Die japanische Finanzaufsichtsbehörde FSA schlägt verbindliche Cybersicherheitsstandards für Kryptobörsen vor

Die japanische Finanzdienstleistungsbehörde hat kürzlich einen Entwurf für einen neuen Rahmenplan veröffentlicht, der verbindliche Cybersicherheitsstandards für Kryptowährungsbörsen festlegt. Dies markiert einen Wendepunkt: von individueller, auf einzelne Vermögenswerte fokussierter Sicherheit hin zu Verteidigungsprotokollen für das gesamte Ökosystem (pro Börse), da Cyberangriffe im gesamten Sektor der digitalen Vermögenswerte weiter zunehmen.

Die Richtlinien wurden am 10. Februar 2026 bekannt gegeben und führen obligatorische Cybersecurity Self-Assessments (CSSA) für alle registrierten Kryptobörsen ein, die in Japan tätig sind. 

Die FSA nimmt bis zum 11. März öffentliche Stellungnahmen entgegen und gibt damit wichtigen Akteuren wie Börsen und Sicherheitsexperten drei Wochen Zeit, um Feedback zu geben, bevor die Vorschriften für die Umsetzung im japanischen Fiskaljahr 2026 (beginnend am 1. April) endgültig verabschiedet werden.

Cold Wallets reichen angesichts zunehmender indirekter Angriffe nicht mehr aus

Die FSA beobachtete in letzter Zeit einen Anstieg komplexer indirekter Angriffe. Angesichts der sich verschärfenden Lage reicht die alleinige Verwendung von Cold Wallets möglicherweise nicht mehr aus, um eine sichere Vermögensverwaltung zu gewährleisten. Dies deutet auf einen Wandel in der japanischen Regulierungsphilosophie hin.

Während Offline-Cold-Wallets Vermögenswerte vor direktem Remote-Hacking schützen, räumte die Behörde ein, dass sich moderne Bedrohungsakteure daran angepasst haben, indem sie die personelle und operative Infrastruktur ins Visier nehmen, die die Verwaltung digitaler Vermögenswerte unterstützt.

Andere Analysten merkten an, dass der CSSA-Rahmen die Börsen dazu verpflichten wird, verschiedene Aspekte ihrer Sicherheitsbereichematiczu bewerten, sei es die technische Infrastruktur (wie Wallet-Sicherheit und Netzwerkarchitektur), menschliche und operative Risiken (einschließlich Mitarbeiterschulungen und Phishing-Protokolle), das Management von Drittanbietern oder der Schutz der Datenintegrität, die mit dem japanischen Datenschutzgesetz konform sein müssen.

Diese Umstellung ist eine Folge mehrerer aufsehenerregender Sicherheitsvorfälle im Jahr 2024, die diese Schwachstellen offengelegt haben. Die Richtlinien konzentrieren sich insbesondere auf Angriffe, die technische Schutzmaßnahmen umgehen, indem sie Mitarbeiter durch Phishing-Kampagnen kompromittieren oder Dienstleister undtracinfiltrieren, die Zugriff auf Börsensysteme haben.

Das Drei-Säulen-Modell erfordert die Beteiligung der gesamten Branche

Die erfolgreiche Umsetzung dieser neuen Strategie beruht auf drei Säulen, die zusammen ein mehrschichtiges Verteidigungssystem bilden. Dazu gehören Selbsthilfe, gegenseitige Hilfe und staatliche Unterstützung. Diese Säulen werden unterschiedliche Aspekte berücksichtigen und gleichzeitig das Sicherheitssystem der Branche stärken.

Die Säule „Selbsthilfe“ legt die Hauptverantwortung für die Sicherung des eigenen Betriebs den einzelnen Börsen auf. Sie tritt im Geschäftsjahr 2026 (1. April) in Kraft und verpflichtet alle registrierten Kryptowährungsbörsen zur Durchführung der zuvor genannten obligatorischen Prüfungen.

Die Säule „gegenseitige Unterstützung“ nutzt kollektive Intelligenz, gestützt auf branchenweite Zusammenarbeit . Die FSA wird die Sicherheitsausschussfunktionen der Japan Virtual and Crypto Assets Exchange Association (JVCEA) stärken und gleichzeitig Börsen zur aktiven Beteiligung am Informationsaustausch anregen, um Bedrohungen, Angriffsmuster und Verteidigungsstrategien branchenweit besser kommunizieren zu können.

Wenn also eine Börse eine neue Social-Engineering-Strategie oder eine andere Schwachstelledent, stehen diese Informationen zur Verfügung, um andere Betreiber zu schützen, bevor sie etwas Ähnliches erleben.

Schließlich wird die Säule „öffentliche Hilfe“ vorsehen, dass die FSA die im Fiskaljahr 2025 begonnene internationale gemeinsame Blockchain-Forschung zu neu auftretenden Bedrohungen fortsetzt und innerhalb von drei Jahren nach Verabschiedung der Richtlinie den gesamten Krypto-Börsensektor in die „Delta Wall“, eine gemeinsame Cybersicherheitsübung für Finanzorganisationen, einbezieht. 

Wie geht es mit den in Japan tätigen Börsen weiter?

Im Geschäftsjahr 2026 plant die FSA, echte Penetrationstests bei bestimmten Betreibern durchzuführen und möglicherweise ethische Hacker zu engagieren, um in laufende Börsensysteme einzudringen. 

Diese autorisierten AngriffedentSchwachstellen, bevor sie von Angreifern ausgenutzt werden können. Die Ergebnisse werdendentweitergegeben, um betroffenen Börsen bei der Behebung von Sicherheitslücken zu helfen. Dies ermöglicht eine objektive Überwachung, die bei Selbstbewertungen möglicherweise vernachlässigt wurde.

Die Drei-Säulen-Struktur schafft Verantwortlichkeit auf jeder Ebene: Die Börsen tragen die Hauptverantwortung für ihre eigene Sicherheit (Selbsthilfe), die Branche teilt kollektives Wissen und erhöht die Standards (gegenseitige Hilfe), und die Regierung überwacht, testet und unterstützt sie (öffentliche Hilfe). 

Die FSA ist überzeugt, dass diestron, anpassungsfähigeres Ökosystem hervorbringen wird, das in der Lage ist, sich gegen gegenwärtige und zukünftige Bedrohungen zu verteidigen.

Wenn Sie das hier lesen, sind Sie schon einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden .