Eines der hartnäckigsten Missverständnisse über Kryptowährung ist, dass sie vollständig anonym ist und gestohlene Gelder nicht verfolgt werden können. Die Realität ist nuancierter – und für Betrugsopfer deutlich hoffnungsvoller, als die meisten erwarten.
Dieser Leitfaden erklärt, wie Blockchain-Forensik tatsächlich funktioniert, was sie leisten kann, was ihre Grenzen sind und warum Schnelligkeit bei der Beauftragung von Forensikern entscheidend ist.
Warum Blockchain eigentlich verfolgbar ist
Alle Mainstream-Blockchain-Netzwerke – Bitcoin, Ethereum und die meisten anderen – sind öffentliche Ledger. Das bedeutet, dass jede jemals durchgeführte Transaktion dauerhaft aufgezeichnet wird und von jedem eingesehen werden kann. Die Herausforderung liegt nicht darin, die Transaktionen zu finden – sie sind öffentlich zugänglich – sondern darin, die pseudonymen Wallet-Adressen realen Identitäten zuzuordnen.
Hier kommen forensische Werkzeuge und Datenbanken ins Spiel. Spezialisierte Forensiksoftware (wie Chainalysis, Elliptic und Ciphertrace) hat jahrelang Daten gesammelt über bekannte Adressen, die mit Börsen, Dark-Web-Marktplätzen, Mischservices und Betrugsprogrammen verbunden sind. Durch die Analyse, wie Gelder durch diese bekannten Knotenpunkte fließen, können Ermittler oft feststellen, wo gestohlene Gelder schlussendlich landen.
🔍 Wichtig zu verstehen: Blockchain-Forensik identifiziert wo Gelder hingegangen sind und welche Börsen beteiligt waren. Die eigentliche Rückgewinnung erfordert dann rechtliche oder regulatorische Mittel, um die identifizierte Börse zu zwingen, die zugehörigen Konten einzufrieren oder Informationen zu teilen.
Der forensische Prozess: 4 Schritte
Schritt 1: Transaktionsgraphenanalyse
Der Ausgangspunkt ist die Wallet-Adresse des Betrügers – die Adresse, an die Sie Ihre Kryptowährung gesendet haben. Von dort aus erstellen Forensiker einen „Transaktionsgraphen", der jeden weiteren Schritt der Gelder visuell kartiert. Gelder werden oft schnell durch mehrere Wallets geleitet, um die Spur zu verschleiern – eine Technik als „Chain Hopping" oder „Peeling" bekannt.
Trotzdem bleibt jede Transaktion auf der Blockchain aufgezeichnet, unabhängig davon, durch wie viele Wallets die Gelder geleitet werden. Die Spur kann nicht gelöscht werden.
Schritt 2: Börsenerkennung und KYC-Identifikation
Das kritischste Ziel der forensischen Analyse ist zu bestimmen, ob die Gelder schließlich an einer regulierten Kryptobörse hinterlegt wurden. Börsen wie Binance, Coinbase, Kraken und Bitstamp sind gesetzlich verpflichtet, Daten zur Identitätsprüfung (KYC) zu ihren Nutzern zu führen.
Wenn Forensiker nachweisen können, dass gestohlene Gelder an eine regulierte Börse geflossen sind, gibt es jetzt eine echte Rückgewinnungsmöglichkeit: Das Unternehmen kann eine rechtliche Unterlassungsaufforderung, ein Gerichtsbeschluss, eine BaFin-Beschwerde oder eine Strafverfolgungsanforderung einreichen, um die Börse zu zwingen, das betroffene Konto einzufrieren und KYC-Daten zu teilen.
Schritt 3: Risikoverhältnis und Kontaminationsanalyse
Forensiksoftware weist jeder Wallet einen „Risikoscore" zu, basierend darauf, wie viel ihres Saldos mit bekannten Betrugsoperationen, Dark-Web-Marktplätzen, Ransomware-Zahlungen oder sanktionierten Einheiten in Verbindung steht. Ein hoher Risikoverhältnis in einer Wallet ist oft ein Indikator, dass diese Wallet in betrügerische Aktivitäten verwickelt ist und stärkt alle rechtlichen Maßnahmen.
Schritt 4: Erstellung des Forensikberichts
Eine vollständige forensische Analyse gipfelt in einem ausführlichen Bericht, der die Transaktionskette, identifizierte Wallets und Börsen, Risikoverhältnisse und Beweismaterial zusammenfasst. Dieser Bericht ist für Strafverfolgungsbehörden (Bundeskriminalamt, Europol), BaFin-Beschwerden, Gerichtsklagen und Anforderungen gegenüber Börsen konzipiert.
Was ist mit Mischservices und Datenschutz-Coins?
Sophistizierte Betrüger versuchen manchmal, ihre Spuren mit Kryptomischern (Tornado Cash und ähnliche) oder datenschutzorientierten Kryptowährungen wie Monero zu verschleiern. Diese erhöhen die forensische Komplexität, schließen eine Verfolgung jedoch selten vollständig aus:
- Kryptomischer führen Aufzeichnungen von Ein- und Ausgangstransaktionen; viele wurden von Strafverfolgungsbehörden oder in zivilrechtlichen Verfahren kompromittiert
- Tornado Cash (ein großer Ethereum-Mixer) wurde vom US-Finanzministerium sanktioniert, mit umfangreichen Daten im Besitz von Strafverfolgungsbehörden
- Gelder, die Mischer verlassen, müssen irgendwann in Fiat-Geld umgewandelt werden – und dieser Schritt erfordert in der Regel eine regulierte Börse
- Monero-Transaktionen sind schwerer zu verfolgen, aber Metadaten von begleitenden Bitcoin-Transaktionen können immer noch aufschlussreich sein
⚠️ Nicht alle Gelder können forensisch verfolgt und zurückgewonnen werden. Wenn Gelder über mehrere hochgradig verschleierte Ebenen geleitet wurden, in einem Nicht-KYC-Peer-to-Peer-Austausch umgewandelt wurden oder wenn Betrüger in Ländern ohne Rechtshilfeabkommen operieren, können die Rückgewinnungsaussichten begrenzt sein. Eine ehrliche Fallprüfung ist entscheidend.
Was Blockchain-Forensik tatsächlich zurückgewinnen kann
Forensik allein gibt das Geld nicht zurück – es ist das erste Glied in einer Kette rechtlicher und regulatorischer Maßnahmen. Was Forensik ermöglicht:
- Konteneinfrierung: Wenn Gelder bei einer kooperierenden Börse identifiziert werden, kann eine Gerichtsverfügung eine Einfrierung der Gelder erwirken, während die Rückgewinnungsklage voranschreitet
- Täteridentifikation: KYC-Daten von der Zielbörse können die Realidentität des Betrügers enthüllen und strafrechtliche Verfolgung ermöglichen
- Versicherungsansprüche: Ein dokumentierter Forensikbericht unterstützt Versicherungsansprüche, wenn Sie eine Cyberkriminalitätsversicherung haben
- Regulatorische Beschwerden: Strafverfolgungsbehörden und Regulatoren handeln schneller, wenn ihnen ein klarer forensischer Pfad vorgelegt wird
- Zivilklagen: Ein Forensikbericht bietet die Beweismittel, die für eine Zivilklage gegen identifizierte Parteien benötigt werden
Warum Schnelligkeit entscheidend ist
Je früher Forensiker eingeschaltet werden, desto besser sind die Aussichten. Das liegt daran:
- Betrüger verschieben Gelder schnell – oft innerhalb von Stunden nach Erhalt
- Wenn Gelder auf eine regulierte Börse gelangen und das Konto des Betrügers noch aktiv ist, kann eine schnelle Anfrage das Konto einfrieren, bevor Abhebungen erfolgen
- Viele Börsen haben interne Fristen für Betrugsreaktion; frühe Anfragen werden eher bearbeitet
- Die Metadaten rund um Transaktionen – IP-Adressen, Gerätekennungen – können mit der Zeit von Plattformen gelöscht werden