Der Hardware-Wallet-Hersteller Ledger wurde von einem weiteren Datenleck betroffen. Der Vorfall ereignete sich über den Drittanbieter Global-e, einen Zahlungsdienstleister des Unternehmens. Blockchain-Analyst ZachXBT machte die Sicherheitsverletzung öffentlich und warnte Nutzer vor einer erhöhten Phishing-Gefahr.
Global-e bestätigte den unbefugten Zugriff auf personenbezogene Daten von Ledger-Kunden, darunter Namen und Kontaktinformationen. Die genaue Anzahl der betroffenen Nutzer gab das Unternehmen jedoch nicht bekannt. Ledger betonte in einer ersten Stellungnahme, dass die eigene Infrastruktur nicht kompromittiert wurde. Die Sicherheitslücke betraf ausschliesslich die Cloud-Systeme von Global-e. Recovery-Phrasen, Private Keys, Wallet-Guthaben oder Zahlungsinformationen seien nicht betroffen, da Global-e keinen Zugang zu diesen sensiblen Daten habe.
Abonnieren Sie unseren Newsletter
Die besten Artikel der Woche direkt in ihre Mailbox geliefert.
Drittanbieter-Risiko im Fokus der Sicherheitsdebatte
Der Vorfall verdeutlicht die Verwundbarkeit von Hardware-Wallet-Anbietern durch externe Dienstleister. Global-e entdeckte die ungewöhnliche Aktivität in seinem Netzwerk und leitete unmittelbar Gegenmassnahmen ein. Das Unternehmen engagierte forensische Experten, um den Umfang der Sicherheitsverletzung zu untersuchen. Die Analyse bestätigte dabei, dass Angreifer auf personenbezogene Daten zugegriffen hatten.
Ledger nutzt Global-e als E-Commerce-Partner für die Abwicklung internationaler Zahlungen. Dieser Ansatz ermöglicht es dem Hardware-Wallet-Hersteller, Kunden in verschiedenen Regionen zu bedienen, schafft allerdings Abhängigkeiten. Die Auslagerung von Zahlungsprozessen an spezialisierte Dienstleister ist in der Branche üblich. Dabei entsteht jedoch eine erweiterte Angriffsfläche, da Kundendaten bei mehreren Unternehmen gespeichert werden.
Die kompromittierten Informationen – Namen und Kontaktdaten – erscheinen auf den ersten Blick weniger kritisch als Wallet-Zugangsdaten. Sicherheitsexperten warnen dennoch vor den Folgen. Die Daten ermöglichen gezielte Phishing-Kampagnen, bei denen Angreifer sich als Ledger-Mitarbeiter ausgeben und Nutzer zur Preisgabe ihrer Recovery-Phrasen verleiten könnten.
Eskalierendes Phishing-Risiko nach Datenlecks
Die exponierten Daten bieten Cyberkriminellen eine Grundlage für ausgefeilte Social-Engineering-Angriffe. Betroffene Nutzer müssen dabei mit einer Zunahme betrügerischer E-Mails rechnen. Diese sind professionell gestaltet und wirken legitim. Angreifer nutzen hierbei die Tatsache, dass echte Kundendaten vorliegen, um Vertrauen zu schaffen.
Ledger warnte bereits nach früheren Vorfällen, dass das Unternehmen niemals nach Recovery-Phrasen, Passwörtern oder Verifizierungscodes fragt. Diese Grundregel bleibt zentral für den Schutz digitaler Assets. Nutzer sollten jegliche Kommunikation, die zur Eingabe sensibler Daten auffordert, als betrügerisch einstufen – unabhängig davon, wie authentisch sie erscheint.
Sicherheitsforscher empfehlen betroffenen Nutzern, erhöhte Wachsamkeit zu wahren. Dazu gehört, verdächtige E-Mails zu ignorieren, keine Links aus unverifizierten Quellen anzuklicken und grundsätzlich keine QR-Codes zu scannen, die zur Eingabe von Recovery-Phrasen auffordern. Zusätzlich sollten Nutzer Zwei-Faktor-Authentifizierung aktivieren, wo immer möglich.
Historie wiederkehrender Sicherheitsvorfälle bei Ledger
Der aktuelle Vorfall reiht sich in eine Serie von Datenlecks ein, die Ledger in den vergangenen Jahren betrafen. Im Juli 2020 ereignete sich die bislang schwerwiegendste Sicherheitsverletzung. Angreifer erlangten Zugriff auf die E-Commerce- und Marketing-Datenbank des Unternehmens und kompromittierten Informationen von etwa 1.1 Millionen E-Mail-Adressen sowie detaillierte Daten von 272'000 Kunden, darunter vollständige Namen, Telefonnummern und Wohnadressen.
Die gestohlenen Daten wurden zunächst verkauft und im Dezember 2020 öffentlich in Hackerforen veröffentlicht. Dies löste eine Welle von Phishing-Kampagnen und Erpressungsversuchen aus. Ledger gab damals an, innerhalb von zwei Monaten 171 Phishing-Websites geschlossen zu haben. Die Folgen reichten jedoch weit über digitale Angriffe hinaus. Kriminelle nutzen exponierte Adressen von Krypto-Besitzern für physische Überfälle – sogenannte "Wrench Attacks". Im Januar 2025 entführten Täter Ledger-Mitgründer David Balland und seine Frau aus ihrem Zuhause in Frankreich. Die Angreifer forderten Lösegeld in Kryptowährungen und trennten Balland einen Finger ab. Die französische Polizei befreite das Paar nach mehrtägiger Geiselnahme. Der Vorfall verdeutlicht, dass Datenlecks bei Krypto-Unternehmen lebensbedrohliche Konsequenzen haben können.
Im Dezember 2020 ereignete sich ein weiterer Vorfall über den E-Commerce-Dienstleister Shopify. Dort exportierten korrupte Mitarbeiter illegal Kundentransaktionsdaten im April und Juni 2020. Eine daraufhin eingereichte Sammelklage gegen Ledger und Shopify wurde im November 2021 von einem kalifornischen Gericht abgewiesen. Im Dezember 2023 kompromittierten Angreifer die Connect-Kit-JavaScript-Bibliothek von Ledger durch einen Supply-Chain-Angriff. Während eines kurzen Zeitfensters wurden knapp 500'000 US-Dollar von Nutzern gestohlen, die mit betroffenen dezentralen Anwendungen interagierten. Dieser Vorfall betraf erstmals nicht nur Kundendaten, sondern führte zu direkten finanziellen Verlusten.
Vertrauensfrage und Branchenstandards
Die wiederkehrenden Sicherheitsvorfälle werfen Fragen zur Resilienz von Hardware-Wallet-Anbietern auf. Ledger betont stets, dass die eigentlichen Hardware-Wallets und die darin gespeicherten Private Keys nicht kompromittiert wurden. Diese Trennung zwischen Produktsicherheit und Unternehmensdaten ist technisch korrekt, greift jedoch zu kurz.
Die langfristigen Folgen von Datenlecks zeigen sich in anhaltenden Phishing-Kampagnen. Betroffene des 2020er-Lecks berichten auch Jahre später von betrügerischen Kontaktversuchen. Die Daten behalten ihren Wert für Kriminelle, solange die betroffenen Personen Kryptowährungen halten.
Für die Branche stellt sich die Frage nach angemessenen Sicherheitsstandards für Drittanbieter. Hardware-Wallet-Hersteller müssen nicht nur ihre eigenen Systeme schützen, sondern auch sicherstellen, dass Partner vergleichbare Sicherheitsmassnahmen implementieren. Die Auslagerung von Zahlungsprozessen und Marketing-Services schafft Abhängigkeiten, die schwer zu kontrollieren sind. Ledger-Nutzer stehen vor der Entscheidung, ob sie dem Unternehmen weiterhin vertrauen. Die Hardware-Wallets selbst gelten weiterhin als sicher – sofern Nutzer ihre Recovery-Phrasen nicht preisgeben. Das grössere Risiko liegt in der exponierten Identität als Krypto-Besitzer, die Angreifer für gezielte Kampagnen nutzen können.
