Vor vier Jahren habe ich KYC bei einer Krypto-Börse abgeschlossen, um etwa 200 Dollar in Bitcoin zu kaufen. Ich lud ein Foto meines Reisepasses hoch, machte ein Selfie, auf dem ich ihn neben mein Gesicht halte, und habe das Ganze innerhalb einer Woche vergessen. Ich habe im Moment keine echte Vorstellung davon, wie viele verschiedene Unternehmen noch immer eine Kopie dieses Reisepasses in einer Datenbank irgendwo gespeichert haben, von der ich nie etwas gehört habe—zur Verifizierung von Identitäten für Börsen, die ich nie genutzt habe.
Ich nenne das das One-Way-Dokumentenproblem. Ein Passwort, das durchgesickert ist, kann man in etwa dreißig Sekunden rotieren. Ein Scan des Reisepasses, eine Ausweisnummer der Regierung, ein Selfie, das mit deinem Gesicht abgeglichen wird, lässt sich hingegen überhaupt nicht rotieren. Sobald eines dieser Dokumente in einer kompromittierten Datenbank liegt, liegt es dort dauerhaft, an deine echte rechtliche Identität gebunden, verfügbar für alle, die es heruntergeladen haben, bevor man den Fehler, durch den es kam, behoben hat.
Die letzten zwölf Monate haben diesem Problem echte Zahlen gegeben. Im Februar fanden Forschende eine ungesicherte Datenbank eines Identitätsverifizierungsanbieters namens IDmerit, die ungefähr eine Milliarde Datensätze in 26 Ländern freigab — vollständige rechtliche Namen, Wohnadressen, behördliche Ausweisnummern, Telefonnummern und KYC-Verifizierungsprotokolle; davon waren über 200 Millionen Datensätze allein mit US-Nutzern verknüpft. Berichten zufolge war die Datenbank monatelang unbemerkt exponiert, bevor überhaupt jemand darauf aufmerksam wurde. Im Januar blieb zudem eine separate Panne bei Sumsub, einem KYC-Anbieter, der von Bitget, Bybit, MoonPay, Bitpanda, Wirex, BingX, MEXC, Huobi und Coinlist genutzt wird, rund achtzehn Monate lang unentdeckt — das heißt, ein Versagen eines einzelnen Anbieters setzte Nutzer still und zugleich in neun verschiedenen Börsen dem Risiko aus, und keiner dieser Anbieter hatte eine Möglichkeit zu wissen, dass ihre Dokumente irgendwo upstream in einem kompromittierten System lagen, dem sie eigentlich nicht vertrauten. Und die Dollar-Zahl, die all das in etwas verankert, das mehr ist als nur eine Anzahl Datensätze: Eine große Börse bezifferte in einer eigenen SEC-Einreichung nach einer separaten Panne im Jahr 2025 die Kosten für die Behebung auf 180 bis 400 Millionen US-Dollar — für Kundenerstattungen, Sicherheits-Upgrades und das Wiederaufbauen der Support-Operations von Grund auf. Diese Zahl schließt die Sammelklagen, die folgten, nicht ein, und auch nicht die Kosten, die niemand beziffern kann, für die Kunden, deren Dokumente schlicht jetzt da draußen sind — dauerhaft, für immer.

Newtons Identitätsmodell basiert auf einer konkreten Designentscheidung, die genau diese Art von Exposition schließen soll. Verifizierungsnachweise werden vom Nutzer gehalten, nicht als Vorrat in einer zentralen Datenbank gesammelt. Und selbst der Verifizierungsschritt selbst läuft innerhalb dessen, was das Protokoll als eine TEE-Umklammerung (Trusted Execution Environment) bezeichnet — eine abgeschottete Verarbeitungsumgebung, in der der Betreiber, der dein Zertifikat bestätigt, das zugrunde liegende Dokument oder das Bild nie tatsächlich zu Gesicht bekommt, sondern nur das Ergebnis „Bestanden“ oder „Nicht bestanden“. Die Blockchain und alle, die danach damit arbeiten, sehen einen kryptografischen Beleg dafür, dass eine Prüfung stattgefunden hat. Niemand sammelt eine Kopie deines Reisepasses in einer Tabelle, die ein künftiger Sicherheitsvorfall dann auf einen Schlag ausliefern könnte.
Ich weiß wirklich nicht, ob das das einseitige Dokumentenproblem vollständig löst, oder ob es es lediglich eine Stufe früher in der Kette verschiebt. Irgendwo muss zumindest einmal der ursprüngliche Aussteller, eine Regierungsdatenbank, ein KYC-Anbieter, der die erste Prüfung durchführt, dein tatsächliches Rohdokument erst einmal verarbeiten, um überhaupt das Zertifikat auszustellen. Newtons Modell verändert, was mit deinen Daten nach diesem Punkt passiert. Es beseitigt nicht die Tatsache, dass irgendeine Stelle irgendwo das echte Dokument mindestens einmal berührt hat, und dieser eine Berührungspunkt bleibt eine Stelle, an der es zu einem Sicherheitsvorfall wie bei IDmerit oder Sumsub kommen könnte. Das Zeitfenster wird enger. Ich glaube nicht, dass es vollständig schließt.
Ich weiß immer noch nicht, wie vielen Unternehmen ich einen Passkopie von einem 200-Dollar-Kauf vor vier Jahren hinterlassen habe, die ich weitgehend vergessen habe. Was ich mir künftig tatsächlich wünschen würde, ist nicht, dass noch ein weiterer Anbieter verspricht, diese Kopie besser zu schützen als der letzte es getan hat. Ich brauche ein System, in dem der Nachweis, dass ich eine echte und berechtigte Person bin, nicht jedes Mal bedeutet, mein Gesicht einer neuen Datenbank zu übergeben.

