Mit den Kryptofahndern auf Jagd

Kryptowährungen erweisen sich als weit weniger privat als gedacht. Ermittler nutzen das bei der Jagd auf Diebe und Betrüger.

Lesezeit: 12 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Mit den Kryptofahndern auf Jagd

(Bild: Dan McGinn / Imperial College London)

Von
  • Douglas Heaven
Inhaltsverzeichnis

Aus dem leeren Raum tauchen bunte, stachelige Gebilde auf, bis sie pulsierend und tanzend den wandgroßen Bildschirm ausfüllen. Diese Datenvisualisierung in einem Labor am Imperial College London ist hypnotisch und verwirrend. Man versteht sie erst, wenn man weiß, was man sieht: eine wachsende Bitcoin-Blockchain.

Ein zerfranster blauer Kreis entsteht, und Kryptoforscher William Knottenbelt kommentiert: "Hier sieht man jemanden, der Bitcoin einnimmt und dann an Tausende andere Leute auszahlt. Das könnte ein Mining-Pool sein, der Leute belohnt, die dazu beigetragen haben, ein paar Blöcke zu finden." Er zeigt auf eine seltsame Ansammlung von Formen: "Ah, diese Struktur hier ist interessant." Mehrere blaue Kreise erscheinen – weitere Auszahlungen auf mehrere Konten –, aber sie werden durch ein schraffiertes Netz gelber Linien verbunden. Es könnte auf Kriminelle bei der Arbeit hinweisen.

Was Kryptowährungen für sie so anziehend macht: Es gibt kaum eine Möglichkeit, Konto und Identität des Inhabers miteinander in Verbindung zu bringen. Zudem kann das Geld ohne Zwischenhändler über internationale Grenzen hinweg genauso einfach verschickt werden wie eine E-Mail. "Statt auf einem dunklen Parkplatz einen Koffer mit Cash zu übergeben, kann ich mit einem Laptop auf einem Balkon in Monaco sitzen", sagt Jeffrey Robinson, investigativer Journalist und Autor von "BitCon: The Naked Truth about Bitcoin".

Kluge Kriminelle machen von diesen Möglichkeiten reichlich Gebrauch. Eine aktuelle Studie des Start-ups Elliptic und des Center on Sanctions and Illicit Finance ergab von 2013 bis 2016 eine Verfünffachung groß angelegter Bitcoin-Betrügereien. Die Forscher verfolgten mehr als 500000 Bitcoins und stießen dabei auf 102 illegale Aktivitäten wie Dark-Web-Marktplätze, Schneeballsysteme und Ransomware-Erpressungen. 95 Prozent aller nachverfolgten gewaschenen Münzen stammten von nur neun Dark-Web-Marktplätzen, darunter Silk Road, Silk Road 2.0, Agora und AlphaBay. Dort lassen sich nicht nur Drogen oder Waffen ordern, sondern auch Dienstleistungen wie Prostitution, Mord – und Rechtsberatung. "Es gibt Anwälte, die Bitcoins nehmen, um zu verraten, wie man mit Bitcoins nicht erwischt wird", sagt Robinson.

Cryptocrime infiziert sogar die Offline-Welt: In den letzten Monaten kam es zu einer Flut von Überfällen, bei denen die Opfer mit vorgehaltenem Messer gezwungen wurden, ihre Kontoinformationen preiszugeben.

Doch Hilfe naht. Eine ganze Branche beschäftigt sich mittlerweile mit Gegenmaßnahmen. Die Kryptowährungen sind nämlich weit weniger privat, als es ihre Gründer erhofft hatten. Da alle Vorgänge in einem öffentlichen Buch erfasst werden, kann jeder die gesamte Transaktionshistorie – bei Bitcoin derzeit rund 160 Gigabyte – herunterladen oder über Webseiten wie Blockchain.info im Browser einsehen. Auf diese Weise lassen sich auch unrechtmäßig erworbene Gelder verfolgen.

Dies half, einen großen Raub aufzudröseln. Im Jahr 2014 wurde Mt. Gox gehackt, seinerzeit die größte Bitcoin-Börse der Welt. Unbekannte stahlen 850.000 Bitcoins im Wert von damals über 450 Millionen Dollar. Als Mt. Gox Bankrott machte, beauftragten die Insolvenzverwalter ein Team von Forensikern, die fehlenden Münzen zu suchen. Die Forscher fanden ein Chaos vor. "Mt. Gox wusste nicht, wie viele Bitcoins es wem schuldete und wie viele Bitcoins es tatsächlich hatte – bis es merkte, dass sie weg waren", sagt Jonathan Levin, der die Untersuchung leitete. Mit seinen Leuten verfolgte er die Gelder schließlich bis zu einer Börse namens BTC-e, wo die Spur kalt wurde.

Obwohl sie die meisten Münzen nicht zurückbekamen, war mit der Untersuchung ein gewisser Erfolg verbunden: Das Team kam auf die Idee, für ähnliche Fälle ein Werkzeug für Dritte zu entwickeln, etwa für Bitcoin-Unternehmen, die ihre Kunden besser verstehen wollen, oder Strafverfolgungsbehörden. Daraus entstand die Firma Chainalysis. Andere Unternehmen wie BlockSeer und Elliptic bieten ähnliche Tools und Dienstleistungen an.

Laut Tom Robinson, Mitgründer von Elliptic, nutzt die Mehrheit der weltweiten Bitcoin-Börsen die Software seines Unternehmens – etwa um Transaktionen auf Verbindungen mit Erpressungen, Dark-Web-Marktplätzen oder Diebstahl abzuklopfen. So konnten beispielsweise Beweise gegen einen Mann gesammelt werden, der Teile des Maschinengewehrs AR-15 verkaufte. Seit der Gründung vor fünf Jahren, schätzt Robinson, hat seine Software Bitcoin-Transaktionen in Höhe von einer Billion Dollar überprüft – obwohl es bisher nur rund 300 Milliarden Dollar an Transaktionen gab. Da ständig neue Informationen über verdächtige Konten hinzukommen, werden ältere Transaktionen mitunter mehrfach überprüft.

Elliptic-Chef Tom Robinson nennt keine Kunden, aber eine schnelle Websuche zeigt, dass unter anderem das FBI, die Drogen-, Einwanderungs-, Zoll- und Finanzbehörden der USA sowie Europol und mehr als die Hälfte der Polizeikräfte in Europa dazugehören. "Das wird ein interessantes Steuerjahr", sagt Autor Jeffrey Robinson. "Zum ersten Mal schauen sich die Finanzbehörden in den USA Bitcoin-Börsen aus steuerlichen Gründen an."

Vieles davon basiert auf Verfahren, die Sarah Meiklejohn und ihre Kollegen 2013 an der University of California entwickelt haben: Wer die Blockchain genau unter die Lupe nimmt, kann Konten erkennen, die offenbar zum selben Nutzer gehören – wenn etwa mehrere Konten die gleichen Transaktionen ausführen, um Gelder in einem größeren Topf zu sammeln. Ein weiteres verräterisches Zeichen ist, wenn Rückerstattungen einer Transaktion auf ein anderes Konto gehen als das, von dem die ursprüngliche Zahlung kam. Aus dem Chaos tauchen mit der Zeit regelmäßige Muster auf.

Sobald mehrere Konten mit demselben Eigentümer entdeckt wurden, lässt sich mit etwas Glück auch dessen Identität ermitteln – Informationen neigen nun einmal dazu, sich unkontrolliert zu verbreiten. Einige Nutzer sind sogar so sorglos, dass sie ihre privaten Bitcoin-Adressen in Online-Foren posten. Und regulierte Kryptobörsen – meist in den USA oder Europa – müssen sich an die Regeln zur Geldwäschebekämpfung halten und ihre Kunden kennen. Chainalysis und Elliptic nutzen maschinelles Lernen, um entsprechende Verknüpfungen zu entdecken. Bald könnte dies sogar in Echtzeit möglich sein.

Die wandfüllende Datenvisualisierung am Imperial College ist ein Schritt in diese Richtung. Das blau-gelbe Gewirr, das Knottenbelt ins Auge fiel, war eine Abfolge von Transaktionen, um die Verfolgung einzelner Bitcoins zu erschweren. Es ist, als würde man Geldstücke in ein Glas voller Münzen werfen, es schütteln und den gleichen Betrag wieder herausnehmen.

Allerdings ist dies nicht immer ein Zeichen krimineller Aktivität. "Manche tun es nur aus Gründen der Privatsphäre", sagt Knottenbelt. Außerdem haben Kriminelle längst bessere Möglichkeiten, ihre Spuren zu verwischen – etwa über neue Kryptowährungen wie Zcash und Monero. Zcash verwendet einen sogenannten Zero-Knowledge-Proof, um Transaktionen ohne Angaben des Betrags und der Beteiligten zu verifizieren. Zudem erlaubt Zcash auch den Umtausch gebrauchter Münzen gegen frisch geschürfte. Und Monero wickelt Transaktionen mehrerer Nutzer gebündelt über einen gemeinsamen Pool ab, sodass sich nicht nachverfolgen lässt, wer wem wie viel be- zahlt hat.

Aber auch hier gibt es Möglichkeiten, Geheimnisse zu lüften – etwa durch schlampiges Nutzerverhalten wie das Posten von privaten Konto-Adressen. Zudem bietet Monero auch Transaktionen ohne Münzpool an. Dadurch können Forscher im Ausschlussverfahren Schritt für Schritt auch anonymisierte Geldflüsse entwirren. Malte Möser von der Princeton University schätzt, dass 62 Prozent aller Einzahlungen bei Monero anfällig für diese Analyse sind. Wenn Nutzer von Zcash oder Monero die kleinsten Hinweise fallen lassen, stehen Meiklejohn und Möser bereit.

Ein weiteres Problem sind die vielen unregulierten Börsen, bei denen Kriminelle die gestohlenen Kryptomünzen waschen können. Viele Börsen widersetzen sich aus Prinzip der Regulierung: BTC-e oder der Konvertierungsdienst ShapeShift etwa werben damit, von ihren Nutzern keinerlei Identifikation zu verlangen.

Der britische Kryptoforscher Ross Anderson von der University of Cambridge sieht darin gesellschaftliche Ursachen: "Das generelle Problem bei der Bekämpfung von Geldwäsche ist, dass sie niemand wirklich will. Als Bank wollen Sie nicht wissen, ob ein Kunde Mafiaboss ist, und deshalb würden Banken niemals ein Gesetz tolerieren, das die Banker der Mafia ins Gefängnis schickt." Und wenn die Welt so funktioniert, argumentiert Anderson, warum sollte es bei Kryptobörsen anders sein?

Andersons Misstrauen gegenüber den Behörden hat ihn selbst aktiv werden lassen: "Ich werde eine Liste aller gestohlenen Bitcoins veröffentlichen und die nötige Software, damit jeder sie selbst überprüfen kann." Börsen würden dann zweimal darüber nachdenken, mit gestohlenen Münzen zu handeln. Auch andere Forscher setzen wenig Hoffnung in eine strengere Gesetzgebung. "Ich glaube nicht, dass ein Verbot irgendjemandem helfen wird", sagt Knottenbelt vom Imperial College. Die Technologie in den Untergrund zu jagen, würde es für Forscher im Gegenteil nur noch schwieriger machen, Geldströme zu analysieren und Dieben auf der Spur zu bleiben.

Sarah Meiklejohn sorgt sich ebenfalls nicht sonderlich über eine fehlende Regulierung: "Hat man das Problem erst einmal auf Börsen außerhalb der Rechtssprechung eingegrenzt, hat man gewissermaßen gewonnen." Sie sieht ihre Aufgabe vor allem darin, Cryptokriminalität auf die Art von Straftaten einzudampfen, mit der Behörden vertraut sind. Bewaffnet mit Hinweisen von Elliptic und anderen, kann die klassische Polizeiarbeit dann tun, was sie am besten kann. Ein Beispiel dafür ist BTC-e, die Lieblingsbörse vieler Ransomware-Erpresser und letzter bekannter Verbleib der gestohlenen Mt.-Gox-Gelder. Im Juli 2017 wurde sie geschlossen. US-Behörden nahmen Mitarbeiter fest, beschlagnahmten Computer und verhafteten Alexander Vinnik, den mutmaßlichen Betreiber. "Es war klar, dass sie nicht auf Vorladungen reagieren würden", sagt Meiklejohn. "Aber die Strafverfolgung weiß mit so etwas umzugehen."

Vorerst sind die Cyberkriminellen aber noch einen Schritt voraus. Obwohl Forscher die Diebstähle von Kryptogeld nahezu in Echtzeit beobachten können, sind sie immer noch nicht schnell genug, diese mit der realen Welt zu verbinden und zu stoppen. Das zeigte sich beim größten Cyber-Raub in der Geschichte: An einem Januarmorgen dieses Jahres stahlen Unbekannte um drei Uhr früh 523 Millionen Dollar einer digitalen Währung namens NEM von der Kryptobörse Coincheck. Die in Tokio ansässige Börse schlug erst acht Stunden später Alarm. Die Täter hatten also reichlich Vorsprung. Die Gelder wurden aus einem Online-Wallet entwendet – ein unsicherer Aufbewahrungsort, den Coincheck nach eigenen Angaben nur wegen eines Fehlers an anderer Stelle seines Systems benutzt hatte. "Das ist, als würde man seine Geldkarte mit aufgeschriebener PIN liegen lassen", kommentiert Alexandra Tinsman, Kommunikationschefin der NEM Foundation.

Um zu verhindern, dass die Diebe ihre Beute in offizielle Währungen umtauschen, kennzeichnete das NEM-Team die gestohlenen Münzen und alarmierte die Börsen. Einen Tag nach dem Hack hatte es elf Konten identifiziert, auf denen die Gelder gelandet waren. Jedes wurde mit einem Tag markiert: "coincheck_stolen_funds_do_not_accept_trades : owner_of_this_account_is_hacker". Aber weil die NEM-Leute nicht wussten, wem die Konten gehörten, konnten sie nicht viel mehr tun, als zu versuchen, sie zu blockieren.

Es folgte ein Geduldsspiel. Das NEM-Team konnte beobachten, wie die gestohlenen Münzen zunächst nach Kanada gingen. Später wanderten einige nach Japan zurück, alles nachzuverfolgen über die öffentliche Blockchain. Trotzdem entkamen die Diebe. Am Ende konnten sie sich mindestens die Hälfte ihrer Beute über eine unregulierte Börse auszahlen lassen.

Doch die Luft wird immer dünner. Coincheck kündigte als eine der ersten Börsen an, nicht mehr mit anonymen Währungen wie Zcash, Monero oder Dash zu handeln. Die US-Regierung spielt mit dem Gedanken, eine schwarze Liste krimineller Kryptokonten zu erstellen und den Handel mit ihnen zu verbieten. Und die immer besser werdenden Forensik-Werkzeuge könnten die NEM-Diebe irgendwann doch noch überführen – so wie die DNA-Spuren eines alten Mordfalls. Jedes Mal, wenn Behörden eine Silk Road oder eine BTC-e schließen, sagt Autor Jeffrey Robinson, sendet das ein Signal an die kriminelle Community: "Sie werden den Rest von ihnen bekommen, einen nach dem anderen." (bsc)