Recovery Scam nach Kryptobetrug – Anbieter und Strukturen

Wer durch Anlagebetrug oder Krypto-Fraud bereits erhebliche Vermögensverluste erlitten hat, befindet sich in einer doppelt vulnerablen Lage: Der finanzielle Schaden ist eingetreten, die psychologische Belastung hoch – und genau diese Konstellation nutzen organisierte Täternetzwerke für einen zweiten Angriff. Unter dem Begriff Recovery Scam werden Betrugshandlungen zusammengefasst, bei denen Täter gezielt bereits geschädigte Personen ansprechen und gegen Vorauszahlung die Rückholung des verlorenen Geldes versprechen. Für Rechtsanwälte ist das Phänomen sowohl in der Beratung geschädigter Mandanten als auch als eigenständige strafrechtliche Erscheinungsform mit besonderen forensischen und prozessualen Anforderungen relevant.

Begriff und Funktionsweise des Recovery Scam

Der Recovery Scam – auch als Refund Scam oder Rückforderungsbetrug bezeichnet – ist ein sekundärer Betrug, der strukturell auf einem vorausgegangenen primären Betrug aufbaut. Die Täter kontaktieren Opfer von Anlage- oder Krypto-Betrug und treten als vermeintliche Rückholdienstleister, Fachanwälte, Krypto-Ermittler oder Behördenvertreter auf. Das Kernversprechen ist dabei stets dasselbe: Gegen eine Vorauszahlung – oft als Bearbeitungsgebühr, Treuhandeinlage, Freigabesteuer oder Aktivierungstransaktion bezeichnet – werde das verlorene Vermögen zurückgeführt.

In der Praxis existiert weder die versprochene Dienstleistung noch eine rechtliche Grundlage für die behaupteten Maßnahmen. Nach Eingang der Zahlung werden die Opfer vertröstet, mit weiteren Gebührenforderungen konfrontiert oder der Kontakt wird schlicht abgebrochen. In dokumentierten Fällen reichen die geforderten Vorauszahlungen von einigen Hundert bis zu mehreren Tausend Euro – und werden durch eskalierende Folgeforderungen systematisch ausgeweitet.

Charakteristisch ist die professionelle Aufmachung der Angebote: Eigene Websites mit Logos, gefälschte Behördenschreiben mit Aktenzeichen, KI-generierte Teamfotos und fingierte Erfolgsbilanzen erzeugen ein Vertrauensumfeld, das für emotional belastete Betroffene schwer zu durchschauen ist. Häufig stammen die Täter aus denselben Netzwerken wie die Urheber des ursprünglichen Betrugs – oder sie haben Opferlisten von diesen erworben.

Typische Kontaktwege und Akquisitionsmethoden der Täter

Recovery Scammer agieren nicht wahllos, sondern beschaffen sich Kontaktdaten gezielt und auf mehreren Wegen:

Weitergabe interner Opferlisten: Wenn ein primäres Betrugsprojekt aufgelöst wird oder auffliegt, werden Opferdaten häufig intern weiterverkauft. Recovery-Scam-Netzwerke erwerben diese Listen und nutzen das vorhandene Vertrauen aus dem Erstkontakt.

Monitoring sozialer Medien und Foren: Betrugsopfer berichten in öffentlichen Gruppen, Foren und auf Bewertungsplattformen von ihren Erfahrungen. Täter überwachen diese Kanäle systematisch und nehmen gezielt Kontakt auf.

Gefälschte Behördenkommunikation: Opfer erhalten Schreiben oder E-Mails, die vorgeben, von BaFin, Staatsanwaltschaft, Europol oder vergleichbaren Institutionen zu stammen. Darin wird die angebliche Sicherstellung des Betrugsgeldes kommuniziert – und eine Gebühr für die Freigabe gefordert.

SEO-optimierte Fake-Angebote: Eigens erstellte Websites mit Keywords wie „Krypto-Betrug Hilfe“, „Anlagebetrug Geld zurueck“ oder „Recovery Dienst“ platzieren sich in Suchmaschinen prominent und fangen aktiv Suchende ab.

Bezahlte Onlinewerbung: Scammer schalten gezielt Google-Ads und Social-Media-Anzeigen, die auf Nutzer ausgerichtet sind, die nach Informationen zu Anlagebetrug oder Krypto-Verlust suchen.

Strukturelle Merkmale verdächtiger Recovery-Angebote

Unabhängig vom konkreten Auftreten lassen sich bei Recovery-Scam-Angeboten typische strukturelle Merkmale identifizieren, die als Prüfkriterien dienen:

• Vorauszahlung als Bedingung: Seriöse Rechtsdienstleister und forensische Experten arbeiten nicht mit Vorabgebühren für ungeprüfte Rückholversprechen. Jede Forderung nach Zahlung vor Leistungserbringung ist ein klares Warnsignal.
• Keine verifizierbare Zulassung: Weder Rechtsanwalt noch Sachverständiger ist im BRAK-Anwaltsverzeichnis oder einem sonstigen prüfbaren Register auffindbar. Die angegebenen Adressen existieren nicht oder gehören zu anderen Unternehmen.
• Unaufgeforderte Kontaktaufnahme: Kein seriöser forensischer Dienstleister oder Rechtsanwalt nimmt unaufgefordert Kontakt zu Betrugsopfern auf. Wer sich von sich aus meldet und Hilfe anbietet, verfolgt eigene Interessen.
• Garantien ohne Fallkenntnis: Rückholquoten, Erfolgsgarantien oder konkrete Auszahlungsversprechen ohne vorherige Akteneinsicht und Fallprüfung sind inhaltlich nicht serioese möglich.
• Krypto-Zahlungsanforderungen: Wenn die Vorauszahlung ausschließlich über Bitcoin, Tether, USDC oder ähnliche digitale Assets gefordert wird, ist das Risiko einer nicht rückverfolgbaren Zahlung an Betrüger hoch.
• Junges Domain-Alter: Viele Recovery-Scam-Seiten sind erst wenige Monate alt. Eine WHOIS-Abfrage gibt Aufschluss über das Registrierungsdatum – ein Domainbestand von unter 12 Monaten bei fehlender weiterer Nachweisbarkeit ist ein Indiz.

Beispiele für auffällige Domains und typische Muster

Im Rahmen von Recherchen zu möglichen Recovery-Scam-Strukturen tauchen immer wieder Domains auf, die typische Merkmale solcher Angebote aufweisen. Eine abschließende rechtliche Bewertung im Einzelfall ist damit nicht verbunden.

• agbglobal.cc („Allianz Gegen Betrug“):  – Der Name imitiert bewusst den Markennamen der Allianz SE, die selbst ausdrücklich vor Identitätsmissbrauch durch Dritte warnt. Die .cc-Domain ist außerhalb des deutschen Rechtsrahmens registriert; eine BaFin-Zulassung oder ein Handelsregistereintrag ist nicht nachweisbar.
• bavaria-rechtundberatung.com („Bavaria Recht & Beratung“):  – Die Namensgebung suggeriert bayerische Regionalität und rechtliche Kompetenz, ohne dass ein entsprechendes Unternehmen im BRAK-Anwaltsverzeichnis oder Handelsregister auffindbar wäre. Angeboten werden Rückholleistungen ohne nachprüfbare rechtliche Grundlage.
• hengelermuellerc.com: Die Domain imitiert durch ein angehängtes „c“ den Namen der renommierten Wirtschaftskanzlei Hengeler Mueller (hengeler.com) – ein klassisches Typosquatting-Muster. Ein Zusammenhang mit der echten Kanzlei besteht nicht; Betrugsopfer, die gezielt nach rechtlicher Hilfe suchen, können so in die Irre geführt werden.
• astra-legalberatung.com („Astra Veritas„): Der Auftritt kombiniert einen lateinisch klingenden Namen mit englisch- und deutschsprachigen Inhalten, ohne dass ein registriertes Unternehmen oder eine Rechtsanwaltsgesellschaft dieses Namens in deutschen Registern nachweisbar ist. Das Ansprechen mehrerer Sprachräume ist typisch für international operierende Scam-Netzwerke.
• krypto-radar.de: Trotz .de-Domain und deutschsprachigem Auftritt fehlen prüfbare Pflichtangaben wie Impressum mit ladungsfähiger Anschrift oder Gewerbeanmeldung. Technische Begriffe wie „Wallet-Analyse“ oder „Chain-Tracing“ werden ohne jede methodische Erläuterung verwendet, um fachunkundigen Betroffenen Kompetenz zu suggerieren.
• fallzentrum.de („Fall Zentrum“): Der generische Name und die neutrale Aufmachung sollen institutionelle Seriosität vermitteln. Weder ein Eintrag im Rechtsanwaltsregister noch eine nachweisbare Verbindung zu einer legitimierten Beratungsorganisation ist vorhanden; das typische Muster aus einfachem Erstkontaktformular und nachfolgenden Vorauszahlungsforderungen ist erkennbar.
• de-orion.site („ORION LAW AGENCY“): Das Präfix „de“ täuscht eine deutsche Zugehörigkeit vor, die Domain ist jedoch auf der generischen .site-Endung registriert – günstig, anonym und kurzfristig verfügbar. Die englischsprachige Großschreibung des Firmennamens ist ein weiteres Merkmal international agierender Recovery-Scam-Netzwerke ohne deutsche Rechtsgrundlage.
• hilfe.law („Betrugs Hilfe“):  – Die .law-Endung erweckt bei Laien den Eindruck anwaltlicher Legitimität, obwohl die Zulassungsvoraussetzungen je nach Registrar kaum geprüft werden. Der generische Name ist zudem auf Suchbegriffe wie „Betrug Hilfe“ optimiert – eine gezielte Strategie, um bereits geschädigte Personen über Suchmaschinen abzufangen.

Gemeinsames Muster aller identifizierten Domains: professionell wirkende Auftritte, keine verifizierbare Unternehmensregistrierung in Deutschland, Kontaktangaben ohne prüfbare Zuordnung zu realen Anwälten oder Fachinstitutionen sowie das typische Muster aus unverbindlichem Erstkontakt und nachfolgenden Vorauszahlungsforderungen. Hinweis: Die Beispiele dienen ausschließlich der Illustration typischer Muster von Recovery-Scam-Auftritten. Eine abschließende rechtliche Bewertung der einzelnen Anbieter erfolgt hier nicht.

Finanzforensische Analyse von Krypto-Transaktionen

Ein zentrales Täuschungselement im Recovery Scam ist die Behauptung, Kryptowährungs-Wallets bereits identifiziert oder eingefroren zu haben. Beides ist durch private Dienstleister ohne behördliche Einbindung rechtlich nicht möglich. Das Einfrieren digitaler Assets setzt einen richterlichen Beschluss nach §§ 111b ff. StPO voraus und kann nur durch die zuständigen Strafverfolgungsbehörden umgesetzt werden.

Was professionelle Finanz-Forensik tatsächlich leisten kann, ist die strukturierte Analyse und Dokumentation digitaler Spuren als Grundlage für behördliche Maßnahmen:

• Blockchain-Tracing: Systematische Nachverfolgung von Krypto-Transaktionen über mehrere Wallet-Ebenen, Mixing-Dienste und Börsen hinweg – einschließlich Identifikation von On- und Off-Ramp-Punkten, an denen Krypto in Fiatgeld umgetauscht wurde.
• Wallet-Clustering und Täterprofilierung: Verknüpfung technischer Transaktionsdaten mit OSINT-Daten (Open-Source-Intelligence) zur Identifikation von Hintermännern, Infrastrukturen und Netzwerkstrukturen.
• Gerichtsverwertbare Dokumentation: Aufbereitung aller Analyseergebnisse in einem strukturierten forensischen Bericht, der als Grundlage für Strafanzeigen, zivilrechtliche Klagen oder Rechtshilfeersuchen dienen kann.
• Behördliche Übergabe: Übermittlung gesicherter Ermittlungsgrundlagen an Staatsanwaltschaften, Landeskriminalämter und – bei internationalen Sachverhalten – an EUROPOL oder nationale Zentralstellen.

Strafrechtliche Einordnung des Recovery Scam

Recovery Scam erfüllt in aller Regel den Tatbestand des Betruges nach § 263 StGB: Die Täter täuschen über ihre Identität und Leistungsfähigkeit, erzeugen dadurch einen Irrtum beim Opfer und verleiten es zu einer Vermögensverfügung – der Vorauszahlung. Der Schaden tritt unmittelbar mit der Zahlung ein, da die versprochene Gegenleistung nicht erbracht wird.

In qualifizierten Fällen kommen weitere Tatbestände hinzu:

• Gewerbsmäßiger Betrug (§ 263 Abs. 3 StGB): Wenn die Täter die Masche wiederholt und mit Gewinnabsicht betreiben – was bei organisierten Recovery-Scam-Netzwerken regelmäßig der Fall ist – liegt gewerbsmäßiger Betrug vor, der mit Freiheitsstrafe bis zu zehn Jahren bedroht ist.
• Urkundenfälschung (§ 267 StGB): Das Erstellen und Verwenden gefälschter Behördenschreiben, fingierten Gerichtsbeschlüsse oder imitierter Anwaltskanzlei-Briefköpfe erfüllt den Tatbestand der Urkundenfälschung.
• Unbefugte Rechtsdienstleistung (§ 3 RDG i.V.m. § 20 RDG): Wer ohne Zulassung Rechtsdienstleistungen erbringt – insbesondere durch das Auftreten als Rechtsanwalt oder das Anbieten rechtlicher Rückholdienstleistungen – handelt ordnungswidrig bzw. strafbar nach dem Rechtsdienstleistungsgesetz.
• Organisierte Kriminalität (§ 129 StGB): Bei grenzüberschreitenden Täterstrukturen mit arbeitsteiligem Vorgehen kann zusätzlich der Tatbestand der Bildung krimineller Vereinigungen erfüllt sein.

Zivilrechtliche und strafprozessuale Handlungsoptionen

Für Rechtsanwälte, die betroffene Mandanten vertreten, ergeben sich aus einem Recovery-Scam-Sachverhalt mehrere parallele Handlungsebenen:

• Strafanzeige mit forensischer Dokumentation: Unverzügliche Anzeige bei der zuständigen Staatsanwaltschaft oder beim LKA, idealerweise gestützt auf eine forensisch gesicherte und strukturierte Dokumentation aller Kommunikation, Zahlungsbelege und digitalen Spuren. Eine qualifizierte Strafanzeige erhöht die Ermittlungswahrscheinlichkeit erheblich.
• Zivilrechtliche Rückforderung (§§ 812 ff. BGB): Sofern Zahlungen über identifizierbare Bankverbindungen oder Zahlungsdienstleister abgewickelt wurden, kommen Bereicherungsansprüche nach §§ 812 ff. BGB in Betracht. Bei Vorsatz der Täter ist zusätzlich Schadensersatz nach § 823 Abs. 2 BGB i.V.m. § 263 StGB zu prüfen.
• Chargeback und Zahlungsdienstleister-Reklamation: Bei Kartenzahlungen können Rückbuchungsverfahren (Chargeback) eingeleitet werden. Bei Krypto-Zahlungen ist diese Option in der Regel ausgeschlossen – forensische Transaktionsdaten sind dann umso wichtiger.
• Internationale Rechtshilfe: Bei Täterpräsenz in EU-Mitgliedstaaten sind EUROJUST-Ersuchen und koordinierte Maßnahmen über EUROPOL möglich. Für außereuropäische Sachverhalte sind bilaterale Rechtshilfeabkommen und Interpol-Kanäle relevant.
• Proaktive Mandantenwarnung: Kanzleien können und sollten betroffene Mandanten frühzeitig auf das Phänomen Recovery Scam hinweisen – insbesondere wenn ein primärer Betrugsfall noch laufend bearbeitet wird. Das reduziert Sekundärschäden erheblich.

Wann der Einsatz finanzforensischer Analysen sinnvoll ist

In den folgenden Konstellationen ist professionelle Unterstützung durch Finanzforensik-Experten klar geboten.

Dies gilt insbesondere dann, wenn Krypto-Zahlungsströme vorhanden sind. Wenn Vermögen über digitale Assets bewegt wurde – sowohl im primären Betrug als auch im Recovery Scam selbst – ist spezialisiertes Blockchain-Know-how für die Rückverfolgung unerlässlich.

Auch bei einem hohen Schadensbetrag kann eine forensische Analyse sinnvoll sein. Ab einer Gesamtschadenshöhe im mittleren fünfstelligen Bereich rechtfertigen sich forensische Kosten häufig im Verhältnis zur Schadensersatz- und Strafverfolgungsperspektive.

Darüber hinaus kann eine professionelle Untersuchung angezeigt sein, wenn mehrere Geschädigte betroffen sind. Eine koordinierte forensische Analyse kann mehrere Strafanzeigen sachlich verbinden, Täterzuschreibungen festigen und Synergien in der Beweissicherung erzeugen.

Besondere Bedeutung hat eine strukturierte forensische Aufarbeitung außerdem dann, wenn Unternehmen als Geschädigte auftreten. Interne Compliance- und Meldepflichten nach GwG, DSGVO oder branchenspezifischen Regularien erfordern in solchen Fällen regelmäßig eine nachvollziehbare Dokumentation des Vorfalls für Behörden, Aufsichtsstellen und Versicherer.

Schließlich ist eine forensische Analyse auch dann sinnvoll, wenn bereits ein Kontaktversuch durch Recovery Scammer erfolgt ist. Wer von entsprechenden Akteuren kontaktiert wurde, sollte die gesamte Kommunikation sichern und forensisch auswerten lassen, da sie häufig Hinweise auf Infrastruktur und Hinterleute des ursprünglichen Betrugs enthalten kann.

Finanz Forensik unterstützt Rechtsanwälte und Unternehmen diskret und gerichtsfest – von der ersten Spurensicherung bis zur behördlichen Übergabe.

Fazit: Bedeutung für Strafverfolgung und Compliance

Recovery Scam ist kein Randphänomen – es ist ein industrialisiertes, arbeitsteilig organisiertes Betrugsmodell, das gezielt auf die Vulnerabilität bereits geschädigter Personen und Unternehmen setzt. Die Täter agieren professionell, international und technisch versiert. Ihre Auftritte sind von seriösen Angeboten für Laien kaum zu unterscheiden.

Professionelle Finanz-Forensik schafft die Grundlage für wirkungsvolle rechtliche Schritte: belastbare Beweise, gerichtsverwertbare Dokumentation und eine realistische Einschätzung der Ermittlungs- und Rückholchancen.