Coinbase, einer der weltweit größten Kryptowährungsaustausche, steht aktuell im Zentrum eines erheblichen Rechtsstreits, ausgelöst durch einen schwerwiegenden Datenvorfall, der durch bestochene Support-Mitarbeiter in Übersee ermöglicht wurde. Der Vorfall hat nicht nur sensible persönliche Informationen zahlreicher Nutzer offengelegt, sondern auch grundlegende Problematiken in der Sicherheitsstruktur und im Management des Kundenservice offengelegt. Die Enthüllungen und die nachfolgenden Klagen markieren eine kritische Phase für das Unternehmen und werfen Fragen zur Zukunftssicherheit und Regulierung von Kryptowährungsplattformen auf. Der Fall begann mit einem Insider-Skandal, bei dem Cyberkriminelle offenbar einen Teil der Kundensupport-Mitarbeiter bestochen, um Zugang zu sensiblen Nutzerdaten zu erhalten. Diese interne Schwachstelle wurde schnell zum Einfallstor für einen umfassenden Datenverstoß, der es den Angreifern ermöglichte, E-Mail-Adressen, Telefonnummern, teilweise geschützte Kontoinformationen, Sozialversicherungsnummern und Transaktionsdaten auszuspähen.
Obwohl Coinbase betonte, dass keine privaten Schlüssel oder Passwörter kompromittiert wurden, sind die erbeuteten personenbezogenen Daten äußerst wertvoll für Betrüger, da sie den Startpunkt für zielgerichtete Phishing-Attacken und Identitätsdiebstahl bilden. Als Reaktion auf den Vorfall wurden zwischen dem 15. und 16. Mai 2025 mindestens sechs Sammelklagen gegen Coinbase eingereicht. Die Kläger werfen dem Unternehmen gravierende Fahrlässigkeit vor.
Laut den Vorwürfen hat Coinbase es versäumt, grundlegende Sicherheitsprotokolle zu implementieren und aufrechtzuerhalten, die Nutzerinformationen schützen sollten. Die Klagen kritisieren insbesondere die unzureichende Absicherung von Support-Mitarbeitern im Ausland, mangelhafte Mitarbeiterschulungen sowie ein fragmentiertes Krisenmanagement nach Bekanntwerden der Sicherheitslücke. Eine der prominentesten Klagen wurde vor dem US-Bezirksgericht im südlichen Bezirk von New York eingereicht. Der Kläger, Paul Bender, argumentiert, dass Coinbase die anhaltende Gefahr von Identitätsdiebstahl und finanziellem Betrug fahrlässig in Kauf genommen habe. Er betont, dass aufgrund der Unveränderlichkeit der offengelegten Daten die Betroffenen langfristigen Schäden ausgesetzt seien.
Besonders bemängelt wird die verzögerte und unzureichende Benachrichtigung der Nutzer nach Bekanntwerden des Vorfalls sowie das Fehlen von sofortigen Schutzmaßnahmen wie kostenfreie Identitätsüberwachungsdienste. Weitere Kläger aus verschiedenen US-Bundesstaaten, darunter Maine und Texas, schließen sich dieser Einschätzung an. Sie werfen Coinbase vor, systematisch unterinvestiert zu haben, was die Sicherheitsinfrastruktur ihrer Meinung nach unzureichend machte. Die ausländischen Support-Vendoren seien unzureichend überwacht worden, was letztlich die Ausnutzung dieser Schwachstellen ermöglichte. Die Klagen verdeutlichen die Probleme, die sich aus der Auslagerung von sensiblen Aufgaben an Drittanbieter ergeben können, wenn mangelnde Kontrolle und ungenügende Standards vorherrschen.
Eine weitere Klage, eingereicht von der kalifornischen Klägerin Rosemary Ortiz, richtet den Fokus darauf, dass Coinbase durch die unnötige Speicherung veralteter personenbezogener Daten das Ausmaß des Datenlecks erheblich vergrößert habe. Ortiz kritisiert das Unternehmen dafür, Daten zu behalten, für die es weder einen rechtlichen noch einen betriebswirtschaftlichen Grund gebe. Dies habe die Angriffsfläche für die Hacker deutlich erhöht und vermeidbare Risiken geschaffen. Obwohl bisher keine direkten finanziellen Schäden durch den Datenvorfall gemeldet wurden, warnen die Kläger vor lebenslangen Folgen. Die Gefahr, Opfer von Identitätsdiebstahl und weitreichenden finanziellen Betrugsversuchen zu werden, mache umfangreiche und kostspielige Maßnahmen zur Überwachung der eigenen Finanz- und Kreditdaten unumgänglich.
Diese Belastungen summieren sich für die betroffenen Nutzer zunehmend und werfen die Frage auf, inwieweit große Kryptobörsen ihre Verantwortung gegenüber Kunden ernst nehmen. Coinbase selbst reagierte auf die Krise mit transparenten Statements, in denen der Vorfall offengelegt wurde. Das Unternehmen berichtete, dass der Angriff mit einer Erpressungsforderung in Höhe von 20 Millionen US-Dollar verbunden war. Coinbase erklärte, dem Erpressungsversuch nicht nachgegeben zu haben und stattdessen eine Belohnung für Hinweise zur Ergreifung der Täter auszusetzen. Zudem kündigte die Führung an, in enger Zusammenarbeit mit den Strafverfolgungsbehörden zu agieren und zwischen 180 und 400 Millionen US-Dollar für Entschädigungszahlungen und Sicherheitsverbesserungen bereitzustellen.
Als weitere Maßnahmen wurden verstärkte Sicherheitskontrollen eingeführt, darunter erweiterte Identitätsprüfungen und verstärkte Warnhinweise für Scam-Versuche. Die Einführung eines neuen, in den USA ansässigen Kundensupport-Zentrums soll zudem die Überwachung und Kontrolle der Support-Mitarbeiter optimieren. Ein Schwerpunkt liegt zudem auf verbesserter Erkennung von Insider-Bedrohungen und einer sofortigen Kontaktaufnahme mit den betroffenen Nutzern. Der Austausch hat bereits reagiert, indem er die in den Missbrauch verwickelten Support-Mitarbeiter, hauptsächlich aus Indien, entlassen und strafrechtliche Schritte gegen sie eingeleitet hat. Dies zeigt, dass Coinbase die interne Verantwortung für den Vorfall ernst nimmt, wenngleich die langfristigen Folgen des Vertrauensverlustes bei Kunden und Investoren noch offen sind.
Der Skandal bei Coinbase wirft auch ein Schlaglicht auf die wachsenden regulatorischen Herausforderungen, vor denen Kryptowährungsbörsen weltweit stehen. Während die Branche sich rasant weiterentwickelt, zeigt sich zunehmend, dass die Sicherheitsmaßnahmen und Compliance-Strukturen mit dem Wachstum nicht immer Schritt halten. Datenlecks und interne Anschuldigungen gewinnen an Brisanz und dürften Regulierungsbehörden dazu veranlassen, strengere Vorgaben und Prüfmechanismen zu entwickeln. Für Coinbase ist der Datenvorfall eine schwere Hypothek. Die Vielzahl der Klagen reflektiert eine tiefe Unzufriedenheit in der Nutzerbasis und einen Vertrauensbruch, der sich nicht leicht kitten lässt.
