Kriminalitätsbekämpfung

Dem digitalen Geld auf der Spur

Eine Staats­anwältin berichtet

 

12 Alle Lampen schalteten auf Rot


Ein erster Test – eine Anmeldung der Gelder in den Markt anhand der öffentlichen Adressen – erbrachte das eigentlich vorhersehbare Ergebnis: Alle Lampen schalteten auf Rot. So konnten wir die Beutegelder nicht einfach verkaufen, sie wären von regulierten Marktplätzen wohl sicherheitshalber eingefroren worden.


Was war zu tun?


Es ist selten, dass man sich bei der Strafverfolgung oder überhaupt in einer Behörde etwas ganz Neues ausdenken darf. Etwas, das es vorher nicht gab und wozu man keinen so Recht um Rat fragen kann. Krypto gab uns die Gelegenheit dazu.


Wenn große Provider die Herkünfte von virtuellen Währungen nachverfolgen und inkriminierte Gelder zurückweisen oder einfrieren können, dann befinden wir uns im Bereich des „Blacklisting“. Die Anbieter, die uns in die Lage versetzen, Kryptowährungen nachzuverfolgen, um der Spur des Geldes bis zu den Tätern zu folgen, beliefern auch die großen Märkte mit Informationen, die für sie wichtig sind. Zum Beispiel mit Listen, auf denen nachzulesen ist, wovon man besser die Finger lässt. Nur woher kommen diese Informationen? Wenn ein Darknet-Marktplatz Erfolg haben will, will dieser Markt auch besucht werden. Wallets, über die solche Zahlströme laufen, sind oftmals bekannt. So wie jede legale Institution ebenfalls im Impressum die IBAN für den Zahlverkehr vermerkt. Die Kenntnis der Wallet-Adresse ist für die Marktplatzbetreiber aber noch kein Problem. Die beschriebene Pseudonymität macht es möglich, allein deswegen noch nicht entdeckt zu werden. Denn freilich werden solche Wallets nicht bei legalen Providern betrieben, sondern mit eigenen Servern und Wallets, die die Betreiber selbst verwaltet. Die Belegenheit solcher Plattformen hinsichtlich der Gelder, die über sie fließen, ist eine wichtige Information für internationale Krypto-Börsen. Und auf einer solchen „Blacklist“ stand selbstverständlich auch Wall Street Market. Die Frage, die wir zu beantworten hatten, war: Wie bekommen wir sie von der Blacklist herunter? Mit anderen Worten: Die Gelder, die wir eingesammelt hatten, mussten wieder weißgewaschen werden. Wir brauchten ein „Whitelisting“.

 

13 Legale „Geldwäsche“


Und so starteten wir gemeinsam mit dem Bankhaus einen Versuchsballon: Was passiert, wenn wir den Providern, die täglich große Krypto-Plattformen über die Herkünfte von Geldströmen informierten, mitteilten, dass die tiefkriminellen Gelder von Wall Street Market nun rechtmäßig im Besitz des hessischen Staates waren und wir sie deswegen wieder in den Markt einbringen wollten – um sie zu Cash zu machen?


Eine so einfache wie naheliegende Idee ist bis heute die Grundlage für die Veräußerung von Kryptowährungen – mittlerweile nicht mehr nur in Hessen, sondern in einigen anderen Bundesländern auch. Denn diese schlichte Mitteilung – mit Stempel, Siegel und Briefkopf einer (General)Staatsanwaltschaft – ist tatsächlich der Weg hin zur Legalisierung der Gelder. Mit den Tools, die das Nachverfolgen auf der Blockchain erlauben, konnten wir nachvollziehen, dass die Attribuierung der einst drogenverseuchten Wallets nun auf „State of Hesse“ lauteten und damit regulierte Marktplätze kein Problem mehr damit hatten, sie zu veräußern. Auf einen Schlag wurde der hessische Staat auf diese Weise im Dezember 2021 um knapp 100 Mio. EUR reicher.


Fünf Jahre sind seither vergangen. Das ist viel Zeit, vor allen Dingen in der Underground Economy. 100 Mio. EUR sind ein großer Erfolg, aber es dauert nicht lang, bis der nächste Marktplatz nachgerückt ist und das Bedarfswesen der Kriminellen deckt. Es ist aber nicht allein der Bedarf an illegalen Gütern, der lockt, sondern auch Möglichkeiten, seine Beute professionell zu verschleiern. Wer den Kriminellen ein Bein stellen will, der darf das nicht auf die primären Geschäfte beschränken, sondern muss auch wissen, wo die Gelder hinfließen.

 

14 Coin bleibt nicht gleich Coin


Ein mögliches Beispiel aus der Praxis: Ein Ransomware-Angreifer erhält 1 Mio. Dollar in Bitcoin von dem Unternehmen, dessen IT er verschlüsselt hat. Diese Million so irgendwo abzulegen wäre nicht clever, also könnte er so vorgehen: Die Million geht zunächst zu einem Mixing-Service. Hier werden Bitcoin vermischt. Dann geht es weiter zu einem DEX-Swap, wo die gemixten bzw. gewaschenen Bitcoin in die Kryptowährung Ethereum gewechselt werden. Weiter geht es mit einem Bridging-Service, mit dem die Ethereum auf eine andere Blockchain transferiert werden. Und schließlich wird die Sache rund mit einem „Privacy-Coin-Swap“, indem Ethereum zu Monero gewechselt wird. Um dann noch Kursstabilität zu erhalten, wechselt man Monero in USDT, das ist nämlich ein sog. Stablecoin: Immer in etwa so hoch wie der US-Dollar. Das Ergebnis: Die Ermittler können die originale Bitcoin-Adresse nicht mehr zum endgültigen Besitzer verbinden. Die beschriebene Vorgehensweise kostet den geübten Täter kaum eine Stunde.


Kann man dagegen überhaupt noch etwas unternehmen? Der Vorteil, den Kryptowährungen bieten, dass man international Gelder nachverfolgen kann, ohne ständig Rechtshilfeersuchen ins Ausland zu stellen, schwindet umgehend, wenn Täter vorgehen wir beschrieben. Weswegen ein Ziel der Ermittlungen der vergangenen Jahre die beschriebenen Mixing-Services waren.

 

15 Anonyme Geldwäsche?Wir sehen uns!


„ChipMixer“ und „eXch“ hießen zwei der Plattformen, die international eine Pole-Position einnahmen beim Krypto-Mixing und bei denen es der Generalstaatsanwaltschaft Frankfurt und dem BKA in den Jahren 2023 und 2025 gelang, die Server-Struktur zu beschlagnahmen, eine eigene Startseite hochzuladen und jeweils hohe zweistellige Millionenbeträge in Kryptowährungen sicherzustellen. Fast ungläubig macht einen die Geschichte des Takedowns von insgesamt 47 Krypto-Exchangern, die zeitgleich vom Netz genommen werden konnten im September 2024. Unter dem Namen „Operation Final Exchange“ gelang es den Behörden, einem ganzen Geldwäsche-Netzwerk die Lichter auszuschalten mit folgender Nachricht an die Nutzer, die sie nach dem Takedown auf der Startseite lesen durften:


„Jahrelang haben Euch die Betreiber dieser inkriminierten Krypto-Exchanges in dem Glauben gelassen, dass man ihr Hosting nicht finden kann, dass sie keine Kundendaten speichern und alle Daten nach Durchführung der Transaktion gelöscht werden. Ein scheinbar unregulierter Umschlagplatz, um Euch die Möglichkeit zu geben, ohne Angst vor Strafverfolgung die Einnahmen aus Euren kriminellen Aktivitäten zu waschen. Aus unserer Sicht: Alles leere Versprechungen! Wir haben ihre Server gefunden und wir haben sie gesichert – Entwicklungsserver, Produktivserver, Backupserver. Wir haben ihre Daten – und damit haben wir Eure Daten. Transaktionen, Registrierungsdaten, IP-Adressen. Unsere Spurensuche beginnt. Wir sehen uns.“


Strafverfolgung im Cyberraum hätte selbst Sisyphos schnaufen lassen. Niemand schaltet Internetkriminalität einfach ab. Aber wir können Sand im Getriebe sein, die Deutungshoheit von Cybertätern in Frage stellen und ihre Beute wegschnappen. Bis zur nächsten Plattform: Wir sehen uns.


Bildrechte: Be Ba, pixabay

 

Anmerkung


* Die Autorin ist Oberstaatsanwältin bei der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt am Main; sie leitet dort das Team Cybercrime und war in der Vergangenheit an zahlreichen international beachteten Takedowns von Darknet-Marktplätzen und Plattformen der Underground Economy beteiligt.

Seite: << zurück1234