Werden Bitcoin und andere Kryptowährungen demnächst verboten?
Gespeichert von Prof. Dr. Henning Ernst Müller am
Ein Verbot von Kryptowährungen auch nur zu erwägen, erscheint ein provokativer Vorschlag, aber ist derzeit Ausdruck einer echten Besorgnis und der Hintergrund ist ein kriminologischer. Es geht darum, dass sich das Spektrum des Cybercrime in den vergangenen zwei Jahren immer mehr konzentriert auf das Phänomen „Ransomware“: Firmen und Institutionen, die inzwischen einen Großteil ihrer Aktivitäten digitalisiert haben und mit ihren Kunden und Lieferanten primär im Netz kommunizieren, werden zunehmend mit "Ransomware" angegriffen, also mit dem Ziel Lösegeld zu erpressen.
Offenbar ist es inzwischen sogar ohne besondere Expertise möglich, in großem Stil E-Mails mit Malware- Inhalten bzw. -Anhängen zu versenden, die, sind sie einmal in das Netzwerk des E-Mail-Empfängers eingedrungen, ganze Systeme bzw. deren Datenbanken komplett verschlüsseln können. Den betroffenen Firmen wird sodann mitgeteilt, dass sie (nur) gegen Zahlung eines Lösegelds die Möglichkeit erhalten, ihre Daten wieder zu entschlüsseln. Geschieht der Angriff über die Software-Supply-Chain, wie jüngst bei der US-Software-Firma Kaseya, können gleich hunderte Firmenkunden von der Verschlüsselungsattacke betroffen sein.
Weltweit sind in den vergangenen Jahren wohl schon zehntausende Firmen und Institutionen von Ransomware-Attacken betroffen gewesen. Die Zahlung des geforderten Lösegelds erscheint oft die einfachste bzw. günstigste Möglichkeit, die Daten wieder zu befreien und damit wieder fähig zu sein, überhaupt am Wirtschaftsleben teilzunehmen, ohne täglich Umsatzverluste in erheblicher Höhe hinnehmen zu müssen. Ein Unternehmen, das sich nicht darauf einlässt, muss schließlich neben den hohen Kosten einer Entschlüsselung durch Experten damit rechnen, tage- bzw. wochenlang nicht wieder „normal“ arbeiten zu können. Wer sich auf eine Zahlung einlässt bzw. zunächst mit den Erpressern verhandelt, verliert aber zumindest das gezahlte Lösegeld (je nach Firmengröße in fünf- bis sechsstelliger Höhe), kann aber nicht einmal sicher sein, den Schlüssel auch zu erhalten. Die betroffenen Firmen stecken in einem Dilemma. Aus Eigeninteresse scheint der Weg, das Lösegeld zu zahlen, oft rational. Andererseits bedeutet die Zahlung, dass die Täter triumphieren und sich Ransomware-Erpressungen noch weiter ausbreiten.
Es ist von einem recht großen Dunkelfeld auszugehen, da viele betroffene Unternehmen darüber schweigen, um nicht einräumen zu müssen, verwundbar (gewesen) zu sein und schon gar nicht, die Erpresser belohnt zu haben, was ebenfalls dem Image nicht gerade zugutekommt, zum Teil sogar selbst als strafwürdiges Unrecht angesehen wird.
Das Ransomware-Geschäft ist mittlerweile eines der lukrativsten und deshalb am schnellsten wachsende kriminelle Geschäftsmodell. Besonders lukrativ, weil es nahezu risikolos ist. Die angedrohten Strafen wirken überhaupt nicht, wenn die Täter nicht identifiziert werden können und noch dazu meist aus dem Ausland agieren, derzeit werden neben Einzeltätern auch organisierte Tätergruppen in Russland und China vermutet.
Und während in anderen Lösegeldfällen immerhin die Zielfahndung nach dem Geld (follow the money) manchmal erfolgreich ist und zumindest einfach gestrickte Täter abschreckt, trifft dies beim Ransomware-Phänomen nicht zu, denn die Täter fordern Zahlung in Bitcoin. Nicht nur manchmal, sondern fast immer. Warum? Bei Erpressungen ist die Bargeldübergabe die für die Täter schwierigste Operation. Es verlangt Intelligenz und Geschick, eine Geldübergabe so zu organisieren, dass die Strafverfolger den Erpressern nicht auf die Spur kommen. Es ist der "soft spot" der Lösegelderpressung. Und selbst wenn eine Beobachtung der Geldübergabe nicht gelingt, dann hilft es immerhin, die Banknoten über ihre Nummern zu registrieren und damit eine spätere Zielfahndung zu ermöglichen.
Solche "soft spots" sind bei Kryptowährungen ausgeschaltet. Zwar kann, was Bitcoin-Fans nicht müde werden zu betonen, jede Transaktion über die Blockchain tatsächlich zurückverfolgt werden. Aber die Anonymität von Bitcoin-Wallets verhindert effektiv, dass man die Empfänger von Bitcoin identifizieren kann. Wechseln die Täter regelmäßig die Wallets, ist eine Identifikation praktisch ausgeschlossen. Die effektive Anonymisierung des Geldtransfers ist auch eine wichtige Voraussetzung des Erfolgs der Kryptowährungen. Und ähnlich wie beim Bargeld lassen sich auch illegale Geschäfte verschleiern und internationale Transaktionen ohne Einmischung der Strafverfolgungs- oder Finanzbehörden sind möglich, etwa durch Benutzung von "Mixing"-Dienstleistern ( besser: Krypto-Geldwäscher) beim Umtausch von Bitcoin in Bargeld.
Was den Erfolg der Kryptowährungen erheblich begünstigt, zeigt sich zugleich als Achillesferse, weshalb man durchaus mit dem folgende Szenario rechnen muss: Legal arbeitende Wirtschaftsunternehmen werden es nicht lange hinnehmen, von Cyberkriminellen regelmäßig auf diese Art ausgenommen zu werden. Sie werden über kurz oder lang auf die Politik einen solchen Druck ausüben, dass diese eine effektive Lösung finden muss.
Ende Mai attackierte der Journalist Lee Reiners im Wall Street Journal die Kryptowährungen genau mit diesem Argumnet und forderte den US-Präsidenten Biden auf zu handeln:
Ransomware can’t succeed without cryptocurrency. The pseudonymity that crypto provides has made it the exclusive method of payment for hackers. It makes their job relatively safe and easy. There is even a new business model in which developers sell or lease ransomware, empowering malicious actors who aren’t tech-savvy themselves to receive payment quickly and securely. Before cryptocurrency, attackers had to set up shell companies to receive credit-card payments or request ransom payment in prepaid cash cards, leaving a trail in either case. It is no coincidence that ransomware attacks exploded with the emergence of cryptocurrency.
Banning anything runs counter to the American ethos, but as our experience with social media should teach us, the innovative isn’t always an unalloyed good. A sober assessment of cryptocurrency must conclude that the damage wrought by crypto-fueled ransomware vastly outweighs any benefits from cryptocurrency.
Zumal auch viele öffentliche Institutionen (Universitäten, Forschungsinstitute, Stromanbieter, sogar Krankenhäuser) betroffen oder zumindest gefährdet sind, wird sich meines Erachtens die Politik nicht lange bitten lassen. Bitcoin bietet als „Währung“ für die Allgemeinheit bislang eher nur wenige Vorteile, sondern ist bislang vor allem als Hobby für Computernerds und als Spekulationsobjekt bekannt. Speziell Bitcoin-Mining gilt auch noch als massives Umweltproblem. Bitcoin-Fans bestreiten zwar diese Vorwürfe, aber sicherlich haben sie (noch) keine besonders starke politische Lobby in den betroffenen Staaten, zumal sich der Charme der Kryptowährungen ja gerade daraus ergibt, dass es eine Währung jenseits staatlicher Kontrolle ist bzw. sein soll. Sicher ist jedenfalls, dass Bitcoins und andere Kryptowährungen die Annahme und Verschleierung von Lösegeldern enorm vereinfachen, so dass damit zu rechnen ist, dass Ransomware-Attacken in der allernächsten Zeit weiter stark zunehmen.
Die geforderte Regulierung bzw. die Aufforderung zur DE-Anonymisierung der Krypto-Transaktionen führte bei Befürwortern der Kryptowährungen auch durchaus zu Nervosität, wie sich etwa an der Diskussion auf entsprechenden Plattformen zeigt, z.B. bei Coinbase.
In einem Artikel der Neuen Zürcher Zeitung wird gegen die Idee der Regulierung von Kryptowährungen um Ransomware-Kriminalität zu bekämpfen aber folgendes eingewandt:
Doch ein Verbot oder auch eine stärkere Regulierung von Bitcoin und Co. ist aus zwei Gründen schwierig. Erstens braucht es dazu ein koordiniertes Vorgehen zumindest der wichtigsten Wirtschaftsnationen, zum Beispiel der G-20, damit ein Eingriff möglicherweise eine Wirkung erzielt.
Zweitens besteht die Gefahr, dass sich neue Formen von Kryptozahlungsmitteln herausbilden, wenn die bekannten Währungen zu stark eingeschränkt sind. Dann wäre nichts gewonnen.
Die Regulierung von Kryptowährungen kann deshalb nicht das Mittel erster Wahl sein zur Bekämpfung der Cyberkriminalität – auch weil die internationale Umsetzung neuer Regeln und deren Durchsetzung viel zu lange dauert.
Ich halte diese Argumente jedoch nicht für stichhaltig: Gerade weil alle wichtigen Wirtschaftsnationen betroffen sind, wird man sich – unter dem Druck der betroffenen international tätigen Wirtschaftsunternehmen - schneller einigen, zumal die meisten betroffenen Kryptowährungen eben nichtstaatlich sind. Dass sich „neue Formen von Kryptozahlungsmitteln herausbilden“, kann man nicht bestreiten, aber natürlich wird man eine abstrakte Regelung schaffen, die das für die Erpresser entscheidende Element, die Anonymität der Transaktionen, betrifft. Und diese Regulierung wird auch potentielle künftige Kryptowährungen betreffen.
Der jüngste Versuch, Kryptowährungen in Deutschland zu regulieren, ist hingegen gegen Ransomware-Angriffe wahrscheinlich nicht besonders effektiv. Finanzminister Scholz ist innerhalb Europas „vorgeprescht“, indem er eine Kryptowertetransferverordnung (KryptoTransferV auf der Grundlage von § 15 X 1 Nr. 1 GwG) für die allernächste Zeit ankündigte. Danach wären immerhin anonyme Bitcoin-Transaktionen innerhalb Deutschlands kaum mehr möglich.
Allerdings wird von fachkundiger Seite der Sinn dieser Verordnung angezweifelt (vgl. die Stellungnahmen zur Verordnung hier) und Ransomware-Attacken wird sie eher nicht verhindern, da diese zwar auch in Deutschland erhebliche Schäden verursachen, aber die Lösegeldtransaktionen grenzüberschreitend stattfinden.
Ich vermute eher, dass man sich – wird nicht die Ransomware-Kriminalität durch andere Maßnahmen gestoppt – über kurz oder lang international auf eine strenge Regulierung einigen wird, zumindest was die (De-)Anonymisierung von Bitcoin-Transaktionen angeht. Da Unternehmen weltweit betroffen sind und auch die legale Digitalwirtschaft unter den Erpressungen leidet, liegt eine solche internationale Übereinkunft meines Erachtens durchaus nahe. Dann wird man sehen, ob Kryptowährungen auch ohne Anonymisierung überleben.
Hinweis: Beitrag überarbeitet (Link eingefügt) am 13.8.2021