Werden Bitcoin und andere Kryptowährungen demnächst verboten?

von Prof. Dr. Henning Ernst Müller, veröffentlicht am 29.07.2021
8|6086 Aufrufe

Ein Verbot von Kryptowährungen auch nur zu erwägen, erscheint ein provokativer Vorschlag, aber ist derzeit Ausdruck einer echten Besorgnis und der Hintergrund ist ein kriminologischer. Es geht darum, dass sich das Spektrum des Cybercrime in den vergangenen zwei Jahren immer mehr konzentriert auf das Phänomen „Ransomware“: Firmen und Institutionen, die inzwischen einen Großteil ihrer Aktivitäten digitalisiert haben und mit ihren Kunden und Lieferanten primär im Netz kommunizieren, werden zunehmend mit "Ransomware" angegriffen, also mit dem Ziel Lösegeld zu erpressen.

Offenbar ist es inzwischen sogar ohne besondere Expertise möglich, in großem Stil E-Mails mit Malware- Inhalten bzw. -Anhängen zu versenden, die, sind sie einmal in das Netzwerk des E-Mail-Empfängers eingedrungen, ganze Systeme bzw. deren Datenbanken komplett verschlüsseln können. Den betroffenen Firmen wird sodann mitgeteilt, dass sie (nur) gegen Zahlung eines Lösegelds die Möglichkeit erhalten, ihre Daten wieder zu entschlüsseln. Geschieht der Angriff über die Software-Supply-Chain, wie jüngst bei der US-Software-Firma Kaseya, können gleich hunderte Firmenkunden von der Verschlüsselungsattacke betroffen sein.

Weltweit sind in den vergangenen Jahren wohl schon zehntausende Firmen und Institutionen von Ransomware-Attacken betroffen gewesen. Die Zahlung des geforderten Lösegelds erscheint oft die einfachste bzw. günstigste Möglichkeit, die Daten wieder zu befreien und damit wieder fähig zu sein, überhaupt am Wirtschaftsleben teilzunehmen, ohne täglich Umsatzverluste in erheblicher Höhe hinnehmen zu müssen. Ein Unternehmen, das sich nicht darauf einlässt, muss schließlich neben den hohen Kosten einer Entschlüsselung durch Experten damit rechnen, tage- bzw. wochenlang nicht wieder „normal“ arbeiten zu können. Wer sich auf eine Zahlung einlässt bzw. zunächst mit den Erpressern verhandelt, verliert aber zumindest das gezahlte Lösegeld (je nach Firmengröße in fünf- bis sechsstelliger Höhe), kann aber nicht einmal sicher sein, den Schlüssel auch zu erhalten. Die betroffenen Firmen stecken in einem Dilemma. Aus Eigeninteresse scheint der Weg, das Lösegeld zu zahlen, oft rational. Andererseits bedeutet die Zahlung, dass die Täter triumphieren und sich Ransomware-Erpressungen noch weiter ausbreiten.

Es ist von einem recht großen Dunkelfeld auszugehen, da viele betroffene Unternehmen darüber schweigen, um nicht einräumen zu müssen, verwundbar (gewesen) zu sein und schon gar nicht, die Erpresser belohnt zu haben, was ebenfalls dem Image nicht gerade zugutekommt, zum Teil sogar selbst als strafwürdiges Unrecht angesehen wird.

Das Ransomware-Geschäft ist mittlerweile eines der lukrativsten und deshalb am schnellsten wachsende kriminelle Geschäftsmodell. Besonders lukrativ, weil es nahezu risikolos ist. Die angedrohten Strafen wirken überhaupt nicht, wenn die Täter nicht identifiziert werden können und noch dazu meist aus dem Ausland agieren, derzeit werden neben Einzeltätern auch organisierte Tätergruppen in Russland und China vermutet.

Und während in anderen Lösegeldfällen immerhin die Zielfahndung nach dem Geld (follow the money) manchmal erfolgreich ist und zumindest einfach gestrickte Täter abschreckt, trifft dies beim Ransomware-Phänomen nicht zu, denn die Täter fordern Zahlung in Bitcoin. Nicht nur manchmal, sondern fast immer. Warum? Bei Erpressungen ist die Bargeldübergabe die für die Täter schwierigste Operation. Es verlangt Intelligenz und Geschick, eine Geldübergabe so zu organisieren, dass die Strafverfolger den Erpressern nicht auf die Spur kommen. Es ist der "soft spot" der Lösegelderpressung. Und selbst wenn eine Beobachtung der Geldübergabe nicht gelingt, dann hilft es immerhin, die Banknoten über ihre Nummern zu registrieren und damit eine spätere Zielfahndung zu ermöglichen.

Solche "soft spots" sind bei Kryptowährungen ausgeschaltet. Zwar kann, was Bitcoin-Fans nicht müde werden zu betonen, jede Transaktion über die Blockchain tatsächlich zurückverfolgt werden. Aber die Anonymität von Bitcoin-Wallets verhindert effektiv, dass man die Empfänger von Bitcoin identifizieren kann. Wechseln die Täter regelmäßig die Wallets, ist eine Identifikation  praktisch ausgeschlossen. Die effektive Anonymisierung des Geldtransfers ist auch eine wichtige Voraussetzung des Erfolgs der Kryptowährungen. Und ähnlich wie beim Bargeld lassen sich auch illegale Geschäfte verschleiern und internationale Transaktionen ohne Einmischung der Strafverfolgungs- oder Finanzbehörden sind möglich, etwa durch Benutzung von "Mixing"-Dienstleistern ( besser: Krypto-Geldwäscher) beim Umtausch von Bitcoin in Bargeld.

Was den Erfolg der Kryptowährungen erheblich begünstigt, zeigt sich zugleich als Achillesferse, weshalb man durchaus mit dem folgende Szenario rechnen muss: Legal arbeitende Wirtschaftsunternehmen werden es nicht lange hinnehmen, von Cyberkriminellen regelmäßig auf diese Art ausgenommen zu werden.  Sie werden über kurz oder lang auf die Politik einen solchen Druck ausüben, dass diese eine effektive Lösung finden muss.

Ende Mai attackierte der Journalist Lee Reiners im Wall Street Journal die Kryptowährungen genau mit diesem Argumnet und forderte den US-Präsidenten Biden auf zu handeln:

Ransomware can’t succeed without cryptocurrency. The pseudonymity that crypto provides has made it the exclusive method of payment for hackers. It makes their job relatively safe and easy. There is even a new business model in which developers sell or lease ransomware, empowering malicious actors who aren’t tech-savvy themselves to receive payment quickly and securely. Before cryptocurrency, attackers had to set up shell companies to receive credit-card payments or request ransom payment in prepaid cash cards, leaving a trail in either case. It is no coincidence that ransomware attacks exploded with the emergence of cryptocurrency.

Banning anything runs counter to the American ethos, but as our experience with social media should teach us, the innovative isn’t always an unalloyed good. A sober assessment of cryptocurrency must conclude that the damage wrought by crypto-fueled ransomware vastly outweighs any benefits from cryptocurrency.

 

Zumal auch viele öffentliche Institutionen (Universitäten, Forschungsinstitute, Stromanbieter, sogar Krankenhäuser) betroffen oder zumindest gefährdet sind, wird sich meines Erachtens die Politik nicht lange bitten lassen. Bitcoin bietet als „Währung“ für die Allgemeinheit bislang eher nur wenige Vorteile, sondern ist bislang vor allem als Hobby für Computernerds und als Spekulationsobjekt bekannt. Speziell Bitcoin-Mining gilt auch noch als massives Umweltproblem. Bitcoin-Fans bestreiten zwar diese Vorwürfe, aber sicherlich haben sie (noch) keine besonders starke politische Lobby in den betroffenen Staaten, zumal sich der Charme der Kryptowährungen ja gerade daraus ergibt, dass es eine Währung jenseits staatlicher Kontrolle ist bzw. sein soll. Sicher ist jedenfalls, dass Bitcoins und andere Kryptowährungen die Annahme und Verschleierung von Lösegeldern enorm vereinfachen, so dass damit zu rechnen ist, dass Ransomware-Attacken in der allernächsten Zeit weiter stark zunehmen.

Die geforderte Regulierung bzw. die Aufforderung zur DE-Anonymisierung der Krypto-Transaktionen führte bei Befürwortern der Kryptowährungen  auch durchaus zu Nervosität, wie sich etwa an der Diskussion auf entsprechenden Plattformen zeigt, z.B. bei Coinbase.

In einem Artikel der Neuen Zürcher Zeitung wird gegen die Idee der Regulierung von Kryptowährungen um Ransomware-Kriminalität zu bekämpfen aber folgendes eingewandt:

 

Doch ein Verbot oder auch eine stärkere Regulierung von Bitcoin und Co. ist aus zwei Gründen schwierig. Erstens braucht es dazu ein koordiniertes Vorgehen zumindest der wichtigsten Wirtschaftsnationen, zum Beispiel der G-20, damit ein Eingriff möglicherweise eine Wirkung erzielt.
Zweitens besteht die Gefahr, dass sich neue Formen von Kryptozahlungsmitteln herausbilden, wenn die bekannten Währungen zu stark eingeschränkt sind. Dann wäre nichts gewonnen.
Die Regulierung von Kryptowährungen kann deshalb nicht das Mittel erster Wahl sein zur Bekämpfung der Cyberkriminalität – auch weil die internationale Umsetzung neuer Regeln und deren Durchsetzung viel zu lange dauert.

Ich halte diese Argumente jedoch nicht für stichhaltig: Gerade weil alle wichtigen Wirtschaftsnationen betroffen sind, wird man sich – unter dem Druck der betroffenen international tätigen Wirtschaftsunternehmen - schneller einigen, zumal die meisten betroffenen Kryptowährungen eben nichtstaatlich sind. Dass sich „neue Formen von Kryptozahlungsmitteln herausbilden“, kann man nicht bestreiten, aber natürlich wird man eine abstrakte Regelung schaffen, die das für die Erpresser entscheidende Element, die Anonymität der Transaktionen, betrifft. Und diese Regulierung wird auch potentielle künftige Kryptowährungen betreffen.

Der jüngste Versuch, Kryptowährungen in Deutschland zu regulieren, ist hingegen gegen Ransomware-Angriffe wahrscheinlich nicht besonders effektiv. Finanzminister Scholz ist innerhalb Europas „vorgeprescht“, indem er eine Kryptowertetransferverordnung (KryptoTransferV  auf der Grundlage von  § 15 X 1 Nr. 1 GwG) für die allernächste Zeit ankündigte. Danach wären immerhin anonyme Bitcoin-Transaktionen innerhalb Deutschlands kaum mehr möglich.

Allerdings wird von fachkundiger Seite der Sinn dieser Verordnung angezweifelt (vgl. die Stellungnahmen zur Verordnung hier) und Ransomware-Attacken wird sie eher nicht verhindern, da diese zwar auch in Deutschland erhebliche Schäden verursachen, aber die Lösegeldtransaktionen grenzüberschreitend stattfinden.

Ich vermute eher, dass man sich – wird nicht die Ransomware-Kriminalität durch andere Maßnahmen gestoppt –  über kurz oder lang international auf eine strenge Regulierung einigen wird, zumindest was die (De-)Anonymisierung von Bitcoin-Transaktionen  angeht. Da Unternehmen weltweit betroffen sind und auch die legale Digitalwirtschaft unter den Erpressungen leidet, liegt eine solche internationale Übereinkunft meines Erachtens durchaus nahe. Dann wird man sehen, ob Kryptowährungen auch ohne Anonymisierung überleben.

Hinweis: Beitrag überarbeitet (Link eingefügt) am 13.8.2021

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

8 Kommentare

Kommentare als Feed abonnieren

Vielen Dank für den sehr instruktiven, fast schon mutigen Beitrag. Unter dem Gesichtspunkt der erleichterten "Lösegeldübergabe" und generell der Anonymität krimineller Transfers hatte ich Bitcoins & Co. noch nicht gesehen. Zumal die äußertst bürokratischen und ineffizienten Geldwäsche-Regulierungen sich meines Wissens immer noch auf Identifikationspflichten bei Annahme von Bargeld und klassischen Überweisungen konzentrieren und Kryptowährungen gar nicht erfassen.

Wie zur Bestätigung meiner Vermutungen, schreibt heute Spiegel Online von einer gemeinsamen (!) Initiative von Republikanern und Demokraten im US-Kongress:

Es muss schon einiges passieren, damit sich im US-Kongress eine Allianz aus Republikanern und Demokraten bildet: Tatsächlich haben nun Vertreter der beiden Parteien einen gemeinsamen Plan entworfen, der den weltweiten Kampf gegen Cyberkriminelle auf eine vollkommen neue Grundlage stellen soll.

Die USA könnten demnach schon bald sämtliche Staaten sanktionieren, von denen aus Cyberkriminelle operieren. Ferner sieht der Plan vor, dass die USA künftig den Handel mit Kryptowährungen stärker regulieren wollen. Zudem sollen wichtige Infrastruktureinrichtungen im Land wie Kraftwerke, Pipelines oder Flughäfen besser vor Cyberangriffen geschützt werden. (...)

Die Nervosität bei dem Thema in Washington ist groß: Erst im Mai hatte eine Attacke von Hackern auf ein Pipelinesystem an der Ostküste des Landes zu Knappheit bei der Benzinversorgung geführt. Die Angreifer hatten die Kontrollsysteme der Pipeline lahmgelegt und für die Freischaltung Geld gefordert. Für Angriffe dieser Art machen die US-Sicherheitsdienste vor allem Hacker aus Ländern wie Russland, China, Iran und Nordkorea verantwortlich.

Ja, tatsächlich "muss schon einiges passieren", bis die sich normalerweise gegenseitig blockierenden Parteien im US-Kongress so eine Initiative anstoßen. Meine Vermutung: Es hat damit zu tun, dass die US-Wirtschaft und öffentliche Institutionen so von Cyberkriminellen-Attacken betroffen sind und deshalb inzwischen ordentlich Druck auf die Politik ausüben, u.a. den Tanz ums  goldene Kalb "Bitcoin" einzuschränken. Und die USA werden entsprechendes auch von der EU und anderen Handelspartnern verlangen, wenn nicht die dortige Politik ohnehin auf ihre eigene betroffene Wirtschaft hört.

 

Der Vorstoß ist begrüßenswert, weil er die Geldwäsche ein wenig erschwert (mehr aber auch nicht).

Nebenbei bemerkt ist es auch schon ein starkes Stück, dass das Mining der Kryptowährungen in wahrsten Sinne des Wortes die Erde verheizt:

"Das Mining der Kryptowährung Bitcoin soll laut einer Studie von drei Wissenschaftlern der TU München für einen jährlichen Ausstoß von 22 bis 22,9 Millionen Tonnen Kohlendioxid (CO2) sorgen. Der Ausstoß liege damit zwischen dem von Jordanien und Sri Lanka oder etwa einer Großstadt in einem hochentwickelten Industrieland wie etwa Hamburg. Zugrunde liegt dem ein Energieverbrauch von 45,8 Billionen Wattstunden pro Jahr, den die Forscher mit Stand vom November 2018 ermittelt haben." (Heise Online vom 13.06.2019)

Hier geht es nur um Bitcoin. Dass diese Zahlen inzwischen schon wieder überholt sein können, zeigt der Heise-Artikel auch auf, da das Mining systematisch immer rechenaufwendiger wird. Selbst wenn das Mining mit erneuerbaren Energien bewerkstelligt werden sollte, werden damit oft andere Nutzer elektrischer Energie auf Strom aus Atomkraftwerken oder Kohlekraft verdrängt.

Die erhebliche Rechenleistung, die zu Verfügung stehen muss, dürfte auch dafür sorgen, dass weniger gesetzestreue Miner von Kryptowährungen illegal die Rechenleistung von fremden Computern anzapfen, indem sie in fremde Systeme eindringen und dabei einen "Leistungsdiebstahl" begehen. Die Motivation erhöht für entsprechende Übergriffe erhöht sich derzeit stetig.

0

Zum Glück gibt es längst Kryptowährungen, die komplett ohne umweltschädliches Mining funktionieren, was zusätzlich zum millionenfach niedrigeren Energieverbrauch noch einen weiteren positiven Nebeneffekt hat: gebührenfreie Transaktionen ohne Wartezeiten. Bei Interesse einfach mal nach Nano oder IOTA googeln.

Seriöse Entwickler begrüßen übrigens die Entwicklung hin zu besserer Regulierung, damit Kryptowährungen endlich ihren (leider nur allzu verdienten) Ruf als Instrument für Geldwäsche und andere kriminelle Aktivitäten ablegen können.

0

Nicht verschweigen möchte ich diesen Artikel der Deutschen Welle, der ein klares Gegenargument zu meinem Beitrag beinhaltet.  (Auszug:)

Man könne zwar seine Identität hinter der Wallet-Adresse verstecken "doch irgendwann muss der Bitcoin in echtes Geld umgetauscht werden, ansonsten bleibt der Wert für viele Zwecke nutzlos.” An dieser Schnittstelle komme man in der Regel nicht mehr ohne Identitätsnachweis aus, sagt Faber. "Daher spricht man beim Bitcoin häufig davon, dass er nicht anonym, sondern pseudonym ist.”

Wird eine Kryptowährung in echtes Geld getauscht, ergeben sich gute Zugriffschancen für die Ermittler, sagt Joseph Edwards von Enigma Securities. "Fast alle Tauschbörsen verlangen eine erhebliche Identitätsüberprüfung für alle Transaktionen.”

Laut Analysen von Chainalysis sind erpresste Bitcoin-Summen zu über 80 Prozent an nur fünf Börsen transferiert worden. Das deute darauf hin, dass viele Tauschbörsen einen guten Job machten. "Es bedeutet aber auch, dass einige wenige eher ein Auge zudrücken oder die Aktivitäten einfach nicht überwachen”, so Geschäftsführer Hoffman.

Der ganze Artikel ist interessant, nimmt aber auch auf "Mixing" Bezug, wodurch die Kontrolle erheblich erschwert werde.

Ransomware. Die Attacken gehen weiter, auch in Deutschland. Hier ein Bericht der Süddeutschen von letzter Woche.

Hier nochmal ein interessanter Artikel von Marsh, laut Selbstbeschreibnung: " the world’s leading insurance broker and risk advisor."

Darin wird Unternehmen sogar empfohlen, sich unabhängig von einem konkreten Angriff auf Bitcoin-Zahlungen an Ransom-Ware Erpresser vorzubereiten. Es ist die Empfehlung, die Kapitulation vor dem Erpresser einer Gegenwehr vorzuziehen.

Wie akut das Problem (auch) in der deutschen Wirtschaft ist, zeigt sich an diesem Bericht in "BTC-Echo" über die Attacke auf Media/Saturn (Lösegeldforderung 50 Millionen in Bitcoin): Allgemein heißt es zu den weltweiten Auswirkungen von Ransomeware-Attacken:

Aus einer repräsentativen PwC-Umfrage ergibt sich zudem ein deutliches Bild. Die Wirtschaftsprüfungsgesellschaft befragt jedes Jahr etwa 5.000 Unternehmensvertreter aus aller Welt zum Thema Wirtschaftskriminalität. Laut den Daten aus dem Jahr 2020 erlebten fast die Hälfte der Befragten in den vergangenen zwei Jahren mindestens einen digitalen Angriff auf ihr Unternehmen. Der kumulierte Schaden beläuft sich laut Umfrage auf 42 Milliarden Euro.

 

 

In einem neuen Artikel auf BBC.com wird berichtet, Geldwäsche per Bitcoin habe im vergangenen Jahr um 30% zugenommen. Interessant ist, dass die Straftäter sich offenbar nur einiger weniger Plattformen bedienen, um ihre Bitcoin-Erträge zu waschen. Der Artikel diskutiert, inweifern die Strafverfolgungsbehörden hier Chancen hätten einzugreifen.

In einem anderen Artikel auf investing.com werden die Aussichten von Bitcoin derzeit generell als schlechter eingeschätzt, wenn die Zentralbanken daran gehen sollten, ihre Währungen durch Zinserhöhung vor Inflation zu schützen. Interessant für das hiesige Thema ist folgender Ausschnitt, in dem der Gebrauchswert von Bitcoin bewertet wird:

Der Use-Case für Bitcoin ist insgesamt weniger überzeugend. Die einzigen Funktionen, bei denen er die Fiat-Währung konstant übertrifft, sind - selbst jetzt nach einem Jahrzehnt schneller und gut finanzierter Innovationen - illegale Transaktionen wie Ransomware-Angriffe und Geldwäsche.

 

 

Kommentar hinzufügen