Was bedeutet der Kraken Identitätsmissbrauch von 18,2 Mio USD — und welche Rechte haben Sie jetzt?
Wenn 18,2 Millionen US-Dollar in wenigen Stunden über THORChain verschwinden, stellt sich für jeden Betroffenen dieselbe Frage: Ist das Geld tatsächlich verloren, oder gibt es rechtliche Wege, es zurückzuholen? Die Antwort lautet: Es gibt konkrete zivilrechtliche Ansprüche gegen die Plattform, gegen Täter und gegen Zwischenempfänger. Entscheidend sind Beweissicherung und schnelles Handeln.
Am 31. März 2026 machte der unabhängige Blockchain-Forensiker ZachXBT via Telegram öffentlich, was viele Nutzer der Krypto-Handelsplattform Kraken bereits befürchtet hatten. Ein einzelner, KYC-verifizierter Tier-3-Account erlitt durch einen präzise vorbereiteten Social-Engineering-Angriff einen Verlust. Insgesamt verschwanden 18,2 Millionen USD. Die Summe setzte sich aus ETH, WBTC, USDC und USDT zusammen. Für viele Anleger repräsentieren solche Werte Lebensersparnisse oder langjährige Investitionen.
Wie die Kraken Falle in wenigen Minuten funktionierte
Die Täter nutzten keine technische Schwachstelle in der Plattform-Infrastruktur. Stattdessen täuschten sie das Opfer mit einer gefälschten Support-Hotline, leiteten es auf die Phishing-Domain kraken-secure-verify[.]com weiter und erbeuteten dort den 2FA-Token sowie die API-Keys. Sobald diese Zugangsdaten in den Händen der Täter lagen, vollzog sich der Abfluss des Vermögens innerhalb von Minuten. Das Geld wanderte auf externe Wallets. Es wechselte über THORChain in BTC und teilweise in XMR und verteilte sich auf 47 verschiedene Empfänger-Adressen — alles binnen vier Stunden.
Die Plattform bestätigte den Vorfall, positionierte ihn jedoch umgehend als „User-Side Compromise“: kein Plattform-Breach, keine eigene Verantwortung, keine Erstattung. Diese Einschätzung ist aus rechtlicher Sicht in vielen Fällen angreifbar — und genau hier setzt die zivilrechtliche Strategie an, die für Betroffene in Deutschland und der EU infrage kommt.
Dieser Fall betrifft nicht nur die direkt geschädigte Person. Dieselbe Masche — angebliche Security-Mitarbeiter rufen über eine deutsche Telefonnummer an, verweisen auf Phishing-Seiten und greifen 2FA-Codes ab — setzt sich seit Monaten weltweit fort. Phishing-Methoden dieser Art haben sich 2026 erheblich professionalisiert, auch durch KI-generierte Stimmen und gefälschte Support-Interfaces. Wenn Sie einen ähnlichen Anruf erhalten haben, lesen Sie diesen Artikel bis zum Ende.
📣 Telegram-Kanal der Fachanwältin
Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.
Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.
Wie läuft ein Social-Engineering-Angriff auf ein Krypto-Konto ab?
Social Engineering bezeichnet die psychologische Manipulation einer Person, um sie dazu zu bringen, vertrauliche Zugangsdaten preiszugeben. Im vorliegenden Fall vom 31. März 2026 gestalteten die Täter die Täuschung so professionell, dass selbst ein erfahrener, KYC-verifizierter Nutzer mit einem großen Portfolio darauf hereinfiel. Die Täter kombinierten Caller-ID-Spoofing, die Weiterleitung auf eine täuschend echte Phishing-Domain und den schrittweisen Diebstahl aller Authentifizierungsfaktoren. Der Anrufer stellte sich als Mitglied des „Kraken Security Teams“ vor und schilderte eine angeblich verdächtige Aktivität auf dem Konto.
Wie die Täter Zugangsdaten erbeuteten
Um das Konto zu schützen, sollte das Opfer die Phishing-Website aufrufen und dort seine Identität bestätigen. Die Domain glich der echten Plattform zum Verwechseln — gleiches Layout, gleiche Logos, ähnliche URL-Struktur. Dort gab das Opfer den 2FA-Token ein und autorisierte API-Key-Zugriffe. Damit verschafften sich die Täter vollständige Kontrolle. Die Täter liquidierten die Positionen, bündelten ETH, WBTC, USDC und USDT und transferierten alles auf externe Wallets — in kaum mehr als fünfzehn Minuten. Für die Plattform sah der Transfer wie eine autorisierte Nutzeraktion aus, weil er technisch mit korrekten Zugangsdaten ablief.
Danach begann der eigentliche Wäscheprozess. Über das dezentrale Cross-Chain-Protokoll THORChain tauschten die Täter die Mittel zunächst in Bitcoin. Anschließend konvertierten sie einen Teil in Monero (XMR) — eine Kryptowährung, deren eingebettete Privatsphäre-Mechanismen die Rückverfolgung erheblich erschweren. Die 47 Empfänger-Adressen dienten als Verteilungsknoten, um die Blockchain-Spur zu fragmentieren. Arkham Intelligence und Chainalysis haben laut ZachXBT bereits begonnen, diese Cluster zu analysieren.
Betroffene in Deutschland berichten über identische Muster: Ein angeblicher Plattform-Mitarbeiter ruft mit einer deutschen Mobilfunknummer an, erklärt eine angebliche Kontosperrung und verweist auf eine Phishing-Domain. Wer unter Druck steht und sein Portfolio schützen möchte, gibt die Daten ein — und verliert alles. Im deutschen Kontext liegen die individuellen Schäden typischerweise zwischen 30.000 und 200.000 Euro. Wie KI-gestützte Phishing-Angriffe 2026 funktionieren und wie Sie sie erkennen, erklärt unser Grundlagenartikel zur Methodik.
Warum ist das „User-Side Compromise“-Argument der Plattform rechtlich angreifbar?
Wenn eine Plattform einen Schaden als „User-Side Compromise“ deklariert, bedeutet das: Die Zugangsdaten wurden nutzerseitig kompromittiert, nicht durch ein Versagen des Anbieters. Daraus leitet sie ab, keine Haftung zu tragen. Diese Argumentation greift jedoch zu kurz — sowohl nach europäischem Aufsichtsrecht als auch nach deutschem Zivilrecht. Die entscheidende Frage lautet: Hatte der Anbieter ausreichende Sicherheitsmechanismen, um diesen Angriff zu erkennen oder zu verhindern?
Nach § 675u BGB haftet ein Zahlungsdienstleister grundsätzlich für nicht autorisierte Zahlungsvorgänge und hat den Zahlungsbetrag unverzüglich zurückzugewähren. Entscheidend ist dabei, was als „autorisiert“ gilt. Gemäß § 675v BGB trägt die Beweislast dafür, dass der Nutzer grob fahrlässig handelte oder die Transaktion tatsächlich autorisierte, die Plattform — nicht der Nutzer. Das ist ein fundamentaler Unterschied: Das Unternehmen kann nicht einfach behaupten, der Nutzer sei selbst schuld. Es hat dies nachzuweisen.
Welche MiCAR-Pflichten verletzt der Anbieter?
Hinzu kommt europäisches Aufsichtsrecht. MiCAR Art. 68 verpflichtet CASPs, angemessene Systeme und Kontrollen vorzuhalten, um Angriffe auf ihre Nutzer zu erkennen und zu verhindern. Gerichte fragen dabei: Hat der Exchange die nach MiCAR und § 280 BGB geschuldeten Sorgfaltspflichten erfüllt? Hatte er ein Anti-Phishing-Erkennungssystem, das die Aktivität der Phishing-Domain registriert und Nutzer gewarnt hätte? Hat er bei ungewöhnlichem Transaktionsverhalten — dem Abzug von 18,2 Millionen USD binnen weniger Minuten — automatische Schutzmechanismen ausgelöst? Wenn Sie diese Fragen mit „Nein“ beantworten, entstehen erhebliche Haftungsansprüche. Das „User-Side Compromise“-Argument schützt den CASP nicht pauschal vor Haftung.
Ein weiterer Anknüpfungspunkt ergibt sich aus dem Datenschutzrecht. Falls sich herausstellt, dass die Täter über interne Plattform-Daten verfügten — etwa den Namen des Kontoinhabers, seine Handynummer oder den Kontostand —, die üblicherweise nicht öffentlich zugänglich sind, eröffnet DSGVO Art. 82 einen eigenständigen Schadensersatzanspruch wegen einer datenschutzrechtlichen Pflichtverletzung. In solchen Fällen liegt die Vermutung nahe, dass die Täter über Insiderinformationen verfügten, die ihnen erst die gezielte Täuschung ermöglichten. Wie Plattform- und Bankhaftung bei Kryptobetrug greift, erläutern wir im Pillar-Artikel zur Bankhaftung.
Was leistet Blockchain-Forensik bei THORChain-Wäsche — und was nicht?
Blockchain-Forensik ist nach einem Krypto-Diebstahl kein optionaler Zusatz, sondern eine rechtliche Notwendigkeit. Sie liefert die Grundlage für Vermögensabschöpfung, Beweissicherung und zukünftige Haftungsansprüche. Im Fall der THORChain-Wäsche ist die Situation komplex. Aber nicht hoffnungslos: Erfahrene Forensiker sichern auch über mehrere Cross-Chain-Hops hinweg bedeutende Spuren.
THORChain ist ein dezentrales Protokoll, das native Cross-Chain-Swaps ermöglicht — also den Tausch von ETH gegen BTC ohne zentrale Gegenpartei. Das bedeutet: Es gibt keinen Betreiber, dem Sie ein Auskunftsersuchen stellen könnten. Die Transaktionen sind jedoch auf der Blockchain öffentlich einsehbar und dauerhaft gespeichert. Moderne Forensik-Tools wie Arkham Intelligence oder Chainalysis identifizieren die THORChain-Liquiditätspools als Relaisstationen und ordnen eingehende sowie ausgehende Transaktionen einander zu — trotz der dezentralen Struktur. Im vorliegenden Fall haben beide Dienste bereits begonnen, die 47 Empfänger-Adressen zu clustern.
Warum Monero die Rückverfolgung erschwert — aber nicht unmöglich macht
Der kritische Punkt ist die Konversion in Monero (XMR). Monero verwendet Ring Signatures, Stealth Addresses und RingCT, um Transaktionen für Außenstehende undurchschaubar zu machen. Ein Teil der gestohlenen Mittel wechselte laut ZachXBT in XMR, was die Rückverfolgung in dieser Teilmenge erheblich erschwert. Dennoch gilt: Nicht alle Mittel wurden vollständig anonymisiert. Die ETH- und BTC-Spuren vor der XMR-Konversion sind sicherbar. Zumindest einige der 47 Empfänger-Adressen dürften mit identifizierten Entitäten — etwa zentralen Exchanges — in Verbindung stehen, bei denen KYC-Daten vorliegen.
Für Betroffene in Deutschland ist das Ziel der Forensik nicht nur theoretischer Natur. Gemäß § 73 StGB i.V.m. § 111e StPO kann der Staat eine vermögensrechtliche Sicherungsmaßnahme (Vermögensarrest) anordnen, wenn identifizierbare Wallets mit dem Taterlös in Verbindung gebracht werden können. Ein vollständiger Forensik-Report, der die Transaktionskette vom Plattform-Konto bis zu den Endadressen lückenlos dokumentiert, bildet die Basis für diesen Schritt. Was Blockchain-Forensik im Detail leistet und wie Sie einen Tracing-Report beauftragen, erklären wir in unserem Grundlagenartikel zur Krypto-Forensik.
Auf zivilrechtlichem Weg können Sie parallel Herausgabeansprüche nach § 812 BGB gegen Zwischenempfänger geltend machen, die wissentlich gestohlene Gelder angenommen haben. Wenn diese Empfänger bei zentralen Exchanges registriert sind, deren Daten über Rechtshilfeabkommen zugänglich sind, können Sie Herausgabe- und Schadensersatzansprüche nach § 826 BGB durchsetzen — sofern der Empfänger von der deliktischen Herkunft der Mittel wusste oder hätte wissen sollen.
Welche konkreten Schritte sollten Sie nach einem Krypto-Social-Engineering-Angriff unternehmen?
Wenn Sie Opfer eines Social-Engineering-Angriffs auf Ihr Kryptokonto geworden sind, kommt es auf die ersten 24 bis 72 Stunden an. Je schneller Sie handeln, desto höher ist die Chance, dass Blockchain-Forensiker die Spur der Täter sichern können, bevor Gelder vollständig verschleiert werden.
Schritt 1: Beweise lückenlos sichern
Der erste Schritt ist die lückenlose Beweissicherung. Sichern Sie alle Kommunikation im Zusammenhang mit dem Angriff: Screenshots des gefälschten Support-Gesprächs, Anrufprotokolle mit Datum, Uhrzeit und der angezeigten Rufnummer sowie alle URLs, die Ihnen mitgeteilt wurden. E-Mails und Chatverläufe gehören ebenfalls dazu. Sichern Sie zudem Ihren Transaktionsverlauf auf der Plattform — laden Sie alle verfügbaren Exportdateien herunter, bevor das Konto möglicherweise eingeschränkt wird. Diese Unterlagen sind für jeden nachfolgenden rechtlichen Schritt unerlässlich.
Schritt 2: Anbieter formell benachrichtigen
Der zweite Schritt ist die Benachrichtigung des Anbieters. Reichen Sie eine formelle schriftliche Reklamation ein — per E-Mail mit Lesebestätigung oder über das offizielle Support-Portal — und dokumentieren Sie Datum und Uhrzeit dieser Einreichung. Verlangen Sie schriftlich, dass die Plattform alle auf Ihrem Konto ausgeführten Transaktionen seit dem Angriff sichert und einfriert. Die Reaktion der Plattform — oder das Ausbleiben einer solchen — ist selbst ein wichtiges Beweismittel für spätere Haftungsansprüche gegen den Anbieter.
Schritt 3: Spezialisierten Anwalt einschalten
Drittens schalten Sie unverzüglich einen auf Kryptowerte spezialisierten Rechtsanwalt ein. Nur ein Anwalt mit Kenntnissen im Bank- und Kapitalmarktrecht, im MiCAR-Aufsichtsrecht und in der Blockchain-Forensik koordiniert die verschiedenen Anspruchsgrundlagen — BGB-Haftung gegen den Anbieter, Bereicherungsansprüche gegen Empfänger, Schadensersatz nach DSGVO Art. 82. Wenn Sie kurz vor dem Angriff eine SEPA-Überweisung getätigt haben, können zudem Ansprüche gegen Ihre Hausbank aus § 675u BGB entstehen. Wann Ihre Bank für Kryptobetrug haftet, erklärt unser Pillar-Artikel zur Bankhaftung.
Viertens: Falls Sie noch offene Gelder auf anderen Plattformen haben, empfiehlt sich ein sofortiger Transfer auf ein sicheres Cold-Wallet. Ändern Sie alle Passwörter und 2FA-Einstellungen — die Täter greifen häufig weitere Konten an. Bei einer SEPA-Einzahlung kurz vor dem Angriff prüfen Sie außerdem, ob ein Chargeback gegenüber Ihrer Bank in Betracht kommt. Ihr Anwalt schätzt ein, ob dieser Pfad in Ihrem konkreten Fall erfolgversprechend ist.
Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.
Wie berechnen Sie Ihre Haftungsansprüche nach deutschem und europäischem Recht?
Die Frage der Schadenshöhe ist im Krypto-Kontext komplex, weil Kryptowerte erhebliche Preisschwankungen aufweisen und der Zeitpunkt des Schadensereignisses für die Berechnung entscheidend ist. Für deutsche Gerichte gilt: Den Schaden berechnet man grundsätzlich zum Zeitpunkt des Abflusses, also zum aktuellen Marktpreis der gestohlenen Token im Moment des nicht autorisierten Transfers.
Im vorliegenden Fall vom 31. März 2026 betrug der kombinierte Wert der gestohlenen Token 18,2 Millionen USD. Für einen deutschen Anspruchsteller, der in Euro klagt, ist der EUR/USD-Kurs zum Schadensdatum maßgeblich. Hinzu kommen nach § 286 BGB Verzugszinsen ab dem Zeitpunkt, zu dem die Gegenseite in Verzug gesetzt wurde — in der Regel mit Zugang der formellen Schadensmeldung. Bei einem Schaden von 200.000 Euro und gesetzlichem Zinssatz von fünf Prozentpunkten über dem Basiszinssatz entstehen bereits nach einem Jahr erhebliche Zusatzansprüche.
Welche Anspruchsgrundlagen kumulieren Sie gegen die Plattform?
Gegen die Plattform richten sich die Ansprüche primär aus § 675u BGB (Erstattungspflicht bei nicht autorisierter Zahlung), ergänzt durch Schadensersatzansprüche aus § 280 BGB wegen Pflichtverletzung des Custody-Vertrags und aus MiCAR Art. 68, soweit der Anbieter die vorgeschriebenen Sicherheitsstandards nicht eingehalten hat. Der Vollanspruch umfasst den Wert des Portfolios zum Abflusszeitpunkt zuzüglich Verzugszinsen und etwaiger nachgewiesener Folgeschäden.
Gegen die Täter selbst entstehen Schadensersatzansprüche aus § 823 Abs. 2 BGB i.V.m. § 263 StGB (Betrug) und § 263a StGB (Computerbetrug). Die Durchsetzbarkeit dieser Ansprüche hängt von der Identifizierung der Täter ab. Gegen Zwischenempfänger, die wissentlich vom Strafrechtsverstoß profitierten, greift zusätzlich § 826 BGB. Wenn interne Plattform-Daten die Grundlage der Täuschung bildeten, eröffnet sich über DSGVO Art. 82 ein eigenständiger Schadensersatzanspruch — kumulativ neben den vertraglichen Ansprüchen. Für typische deutsche Mandanten im Bereich von 30.000 bis 200.000 Euro Schaden ist diese Kumulation der Anspruchsgrundlagen entscheidend, um die wirtschaftliche Grundlage für eine Klage zu rechtfertigen.
Was bedeutet MiCAR für die Haftung von Krypto-Plattformen im konkreten Fall?
Die Verordnung über Märkte für Kryptowerte — kurz MiCAR — ist die erste vollständige europäische Regulierung für Krypto-Asset-Service-Provider und seit 2024 in vollem Umfang anwendbar. Sie stellt verbindliche Anforderungen an Sicherheit, Governance und Kundenschutz, die für Plattformen wie Kraken unmittelbar gelten. Für Betroffene ist MiCAR ein wichtiges Instrument, um Plattform-Haftung zu begründen, die über allgemeines Vertragsrecht hinausgeht.
Der zentrale Haftungsartikel im vorliegenden Kontext ist MiCAR Art. 68. Er verpflichtet CASPs, geeignete Systeme, Verfahren und Kontrollen einzurichten, damit ihre Dienste und Kundenvermögen sicher sind. Dazu gehören ausdrücklich Maßnahmen gegen Phishing, Social Engineering und unbefugten Zugriff. Wenn der Anbieter nachweislich kein System zur Erkennung bekannter Phishing-Domains oder zur Kennzeichnung ungewöhnlicher Transaktionsvolumina unterhielt, lässt sich ein MiCAR-Verstoß argumentieren.
Welche Rolle spielt die BaFin bei der Durchsetzung Ihrer Ansprüche?
Für in Deutschland wohnhafte Nutzer ist die BaFin als zuständige Aufsichtsbehörde relevant. Eine Beschwerde bei der BaFin — auch ohne direktes zivilrechtliches Ergebnis — kann die Grundlage für aufsichtliche Maßnahmen schaffen. Im Kontext des KWG § 32 und § 44 KWG haben Behörden und mittelbar auch Anwälte erhebliche Instrumente, um Informationen von der Plattform einzufordern. MiCAR stärkt Ihre rechtliche Position, weil Plattformen sich nicht mehr allein auf Nutzungsverträge berufen dürfen, die Haftung pauschal ausschließen. Wie Europol in diesem Zusammenhang internationale Netzwerke verfolgt, zeigt unser Bericht zur Europol-Zerschlagung von Krypto-Betrug über 700 Millionen Euro.
Wann haftet Ihre deutsche Hausbank, wenn Sie vor dem Betrug eine SEPA-Überweisung getätigt haben?
Viele Opfer von Krypto-Identitätsmissbrauch schildern folgendes Muster: Kurz vor dem Angriff füllten sie ihr Konto mit frischem Kapital auf — oft per SEPA-Überweisung von der Hausbank. In einigen Fällen wiesen die Täter das Opfer sogar aktiv dazu an, weiteres Geld einzuzahlen, um es danach gemeinsam mit dem Bestand abzusaugen. In solchen Konstellationen entsteht ein eigenständiger Anspruch gegen die Hausbank, den viele Betroffene unterschätzen.
Die rechtliche Grundlage ist erneut § 675u BGB: Wenn eine Überweisung aufgrund einer Täuschung erging und die Bank über ausreichende Hinweise verfügte oder hätte verfügen sollen, dass es sich um einen betrügerischen Auftrag handelt, entsteht ein Erstattungsanspruch. Die Bank hat nach § 675v BGB die Beweislast für eine wirksame Autorisierung. Wenn Sie aufgrund einer Social-Engineering-Täuschung eine SEPA-Überweisung auf eine Krypto-Einzahlungsadresse veranlasst haben, reichen Sie Ihrer Hausbank gegenüber unverzüglich eine formelle Reklamation ein.
Darüber hinaus hat Ihre Bank nach § 280 BGB und im Rahmen des Girovertrags Sorgfaltspflichten, die bei eindeutig verdächtigen Überweisungsmustern eine Nachfragepflicht auslösen können. Einige Gerichte haben in vergleichbaren Konstellationen entschieden, dass Banken bei atypischen Überweisungsaufträgen — hohe Summe, ungewöhnlicher Empfänger, abweichendes Zahlungsverhalten — aktiv nachfragen oder die Überweisung vorübergehend stoppen sollten. Das LG Bamberg hat in einem vergleichbaren Fall zu Fake-Trading-Plattformen geurteilt, dass solche Schutzmechanismen von Banken erwartet werden — mehr dazu in unserem Bericht zum LG-Bamberg-Urteil zur Bitcoin-Bande. Ob dies in Ihrem konkreten Fall zutrifft, ist eine Einzelfallentscheidung, die anwaltlicher Prüfung bedarf. Alle Details zur Bankhaftung bei Kryptobetrug finden Sie in unserem vertiefenden Pillar-Artikel.
Häufige Fragen: Kraken Falle, Ihre Rechte und der Weg zum Anwalt
Haftet Kraken auch, wenn Sie die Zugangsdaten beim Phishing-Angriff selbst eingegeben haben?
Ja, das ist rechtlich möglich. Die bloße Tatsache, dass Sie die Zugangsdaten technisch selbst eingegeben haben, schließt eine Haftung des Anbieters nicht aus. Nach § 675u BGB haftet der Zahlungsdienstleister für nicht autorisierte Zahlungsvorgänge. Dabei die Beweislast für eine wirksame Autorisierung sowie für grobe Fahrlässigkeit des Nutzers gemäß § 675v BGB beim Zahlungsdienstleister liegt. Zusätzlich verpflichtet MiCAR Art. 68 CASPs zu robusten Schutzmaßnahmen gegen Social Engineering. Wenn der Anbieter diese Pflichten verletzt hat — etwa durch fehlende Anti-Phishing-Systeme oder unzureichende Transaktionsüberwachung —, entstehen Schadensersatzansprüche nach § 280 BGB. Ob im konkreten Fall gehaftet wird, hängt von den Umständen des Einzelfalls ab und erfordert anwaltliche Prüfung.
Sind die über THORChain transferierten Gelder noch rückverfolgbar?
Teilweise ja. THORChain ist ein dezentrales Cross-Chain-Protokoll, aber seine Transaktionen sind öffentlich auf der Blockchain einsehbar. Forensik-Tools wie Arkham Intelligence und Chainalysis identifizieren THORChain-Liquiditätspools als Relay-Stationen und verfolgen Transaktionsketten über mehrere Chains hinweg. Den in Monero (XMR) konvertierten Anteil verfolgt man nur schwer, da Monero eingebaute Datenschutz-Mechanismen verwendet. Die in ETH und BTC gehaltenen Anteile sowie Gelder, die an Adressen zentraler Exchanges weiterliefen, sind dagegen häufig rückverfolgbar. Ein qualifizierter Forensik-Report ist die Grundlage für Vermögensarrest nach § 73 StGB i.V.m. § 111e StPO und für zivilrechtliche Ansprüche gegen identifizierbare Empfänger.
Was sollte ich als erstes tun, wenn ich Opfer eines Krypto-Phishing-Angriffs geworden bin?
Die ersten 24 Stunden sind entscheidend. Sichern Sie sofort alle Beweise: Screenshots des gefälschten Support-Gesprächs, Anrufprotokolle mit der Rufnummer des Anrufers, alle URLs der Phishing-Seiten sowie Ihren vollständigen Transaktionsverlauf. Exportieren Sie alle verfügbaren Kontodaten, bevor das Konto eingeschränkt werden könnte. Reichen Sie eine formelle schriftliche Reklamation bei der Plattform ein und verlangen Sie eine Konservierung aller relevanten Daten. Wenn Sie kurz vor dem Angriff eine SEPA-Überweisung vorgenommen haben, informieren Sie auch Ihre Hausbank unverzüglich schriftlich. Schalten Sie dann so schnell wie möglich einen spezialisierten Anwalt ein, der die zivilrechtlichen Optionen — Haftungsansprüche gegen den Anbieter, Forensik-Beauftragung, Schritte zur Vermögensabschöpfung — koordiniert beurteilen kann.
Welche Rolle spielt DSGVO Art. 82 bei einem Krypto-Social-Engineering-Schaden?
DSGVO Art. 82 eröffnet einen eigenständigen Schadensersatzanspruch, wenn personenbezogene Daten durch einen DSGVO-Verstoß des Verantwortlichen rechtswidrig verarbeitet oder nicht hinreichend geschützt wurden. Im vorliegenden Kontext ist dieser Anspruch relevant, wenn die Täter über Informationen verfügten, die nur aus internen Systemen der Plattform stammen konnten — etwa den vollständigen Namen des Nutzers, seine Handynummer oder den ungefähren Kontostand, der sie zu einer gezielten, glaubwürdigen Täuschung befähigte. Wenn ein solches Datenleck nachgewiesen werden kann, haftet der Anbieter für den daraus entstandenen Schaden — unabhängig von der vertraglichen Haftungsfrage. DSGVO Art. 82 greifen Sie kumulativ neben § 675u BGB und § 280 BGB an und erhöhen damit den Gesamtanspruch.
Lohnt sich eine rechtliche Verfolgung bei einem Schaden unter 50.000 Euro?
Die Wirtschaftlichkeit anwaltlicher Maßnahmen hängt von mehreren Faktoren ab: der Schadenshöhe, der Qualität der verfügbaren Beweise, der Frage, ob die Täter identifiziert werden können. Und den Möglichkeiten zur Kostenteilung mit anderen Betroffenen. Bei Schäden ab etwa 30.000 Euro ist eine anwaltliche Erstanalyse in der Regel wirtschaftlich sinnvoll. Die Prüfung der Ansprüche gegen den Anbieter nach § 675u und § 280 BGB — ohne aufwendige Forensik — erzeugt vertretbare Kosten. Wenn mehrere Betroffene denselben Angriff erlitten haben, teilen Sie die Forensik-Kosten, was die Wirtschaftlichkeit deutlich verbessert. Bei Schäden im Bereich von 50.000 bis 200.000 Euro — dem typischen deutschen Mandantenprofil in solchen Fällen — ist die rechtliche Verfolgung regelmäßig geboten, insbesondere wenn Ansprüche gegen einen CASP im Raum stehen.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern