Methodischer Überblick für Anwälte, Compliance-Verantwortliche und Steuerberater
Krypto-Forensik hat sich in den vergangenen Jahren zu einem zentralen Bestandteil moderner Finanz- und Cyberermittlungen entwickelt. Anwaltskanzleien, Compliance-Abteilungen und Steuerberater sind zunehmend gefordert, forensische Ergebnisse zu beurteilen, in Schriftsätze einzuarbeiten und gegenüber Behörden zu verwenden. Dieser Beitrag liefert einen methodischen Überblick: Welche Verfahren stehen dahinter, welche Heuristiken werden eingesetzt, wo liegen die Grenzen und welche praktische Bedeutung haben die Ergebnisse in der Mandatsarbeit.
Grundlagen: pseudonyme Blockchain und Unterschiede zwischen UTXO- und Account-Modell
Kryptowährungen wie Bitcoin oder Ethereum laufen auf öffentlichen Blockchains. Jede Transaktion wird dauerhaft gespeichert und enthält Senderadresse, Empfängeradresse, Betrag, Zeitpunkt und technische Metadaten. Klarnamen existieren in dieser Datenebene nicht. Die Blockchain ist damit pseudonym, aber nicht anonym – eine Unterscheidung, die in der Mandantenkommunikation häufig der erste Klarstellungsschritt ist. Jede forensische Aussage beruht im Kern darauf, pseudonyme Adressen mit zusätzlichen Informationen wirtschaftlich realen Personen oder Strukturen zuzuordnen.
Bitcoin folgt dem UTXO-Modell. Guthaben existieren dort nicht als Kontostände, sondern als einzelne Transaktionsausgänge, sogenannte Unspent Transaction Outputs. Forensisch ist dieses Modell vergleichsweise gut zugänglich, weil sich nachvollziehen lässt, welche Outputs ausgegeben werden, welche Wallets Inputs gemeinsam signieren und welche Wechselgeldadressen entstehen. Ethereum nutzt demgegenüber ein Account-Modell mit Kontoständen, ergänzt um Smart Contracts, Token-Standards, DeFi-Protokolle und NFT-Systeme. Die forensische Analyse erfordert hier andere Ansätze, weil eine einzelne Transaktion oft komplexe Vertragsinteraktionen mit Folgewirkungen auf weitere Adressen auslöst.
In der Praxis bedeutet das: Eine Ethereum-Transaktion ist häufig nur die Oberfläche eines mehrschichtigen Geschehens. Eine einzige Ausführung kann gleichzeitig einen Token-Swap auf einer dezentralen Börse, eine Sicherheitsleistung in einem Lending-Protokoll, eine NFT-Übertragung und eine Gas-Erstattung an einen Relayer auslösen. Forensisch verwertbare Aussagen entstehen erst, wenn diese Layer sauber getrennt und in eine konsistente Geldflussdarstellung übersetzt werden. Reine Adress-zu-Adress-Sicht reicht im Ethereum-Ökosystem nicht aus und führt regelmäßig zu Fehlinterpretationen, insbesondere wenn Wrapped Tokens, Bridges oder automatisierte Liquiditätspools beteiligt sind.
Blockchain-Tracing als Kernmethode
Im Zentrum jeder forensischen Aufarbeitung steht das Blockchain-Tracing. Ausgangspunkt ist typischerweise eine Opferwallet, eine Scam-Adresse oder eine bekannte Täterwallet. Von dort aus werden sämtliche Transaktionen schrittweise analysiert: Welche Wallets erhielten die Funds, wurden Beträge aufgeteilt, gelangten sie an zentrale Börsen, kamen Mixer oder Bridges zum Einsatz? Professionelle Plattformen visualisieren das Ergebnis als Transaktionsgraph, in dem Knoten Wallets und Kanten Geldflüsse repräsentieren.
Methodisch entscheidend ist die saubere Zuordnung von Ein- und Ausgangsbeträgen über mehrere Hops hinweg. Erst diese Zuordnung erlaubt es, die forensischen Ergebnisse in einen gerichtsverwertbaren Sachverhalt für Strafanzeige und Rückforderung zu übersetzen. Reine Adresslisten ohne Kontext sind in der Mandatsarbeit selten verwertbar.
Wallet-Clustering und die Common Input Ownership Heuristic
Da Täter regelmäßig viele Wallets parallel betreiben, ist die Bündelung mehrerer Adressen zu einem Cluster eine zentrale Disziplin. Bei Bitcoin ist die Common Input Ownership Heuristic die wichtigste Methode: Werden mehrere Wallets gemeinsam zur Signatur einer Transaktion verwendet, wird angenommen, dass dieselbe Person sämtliche Private Keys kontrolliert. Daraus entstehen Netzwerke, die Rückschlüsse auf Exchanges, Scam-Strukturen, Ransomware-Gruppen oder Geldwäscheorganisationen erlauben.
Aus juristischer Sicht ist es essenziell zu verstehen, dass diese Verknüpfungen keine mathematisch sicheren Beweise sind, sondern Wahrscheinlichkeitsmodelle. In Schriftsätzen und Gutachten sollte die methodische Grundlage transparent benannt werden, einschließlich der eingesetzten Heuristik und ihrer typischen Fehlerquellen. Spezialfälle wie CoinJoin-Transaktionen oder bewusst gestaltete Multi-Signature-Konstruktionen können die Common Input Ownership Heuristic neutralisieren und müssen in der Bewertung berücksichtigt werden.
Taint-Analysis: FIFO, Pro-Rata und Poison-Modell im Vergleich
Bei der sogenannten Taint-Analysis wird untersucht, in welchem Umfang eine Wallet mit kriminellen Funds verbunden ist. Drei Modelle haben sich durchgesetzt und führen regelmäßig zu unterschiedlichen Ergebnissen.
Das FIFO-Modell (First In, First Out) geht davon aus, dass zuerst eingegangene Coins als zuerst ausgegeben gelten. Dieses Modell strukturiert Geldflüsse zeitlich nachvollziehbar und ist in vielen Rechtsordnungen das forensische und steuerliche Standardverfahren. Das Pro-Rata- oder Haircut-Modell nimmt eine proportionale Verteilung an: Wenn eine Wallet zu 50 Prozent aus illegalen Funds besteht, gilt jede Ausgangsbewegung zu 50 Prozent als belastet. Das Poison-Modell schließlich geht davon aus, dass sämtliche Coins einer Wallet kontaminiert sind, sobald illegale Funds eingeflossen sind – mit der Folge, dass auch unverdächtige Bestände als belastet behandelt werden.
Die Wahl des Modells beeinflusst die forensische Aussage erheblich, insbesondere bei der Zuordnung von Vermögenswerten nach Vermischung. In der Mandatsarbeit sollte das gewählte Modell offen benannt und seine Wirkung auf das Ergebnis dargestellt werden. Bei der zivilrechtlichen Rückforderung kann die Modellwahl über die Sicherungshöhe entscheiden.
Attribution: KYC-Daten, Exchange-Kooperation und Asset Freeze
Die größte Hürde forensischer Arbeit liegt selten in der Nachverfolgung der Coins, sondern in der Identifizierung der dahinterstehenden Personen. Hier kommen zentralisierte Exchanges ins Spiel. Plattformen wie Binance, Kraken, Coinbase oder Bitpanda erheben umfangreiche KYC-Daten: Ausweisdokumente, Telefonnummern, IP-Adressen, Bankdaten, Selfies und Login-Protokolle. Sobald gestohlene oder verdächtige Funds einer regulierten Börse zugeordnet werden können, lassen sich darüber Konten einfrieren, KYC-Daten anfordern und reale Identitäten feststellen.
Verfahrenstechnisch ist dieser Schritt an strenge Voraussetzungen geknüpft. Ein International Preservation Request setzt eine nachvollziehbare Schadensdarstellung, eine forensisch begründete Zuordnung der Empfängerwallets, eine Strafanzeige als Anknüpfungspunkt und eine anwaltliche Begründung mit konkretem Sicherungsumfang voraus. Je präziser diese Bausteine vorliegen, desto schneller und vollständiger reagiert die Börse. Improvisierte Anfragen werden in der Praxis regelmäßig zurückgewiesen oder verzögert bearbeitet.
OSINT und die operativen Sicherheitsfehler der Täter
Open-Source-Intelligence ist heute ein integraler Bestandteil moderner Krypto-Forensik. Täter hinterlassen unbeabsichtigt digitale Spuren in Telegram-Gruppen, Discord-Servern, sozialen Netzwerken, Foren, GitHub-Profilen oder NFT-Plattformen. Viele verwenden dieselben Wallets sowohl privat als auch für kriminelle Aktivitäten, was OpSec-Fehler erzeugt, die forensisch ausgewertet werden können. Auch ENS-Domains lassen häufig direkte Verbindungen zwischen pseudonymen Adressen und realen Online-Identitäten zu.
In der Mandatsarbeit lohnt es sich, OSINT-Ergebnisse von Anfang an einzubeziehen. Sie ergänzen die reine Blockchain-Analyse um Plausibilitäten, helfen bei der Lückenschließung in Cluster-Modellen und können bei Bedarf in Schriftsätzen als zusätzliche Indizienkette verwendet werden. Wichtig ist die saubere Dokumentation der Quellen, damit jede Aussage nachvollziehbar bleibt – ein Punkt, an dem viele laienhaft erstellte Berichte scheitern.
Mixer, Privacy Coins und die Grenzen forensischer Analyse
Verschleierungstechniken gehören zum festen Repertoire organisierter Krypto-Kriminalität. Mixer wie Tornado Cash poolen Beträge zahlreicher Nutzer und brechen die direkte Verbindung zwischen Ein- und Ausgang. CoinJoin verfolgt auf Bitcoin-Ebene einen ähnlichen Ansatz. Chain-Hopping zwischen verschiedenen Blockchains erfordert Cross-Chain-Tracking, das deutlich aufwendiger ist als die Analyse einer einzelnen Chain. Privacy Coins wie Monero verschleiern Beträge und Adressen technisch und sind direkten Tracing-Ansätzen nur eingeschränkt zugänglich.
Trotz dieser Hürden bleiben in vielen Fällen Timing-Muster, Transaktionsvolumina, technische Fehler oder Exchange-Offramps erkennbar. Professionelle Ermittler kombinieren deshalb technische Analyse mit klassischen kriminalistischen Methoden. Wesentlich für die Mandatskommunikation ist eine realistische Einordnung: Vollständig spurlos lassen sich Vermögenswerte nur dann bewegen, wenn sie ausschließlich in nicht kooperierenden Jurisdiktionen und über mehrere Verschleierungsebenen geführt werden. Auch in solchen Fällen liefert die Forensik regelmäßig zumindest belastbare Strukturhinweise.
Tool-Landschaft und institutionelle Nutzer
Im Markt etabliert haben sich spezialisierte Plattformen wie Chainalysis, TRM Labs, Elliptic, Crystal Blockchain, CipherTrace und Arkham. Diese Systeme analysieren Wallet-Netzwerke, Risiko-Scores, Sanktionslisten, Cluster und verdächtige Transaktionsmuster auf Basis großer historischer Datensätze. Sie werden weltweit von Strafverfolgungsbehörden, Banken, Börsen, Nachrichtendiensten und privaten Forensikunternehmen eingesetzt.
Für die Mandatsarbeit ist nicht das einzelne Tool entscheidend, sondern die Qualität der nachgelagerten Interpretation. Risiko-Scores einzelner Plattformen sind nützliche Ausgangshypothesen, aber kein direkter Beweis. Eine belastbare forensische Aussage entsteht erst durch die Kombination aus Tool-Output, methodischer Plausibilisierung und kriminalistischer Bewertung.
Aus compliance-rechtlicher Sicht hat die Tool-Landschaft eine zweite Dimension. Banken und Krypto-Verwahrer setzen die gleichen Anbieter ein, um eingehende Transaktionen automatisiert auf Sanktionslistenbezug, Mixer-Nutzung oder Risikocluster zu prüfen. Eine Wallet, die in solchen Systemen markiert wird, kann selbst dann zu Account-Blockaden oder Auszahlungssperren führen, wenn die wirtschaftliche Berechtigung des Nutzers völlig unstreitig ist. In der Mandatsberatung bedeutet das, die Tool-Logik nicht nur als forensische Ressource zu verstehen, sondern auch als Risikofaktor für die eigene Mandantschaft – etwa bei Erbfällen, bei der Übertragung von Beständen oder bei der Auszahlung scheinbar unproblematischer Gewinne.
Wann sich forensische Unterstützung in der Mandatsarbeit lohnt
Eine vollumfängliche forensische Aufarbeitung lohnt sich in der Regel, sobald wirtschaftlich relevante Beträge im Raum stehen und mehrere Wallets, Plattformen oder Blockchains betroffen sind. Sinnvoll ist die Einbindung externer forensischer Expertise insbesondere, wenn Bridges, OTC-Desks oder Mixer im Spiel sind, wenn parallel Strafverfahren laufen und eine Doppelverwertung der Beweise möglich ist oder wenn ein Asset Freeze bei einer Börse vorbereitet werden soll.
Welche Leistungsbausteine im konkreten Mandat sinnvoll sind, hängt von Schadenshöhe, Beweislage und Verfahrensstand ab. Eine Übersicht zu den forensischen Möglichkeiten für die anwaltliche Mandatsarbeit bietet die entsprechende Themenseite, eine Übersicht zur forensisch-rechtlichen Strategie zur Krypto-Asset-Recovery fasst die wesentlichen Schritte zusammen.
Fazit: Krypto-Forensik ist Wahrscheinlichkeitsarbeit auf hohem Niveau
Krypto-Forensik ist zu einem zentralen Bestandteil moderner Finanz- und Cyberermittlungen geworden. Durch die Transparenz öffentlicher Blockchains lassen sich Geldflüsse häufig detailliert rekonstruieren, und die vermeintliche Anonymität von Kryptowährungen erweist sich in vielen Fällen als überschätzt. Gleichzeitig handelt es sich nicht um eine deterministische Wissenschaft. Wallet-Clustering, Taint-Analysis und Attribution beruhen auf Wahrscheinlichkeitsmodellen, Heuristiken und Indizien. Diese Limitierung sollte in jedem Mandat offen kommuniziert werden.
Erfolgreich ist die Krypto-Forensik dort, wo technische Analyse, OSINT, Finanzermittlungen, Verhaltensanalyse und internationale Kooperation systematisch zusammengeführt werden. Für die Mandatsarbeit bedeutet das eine enge Verzahnung zwischen anwaltlicher Steuerung, forensischer Aufbereitung und behördlicher Kooperation. Speziell zugeschnittene Informationen für die anwaltliche Praxis finden Sie auf der Seite Finanz Forensik für Rechtsanwälte.
FAQs – Häufig gestellte Fragen zur Krypto-Forensik
Pseudonymität bedeutet, dass eine Wallet-Adresse zwar keinen Klarnamen enthält, sich aber über zusätzliche Informationen – KYC-Daten bei Exchanges, OSINT-Spuren, technische Fingerabdrücke – einer realen Person oder Organisation zuordnen lässt. Anonymität in einem strengen Sinne erreichen die meisten öffentlichen Blockchains nicht.
Bitcoin folgt dem UTXO-Modell mit einzelnen Transaktionsausgängen, was klassische Heuristiken wie die Common Input Ownership Heuristic erleichtert. Ethereum nutzt ein Account-Modell mit Smart Contracts, Token-Standards und DeFi-Protokollen. Forensik auf Ethereum erfordert deshalb andere Ansätze, insbesondere die Analyse von Vertragsinteraktionen und Token-Bewegungen.
Die Common Input Ownership Heuristic ist eine forensische Annahme, nach der mehrere Wallets, die gemeinsam Inputs einer Transaktion signieren, demselben wirtschaftlichen Eigentümer zugerechnet werden. Sie ist Grundlage vieler Cluster-Bildungen, kann jedoch durch CoinJoin oder bewusst konstruierte Multi-Signature-Setups neutralisiert werden.
Die drei Modelle ordnen Geldflüsse unterschiedlich zu. FIFO orientiert sich zeitlich, Pro-Rata anteilig, das Poison-Modell radikal binär. Die Wahl beeinflusst die forensische Aussage und damit auch die argumentative Reichweite gegenüber Behörden, Börsen und Gerichten. In der Mandatsarbeit sollte das gewählte Modell stets offengelegt werden.
Wallet-Cluster basieren auf Heuristiken und Wahrscheinlichkeitsmodellen, nicht auf mathematisch sicheren Beweisen. Sie können in der überwiegenden Zahl der Fälle belastbare Hinweise auf Zugehörigkeiten geben, müssen aber methodisch transparent dargestellt werden. Reine Cluster-Aussagen ohne Plausibilisierung sind in einem Schriftsatz oft angreifbar.
KYC-Daten regulierter Börsen sind häufig der Schlüssel zur Identifikation der hinter pseudonymen Wallets stehenden Personen. Sie ermöglichen sowohl die strafrechtliche Identifikation als auch zivilrechtliche Sicherungsmaßnahmen. Voraussetzung für die Herausgabe ist regelmäßig eine forensisch begründete Anforderung in Verbindung mit Strafanzeige und anwaltlicher Begleitung.
Mixer brechen die direkte Verbindung zwischen Ein- und Auszahlung auf, indem sie Beträge vieler Nutzer poolen. Eine deterministische Nachverfolgung ist über einen Mixer hinweg nicht möglich. Häufig lassen sich aber Timing-Muster, charakteristische Beträge und Cluster-Hinweise nutzen, um wahrscheinliche Verknüpfungen herzustellen. Eine vollständige Spurensicherung scheitert vor allem bei wenig genutzten oder bewusst gestalteten Mixer-Konfigurationen.
Ein International Preservation Request ist ein etabliertes Sicherungsinstrument, mit dem Exchanges aufgefordert werden, digitale Spuren und Vermögenswerte vorläufig einzufrieren. Er ersetzt kein zivilrechtliches Verfahren, schafft aber das notwendige Zeitfenster, um eine Rückführungsstrategie aufzubauen. Voraussetzung sind eine forensische Sachverhaltsdarstellung und eine anwaltlich gezeichnete Begründung.
Krypto-Forensik bleibt Wahrscheinlichkeitsarbeit. Privacy Coins, professionelle Geldwäsche-Netzwerke, kompromittierte KYC-Daten, Offshore-Strukturen und internationale Zuständigkeitsfragen begrenzen die Aussagekraft. Eine realistische Erwartungshaltung beim Mandanten ist deshalb Teil professioneller Beratung – auch um Anschlusspunkte für unseriöse Recovery-Anbieter zu vermeiden.
Sinnvoll ist die Einbindung von Finanz Forensik immer dann, wenn die Schadenshöhe wirtschaftlich substanziell ist, mehrere Wallets oder Plattformen betroffen sind, der Verdacht auf Cross-Chain-Bewegungen oder organisierte Strukturen besteht oder ein Asset Freeze gegenüber einer Börse vorbereitet werden soll. Je früher die Datenlage forensisch gesichert wird, desto belastbarer ist die spätere Beweiskette.
