Kryptowährungen werden oft fälschlicherweise als anonymes Zahlungsmittel betrachtet. Doch die Realität sieht anders aus: Nahezu alle Transaktionen werden öffentlich in der Blockchain gespeichert, was die Nachverfolgung von Transaktionsverläufen erleichtert. Spezielle Analysetools können sowohl den Ursprung als auch das Ziel von Krypto-Transfers aufdecken. Angesichts dieser Transparenz neigen manche Opfer von Ransomware dazu, das geforderte Lösegeld zu zahlen, um den Zugriff auf ihre Unternehmensressourcen wiederzuerlangen, in der Hoffnung auf eine spätere Rückerstattung durch Strafverfolgungsbehörden. Leider ist dieser Prozess weitaus komplizierter, da Cyberkriminelle ausgeklügelte Methoden entwickelt haben, um die Transparenz der Blockchain zu umgehen und Kryptowährungs-Transaktionen nahezu unmöglich nachverfolgbar zu machen. Dieser Artikel beleuchtet die Techniken, die sie dabei anwenden.
Zwischengeschaltete Krypto-Wallets: Erste Spurenverwischung
Eine gängige Methode für Cyberkriminelle ist die Verteilung von “schmutzigen” Kryptowährungen – also Gelder, die aus illegalen Aktivitäten stammen – auf gefälschte Wallets. Bei groß angelegten Angriffen, wie dem BitFinex-Hack, können Tausende solcher Fake-Wallets zum Einsatz kommen. Da jedoch alle Transaktionen in der Blockchain aufgezeichnet werden, löst die Nutzung gefälschter Wallets das Problem der Rückverfolgbarkeit nicht vollständig. Diese Technik dient primär dazu, in den frühen Phasen der Geldwäsche Spuren zu verwischen und große Summen in kleinere Beträge aufzuteilen, die dann leichter weitergewaschen werden können. Oft verweilen diese gekaperten Kryptowährungen über lange Zeit in den Fake-Wallets, während die Täter auf bessere Wechselkurse spekulieren oder auf eine geringere Aufmerksamkeit der Behörden hoffen.
Krypto-Mixer: Das Prinzip des Vermischens
Krypto-Mixer wurden explizit entwickelt, um die Probleme der übermäßigen Blockchain-Transparenz und des mangelnden Datenschutzes zu lösen. Sie funktionieren, indem sie eingehende Kryptowährungstransfers in einen gemeinsamen “Topf” werfen und mit den Geldern anderer Nutzer vermischen. Anschließend werden ausgehende Transaktionen in zufälliger Höhe und zu unvorhersehbaren Zeiten an unterschiedliche Wallets gesendet. Dies macht es praktisch unmöglich, eingehende und ausgehende Beträge zuzuordnen und die ursprünglichen Transaktionen zu identifizieren. Obwohl nicht alle Nutzer von Krypto-Mixern zwangsläufig Kriminelle sind, machen illegale Finanzströme einen beträchtlichen Teil der Nutzung aus. Dies hat dazu geführt, dass US-Regulierungsbehörden im Jahr 2022 Sanktionen gegen mehrere populäre Krypto-Mixer verhängt haben.
Große Krypto-Börsen: Transparenz durch interne Datenbanken
Die Mehrheit der Transaktionen auf großen Krypto-Börsen findet zwischen internen Kundenkonten statt und wird nur in den internen Datenbanken der Börsen erfasst. Nur aggregierte Ergebnisse von internen Transaktionen werden auf der Blockchain gespeichert, um Gebühren und Zeit zu sparen. Diese Börsen fungieren somit als eine Art natürlicher Krypto-Mixer, da eingehende und ausgehende Transaktionen nicht allein durch Blockchain-Analyse abgeglichen werden können. Dies erleichtert zwar illegale Aktivitäten, birgt aber auch erhebliche Risiken für Cyberkriminelle: Sobald Gelder auf einer großen Krypto-Börse landen, haben sie nicht mehr die volle Kontrolle darüber. Zudem arbeiten seriöse Börsen üblicherweise mit Regulierungs- und Strafverfolgungsbehörden zusammen, was die Wahrscheinlichkeit, dass die Beute entdeckt wird, erhöht. Ein weiterer erschwerender Faktor sind die obligatorischen “Know Your Customer” (KYC)-Prozesse, die die Risiken und Schwierigkeiten bei der Geldwäsche weiter erhöhen.
Kleine Krypto-Börsen: Anonymität als Verkaufsargument
Eine Alternative für Cyberkriminelle sind kleine Krypto-Börsen, die sich oft als anonym bezeichnen und weniger Wert auf die Einhaltung gesetzlicher Vorschriften legen. Diese Plattformen entwickeln sich häufig zu vollwertigen Geldwäsche-Drehscheiben. Allerdings ziehen sie mit zunehmender Beliebtheit bei Kriminellen auch die Aufmerksamkeit von Strafverfolgungsbehörden auf sich. Früher oder später finden Behörden Wege, solche Plattformen zu schließen. Ein Beispiel hierfür ist die Verhaftung des Gründers von Bitzlato Ltd., einer Börse, die mit Hunderten von Millionen US-Dollar an illegalen Kryptowährungen gehandelt hat. Auch die europäische Polizei hat die Infrastruktur der Börse beschlagnahmt und deren Aktivitäten beendet.
Verschachtelte Krypto-Börsen: Der Mittelsmann-Trick
Neben vollwertigen Börsen gibt es auch sogenannte verschachtelte Börsen. Diese agieren als Vermittler und ermöglichen den Handel mit Kryptowährungen, ohne dass Nutzer ein eigenes Börsenkonto eröffnen müssen. Ähnlich wie Broker in der traditionellen Finanzwelt, dienen sie im Krypto-Universum dem Schutz der Privatsphäre, insbesondere durch die Umgehung von KYC-Prüfungen. Diese Dienstleistungen sind nicht nur für Cyberkriminelle attraktiv, sondern auch für jene, die unrechtmäßig erworbene Einnahmen waschen möchten, um unerwünschten Fragen aus dem Weg zu gehen.
DeFi: Dezentrale Protokolle als Werkzeug
Eine weitere Möglichkeit für Krypto-Wäscher ist die Nutzung von dezentralen Finanzprotokollen (DeFi). Diese bilden das Herzstück automatisierter dezentraler Krypto-Börsen, die auf sogenannten Smart Contracts basieren. DeFi-Börsen (DEX) bieten den Vorteil, dass keine Kundenkontrollen oder Konto-Registrierungen erforderlich sind und die Geldmittel unter der Kontrolle der Besitzer bleiben. Ein Nachteil ist jedoch, dass alle DEX-Transaktionen in der Blockchain aufgezeichnet und somit mit Aufwand zurückverfolgt werden können. Dennoch kann DeFi als effektiver Bestandteil komplexer, mehrstufiger Geldwäscheschemata dienen.
Geldwäsche im Dark Web: Spezialisierte Dienste
Die traurige Nachricht für Erpressungsopfer ist, dass moderner Cybercrime hochspezialisiert ist. Immer mehr Cyberkriminelle greifen auf illegale Dienste im Dark Web zurück, die sich ausschließlich der Wäsche von Kryptowährungen widmen. Diese bieten “Laundering-as-a-Service”-Dienstleistungen an, die darauf abzielen, Transaktionen zu verschleiern und die Kunden von dieser Aufgabe zu entlasten. Diese Dienste bewerben sich im Dark Web und kommunizieren über sichere Messenger, um vollständige Anonymität zu gewährleisten. Schätzungen zufolge haben solche Dienste im vergangenen Jahr 6 Milliarden US-Dollar umgesetzt.
Die Auszahlung: Der letzte Schritt zur Anonymität
Das ultimative Ziel jeder illegalen Krypto-Transaktion ist die Auszahlung in traditionelles Fiat-Geld. Sobald die Kryptowährung in Euro oder Dollar umgewandelt ist, lässt sie sich nicht mehr durch Blockchain-Analysen zurückverfolgen. Für die Auszahlung können sowohl große als auch kleine Krypto-Börsen, verschachtelte Börsen, die einen Handel ohne Kontoeröffnung ermöglichen, als auch spezialisierte Dark-Web-Geldwäschedienste genutzt werden.
Was bedeutet das für Ransomware-Opfer?
Cyberkriminellen stehen eine Vielzahl von Mitteln zur Verfügung, um illegale Kryptowährungen zu waschen, und sie beschränken sich oft nicht auf eine einzige Methode. Die meisten setzen raffinierte, mehrstufige Geldwäscheverfahren ein, die Krypto-Mixer, Vermittlungs-Wallets, Börsen und verschiedene Auszahlungsmethoden kombinieren. Dies macht es für Strafverfolgungsbehörden oft schwierig, gestohlene Gelder wiederzuerlangen, selbst wenn Ermittlungen erfolgreich sind. Daher sollten Opfer von Ransomware nicht damit rechnen, das gezahlte Lösegeld zurückzuerhalten. Prävention bleibt die beste Verteidigung: Die Installation einer zuverlässigen Sicherheitslösung mit nachgewiesenen Anti-Ransomware-Fähigkeiten ist unerlässlich.