Gebt die Bitcoins frei!

Bitcoins spielen bei Straftaten und deren Ermittlung eine zunehmende Rolle. Sie werden als Zahlungsmittel beim Handel mit Zugangsdaten verwendet. Sie dienen der Verschleierung der Zahlungswege eines Betrugs mit anschließender Geldwäsche. Oder sie sind Tatbeute bei einer Erpressung mit Ransomware. Am Beispiel der digitalen Erpressung wird erklärt, welche Möglichkeiten zur Wiedererlangung der Bitcoins die Ermittlungsbehörden inzwischen haben.

Wie funktioniert Ransomware?

Auch Erpressung wird übers Internet abgewickelt. Der Geschädigte infiziert seinen Rechner meistens durch Öffnen eines E-Mail-Anhangs mit Schadsoftware (Quelle: BSI, Lagebericht IT-Sicherheit 2016). Scareware sperrte früher lediglich den Zugang zum Rechner (z.B. BKA-Trojaner). Aktuelle Ransomware verschlüsselt hingegen wichtige Dateien. Am bekanntesten sind die Schadprogramme Locky und TeslaCrypt.

Die Software übersteht den Neustart des Rechners und fordert von einem Command & Control Server der öffentliche Schlüssel eines asymmetrischen Schlüsselpaars an. Die Software sucht auf dem Rechner nach Textdokumenten (.doc, .odt), Bildern (.jpg) oder Musik (.mp3, .m4a), die dem Geschädigten besonders wichtig sein könnten, und verschlüsselt diese. Die Erpresser versprechen, den privaten Schlüssel zur Wiederherstellung der Daten mitzuteilen, wenn der Geschädigte das Lösegeld – meist in Krypto-Währungen wie Bitcoin – zahlt. (Vgl. zum Ganzen: Vogelsang/Möller, jm 2016, 38)

Empfehlungen für Geschädigte

Hat der Nutzer seine Daten in einem Backup gesichert, kann er seine Daten neu aufspielen. Es gibt auch eine Reihe von kostenlosen Programmen, die bei Infektion mit bekannten Schadprogrammen die Dateien wiederherstellen können. In jedem Falle sollte der Geschädigte nicht auf die Lösegeldforderung eingehen, da er sich auf die Gegenleistung nicht verlassen kann.

Vermögensabschöpfung von Bitcoins

Da für die Geschädigten unmittelbar negative Konsequenzen entstehen, gibt es eine erhöhte Anzeigebereitschaft. Staatsanwaltschaften mit Schwerpunkt Cybercrime haben daher bereits beträchtliche Erfahrungen in Ermittlungsverfahren wegen Erpressung mit Ransomware gesammelt. Auch die Abschöpfung der durch Straftat erlangten Bitcoins kann Gelingen. (Zur Funktionsweise der Krypto-Währung: Bitcoin)

Die Sicherstellung eines Bitcoin-Guthabens aus einer Wallet des Beschuldigten durch Übertragung in eine staatliche Wallet erfordert die Kenntnis des privaten Schlüssels des Beschuldigten. Entweder der Beschuldigte kooperiert oder die Ermittlungsbehörden finden den Schlüssel in schriftlicher oder elektronischer Form bei Durchsuchungen bzw. bei der anschließenden Auswertung von Beweismaterial (Goger, MMR 2016, 431). Lässt der Beschuldigte seine Bitcoins hingegen von einer Online-Wallet eines gewerblichen Bitcoin-Dienstleistungsanbieters verwalten, ist der Schlüssel auf dem Server des Dienstleistungsanbieters gespeichert und kann dort durch einen Pfändungsbeschluss herausverlangt werden (Rückert, MMR 2016, 295).

So fand die bayrische Staatsanwaltschaft in einem Verfahren gegen Betreiber eines Bot-Netzes, das zum Bitcoin-Mining genutzt wurde, private Schlüssel unverschlüsselt auf einem Datenträger. 86 Bitcoins (umgerechnet rd. 95.000 Euro) konnten so sichergestellt und bei Verurteilung der Täter für verfallen erklärt werden. Für weitere Bitcoins, zu denen private Schlüssel nur in verschlüsselter Form vorlagen, erklärte das Gericht den Verfall von Wertersatz von rd. 432.500 Euro (Rückert, MMR 2016, 295). (Vgl. zum Ganzen BGH, Beschluss vom 21.07.2015, Az. 1 StR 16/15). Auch in einem Verfahren gegen Betreiber des Online-Portals LuL.to konnten 24 Bitcoins (umgerechnet rd. 55.000 Euro) sichergestellt werden (Quelle: LKA Sachsen, Pressemitteilung vom 21.06.2017).

Das Bundeskriminalamt entwickelt derzeit neue Werkzeuge zur Überwachung der Transaktionen in der Blockchain, automatisierten Merkmalerkennung und Anlage von Datenbanken, in welchen Transaktionen miteinander und mit weiteren, außerhalb der Blockchain liegenden Informationen verknüpft werden, um die Ermittlungsquote weiter zu steigern (Safferling/Rückert, MMR 2015, 788).