalteten das Teilsystem ab, um den Schaden zu reduzieren.
Doch für 6.300 User, etwa 0,5 Prozent aller Kunden von Fractal ID, war es schon zu spät. Die Hacker haben sensible Daten gestohlen. Welche genau, unterscheidet sich je nach User. Im besten Fall nur den Namen sowie Wallet- und Email-Adresse, im schlimmsten Fall das ganze Programm, einschließlich Postanschrift und Ausweisscan. Ein Alptraum.
Der Vorfall ist wohl eine Folge eines Hacks aus dem September 2022, bei dem ein „Betreiber“ — ein Kunde oder Dienstleister von Fractal ID — mit einer Malware infiziert wurde, die in dieser Zeit herumging. Diese Malware griff ein Passwort ab, und der Betreiber änderte es, trotz des Wissens um den Vorfall, nicht. Mit diesem Passwort konnte der Hacker vor kurzem mit Admin-Privilegien auf interne Systeme zugreifen und die persönlichen Daten entwenden.
Fractal ID hat nun neue Sicherheitsmaßnahmen eingeführt, etwa robustere Login-Systeme und schärfere IP-Kontrollen. Doch ohne Zweifel ist der Vorfall für das Startup ein schwerer Rückschlag. Wie es selbst schreibt, ist man sich bewusst, dass dies „wirklich schmerzhaft für die betroffenen User“ ist, und „auch schmerzhaft für uns, da wir in der Pflicht stehen, die Daten der User zu schützen.“
Dezentrale identität für dezentrale Ökosysteme
Das Berliner Startup bewegt sich als Identitätsdienstleister zwischen altem Web und dem blockchain-basierten Web3. Es bietet eine Software an, durch welche User ihre Identität direkt prüfen lassen oder Unternehmen wie Börsen oder Banken die Identitätsprüfung auslagern können. Anders als andere solche Anbieter verknüpft Fractal ID die Identität aber mit dem Web3 der Blockchains.
Die User können ihre Identität mit einer Wallet-Adresse verknüpfen. Dezentrale Anwendungen (Dapps), wie etwa dezentrale Börsen, können dann per API die Datenbank von Fractal ID nach einer Walletadresse abfragen. Alternativ können Smart Contracts sich mit der DID-Registry verbinden, um auf Listen mit verifizierten Wallet-Adressen zuzugreifen.
Diejenigen, für die die Stärke von Kryptowährungen vor allem in der Anonymität oder Pseudonymität der User liegt, dürften solche Identitäts-Lösungen vehement ablehnen. Doch es gibt einige Anwendungen, in denen kaum ein Weg an ihnen vorbeiführt; es geht hier nicht um das ob, sondern darum, wie schlimm es wird.
So haben Airdrops, die Coins ausschütten, DAOs, bei denen User abstimmen, oder soziale Dapps wie Common Ground ein Interesse daran, nicht von Sockenpuppen, Bots und KIs überrannt zu werden. Der „Proof of Personhood“ erlaubt es Dapps, prüfen zu lassen, ob ein User ein einzigartiges Individuum ist.
Einen Beweis für die vollständige Verifizierung benötigen dagegen dezentrale Börsen, die den Handel mit sogenannten „Real World Assets“ erlauben – etwa Staatsanleihen, Aktien oder andere Wertpapiere. Diese Börsen können sich bei Fractal ID vergewissern, ob eine Wallet, die sich einloggt, verifiziert ist.
Nicht perfekt, aber ein gewaltiger Fortschritt
In beiden Fällen greift die Dapp auf keine privaten Daten zurück. Sie erfährt lediglich, dass Fractal ID den User geprüft hat und, bei Bedarf und je nach Grad der Verifizierung, diese Daten auch besitzt.
Wozu sollte eine dezentrale Börse wissen, wer ein User ist – wenn die Polizei oder das Finanzamt bei Bedarf die Identität herausfinden kann? Und wozu sollte eine Dapp die komplette Identität prüfen, um auszuschließen, es mit einem Bot zu tun zu haben – wenn ein simpler „Proof of Personhood“ ausreicht?
Sicherlich ist Fractal ID nicht perfekt. Aber es ist ein gewaltiger Fortschritt gegenüber klassischen identitätsverfahren, bei denen die privaten Daten, Fotos, Ausweisscans, Namen, Adressen und so weiter nicht nur auf einem, sondern auf zahlreichen Servern liegen, weil jede Börse und jeder Dienstleister sie selbst erheben muss.
Vor allem aber scheint Fractal ID einer der ersten Web3-Identitätsdienstleister zu sein, der eine einigermaßen beachtliche Marktdurchdringung erreicht hat. Das Startup arbeitet mit Blockchain-Ökosystemen zusammen, etwa Polygon, Avalanche, Ripple, Near oder Manta, wie auch mit Dapps, etwa Polytrade, eine dezentrale Börse für Real World Assets, oder Common Ground, einer tokenbasierten Chatapp wie Discord oder Slack. Es wäre schade, wenn der Hack diese Errungenschaften zunichte machen würde.