Zürich · Grenzüberschreitende Mandate · Private & institutionelle Mandanten ENDE

How it works

Krypto-Aufspürung: So findet man gestohlene Coins

Eine verständliche Erklärung, wie gestohlene Kryptowährung on-chain aufgespürt wird, wie Ermittler die entscheidende Exchange finden und was ein Aufspürungsbericht leisten kann.

How it works8 min read

Wenn Geld aus Ihrer Wallet zu einem Betrüger abfliesst, fühlt es sich an, als wäre es im Nichts verschwunden. Das ist es nicht. Jede Bitcoin-Bewegung und die meisten Stablecoin-Transfers stehen in einem öffentlichen Register, das jeder lesen kann. Das Schwierige ist nicht, die Transaktionen zu sehen. Das Schwierige ist herauszufinden, welche reale Person oder Firma die Adressen kontrolliert, und diese dann über ein Rechtssystem zu erreichen, bevor das Geld erneut bewegt wird. Dieser Leitfaden erklärt, wie die Krypto-Vermögensaufspürung in der Praxis funktioniert, wo sie gelingt und wo sie an Grenzen stösst. Wir setzen ehrliche Erwartungen, denn die Recovery-Branche ist voll von Anbietern, die Gewissheit versprechen, die sie nicht halten können.

Was Aufspürung tatsächlich bedeutet

Aufspürung ist der Prozess, gestohlenen Wert über die Blockchain zu verfolgen, von der Adresse, die Ihre Mittel empfangen hat, bis zu dem Punkt, an dem diese Mittel ein reguliertes Unternehmen berühren, das Identitätsdaten der Kunden hält. Auf einer transparenten Chain wie Bitcoin, oder bei ERC-20- und TRC-20-Token wie USDT, ist jeder Transfer mit Zeitstempel versehen und dauerhaft gespeichert. Ein Ermittler braucht weder ein Passwort noch einen Gerichtsbeschluss, um das Register zu lesen. Er benötigt den ursprünglichen Transaktions-Hash, die Empfängeradresse und das Datum. Von dort ist die Arbeit analytisch, nicht magisch.

Das Ziel ist selten, die Coins zurückzuhacken. Eine Selbsthilfe-Rückholung von Krypto ist praktisch nie möglich und oft selbst rechtswidrig. Das realistische Ziel ist ein dokumentierter Beweisweg, auf den ein Gericht, eine Compliance-Abteilung oder eine Staatsanwaltschaft reagiert.

On-Chain-Analyse und Adress-Clustering

Der erste technische Schritt ist das Verfolgen des Flusses. Gestohlene USDT oder BTC bleiben selten liegen. Ein typisches Schema bewegt die Mittel durch eine Kette von Zwischenadressen, manchmal über Dutzende Sprünge, um Distanz vorzutäuschen. Analysten bilden diese Sprünge mit professionellen Graph-Tools ab und wenden Adress-Clustering an.

Clustering ist der Schlüsselgedanke. Mehrere Adressen, die unabhängig aussehen, gehören oft derselben kontrollierenden Einheit. Ermittler leiten dies aus Heuristiken ab, etwa der Common-Input-Ownership-Regel (werden mehrere Adressen gemeinsam in einer Transaktion ausgegeben, gehören sie meist einer Partei) sowie aus Verhaltensmustern, der Erkennung von Wechseladressen und der Markierung bekannter Einzahlungsadressen. Seriöse Analyseanbieter pflegen grosse Attributions-Datenbanken, die Adressen von Exchanges, Mixern, Glücksspielseiten und sanktionierten Einheiten kennzeichnen. Landet eine Spur gestohlener Mittel in einem Cluster, der bereits als Einzahlungsinfrastruktur einer bestimmten Exchange markiert ist, ist das ein bedeutender Hinweis.

Verschleierung gibt es. Mixer, Cross-Chain-Bridges und sogenannte Peel Chains sind darauf ausgelegt, die Spur zu unterbrechen. Sie erhöhen Aufwand und Komplexität und besiegen die Aufspürung manchmal. Aber sie machen Mittel selten unsichtbar. Bridges und Swaps hinterlassen eigene Spuren, und viele Geldwäsche-Versuche enden schliesslich bei einer regulierten Plattform, weil Krypto dort zu ausgabefähigem Bargeld wird.

Die entscheidende Exchange finden

Dies ist der Schwerpunkt jeder ernsthaften Aufspürung. Ein Betrüger kann Coins ewig zwischen privaten Wallets hin und her schieben, und nichts davon nutzt ihm. Um das Geld zu geniessen, muss er fast immer auszahlen, und auszahlen bedeutet in der Regel eine zentralisierte Exchange, die Know-Your-Customer-Prüfungen (KYC) durchführt. Diese Exchange ist der Engpass.

Die genaü Exchange und idealerweise die exakte Einzahlungsadresse zu identifizieren, die Ihre aufgespürten Mittel empfangen hat, verwandelt ein Blockchain-Rätsel in ein juristisches Ziel. Die Exchange hält das Eine, was die Blockchain nicht hat: den Namen, die Dokumentenscans, die IP-Protokolle und das dahinterliegende Bankkonto. Unser Krypto-Aufspürungsdienst ist darauf ausgerichtet, diesen Punkt schnell zu erreichen, denn der Wert des Engpasses sinkt, sobald die Mittel abgehoben werden.

Den Kontoinhaber enttarnen: Auskunft und Norwich-Pharmacal-Anordnungen

Eine Exchange gibt einem Geschädigten nicht einfach die Identität eines Kontoinhabers heraus. Das Datenschutzrecht verbietet es, und das zu Recht. Um die Offenlegung zu erzwingen, brauchen Sie in der Regel einen Gerichtsbeschluss. In Common-Law-Rechtsordnungen ist das Standardinstrument die Norwich-Pharmacal-Anordnung, eine Auskunftsanordnung gegen einen unbeteiligten Dritten (hier die Exchange), der in ein Fehlverhalten verwickelt wurde und Informationen hält, die zur Identifizierung des Täters nötig sind.

Zivilrechtliche Systeme erreichen ähnliche Ergebnisse auf anderen Wegen: vorprozessuale Auskunftsgesuche, Beweissicherungsanordnungen und Strafanzeigen, die einer Staatsanwaltschaft erlauben, eine Herausgabeverfügung an die Exchange zu richten. In der Schweiz kann eine Strafanzeige wegen Betrugs nach StGB Art. 146 Ermittlungsmassnahmen auslösen, und die Staatsanwaltschaft kann KYC-Unterlagen anfordern. Viele grosse Exchanges unterliegen EU-, UK- oder US-Verfahren oder reagieren darauf, sodass der Standort der Exchange die Rechtsstrategie prägt.

Ein sorgfältig erstellter Aufspürungsbericht macht diese Anträge glaubwürdig. Das Gericht muss einen schlüssigen, belegten Weg von Ihrer Transaktion zur benannten Exchange sehen, bevor es eine Offenlegung anordnet.

Die Mittel einfrieren, bevor sie verschwinden

Den Kontoinhaber zu identifizieren nützt nur, wenn noch Wert vorhanden ist. Zwei Wege sind entscheidend.

  • Sperren auf Exchange-Ebene. Wird ihnen eine glaubwürdige, dokumentierte Spur und der richtige rechtliche Druck vorgelegt, können Compliance-Teams regulierter Exchanges ein Konto einfrieren oder markieren. Tempo ist hier alles. Ein klarer Bericht an das richtige Team kann innert Tagen, manchmal Stunden, zu einer Sperre führen.
  • Gerichtliche Sperren. Die Schweiz bietet den Arrest nach SchKG Art. 271, eine vorsorgliche Beschlagnahme, die in der Schweiz gelegene oder mit ihr verbundene Vermögenswerte sperren kann. Innerhalb der EU kann der Europäische Beschluss zur vorläufigen Kontenpfändung (EAPO) Bankkonten in den Mitgliedstaaten einfrieren. In Common-Law-Gerichten erfüllen Freezing-Verfügungen (Mareva) denselben Zweck gegen identifizierte Beklagte.

Das Einfrieren ist ein Wettlauf gegen die Auszahlung des Betrügers. Deshalb behandeln wir Aufspürung und Sperrstrategie als einen Ablauf, nicht als zwei getrennte Phasen.

Einen Aufspürungsbericht in rechtlichen Hebel verwandeln

Ein Aufspürungsbericht ist Beweismittel, kein Urteil. Sein Wert liegt darin, was er ermöglicht. Ein starker Bericht leistet mehrere Dinge zugleich. Er stützt einen Auskunftsantrag zur Enttarnung des Kontoinhabers. Er gibt einer Exchange einen vertretbaren Grund zum Einfrieren. Er untermaürt eine Strafanzeige, die Behörden und Staatsanwaltschaften ernst nehmen. Und er stärkt jede Zivilklage, indem er den Weg des Geldes zeigt, was für einen Anspruch aus Aussonderung oder ungerechtfertigter Bereicherung zentral ist.

Der Bericht muss nach Beweismassstäben verfasst sein: klare Methodik, nachvollziehbare Adresswege, Transaktions-Hashes, Zeitstempel und eine transparente Darstellung von Annahmen und Grenzen. Ein Bericht, der zu viel behauptet, kann vor Gericht zerlegt werden. Wie ein Bericht in einen Anspruch einfliesst, sehen Sie in unserer Darstellung des Ablaufs auf der Seite zum Rückforderungsprozess, und wie die Aufspürung mit breiterer Betrugsarbeit zusammenhängt, in unserer Praxis zur Rückforderung bei Forex- und Anlagebetrug.

Realistische Erwartungen setzen

Ehrliche Aufspürung bedeutet, ehrlich über Grenzen zu sein. Eine Aufspürung kann scheitern oder stocken, wenn Mittel durch nicht kooperative Rechtsordnungen laufen, wenn sie in Self-Custody-Wallets ohne identifizierbaren Eigentümer liegen, wenn die Geldwäsche über Mixer raffiniert ist, oder schlicht, wenn zu viel Zeit verstrichen ist und das Geld weg ist. Eine perfekt ausgeführte Spur, die bei einer Exchange in einem Staat endet, der ausländische Rechtsverfahren ignoriert, kann dennoch nichts Erstattbares ergeben.

Drei Faktoren bestimmen den Ausgang mehr als alles andere: wie schnell Sie handeln, wie viel Wert noch an einem identifizierbaren Engpass liegt, und ob dieser Engpass in einer Rechtsordnung sitzt, die auf rechtlichen Druck reagiert. Keine seriöse Kanzlei kann eine Rückholung garantieren, und jede Kanzlei, die das tut, sollten Sie meiden. Was wir bieten können, ist eine nüchterne Einschätzung, ob Ihr Fall einen gangbaren Weg hat, bevor Sie Geld in die Verfolgung stecken.

Haftungsausschluss. Dieser Beitrag enthält allgemeine Informationen und keine Rechtsberatung. Ergebnisse bei der Krypto-Rückholung variieren stark und hängen von den konkreten Umständen jedes Falls ab. Eine Rückholung ist nicht garantiert. Wenn Sie eine realistische Einschätzung Ihrer Lage wünschen, können Sie sich an unser Team wenden.

Häufige Fragen

Lässt sich gestohlene Kryptowährung wirklich aufspüren, wenn sie schon oft bewegt wurde?

Oft ja. Auf transparenten Chains wie Bitcoin und bei Token wie USDT wird jeder Sprung dauerhaft aufgezeichnet. Mehrere Transfers erhöhen den Aufwand, machen Mittel aber selten unsichtbar. Die Spur endet meist bei einer zentralisierten Exchange, an der jemand auszahlen will, und das ist der rechtlich entscheidende Punkt.

Was ist eine Norwich-Pharmacal-Anordnung und warum ist sie wichtig?

Es ist ein Gerichtsbeschluss, der einen unbeteiligten Dritten mit Schlüsselinformationen, typischerweise eine Exchange, zur Offenlegung der Identität eines Täters verpflichtet. Exchanges geben die Identität eines Kontoinhabers wegen des Datenschutzrechts nicht freiwillig preis, daher ist eine Auskunftsanordnung meist der Weg, die KYC-Daten hinter einer Einzahlungsadresse zu enttarnen.

Wie schnell muss ich handeln?

So schnell wie möglich. Der Wert der entscheidenden Exchange als Engpass sinkt, sobald der Betrüger Mittel abhebt. Exchange-Sperren und gerichtliche Beschlagnahmen wie der Schweizer Arrest nach SchKG Art. 271 helfen nur, wenn noch Wert vorhanden ist. Tage und manchmal Stunden entscheiden, ob überhaupt etwas erstattbar ist.

Holt ein Aufspürungsbericht allein mein Geld zurück?

Nein. Ein Bericht ist Beweismittel, kein Rechtsbehelf. Seine Aufgabe ist es, weitere Schritte zu ermöglichen: eine Auskunftsanordnung zur Enttarnung, eine Exchange-Sperre, eine Strafanzeige nach Bestimmungen wie StGB Art. 146 oder eine Zivilklage. Die Rückholung hängt von diesen Schritten ab und davon, dass noch Mittel an einem erreichbaren Ort existieren.

Können Sie eine Rückholung garantieren, wenn die Aufspürung erfolgreich ist?

Nein, und Sie sollten jedem misstraün, der das tut. Eine Spur kann bei einer Exchange in einer Rechtsordnung enden, die ausländische Verfahren ignoriert, oder in einer Self-Custody-Wallet ohne identifizierbaren Eigentümer. Wir prüfen, ob ein gangbarer Weg besteht, und sagen es Ihnen ehrlich, bevor Sie sich auf eine Strategie festlegen.

Machen Mixer und Cross-Chain-Bridges die Aufspürung sinnlos?

Sie machen sie schwieriger und teurer, nicht automatisch sinnlos. Bridges und Swaps hinterlassen eigene Spuren, und gewaschene Mittel landen oft trotzdem bei einer regulierten Plattform, weil Krypto dort zu ausgabefähigem Geld wird. Ob Verschleierung eine Spur besiegt, ist eine Frage des Einzelfalls.

Dr. Sebastian M. Dornfeld

Dr. Sebastian M. Dornfeld

Gründungspartner · Finanzprozessführung

Dr. Dornfeld berät seit über zwanzig Jahren private und institutionelle Mandanten in grenzüberschreitender Forex- und Anlagebetrugsrückforderung aus Zürich. Profil ansehen →

Weiterlesen

Offshore-Broker-Betrug: Rückforderung erklärt CySEC-Beschwerde gegen Broker einreichen Forex-Betrug Rückforderung Schweiz: Rechtsratgeber

Nächster Schritt

Besprechen Sie Ihren Fall, vertraulich und unverbindlich.

Das Erstgespräch ist kostenlos. Wir prüfen Interessenkonflikte und antworten mit einer ersten Einschätzung.

Erstgespräch vereinbaren