Ein Prop-Trade-Unternehmen hat die Sozialversicherungsnummern seiner Händler preisgegeben – Was der Topstep-Datenverstoß bedeutet

Wenn Händler beim Eigenhandel an Risiken denken, denken sie an Hebelwirkung, Drawdown und Liquidation. Was die meisten jedoch außer Acht lassen, ist das Risiko, das im KYC-Formular schlummert, das sie für ihre Auszahlung ausfüllen mussten. Zwei separate Cyberangriffe auf Topstep Ende 2025 legten Namen von Händlern, Sozialversicherungsnummern und behördliche Ausweisdaten offen.

Es werden nun Sammelklagen eingereicht. Und die Geschichte wirft eine Frage auf, die sich jeder finanzstarke Trader mit einem KYC-verifizierten Konto jetzt stellen sollte .

Es handelte sich um zwei unterschiedliche Vorfälle, und es ist wichtig, beide zu verstehen.

Der erste Vorfall war ein DDoS-Angriff am 8. September 2025. Nach einer umfassenden internen Überprüfung stellte Topstep am 3. Dezember 2025 fest, dass zwischen dem 8. September und dem 16. Oktober möglicherweise unbefugt auf bestimmte Dateien mit personenbezogenen Daten zugegriffen wurde. Betroffene Händler erhielten Anfang Januar 2026 Schreiben, in denen bestätigt wurde, dass ihre Namen und Sozialversicherungsnummern möglicherweise kompromittiert wurden.

Der zweite Vorfall war ein Credential-Stuffing-Angriff am 14. Dezember 2025, der am Folgetag entdeckt wurde. Topsteps erste öffentliche Stellungnahme versuchte, diesen Vorfall auf Händler zurückzuführen, die Passwörter von anderen gehackten Websites wiederverwendet hatten – eine Darstellung, die in der Trading-Community erhebliche Kritik hervorrief und zu den nun eingeleiteten rechtlichen Schritten beitrug.

Topstep reagierte mit der Blockierung verdächtigen IP-Verkehrs, der erzwungenen Zurücksetzung von Passwörtern, der verpflichtenden Einführung einer zuvor optionalen Multi-Faktor-Authentifizierung und dem Angebot kostenloser Identitätsschutzdienste für betroffene Nutzer. Sammelklagen werden derzeit eingereicht.

Wir möchten etwas klar ansprechen, was in den meisten Berichten über diesen Vorfall vermieden wurde.

Topstep ist nicht allein fahrlässig. Es ist das Unternehmen, das erwischt wurde. Das eigentliche Problem ist struktureller Natur: Jedes Unternehmen im Bereich Prop-Trading, das eine KYC-Verifizierung verlangt, speichert Daten, die mindestens amtliche Ausweisdokumente und in vielen Fällen Sozialversicherungsnummern oder Steueridentifikationsnummern enthalten. Diese Daten befinden sich auf Servern. Und genau diese Server sind potenzielle Ziele.

Die Prop-Trading-Branche ist rasant gewachsen, ohne dass ihre Datensicherheitsinfrastruktur ausreichend geprüft wurde. Unseren Beobachtungen zufolge handelt es sich bei den meisten Unternehmen nicht um regulierte Finanzinstitute mit verbindlichen Sicherheitsstandards. Es sind private Unternehmen mit unterschiedlichen Investitionen in ihre technische Sicherheit. Wenn sie zur Erfüllung der Zahlungsabwicklungsanforderungen Identitätsdokumente erfassen, schaffen sie ein Haftungsrisiko, das ihre Händler vor der Einreichung selten bedenken.

Die Frage ist nicht, ob Topstep es hätte besser machen können. Die Frage, die sich jeder finanzierte Händler vor seiner nächsten KYC-Einreichung stellen sollte, lautet: Welche Daten speichert dieses Unternehmen über mich, wo werden sie gespeichert und welche Nachweise habe ich dafür, dass sie angemessen geschützt sind?

Aus den von uns analysierten Fällen geht hervor, dass Krypto-Prop-Trader einem deutlich akuten Risiko ausgesetzt sind als Futures- oder Forex-Prop-Trader, und zwar aus zwei Gründen.

Erstens agieren Krypto-Prop-Trading-Firmen international mit begrenzter regulatorischer Aufsicht. Es gibt keinen verbindlichen Sicherheitsstandard, der dem PCI-DSS für Zahlungsabwickler oder den Cybersicherheitsanforderungen der CFTC für registrierte Futures-Firmen entspricht. Die Messlatte für angemessenen Datenschutz wird faktisch von jeder Firma selbst festgelegt.

Zweitens erfordern Auszahlungsstrukturen im Krypto-Prop-Trading häufig eine Identitätsprüfung erst bei der Auszahlung und nicht schon bei der Registrierung. Das bedeutet, dass Trader ihre KYC-Dokumente manchmal erst einreichen, nachdem sie bereits gehandelt haben und Gewinne einstreichen möchten – in einem Moment höchster Motivation, in dem die Überprüfung der Sicherheitsmaßnahmen des Unternehmens das Letzte ist, woran sie denken.

Die Challenge-Regeln von Mubite erfordern weder bei der Registrierung noch während der Challenge-Phase selbst eine Identitätsprüfung. Diese erfolgt erst bei der Auszahlung. Das bedeutet, dass sensible Daten nur von einer deutlich kleineren Gruppe – nämlich ausschließlich von Tradern, die die Challenge erfolgreich abgeschlossen und eine Auszahlung beantragt haben – erhoben werden, anstatt von jedem einzelnen Registranten im Voraus. Dieser kürzere Zeitraum stellt einen wesentlichen strukturellen Unterschied zu Unternehmen dar, die Dokumente anfordern, bevor ein Trader überhaupt einen Trade platziert hat.

Wenn Sie KYC-Dokumente an ein Immobilienunternehmen übermittelt haben, empfehlen wir Ihnen die folgenden Schritte, unabhängig davon, ob das Unternehmen einen Sicherheitsvorfall gemeldet hat:

• Melden Sie sich bei einem Kreditüberwachungsdienst an, wenn Sie Ihre Sozialversicherungsnummer an ein Kreditauskunftsunternehmen übermittelt haben. Kostenlose Optionen umfassen die Überwachungstools der Kreditauskunfteien selbst, und viele US-amerikanische Unternehmen sind nach einem Datenleck gesetzlich verpflichtet, diesen Service anzubieten.

• Aktivieren Sie die Multi-Faktor-Authentifizierung für jedes Konto, das mit einer Handelsplattform, einem Zahlungsdienstleister oder einer für Handelsaktivitäten verwendeten E-Mail-Adresse verbunden ist. Credential-Stuffing-Angriffe sind gerade deshalb erfolgreich, weil Händler Passwörter plattformübergreifend wiederverwenden.

• Prüfen Sie, ob die Unternehmen, die Ihre Daten speichern, eine Sicherheits- oder Datenschutzrichtlinie veröffentlicht haben, die beschreibt, wie Ausweisdokumente gespeichert, verschlüsselt und abgerufen werden. Falls diese Informationen nicht veröffentlicht sind, fragen Sie direkt nach, bevor Sie Dokumente einreichen.

• Überwachen Sie Ihre Konten bei allen Prop-Trading-Firmen, die KYC-Prüfungen bei ungewöhnlichen Aktivitäten verlangt haben, insbesondere im Zusammenhang mit Auszahlungsanforderungen und Änderungen der Kontoeinstellungen.

Die Risikomanagementprinzipien , die ein kapitalisiertes Handelskonto schützen, gelten gleichermaßen für die personenbezogenen Daten, die mit diesem Konto verknüpft sind. Sie würden nicht ohne Stop-Loss handeln. Geben Sie Ihre Ausweisdokumente nicht heraus, ohne zu verstehen, welche Schutzmaßnahmen dahinterstecken.