Wie strukturierte Blockchain-Analyse, Cross-Chain-Tracking und Exchange-Kooperation in einem 184.000-Euro-Mandat zur teilweisen Vermögenssicherung führten
Romance-Scams mit Krypto-Komponente gehören mittlerweile zu den professionellsten Betrugsstrukturen im digitalen Vermögensumfeld. Anwälte, Compliance-Abteilungen und Steuerberater sind zunehmend mit Mandaten konfrontiert, in denen technische, emotionale und international-organisatorische Elemente ineinander greifen. Der folgende Fallbericht beschreibt einen real begleiteten Krypto-Love-Scam, die eingesetzte forensische Methodik und die daraus abzuleitenden Lessons Learned für die Mandatsarbeit.
Hinweis: Name und identifizierende Details wurden zum Schutz der Betroffenen geändert. Beträge, Methodik und Verfahrensgang entsprechen dem tatsächlichen Mandat.
Ausgangslage: 184.000 Euro Schaden und ein typisches Romance-Scam-Profil
Im Oktober 2025 wandte sich eine 52-jährige Mandantin – im Bericht „Sophia W.” – an Finanz Forensik. Sie hatte über eine iDating-Plattform Kontakt zu einem angeblichen Ingenieur auf einem Offshore-Projekt in Singapur aufgenommen. Über mehrere Monate hatte sich eine intensive Online-Beziehung aufgebaut, in deren Verlauf der Kontaktpartner sie zu einer angeblich exklusiven asiatischen Investmentplattform für Bitcoin, Ethereum und USDT-Trading führte.
Die Mandantin investierte schrittweise insgesamt 184.000 Euro. Die Plattform suggerierte über mehrere Wochen Gewinne von über 150 Prozent. Bei dem ersten Auszahlungsversuch wurden zusätzliche Zahlungen für angebliche Steuern, Sicherheitsgebühren, AML-Freigaben und weitere Verifikationen gefordert. Kurz nach der Erstkontaktaufnahme zu unserer Forensik wurde der Kommunikationspartner unerreichbar und die Plattform offline gestellt – das klassische Endmuster eines durchgeführten Krypto-Love-Scams.
Bemerkenswert war die Qualität der Täuschung: Die Videocalls waren nach späterer Auswertung mit hoher Wahrscheinlichkeit mit KI-generierten Deepfake-Sequenzen geführt worden. Das erklärt unter anderem, warum die Mandantin auch nach Monaten keine Inkonsistenzen wahrnahm.
Erste forensische Aufarbeitung: Transaktionsrekonstruktion und Peel-Chain-Erkennung
Im ersten Arbeitsschritt wurden sämtliche Einzahlungstransaktionen, die genutzten Zielwallets und die zugehörigen Routingpfade vollständig rekonstruiert. Die Analyse zeigte, dass die USDT-Transfers zunächst über die TRON-Blockchain abgewickelt wurden – Standard bei professionellen Scams aufgrund niedriger Gebühren, hoher Geschwindigkeit und globaler Liquidität.
In der nachgelagerten Blockchain-Analyse zeichnete sich eine klassische Peel-Chain-Struktur ab: schrittweise Aufspaltung der Beträge, automatisierte Weiterleitung über mehrere Hops, Rotation der Wallets. Ziel dieses Musters ist es, die ursprünglichen Geldflüsse zu zerlegen und die Nachvollziehbarkeit auf der Empfängerseite zu erschweren. Die Methodik zur Erkennung solcher Strukturen ist mittlerweile etabliert; entscheidend für die anschließende Vermögenssicherung ist die saubere Zuordnung von Ein- und Ausgangstransaktionen.
Cross-Chain-Tracking: TRON, Ethereum und BNB Chain
Über die TRON-Ebene hinaus nutzten die Täter einen Cross-Chain-Aggregator, um die Assets zwischen TRON, Ethereum und BNB Chain zu verschieben. Diese Art der Layered-Movement zwischen verschiedenen Blockchains gehört heute zum Standardrepertoire organisierter Krypto-Kriminalität, weil Bridge-Transaktionen zumindest auf den ersten Blick die Spur abreißen lassen.
Technisch entstehen dabei zwei Verknüpfungsproblematiken. Erstens ist die Bridge-Adresse selbst regelmäßig nicht der Endpunkt, sondern eine technische Zwischenstation für viele Nutzer parallel. Zweitens werden die Tokens auf der Zielchain häufig in einer leicht abweichenden Form ausgegeben (etwa als gewrappte Variante), was eine einfache Adressverfolgung erschwert. Die Lösung liegt nicht in der Adressfortschreibung, sondern in der Korrelation: zeitnahe Ausgangsbeträge auf der Zielchain, Mengenkonsistenz, Heuristiken zur Cluster-Zuordnung.
Über öffentliche Block Explorer und gezieltes Bridge-Tracking konnten Einzahlungen, Zielwallets und Routingpfade in Beziehung gesetzt werden. Mithilfe einer chain-übergreifenden Korrelationsanalyse ließ sich rekonstruieren, welche Auszahlung auf welcher Zielchain mit welcher Einzahlung der Mandantin zusammenhängt. Genau diese Zuordnung ist die Voraussetzung für jede spätere zivilrechtliche oder strafrechtliche Argumentation und für die Begründung von Sicherungsmaßnahmen gegenüber Exchanges.
KI-gestützte Mustererkennung und Wallet-Clustering
Zusätzlich kamen KI-gestützte Analyseplattformen zum Einsatz, die Timing-Muster, Wallet-Cluster, Behavioral Fingerprints, Bridge-Nutzung und bekannte Scam-Strukturen auswerten. In diesem Fall erkannten die Systeme, dass mehrere der identifizierten Zielwallets bereits in früheren Romance-Scam-Mandaten als Empfängerseite aufgetreten waren. Auf dieser Basis ließ sich das Netzwerk einem bekannten südostasiatischen Scam-Cluster zuordnen.
Behavioral Fingerprints sind dabei kein abstraktes Schlagwort. Gemeint sind charakteristische, wiederkehrende Verhaltensmuster auf Wallet-Ebene: typische Halteperioden, immer gleiche Splittungsschwellen, präferierte Bridges, präferierte Tageszeiten für Transfers. Diese Signaturen variieren von Tätergruppe zu Tätergruppe. Sind sie einmal extrahiert, lassen sich daraus Wahrscheinlichkeitsaussagen über die Zugehörigkeit weiterer Wallets ableiten – eine zentrale Ressource bei der Identifikation arbeitsteilig agierender Scam-Strukturen.
Über eine Blockchain-Graphanalyse entstand ein umfangreiches Netzwerkbild aus Sammelwallets, Hot Wallets, Bridge-Adressen und Exchange-Deposits. Methodisch entscheidend ist dabei nicht die schiere Datenmenge, sondern die saubere Verbindung zwischen technischer Analyse und Sachverhaltsdarstellung, die für Anwälte, Ermittlungsbehörden und Gerichte verwertbar bleibt.
Asset Freeze: KYC-Anbindung und International Preservation Request
Eine der analysierten Wallets transferierte regelmäßig Assets an eine große internationale Kryptobörse. Über typische Deposit-Muster, wiederkehrende Beträge und zeitliche Zusammenhänge ließ sich die Wallet mit hoher Wahrscheinlichkeit einem konkreten Exchange-Konto zuordnen. Damit wechselte das Mandat von der reinen forensischen Aufarbeitung in die operative Vermögenssicherung.
Über anwaltliche Schritte und einen International Preservation Request – ein Sicherungsinstrument zum schnellen Einfrieren digitaler Spuren und Vermögenswerte – wurde die Börse kontaktiert. Sie fror daraufhin Vermögenswerte in Höhe von rund 112.000 Euro vorläufig ein. Bei der Börse lagen zudem KYC-Daten, IP-Adressen, Geräteinformationen und Login-Protokolle vor. Die Auswertung deutete auf ein professionelles Scam-Netzwerk mit gefälschten Identitäten, Romance-Scams und KI-generierter Deepfake-Kommunikation hin.
Wesentlich ist, dass der Preservation Request kein bloßer Hinweis an die Börse ist, sondern an strenge inhaltliche Voraussetzungen geknüpft wird. Verlangt werden eine nachvollziehbare Schadensdarstellung, eine forensisch begründete Zuordnung der Empfängerwallets, eine Strafanzeige als formaler Anknüpfungspunkt und in der Regel eine anwaltlich gezeichnete Begründung mit konkretem Sicherungsumfang. Je präziser diese Bausteine vorliegen, desto schneller und vollständiger reagiert die Börse. Improvisierte oder rein laienhaft begründete Anfragen werden in der Praxis regelmäßig zurückgewiesen oder verzögert bearbeitet.
Aus rechtlicher Sicht ist hier die saubere Zuordnung der eingefrorenen Vermögenswerte zur ursprünglichen Mandantengelderspur entscheidend, insbesondere bei der Vermischung mit anderen, drittseitig zugeflossenen Mitteln. Die forensische Aufbereitung bildet hier die argumentative Grundlage gegenüber Exchange, Behörden und Gericht.
Rolle der Behörden und anwaltliche Schritte
Ohne die enge Kooperation mit der Cyber-Crime-Abteilung der Polizei Hamburg wäre die Geschwindigkeit der Vermögenssicherung nicht zu erreichen gewesen. Bei Krypto-Love-Scams entscheidet das Zeitfenster zwischen Verdachtsschöpfung und Asset Freeze regelmäßig darüber, welcher Anteil der Funds noch greifbar ist.
Anwaltlich war ein klar strukturiertes Vorgehen erforderlich: Strafanzeige, Sicherung der Beweismittel (Kommunikationsverläufe, Plattformkommunikation, Transaktionsbelege), Preservation Request gegenüber der Börse, parallele Vorbereitung zivilrechtlicher Schritte. Ein Teil der Gelder ließ sich nicht mehr nachverfolgen: Diese Anteile waren bereits über asiatische OTC-Desks, Mixer und mehrfache Wallet-Rotationen weitergegeben worden – ein typisches Endmuster organisierter Krypto-Geldwäsche.
Forensisch betrachtet markiert dieser Punkt die Grenze des praktisch Erreichbaren. OTC-Desks in nicht kooperierenden Jurisdiktionen entziehen Beträge dem strukturierten Recovery-Prozess weitgehend, weil weder KYC-Daten zugänglich sind noch Sicherungsanordnungen durchsetzbar wären. Mixer dienen demselben Zweck auf technischer Ebene und brechen Cluster-Verknüpfungen kontrolliert auf. Diese Grenze muss in der Mandantenkommunikation klar benannt werden, um realistische Erwartungen zu setzen und Recovery-Scam-Anbietern, die genau in dieser Lücke ihre Versprechen anbringen, keinen Anschlusspunkt zu bieten.
Die forensisch-rechtliche Strategie zur Krypto-Asset-Recovery erfordert in solchen Fällen ein eng abgestimmtes Vorgehen zwischen Forensik, Anwalt und Strafverfolgung. Jede Verzögerung auf einer der drei Achsen reduziert die Erfolgsaussichten messbar.
Lessons Learned für die anwaltliche Mandatsarbeit
Der Fall zeigt mehrere praxisrelevante Punkte.
Erstens: Die schnelle Sicherung der digitalen Beweislage – Kommunikationsverläufe, Plattformbelege, Transaktionsexports – ist zwingend. Mit jeder Stunde, in der die Plattform online bleibt, steigt die Qualität der Beweiskette. Geht die Plattform offline, sind viele Inhalte unwiderruflich verloren.
Zweitens: Die Beauftragung externer Forensik sollte vor oder spätestens unmittelbar nach Erstattung der Strafanzeige erfolgen, nicht erst Monate später. Ermittlungsbehörden haben begrenzte Kapazitäten für Cross-Chain-Tracking und sind oft auf forensische Vorarbeit angewiesen, um Preservation Requests zielgerichtet stellen zu können.
Drittens: Eine realistische Erwartungshaltung gegenüber der Mandantin oder dem Mandanten ist wichtig. Selbst bei sehr guter forensischer Aufarbeitung lässt sich häufig nur ein Teil der Gelder sichern. Recovery-Anbieter, die volle Rückführung gegen Vorabzahlung versprechen, sind in der überwiegenden Zahl der Fälle selbst eine zweite Betrugsschicht.
Viertens: Die emotionale Dimension von Love-Scams ist nicht zu unterschätzen. Mandanten zeigen häufig deutliche Belastungssymptome, in Einzelfällen auch akute Krisenanzeichen. Anwaltliche Mandatsführung sollte hierauf in Kommunikation und Tempo Rücksicht nehmen und ergänzende Hilfsangebote benennen, ohne die forensisch-rechtliche Arbeit zu verzögern.
Fünftens: Die saubere Trennung zwischen forensischer Aufarbeitung und Recovery-Versprechen sollte gegenüber dem Mandanten von Beginn an transparent gemacht werden. Forensik liefert Datenlage, Argumentationsgrundlage und Sicherungsbasis. Sie garantiert keinen Rückführungserfolg. Diese Klarheit erhöht das Vertrauen in das Mandat und schützt zugleich vor späteren Konflikten, falls trotz aller Bemühungen ein Anteil der Vermögenswerte verloren bleibt.
Wann sich forensische Unterstützung bei Krypto-Love-Scams lohnt
Eine vollumfängliche forensische Aufarbeitung lohnt sich in der Regel, sobald die Schadenshöhe wirtschaftlich relevant ist und mehrere Wallets, Plattformen oder Blockchains betroffen sind. Sinnvoll ist die Einbindung externer forensischer Expertise außerdem, wenn Bridges, OTC-Desks oder Mixer im Spiel sind, wenn ein Strafverfahren parallel läuft und eine Doppelverwertung der Beweise möglich ist oder wenn ein Asset Freeze bei einer Börse vorbereitet werden soll.
Speziell zugeschnittene Informationen für die anwaltliche Mandatsarbeit – einschließlich gerichtsverwertbarer Berichtsformate – finden Sie auf der Seite Finanz Forensik für Rechtsanwälte. Lassen Sie die Datenlage frühzeitig sichern. Spätere Rekonstruktionen sind erheblich aufwendiger und in vielen Fällen unvollständig.
Fazit: Krypto-Love-Scams sind beherrschbar, wenn Forensik, Anwalt und Behörden gemeinsam handeln
Der Fall „Sophia W.” verdeutlicht die Realität moderner internationaler Krypto-Love-Scams. Täter kombinieren emotionale Manipulation, professionelle digitale Täuschung, Cross-Chain-Technologien und KI-generierte Inhalte zu einem geschlossenen System. Gleichzeitig zeigt der Fall, dass moderne Krypto-Forensik trotz komplexer Geldwäschemethoden erhebliche Möglichkeiten bietet: Geldflüsse lassen sich rekonstruieren, Wallet-Netzwerke sichtbar machen und gestohlene Vermögenswerte teilweise zurückführen.
Voraussetzung ist eine eng verzahnte Zusammenarbeit zwischen Forensik, anwaltlicher Beratung und Ermittlungsbehörden. Die hier gesicherten 112.000 Euro waren nur möglich, weil Analyse, anwaltliche Schritte und behördliche Reaktion zeitgleich aufeinander abgestimmt wurden.
FAQs – Häufig gestellte Fragen zu forensischer Aufarbeitung von Krypto-Love-Scams
Krypto-Love-Scams setzen vor dem eigentlichen Investmentbetrug eine wochen- bis monatelange Beziehungsanbahnung voraus. Diese Vorlaufzeit erzeugt eine emotionale Bindung, die Auszahlungen weit über den Beträgen klassischer Anlagebetrugsfälle ermöglicht. Aus forensischer Sicht ist die nachgelagerte Krypto-Komponente vergleichbar mit Pig-Butchering-Strukturen.
Aktuell dominieren USDT-Transfers auf TRON, ergänzt durch Cross-Chain-Bewegungen nach Ethereum und BNB Chain. Verwendet werden zudem Stablecoins zur Werterhaltung während der Wäschephase sowie gelegentlich Wrapped-Token-Konstruktionen. Die Auswahl reflektiert primär Gebührenstruktur, Geschwindigkeit und Liquidität.
Eine Peel-Chain ist ein Muster, bei dem Beträge schrittweise abgespalten und über mehrere Wallets weitergeleitet werden. Ziel ist die Zerlegung des ursprünglichen Geldflusses zur Erschwerung der Nachverfolgung. Forensisch lässt sich die Struktur durch Cluster-Analysen und gezieltes Hop-Tracking rekonstruieren.
Cross-Chain-Tracking nutzt Bridge-Adressen, Korrelationen zwischen Ein- und Ausgangsadressen, Timing-Muster und Token-Mengen, um Bewegungen zwischen verschiedenen Blockchains zu verbinden. Spezialisierte Analyseplattformen automatisieren diesen Schritt; entscheidend bleibt die saubere Plausibilisierung der Verknüpfungen.
KI-gestützte Plattformen werten Timing-Muster, Wallet-Cluster, Behavioral Fingerprints und bekannte Scam-Strukturen aus. Sie liefern Hypothesen über Zugehörigkeiten von Wallets zu bekannten Netzwerken. Diese Hypothesen müssen forensisch verifiziert werden, sind aber wertvolle Ausgangspunkte für die Recherche.
Ein International Preservation Request ist ein Sicherungsinstrument, mit dem digitale Spuren und Vermögenswerte gegenüber Exchanges, Anbietern oder Plattformen vorläufig eingefroren werden, bevor sie verschoben oder gelöscht werden. Voraussetzung ist eine belastbare Sachverhaltsdarstellung – häufig auf Grundlage forensischer Vorarbeit.
Die Zuordnung erfolgt typischerweise über wiederkehrende Deposit-Muster, identische Beträge, zeitliche Zusammenhänge und Heuristiken aus Wallet-Clustering. Eine belastbare Begründung kombiniert mehrere dieser Indikatoren und macht sie in einem nachvollziehbaren Bericht prüfbar.
Liegt einer Börse für ein zugeordnetes Konto KYC-Material vor, ergeben sich daraus regelmäßig Ansatzpunkte für die strafrechtliche Ermittlung und für die zivilrechtliche Rückforderung. KYC-Daten sind nicht selten der Schlüssel zur Identifikation natürlicher Personen hinter pseudonymen Wallet-Strukturen.
Eine pauschale Quote gibt es nicht. Im hier dargestellten Fall konnten rund 112.000 von 184.000 Euro über einen Asset Freeze gesichert werden – ein vergleichsweise gutes Ergebnis, das ohne enge Behördenkooperation nicht möglich gewesen wäre. Andere Anteile waren über OTC-Desks und Mixer bereits abgeflossen.
Sinnvoll ist die Einbindung von Finanz Forensik immer dann, wenn die Schadenshöhe wirtschaftlich substanziell ist, mehrere Wallets oder Plattformen betroffen sind, der Verdacht auf Cross-Chain-Bewegungen oder organisierte Strukturen besteht oder ein Asset Freeze gegenüber einer Börse vorbereitet werden soll. Je früher die Datenlage forensisch gesichert wird, desto belastbarer ist die spätere Beweiskette.
