Blog
Opinion

Wir haben professionelle Hacker eingeladen, unsere Plattform anzugreifen. Das ist passiert.

Wie das jüngste Sicherheitsaudit von Hacken beweist, dass Wertpapier-Tokenisierung innovativ und sicher sein kann.
Nyala Platform

Wenn man Unternehmen dabei hilft, Kapital zu beschaffen, und Menschen ermöglicht, in Anleihen, Fonds und digitale Aktien zu investieren, gibt es eine Sache, bei der man niemals Kompromisse eingehen darf: Sicherheit. Vertrauen ist das Fundament jeder Investmentplattform — und Vertrauen muss verdient, getestet und immer wieder neu bewiesen werden.

Deshalb haben wir etwas getan, das zunächst widersprüchlich klingen mag: Wir haben professionelle Sicherheitsexperten dafür bezahlt, uns anzugreifen.

Im Mai 2026 führte Hacken — eines der weltweit führenden Blockchain-Sicherheitsunternehmen, dem die Digital-Asset-Branche seit 2017 vertraut — einen umfassenden Penetrationstest der internen NYALA API durch, dem Maschinenraum hinter unserer Tokenisierungsplattform. Ihre Mission: Schwachstellen finden, bevor es jemand mit bösen Absichten tut.

Die Ergebnisse sind jetzt öffentlich — und wir könnten nicht stolzer sein, sie zu teilen.

Was genau wurde getestet?

Stellen Sie sich die interne NYALA API als die Steuerzentrale unserer Plattform vor. Sie verarbeitet die sensibelsten Vorgänge, die wir betreiben:

Token-Emission — die Umwandlung von Wertpapieren wie Unternehmensanleihen, Fondsanteilen und Aktien in digitale Assets auf der Blockchain

Wallet-Verwaltung — das Erstellen, Absichern und Wiederherstellen der digitalen Wallets, in denen die tokenisierten Wertpapiere der Anleger liegen

Transaktionsverarbeitung — das sichere Signieren und Ausführen von Blockchain-Transaktionen

Smart-Contract-Lifecycle-Management — das Bereitstellen und Verwalten des Codes, der Asset-Tokenisierung überhaupt erst möglich macht

Mit anderen Worten: Hacken hat kein Nebenfeature getestet. Die Prüfer gingen direkt an das Herzstück des Systems, das jede Emission, jede Kapitalbeschaffung und jede Privatplatzierung auf unserer Plattform antreibt.

Auf Basis international anerkannter Standards — darunter der NIST SP 800-115 Leitfaden, der Penetration Testing Execution Standard (PTES) und der OWASP Testing Guide — prüften die ethischen Hacker von Hacken unsere Verteidigung genau so, wie es ein echter Angreifer tun würde.

Das Ergebnis: null kritische Schwachstellen, null Schwachstellen mit hohem Risiko

Hier die Kernaussage, in einfachen Worten:

Hacken fand keine kritischen Schwachstellen und keine Schwachstellen mit hohem Risiko in der NYALA API.

Über die gesamte Prüfung hinweg identifizierten die Auditoren lediglich fünf Findings:

Schweregrad      Findings     Status
Kritisch                     0                —
Hoch                          0               —
Mittel                         1          ✅ Behoben
Niedrig                      1          ✅ Behoben
Beobachtung          3           ✅ 2 behoben, 1 nach Prüfung akzeptiert

Für ein System, das hochsensible Vorgänge rund um digitale Wertpapiere, Wallets und Blockchain-Infrastruktur verarbeitet, ist das ein hervorragendes Ergebnis. Die meisten Findings waren gar keine Sicherheitslücken, sondern Beobachtungen: Feinschliff-Empfehlungen, etwa Fehlermeldungen für potenzielle Angreifer noch weniger aussagekräftig zu gestalten.

Was gefunden wurde — und wie schnell wir es behoben haben

Wir sind überzeugt: Transparenz schafft Vertrauen. Deshalb hier eine verständliche Zusammenfassung der Ergebnisse:

Ein Finding mit mittlerem Schweregrad betraf die Trennung unserer Testumgebungen — ein Konfigurationsthema in der Testumgebung, das die Überprüfung einer bestimmten Autorisierungskontrolle erschwerte. Keine aktive Schwachstelle, die Kundenvermögen betraf. Behoben.

Ein Finding mit niedrigem Schweregrad zur strengeren serverseitigen Validierung von Konfigurationswerten im Schlüsselmanagement. Behoben.

Drei Beobachtungen — kleinere Optimierungen rund um Fehlermeldungen und Validierungsreihenfolge. Zwei wurden behoben; eine (zu bewusst generisch gehaltenen Fehlermeldungen) wurde geprüft und formal akzeptiert, wie im Bericht dokumentiert.

Und hier der Teil, auf den wir am stolzesten sind: Unser Engineering-Team hat die Findings innerhalb weniger Tage nach Erhalt des vorläufigen Berichts von Hacken behoben

Als der finale Bericht freigegeben wurde, waren vier der fünf Findings vom Hacken-Team als behoben verifiziert.

Keine langwierigen Nachbesserungszyklen. Keine offenen Risiken. Nur eine schnelle, fokussierte Reaktion — mit derselben Geschwindigkeit und Disziplin, die wir in jede Emission auf unserer Plattform einbringen.

Warum das wichtig ist, wenn Sie Kapital beschaffen oder investieren möchten

Ob Sie eine Crowdfunding-Plattform sind, die KMU den Zugang zu Unternehmensfinanzierung ermöglicht, ein Projektentwickler, der sich für Immobilien-Tokenisierung interessiert, ein Asset Manager mit Blick auf Fonds-Tokenisierung oder ein Startup, das eine Kapitalerhöhung plant — Sie vertrauen Ihre Emission und das Geld Ihrer Anleger einer Technologie an.

Die Tokenisierung von Real-World Assets (RWA) funktioniert nur, wenn die darunterliegende Infrastruktur absolut belastbar ist. Wenn Wertpapiere tokenisiert werden — ob Unternehmensanleihen, Nachranganleihen, strukturierte Finanzprodukte oder digitale Aktien — wird die Plattform, die diese Blockchain-Wertpapiere verwaltet, zu kritischer Finanzinfrastruktur. Sie verdient dieselbe Prüfung wie jedes Banksystem. Wenn nicht sogar mehr.

Genau deshalb verlassen wir uns nicht nur auf unsere eigenen internen Kontrollen. Als Betreiber eines regulierten Kryptowertpapierregisters nach dem deutschen Gesetz über elektronische Wertpapiere (eWpG) und als ISO-27001-zertifiziertes Unternehmen unter deutscher Aufsicht ist unabhängige Verifizierung Teil unserer DNA:

Reguliert von Grund auf — unser Kryptowertpapierregister steht unter BaFin-Aufsicht

Zertifiziertes Sicherheitsmanagement — ISO-27001-konforme Informationssicherheitsprozesse

Unabhängig getestet — externe Experten wie Hacken prüfen unsere Systeme regelmäßig auf Herz und Nieren

Über 160 Millionen Euro an digitalen Assets laufen bereits auf unserer Plattform, mit mehr als 90 tokenisierten Unternehmensanleihen für führende Investmentplattformen. Jede einzelne dieser Emissionen — und jede zukünftige, von Privatmarkt-Investments bis zum Handel am Sekundärmarkt — hängt von einer Infrastruktur ab, die herausgefordert, getestet und gehärtet wurde.

Sicherheit ist niemals „fertig"

Wir sind ehrlich: Kein System der Welt ist zu 100 % unhackbar — und wem das jemand verspricht, dem sollte man seine Vermögenswerte nicht anvertrauen. Was seriöse Finanzinfrastruktur vom Rest unterscheidet, ist eine einfache Gewohnheit: Prüfung einladen, schnell auf Erkenntnisse reagieren und die Ergebnisse veröffentlichen.

Dieses Audit ist ein Meilenstein in einem kontinuierlichen Programm. Wir werden auch weiterhin die besten Sicherheitsforscher der Welt einladen, unsere Systeme anzugreifen — denn jeder Test macht die Plattform sicherer für jeden Emittenten, der Kapital aufnimmt, und jeden Anleger, der in tokenisierte Wertpapiere investiert.

Der vollständige Auditbericht ist öffentlich auf der Website von Hacken verfügbar. Wir laden Sie ein, ihn zu lesen — Transparenz sollte kein Vertrauen voraussetzen; sie sollte es schaffen.

Bereit, auf einer Infrastruktur zu tokenisieren, die Sie überprüfen können?

Ob Sie eine Kapitalbeschaffung starten, Anleihen, Fonds oder Aktien tokenisieren oder Tokenisierung in Ihre bestehende Fundraising-Plattform integrieren möchten — unser Team erklärt Ihnen gerne, wie es funktioniert, inklusive der Sicherheitsarchitektur dahinter.

👉 Buchen Sie ein kostenloses Gespräch mit unseren Experten oder erstellen Sie noch heute Ihr erstes Projekt.

Die NYALA Digital Asset AG betreibt ein lizenziertes Kryptowertpapierregister nach dem deutschen Gesetz über elektronische Wertpapiere (eWpG). Erfahren Sie mehr über unsere Plattform und den rechtlichen Rahmen elektronischer Wertpapiere.

Share this post

Discover NYALA's tailored solutions for tokenizing your assets

Book a call with our expert.

Carlo A. Fernandez B.

Product Operations Manager
c.fernandez@nyala.de