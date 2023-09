Bevorzugte Kryptowährungen für den Betrug sind Bitcoin oder Stablecoins, weil sie – gemessen an der Kryptowelt – über eine vergleichsweise geringe Volatilität verfügen. REUTERS

Nachdem er selbst Opfer eines Bitcoin-Diebstahls geworden war, beschritt Albert Quehenberger einen ungewöhnlichen Karriereweg und fand eine neue Berufung: die Verfolgung und Aufklärung von Kryptoverbrechen. Auch wenn Kryptowährungen sicherlich schon bessere Zeiten erlebt haben, steht der Betrug damit nach wie vor hoch im Kurs – in einer ohnehin zunehmenden Digitalisierung hat die Corona-Pandemie diese Entwicklung nur beschleunigt.

Im Interview mit dem STANDARD spricht der CEO von AQ Forensics über die geläufigsten Methoden der Kryptobetrüger und wie man sie ausfindig machen kann. Aus den Erfahrungen seines Arbeitsalltags erklärt Quehenberger auch, wer für gewöhnlich hinter diesen Scams steckt und warum er nicht glaubt, dass die Opfer solcher Betrugsfälle leichtgläubig sind.

STANDARD: Kryptoforensiker dürfte eher zu den ungewöhnlichen Berufen zählen, wie sind Sie dazu gekommen?

Quehenberger: Ich bin 18 Jahre lang Berufssoldat gewesen und war die letzten sechs Jahre davon in einem Spezialverband des österreichischen Bundesheers. Dort hatte ich die Möglichkeit, an Blockchaintechnologie und Kryptowährungen zu forschen. Als ich während dieses Projekts auch privat in Kryptowährungen investiert habe, wurden mir über einen klassischen Anlagebetrug selbst sechs Bitcoin gestohlen. Kryptowährungen waren damals zwar eine recht junge Entwicklung, die Bitcoins aber doch schon ein bisschen was wert. Ich wollte den Vorfall daher bei der Polizei zur Anzeige bringen, erhielt aber nur die Auskunft, dass ich bei diesem "kriminellen Internetgeld" quasi selbst schuld sei.

Das hat mich extrem geärgert: Die Technologie ist transparent, und die Transaktionsdaten sind auf der Blockchain abgespeichert, warum kann das niemand zurückverfolgen, wenn Gelder gestohlen worden sind? Deshalb habe ich mich nach und nach damit beschäftigt, wie man Kryptowährungen und Transaktionen nachverfolgen kann, und bin letztlich auf einen Kurs in den USA gestoßen, der die Ausbildung zum zertifizierten Kryptoforensiker angeboten hat. Diesen Kurs habe ich dann 2021 auch absolviert.

STANDARD: Wie darf man sich den Arbeitsalltag eines Kryptoforensikers vorstellen?

Quehenberger: Es melden sich bei uns Privatpersonen oder Unternehmen, wenn sie beim klassischen Anlagebetrug in Zusammenhang mit Kryptowährungen geschädigt wurden oder Unterstützung benötigen. Dann kommt es zu einer Überprüfung, mit wem wir es zu tun haben, auch um zu vermeiden, dass ein Kryptodienstleister möglicherweise ein anderes Projekt in die Pfanne hauen möchte.

Eigentlich ist es ähnlich wie bei der Polizei, wenn man eine Anzeige aufgibt. Es meldet sich jemand, der geschädigt wurde, wir erheben dann den Sachverhalt und sichten die Daten, die vorhanden sind. Die meisten Opfer haben relevante Daten, das können Hashes, Wallet-Adressen, E-Mail-Adressen oder auch Homepages potenzieller Scam-Projekten sein. Dann schauen wir uns an, was überhaupt vorgefallen ist, und überprüfen, ob die Geschichte anhand der vorgelegten Daten rekonstruierbar ist.

STANDARD: Welche Software nutzen Sie dafür?

Quehenberger: Wir tragen zunächst über unterschiedliche Investigativmethoden im Internet Informationen zusammen, die wir open-source in einem Blockchain Explorer oder über Etherscan überprüfen. Wenn wir diese Daten validiert haben, dann verwenden wir spezielle Softwarelösungen wie den Crystal Blockchain Explorer oder Iknaio, um Endpunkte lokalisieren zu können. Darunter sind sogenannte "Off-Ramps" zu verstehen, die es Nutzern ermöglichen, Kryptowährungen wieder in Fiat-Währungen, also beispielsweise Dollar oder Euro, umzutauschen. Kriminelle wollen das Geld in der Regel ja so schnell wie möglich auscashen.

Sind diese regulierten Exit-Points ausgeforscht, fertigen wir unser Privatgutachten an. Das heißt, wir bereiten den Transaktionsverlauf und den Fluss der Gelder grafisch auf, beschreiben für die Ermittlungsbehörden, was wir gefunden haben, und geben eine ganz klare Handlungsempfehlung.

STANDARD: Wie geht die Polizei damit um?

Quehenberger: Auch die Polizei verfügt über Einheiten und Departements, die sich um Kryptoforensik kümmern. Die überprüfen unsere Ergebnisse auf Richtigkeit und treten dann an die betroffene Kryptobörse heran, um beispielsweise Identitätsdaten anzufordern oder Funds einfrieren zu lassen. Dann legen die ihre Ermittlungsergebnisse mit unserer Vorarbeit der Staatsanwaltschaft vor.

Wir können die Funds auch mit unseren Softwarelösungen dementsprechend markieren, das heißt, wir können auch Informationen für weitere Ermittlungen zur Verfügung stellen.

STANDARD: Wie lange dauert die Bearbeitung eines Falles in der Regel?

Quehenberger: Das lässt sich nicht pauschal beantworten und ist von Fall zu Fall sehr unterschiedlich. Das kommt darauf an, welches Asset verwendet worden ist, wie viele Transaktionen getätigt wurden und über welchen Zeitraum dieser Betrug stattfand. Wir haben Fälle, da sind Geschädigte über mehrere Jahre hinweg betrogen und immer wieder "abgeschöpft" worden.

STANDARD: Kryptowährungen haben schon deutlich bessere Zeiten erlebt. Über größere Betrugsfälle in Österreich hingegen liest man fast im Wochentakt. Wie erklären Sie sich das?

Quehenberger: Das liegt an der zunehmenden Digitalisierung, die Covid-19-Pandemie hat das zusätzlich beschleunigt. Die Leute sind viel zu Hause, mehr im Homeoffice und daher auch mehr im Internet. Sie machen sich mehr Gedanken, wie sie investieren können, um etwas an ihrer Lebenssituation zu ändern und finanziell unabhängiger zu sein. Corona hat Krypto-Scams Tür und Tor geöffnet, in dieser Zeit sind die Betrugsfälle nahezu exponentiell angestiegen.

Über Behörden, mit denen wir regelmäßig in Kontakt stehen, wurde uns zudem auch bestätigt, dass KI-gestützte Botnetze für immer intelligentere Angriffe sorgen. Der verzweifelte Prinz aus Afrika, der in Phishing-E-Mails Millionen verspricht, ist Geschichte – die Qualität der Angriffe ist stark gestiegen. Die fortschreitende Entwicklung auf diesem Gebiet sorgt dafür, dass auch technisch nicht so versierte Anwender Hacks begehen oder Betrugsdelikte durchführen können.

STANDARD: Als Außenstehender fragt man sich oft, wie man auf solche Scams überhaupt hereinfallen kann. Sind die Opfer zu vertrauensselig?

Quehenberger: Ich glaube nicht, dass die Opfer solcher Betrugsfälle leichtgläubig sind. Vielmehr ist es eine Verkettung unglücklicher Umstände und Lebenssituationen, die da zusammenkommen und einen dann beispielsweise für Love-Scams anfällig machen. Wir haben bei unserer Arbeit ein paar ganz perfide Geschichten erlebt, wo über Jahre hinweg eine amouröse Beziehung aufgebaut worden ist. Wie es bei diesen Scams dann üblich ist, kommt es zu einem Sachverhalt, wo vielleicht ein Ereignis wie ein vorgespielter Unfall eintritt und die Opfer getestet werden, ob sie zur Bezahlung kleinerer Beträge bereit sind. Wird einmal gezahlt, merkt das Gegenüber, dass die Vertrauensbasis geschaffen worden ist.

STANDARD: Was passiert danach?

Quehenberger: Das Muster ist meist recht simpel: Weibliche Lockvögel, oft aus Russland oder Asien stammend, gaukeln dem Opfer vor, Geld für ein tolles Investment zu brauchen, das dem künftigen Liebespaar ein Leben in Saus und Braus garantieren soll. Die Realität ist freilich eine andere.

Unserer Erfahrung nach ist die größte Zielgruppe solcher Angriffe in der Regel männlich und Mitte 50. Oft kommen Lebenseinschnitte hinzu wie eine Scheidung oder der Tod des Lebensgefährten, soziale Vereinsamung spielt jedenfalls eine große Rolle. Nicht selten wird dann der Anschluss im Internet gesucht, der Opfer besonders anfällig für Broker oder Lockvögel macht. Sie schenken ihnen Aufmerksamkeit und Zuspruch und versprechen nicht zuletzt ein Ticket aus ihrem jetzigen Leben.

STANDARD: Mit welchen Fällen haben Sie es meistens zu tun?

Quehenberger: Die Masse der Fälle, die bei uns auf dem Tisch liegen, sind tatsächlich Love-Scams, gefolgt von Broker-Betrug. Das betrifft vor allem Plattformen, die vorgeben, dass man mit Kryptowährungen traden kann. Deutlich zugenommen haben seit dem letzten Jahr auch sogenannte "Rip-Deals" in Zusammenhang mit NFTs. Dabei werden NFT-Künstler über Social Media kontaktiert, zu einer persönlichen Übergabe der NFTs überredet, um dann mit Falschgeld bezahlt zu werden. Eher die Ausnahme geworden sind mittlerweile "klassische" Hacks, wie es oft vermutet wird.

STANDARD: Wie kommen Kryptobetrüger an ihre Opfer?

Quehenberger: Meistens sind es immer noch reißerische Überschriften aus Anzeigen in Social-Media-Feeds, die Leute dazu verleiten draufzuklicken. Füllt man das dahinterliegende Kontaktformular aus, melden sich dann seriös wirkende Broker, die potenzielle Opfer dazu bewegen, erste Transaktionen durchzuführen, und sie in weiterer Folge rhetorisch unter Druck setzen.

Wenn die Leute nicht so gut geschult sind, um zu wissen, wie man eine Kryptotransaktion durchführt, bieten diese Broker Hilfe an und erlangen nach der Installation von AnyDesk oder TeamViewer leicht Zugriff auf das fremde System. Dort haben sie freie Hand und wickeln die Transaktionen für die Opfer ab.

STANDARD: Wer sind die Täter überhaupt?

Quehenberger: Der Einzeltäter ist aus meiner Sicht eher die Ausnahme. Vielmehr handelt es sich um sehr gut organisierte kriminelle Banden, die oftmals von Balkanstaaten aus operieren. In Großraumbüros gehen diese Leute nine-to-five ihren Jobs nach und bearbeiten Opfer-Listen, die dort aufliegen. Das ist ein Milliardengeschäft, von dem nicht nur mafiöse, sondern auch teilstaatliche Strukturen wie die Lazarus Group profitieren.

STANDARD: Welche Warnsignale gibt es, die potenzielle Opfer erkennen sollten?

Quehenberger: Die Alarmglocken sollten schon einmal schrillen, wenn Prominente vermeintlich für irgendwelche Investments Werbung machen. Das wäre eine typische Red Flag. Wenn man auf die Website des Projekts oder Finanzprodukts geht, sollte man überprüfen, ob es ein Impressum gibt, ob ein Team dahintersteckt und ob es Profile auf Social Media zu diesem Team gibt. Hat das Projekt einen Trackrecord, gibt es AGBs oder Datenschutzbestimmungen? Wenn nicht gegeben ist, was man sich von einem seriös arbeitenden Unternehmen erwartet, sollte man immer aufpassen.

Zudem sollte man skeptisch bleiben und immer sehr viele Fragen stellen. Ein seriöses Unternehmen geht zu 100 Prozent darauf ein – Scammer hingegen neigen dazu, patzig oder gar nicht mehr darauf zu reagieren. Nicht zuletzt ist es auch ratsam, eigene Recherche zu betreiben. Das heißt, dass man selbst Infos im sozialen Umfeld oder über das Internet einholt, wie die Investition zu bewerten ist. Gibt es vielleicht auch schon Warnhinweise der FMA? Die Finanzmarktaufsicht ist in Österreich diesbezüglich sehr gut aufgestellt und warnt auf ihrer Seite regelmäßig vor betrügerischen Aktivitäten dieser Art.

STANDARD: Was tun, wenn man bereits einen Betrug vermutet?

Quehenberger: Man sollte unbedingt auf sein Bauchgefühl hören. Sobald einem etwas komisch vorkommt, sollte man beginnen, die Transaktionen und den Gesprächsverlauf zu dokumentieren, das heißt, dass man Screenshots erstellt, die E-Mail-Korrespondenz und entsprechende Links abspeichert.

Mit so einer kleinen Datensammlung kann man zur Polizei gehen und eine erste Meinung von Experten einholen. Es gibt auch die Internet Watchlist in Österreich, die bei einem Betrugsverdacht kostenlose Unterstützung anbietet.

STANDARD: Was entgegnen Sie Leuten, die behaupten, dass Krypto an sich schon Betrug ist?

Quehenberger: Bei meinen Vorträgen gehe ich oft darauf ein, warum sich Kryptowährungen im Zusammenhang mit Cybercrime so großer Beliebtheit erfreuen. Die Technologie der Blockchain ist zwar bahnbrechend und sicher gekommen, um zu bleiben. Aber wie es mit Innovationen anfangs oft der Fall ist: Wo viel Licht ist, ist natürlich auch Schatten. Kryptowährungen bieten viele Möglichkeiten, allerdings muss man sich damit auseinandersetzen und wissen, was man tut. Und nicht jeder, der mit Kryptos zu tun hat, ist ein Krimineller, ein Strizzi oder ein Steuerhinterzieher. (Benjamin Brandtner, 17.9.2023)