Kryptowährungen können kaum als anonymes Zahlungsmittel bezeichnet werden. Letztendlich werden alle Transaktionen (zumindest fast alle; mehr dazu weiter unten) in der Blockchain gespeichert, wodurch es relativ einfach ist, den Verlauf von Kryptowährungen nachzuverfolgen. Es gibt spezielle Analysetools, mit denen sich sowohl die Herkunft als auch der Zielort solcher Geldmittel relativ bequem und einfach ermitteln lassen.
In Anbetracht dessen gehen einige Ransomware-Opfer davon aus, dass die beste Strategie darin besteht, das Lösegeld zu zahlen, um die Kontrolle über ihre Unternehmensressourcen wiederzuerlangen und sich dann an die Strafverfolgungsbehörden zu wenden und einfach zu warten, bis die Ermittlungen abgeschlossen sind – in der Hoffnung, dass die Gelder irgendwann wieder auf ihre Konten zurücküberwiesen werden.
So einfach ist dies leider nicht. Cyberkriminelle haben diverse Tools, Techniken und Dienste erfunden, um die zu große Transparenz von Blockchains zu kompensieren, die es schwierig oder gar unmöglich machen, Kryptowährungs-Transaktionen zurückzuverfolgen. Genau darüber möchten wir heute sprechen.
Intermediäre Krypto-Wallets
Für Cyberkriminelle ist es am einfachsten, sogenannte „dirty“ Kryptowährungen (d. h., Coins, die für illegale Aktivitäten genutzt wurden) auf gefälschte Wallets zu verteilen. Im Falle sehr groß angelegter Angriffe, wie dem BitFinex-Hack oder dem Sky-Mavis-Raub, könnte es sich sogar um mehrere tausend Fake-Wallets handeln.
Da alle Transaktionen jedoch ohnehin in die Blockchain übertragen werden, löst der Einsatz gefälschter Wallets nicht das Problem der Rückverfolgung von Geldmitteln. Diese Technik wird daher in der Regel nur in den frühen Phasen der Geldwäsche eingesetzt, um zum einen die Spuren zu verwischen und zum anderen große Summen in kleinere Beträge aufzuteilen, die dann auf andere Weise leichter gewaschen werden können.
Oft liegen korrupte Kryptowährungen für lange Zeit in diesen Fake-Wallets, was in einigen Fällen darauf zurückzuführen ist, dass gierige Cyberkriminelle darauf warten, dass sich der aktuelle Wechselkurs bessert. Bei Transaktionen, die groß genug sind, um die Aufmerksamkeit der Strafverfolgungsbehörden auf sich zu ziehen, steht die Vorsicht meist im Vordergrund. Die Angreifer versuchen, sich unauffällig zu verhalten, bis die Gelder bei abnehmender Aufmerksamkeit leichter abgehoben werden können.
Krypto-Mixer
Krypto-Mixer wurden mit dem expliziten Ziel erfunden, die oben erwähnten Probleme der übermäßigen Blockchain-Transparenz und der unzureichenden Privatsphäre zu lösen. Ihre Funktionsweise sieht folgendermaßen aus: eingehende Überweisungen von Kryptowährungen werden in einen „Topf“ geworfen und gründlich mit den von anderen Nutzern des Dienstes eingehenden Mitteln vermischt. Parallel dazu werden ausgehende Überweisungen in willkürlicher Höhe nach einem zufälligen Zeitplan und an völlig unterschiedliche Wallets vorgenommen, wodurch es unmöglich ist, eingehende und ausgehende Beträge abzugleichen und Transaktionen zu identifizieren.
Diese Methode ist zweifellos sehr effektiv, um mit korrupten Kryptowährungen zu arbeiten. Und auch wenn bei weitem nicht alle Nutzer von Krypto-Mixern Cyberkriminelle sind, so machen illegale Finanzströme doch einen beträchtlichen Teil der Krypto-Mixer aus; und zwar so beträchtlich, dass die US-Regulierungsbehörden im Jahr 2022 Sanktionen gegen nicht nur einen, sondern zwei beliebte Krypto-Mixer verhängten.
Große Krypto-Börsen
Die überwiegende Mehrheit der auf Krypto-Börsen durchgeführten Transaktionen findet zwischen internen Kundenkonten statt und wird ausschließlich in den Datenbanken dieser Börsen detailliert erfasst. In der Blockchain landen lediglich die zusammengefassten Ergebnisse einer ganzen Reihe solcher interner Transaktionen.
Selbstverständlich erfolgt dies, um sowohl Gebühren als auch Zeit zu sparen (die Bandbreite der Blockchain ist schließlich begrenzt). Das bedeutet jedoch, dass jede Krypto-Börse eine Art natürlicher Krypto-Mixer ist: eingehende sowie ausgehende Überweisungen können nicht allein anhand der Blockchain-Analyse abgeglichen werden. Der rote Faden, mit dem sich die Geldbewegungen nachverfolgen lassen, wird durchtrennt, wenn eine Transaktion bei einer Börse eingeht.
Dies erleichtert zum einen illegale Aktivitäten. Zum anderen entstehen dadurch erhebliche Risiken: wenn Gelder an eine große Krypto-Börse überwiesen werden, haben Cyberkriminelle nicht mehr die volle Kontrolle über sie. Und da derartige Börsen normalerweise mit Regulierungs- und Strafverfolgungsbehörden zusammenarbeiten, ist die Wahrscheinlichkeit, dass die Beute verloren geht, deutlich größer als Null. Zusätzlich gibt es bei seriösen Krypto-Börsen immer ein Verfahren zur Überprüfung der Kundenidentität (Know Your Customer, KYC), was die mit der Geldwäsche verbundenen Risiken und Schwierigkeiten nur noch erhöht.
Kleine Krypto-Börsen
Eine Alternative für Cyberkriminelle ist das Ausweichen auf kleine Krypto-Börsen, die sich weniger um die Einhaltung gesetzlicher Vorschriften bemühen und sich selbst als anonym bezeichnen. Häufig entwickeln sich solche Börsen zu vollwertigen Plattformen für die Krypto-Wäsche.
Je beliebter eine Börse bei Cyberkriminellen jedoch ist, desto eher zieht sie die unerwünschten Blicke der Strafverfolgungsbehörden auf sich. In der Regel ist die Geduld dieser Behörden irgendwann erschöpft, so dass sie einen Weg finden, die Plattform zu schließen. So verhafteten die US-Behörden Anfang des Jahres den Eigentümer von Bitzlato Ltd., eine Börse, die mit Hunderten von Millionen US-Dollar in Form korrupter Kryptowährungen handelte. Ein erheblicher Teil dieser „dirty“ Krypto stammte von Ransomware-Betreibern und Krypto-Betrügern. Auch die europäische Polizei beschlagnahmte und deaktivierte die Infrastruktur der Börse und beendete damit deren Aktivitäten.
Verschachtelte Krypto-Börsen
Neben vollwertigen Krypto-Börsen gibt es auch viele sogenannte verschachtelte Börsen. Bei diesen handelt es sich im Wesentlichen um Vermittler von Krypto-Börsen, die es Nutzern ermöglichen, mit Kryptowährungen zu handeln, ohne dass sie ein eigenes Börsen-Konto eröffnen müssen.
Diese Dienstleistungen ähneln Brokern aus der traditionellen Finanzwelt, mit dem Unterschied, dass sie im Krypto-Universum dazu dienen, den Schutz der persönlichen Privatsphäre zu gewährleisten – vor allem durch die Umgehung der obligatorischen KYC-Prüfung für alle Kunden großer Krypto-Börsen. In der Theorie funktionieren verschachtelte Börsen nicht nur zum Vorteil von Cyberkriminellen, sondern die Gelegenheit, sich unerwünschten Fragen zu entziehen, weckt auch die Aufmerksamkeit derjenigen, die unrechtmäßig erworbene Einnahmen waschen wollen.
DeFi: dezentralisierte Protokolle
Und schließlich besteht eine weitere Möglichkeit für Krypto-Wäscher darin, dezentralisierte Finanzprotokolle (DeFi) zu nutzen. Sie bilden das Kernstück automatisierter dezentraler Krypto-Börsen, die mit sogenannten Smart Contracts arbeiten. Für Cyberkriminelle liegen die Vorteile auf der Hand: bei dezentralisierten Börsen (DEX) gibt es keine Kundenkontrollen und sie verlangen keine Kontoregistrierung.
Ein weiterer Vorteil von DEX ist, dass die Geldmittel vollständig unter der Kontrolle ihrer Besitzer bleiben (es sei denn, es liegt ein Fehler im Smart Contract vor). Es gibt allerdings auch einen gravierenden Nachteil: Alle DEX-basierten Transaktionen werden in die Blockchain geschrieben, können also mit etwas Aufwand zurückverfolgt werden. Folglich ist die Zahl der Cyberkriminellen, die auf DeFi zurückgreifen, recht gering. DeFi kann dennoch ein effektiver Bestandteil komplexer mehrstufiger Geldwäscheschemata sein.
Geldwäsche im Dark Web
Wenn Sie nun hoffen, dass nicht alle Erpresser wissen, wie sie ihre finanziellen Spuren ordnungsgemäß verwischen können, dann haben wir leider keine guten Nachrichten für Sie. Moderner Cybercrime ist äußerst spezialisiert. Und in jüngster Zeit ist ein wachsender Trend zu beobachten, bei dem Cyberkriminelle zunehmend auf illegale Dienste zurückgreifen, die sich ausschließlich der Wäsche korrupter Kryptowährungen widmen. Diese bieten so genannte Laundering-as-a-Service-Dienstleistungen an: Abwandlungen der oben genannten Methoden, um die Transaktionen von Kryptowährungen zu verschleiern und so die Kunden von dieser Aufgabe zu befreien.
Geldwäschedienste bewerben sich im Dark Web und kommunizieren mit ihren Kunden über sichere Messenger; das Ziel ist die vollständige Anonymität. Selbst vorsichtigen Schätzungen zufolge haben solche Dienste im vergangenen Jahr 6 Milliarden US-Dollar eingenommen.
Auszahlung
Wie Sie wahrscheinlich bereits wissen, liegt ein Paradoxon von Kryptowährungen darin, dass mit ihnen zwar ein teures Affenfoto gekauft werden kann, nicht aber ein normales Laib Brot. Das Ziel einer jeden illegalen Krypto-Transaktion besteht daher darin, die Gelder auszuzahlen. Dies bildet die Endphase eines jeden Geldwäscheplans: ist die Kryptowährung erst einmal in gewöhnliches Fiat-Geld umgewandelt worden, lässt sie sich mit Hilfe der Blockchain-Analyse nicht mehr zurückverfolgen.
An dieser Stelle gibt es viele Möglichkeiten, und einige der oben genannten Schemata bieten einen solchen Ausgang in die reale Welt. Für Auszahlungen können sowohl große als auch kleine Krypto-Börsen, verschachtelte Börsen, die einen Handel ohne Eröffnung eines Kontos ermöglichen, und Dark-Web-Geldwäschedienste, die sich auf die Beihilfe für Cyberkriminelle spezialisiert haben (ohne genau zu sagen, wie), genutzt werden.
Was bedeutet das für Opfer von Ransomware?
Wie Sie sehen, steht Cyberkriminellen eine breite Palette von Mitteln zur Verfügung, um korrupte Kryptowährungen zu waschen. Und sie beschränken sich nicht nur auf jeweils eine der oben genannten Methoden. Vielmehr setzen die meisten Cyberkriminellen raffinierte, mehrstufige Geldwäscheverfahren ein, die Krypto-Mixer, Vermittlungs-Wallets, Börsen und verschiedene Auszahlungsmethoden auf einmal nutzen.
Das führt dazu, dass es oft trotz aller Bemühungen der Strafverfolgungsbehörden schwierig ist, den Großteil der gestohlenen Gelder wiederzuerlangen, selbst wenn die Ermittlungen erfolgreich sind. Kurz gesagt: Rechnen Sie nicht damit, dass Sie das gezahlte Lösegeld wiedersehen. Wie immer ist Vorsorge die beste Verteidigung: installieren Sie auf allen Geräten eine zuverlässige Sicherheitslösung, deren Anti-Ransomware-Fähigkeiten in unabhängigen Tests nachgewiesen wurden.