Recovery-Scam bezeichnet den gezielten Folgebetrug an Personen, die bereits durch Krypto- oder Anlagebetrug geschädigt wurden. Täter versprechen Gelder-Rückholung, Wallet-Tracing oder Täteridentifizierung — tatsächlich entsteht ein zweiter, eigenständiger Vermögensschaden. Die BaFin hat vor diesem Folgebetrug-Muster ausdrücklich gewarnt. Strafrechtlich erfüllt der Recovery-Scam in seiner typischen Abfolge mindestens vier Tatbestände gleichzeitig: §§ 263, 269, 261 StGB und — bei falschen Behördenvertretern — § 132a StGB. Wer nach einem Kryptoverlust von Unbekannten unaufgefordert kontaktiert wird und ein Honorar zahlt, begeht keinen Fehler aus Leichtsinn. Er zahlt in eine professionell konstruierte Täuschungsinfrastruktur, die für diesen Moment gebaut wurde.

Was ist ein Recovery-Scam und wie unterscheidet er sich von gewöhnlichem Betrug?

Ein Recovery-Scam ist kein einfacher Betrug, sondern ein strukturierter Zweitangriff auf bereits geschädigte Personen. Täter beschaffen sich Opferdaten aus dem Erstbetrug, imitieren Anwälte oder Behörden und verlangen Vorauszahlungen für eine versprochene Rückholung — die nie erfolgt. Der Unterschied zum gewöhnlichen Betrug liegt in der gezielten Zielgruppenauswahl und dem instrumentalisierten Vertrauensvorsprung durch Insider-Wissen.

Wer nach einem Kryptoverlust von einem unbekannten Anrufer mit genauen Angaben zu Plattformname, Einzahlungsdatum und Schadensbetrag konfrontiert wird, steht vor einem strukturierten Informationsangriff. Dieses Detailwissen stammt nicht aus Ermittlungsakten. Es stammt aus sogenannten Sucker Lists — strukturierten Opferdatensätzen, die im kriminellen Untergrund für mehrere Hundert bis mehrere Tausend Euro pro Datensatz gehandelt werden. Eine Untersuchung des Global Anti-Scam Org zeigt, dass Sucker Lists innerhalb von 48 Stunden nach Schließung einer betrügerischen Plattform in einschlägigen Foren auftauchen. Das Detailwissen eines Anrufers beweist nicht seine Legitimation — es beweist ausschließlich, dass Opferdaten aus dem Erstbetrug in mindestens ein weiteres kriminelles Netzwerk abgeflossen sind.

Die BaFin hat in Verbraucherwarnungen mehrfach explizit auf dieses Folgebetrugs-Muster hingewiesen — zuletzt in der Warnung zur Plattform RecoverX (betrieben unter e-sec-crypto.io), die Betrugsopfern eine Rückholung von Kryptowerten vortäuschte, ohne jede Erlaubnis nach § 32 KWG oder MiCAR Art. 59 zu besitzen. Nach BaFin-Erkenntnissen setzen Recovery-Scam-Netzwerke drei Kontaktkanäle ein: unaufgeforderter Telefonanruf, E-Mail mit personalisierter Ansprache und — zunehmend — bezahlte Anzeigen auf Google und in sozialen Medien, die Suchbegriffe wie „Krypto-Betrug Hilfe“ oder „Anlagebetrug Geld zurück“ abfangen.

Fünf Täuschungsvarianten treten in der Praxis konsistent auf:

• Falscher Anwalt: Der Anrufer behauptet, eine Sammelklage gegen die betrügerische Plattform zu führen und fordert einen „Kostenvorschuss“ oder „Gerichtsgebühren“. Pauschale Erfolgshonorare und Vorauszahlungen auf nicht verifizierbare Auslandskonten sind strukturell mit dem anwaltlichen Berufsrecht unvereinbar — ein echter Rechtsanwalt rechnet nach dem RVG ab und fordert keine Vorabgebühr auf unbekannte Auslandskonten.
• Falsche Behörde: Angebliche BaFin-, BKA-, FBI- oder Europol-Mitarbeiter fordern eine „Bearbeitungsgebühr“ für die Freigabe sichergestellter Gelder. Keine dieser Behörden erhebt solche Gebühren gegenüber Privatpersonen. Die BaFin ist unter 0228 / 4108-0 erreichbar; wer über die angegebene Rückrufnummer zurückruft, stellt typischerweise fest, dass der angebliche Mitarbeiter dort nicht existiert.
• Falscher Krypto-Tracing-Dienst: „Wir können die Wallets verfolgen und die Täter identifizieren“ — gegen Vorauszahlung in Krypto. Blockchain-Transaktionen sind nach Bestätigung technisch irreversibel; kein Drittdienstleister kann bereits transferierte Kryptowerte zurückholen.
• Asset-Recovery-Spezialist auf Telegram: Mit Pseudo-Zertifikaten von erfundenen Organisationen und KI-generierten Team-Fotos wird Kompetenz vorgetäuscht. Die Kommunikation läuft ausschließlich über Messenger-Apps, eine verifizierbare Unternehmensidentität fehlt vollständig.
• Falscher Bank-Compliance-Mitarbeiter: „Ihre Bank kann nur erstatten, wenn Sie zuerst eine Sicherheits-Hinterlegung einzahlen.“ Banken erstatten nie unter der Bedingung einer Vorab-Einzahlung durch den Kunden.
• Falscher Token-Entsperrungs-Service: Täter behaupten, Kryptowerte des Opfers seien durch einen Smart-Contract-Fehler „eingefroren“ und könnten gegen eine einmalige „Entsperrgebühr“ freigegeben werden. Die angebliche Gebühr dient ausschließlich der weiteren Schädigung — technisch existiert kein Mechanismus, mit dem ein Dritter externe Wallet-Adressen durch Zahlung einer Gebühr entsperren könnte. Diese Variante tritt besonders nach DeFi-bezogenen Erstverlusten auf und richtet sich gezielt an Opfer, die mit Smart-Contract-Logik wenig vertraut sind.

Jede unaufgeforderte Kontaktaufnahme nach einem Kryptoverlust mit dem Angebot entgeltlicher Rückholung ist ein Indiz für Recovery-Scam. Detailwissen über den Erstschaden beweist keine Legitimation — es beweist Zugang zu Opferdatenbanken.

Wie funktioniert § 263 StGB beim Recovery-Scam — Versuch und Vollendung?

§ 263 StGB (Betrug) erfasst den Recovery-Scam in zwei Phasen. Im Erstkontakt liegt der strafbare Versuch vor, weil die Täuschungshandlung bereits begonnen hat, aber noch keine Vermögensverfügung erfolgt ist. Sobald das Opfer die geforderte Gebühr zahlt, ist der Betrug vollendet — der unmittelbare Abfluss des Betrages ist der Schaden, nicht die ausgebliebene Rückzahlung.

Der erste unaufgeforderte Kontakt initiiert die Täuschungshandlung im Sinne des § 263 Abs. 1 StGB: Die Täter spiegeln falsche Tatsachen über ihre Identität, Legitimation und Leistungsfähigkeit vor. Zu diesem Zeitpunkt ist die Vermögensverfügung noch nicht erfolgt — die Tat befindet sich im Versuchsstadium. § 263 Abs. 2 StGB erklärt den Versuch ausdrücklich für strafbar; ein Strafantrag ist daher bereits nach dem Erstkontakt sinnvoll, wenn die Täuschung dokumentiert ist.

Mit der Zahlung der Vorabgebühr — gleichgültig ob per Banküberweisung oder Krypto-Transaktion — ist der Betrug nach § 263 Abs. 1 StGB vollendet. Die Kausal-Kette ist durchlaufen: Täuschungshandlung → erregter Irrtum → irrtumsbedingte Vermögensverfügung → Vermögensschaden. Der Schaden ist nicht die Hoffnung auf Rückzahlung, sondern der sofortige Abfluss des Betrages. Diese Unterscheidung ist für die Schadensberechnung im Strafverfahren und für zivilrechtliche Ansprüche nach § 823 Abs. 2 BGB i.V.m. § 263 StGB relevant.

Handeln die Täter gewerbsmäßig oder als Bande, greift der besonders schwere Fall nach § 263 Abs. 3 StGB mit Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Bei bandenmäßig gewerbsmäßigem Betrug erhöht sich der Strafrahmen nach § 263 Abs. 5 StGB auf ein bis zehn Jahre. Da Recovery-Scam-Netzwerke systematisch in Arbeitsteilung operieren, Opferdaten kaufen und weiterverkaufen sowie identische Täuschungsinfrastrukturen für multiple Opfer einsetzen, ist der Qualifikationstatbestand des § 263 Abs. 5 StGB in der Praxis regelmäßig erfüllt.

Was leistet § 269 StGB bei gefälschten Behördenausweisen und Kanzlei-Websites?

§ 269 StGB (Fälschung beweiserheblicher Daten) trifft die technische Täuschungsinfrastruktur des Recovery-Scam: gefälschte Kanzlei-Websites, manipulierte Behördenausweise und fingierte Gerichtsbeschlüsse in digitaler Form. Jede dieser Dateien ist beweiserheblich, ihr vorgetäuschter Aussteller ist erkennbar — damit ist der Tatbestand erfüllt, eigenständig neben § 263 StGB.

Um den im Erstkontakt erzeugten Irrtum zu verfestigen, erstellen professionelle Recovery-Scam-Netzwerke eine vollständige Täuschungsinfrastruktur: gefälschte Kanzlei-Websites mit verifizierbarer Optik, manipulierte Dienstausweise von BKA, BaFin, FBI oder Europol, gefälschte anwaltliche Mandate und Vollmachtsurkunden in digitaler Form sowie KI-generierte Teamfotos mit erfundenen Biografien. Dokumentierte Fälle zeigen, dass Tätergruppen bezahlte Google-Anzeigen schalten und auf Suchbegriffe wie „Krypto Geld zurück“ optimieren.

§ 269 StGB erfasst das Speichern oder Verändern beweiserheblicher Daten mit dem Ziel der Täuschung im Rechtsverkehr. Ein digital erstellter, gefälschter Behördenausweis, der per E-Mail-Anhang übermittelt wird, erfüllt diese Voraussetzungen vollständig: Die Daten sind gespeichert, sie repräsentieren eine rechtserhebliche Erklärung, und ihr vorgetäuschter Aussteller ist erkennbar angegeben. Die Strafdrohung beträgt bis zu fünf Jahren Freiheitsstrafe; bei bandenmäßiger Begehung greifen über § 269 Abs. 3 StGB die Regelbeispiele für besonders schwere Fälle.

Die praktische Bedeutung: Schon das Erstellen der gefälschten Dokumente ist strafbar — unabhängig davon, ob eine Zahlung erfolgt. Für Geschädigte bedeutet das: Jede digitale Fälschung, die Täter übermitteln, begründet eine eigenständige Tat nach § 269 StGB. Diese Dokumente sind im Strafverfahren zugleich Beweismittel und Straftatgegenstand — Sicherung ist daher doppelt wichtig.

Wann greift § 132a StGB bei falschen Behördenvertretern und Scheinanwälten?

§ 132a StGB (Missbrauch von Titeln, Berufsbezeichnungen und Abzeichen) ist erfüllt, sobald jemand ohne Befugnis die Bezeichnung „Rechtsanwalt“, „BKA-Ermittler“, „staatlich anerkannter Sachverständiger“ oder eine vergleichbare Amtsbezeichnung führt — unabhängig davon, ob ein Vermögensschaden entsteht. Der Tatbestand tritt in Idealkonkurrenz neben § 263 StGB.

Tritt ein Täter explizit als Mitarbeiter einer Behörde auf — als „BaFin-Mitarbeiter“, „BKA-Ermittler“, „FBI-Agent“ oder „Europol-Koordinator“ —, ist § 132a StGB tatbestandsmäßig erfüllt. Die Norm stellt das unbefugte Führen inländischer oder ausländischer Amts- und Dienstbezeichnungen unter Strafe. Strafbar macht sich auch, wer die Berufsbezeichnung „Rechtsanwalt“ oder „Notar“ unbefugt verwendet — die Bezeichnung selbst, gegenüber dem Opfer geäußert, ist die Tathandlung. Ein eingetretener Vermögensschaden ist für die Vollendung des § 132a StGB nicht erforderlich.

§ 132a StGB tritt in Idealkonkurrenz neben § 263 StGB, weil er ein eigenständiges Schutzgut schützt: das Vertrauen der Öffentlichkeit in die Integrität staatlicher und berufsständischer Institutionen. Diese Konkurrenzlage hat für die Strafzumessung praktische Bedeutung — Gerichte berücksichtigen die institutionelle Dimension der Täuschung als strafschärfenden Gesichtspunkt, der über den bloßen Vermögensschaden hinausgeht.

Ist das Vorspiegeln eines Amtstitels allein schon strafbar — ohne Zahlung des Opfers? Ja —

§ 132a StGB setzt keinen Vermögensschaden voraus. Wer sich gegenüber einem Betrugsopfer als BKA-Ermittler ausgibt und dadurch Kontakt aufbaut, hat den Tatbestand in dem Moment erfüllt, in dem die Amtsbezeichnung unbefugt geführt wird. Die spätere Zahlung oder Nichtzahlung des Opfers ist für § 132a StGB ohne Belang — sie ist allein für die Vollendung des § 263 StGB relevant.

Wie funktioniert die Geldwäsche nach § 261 StGB bei Krypto-Weiterleitungen?

§ 261 StGB (Geldwäsche) ist eröffnet, sobald die Täter die erhaltenen Gelder bewegen — über Krypto-Wallets, Auslandsüberweisungen oder Bargeldtransaktionen. Seit der Reform im Sommer 2021 (Gesetz v. 9. März 2021, BGBl. I S. 327) gibt es keinen Vortatenkatalog mehr: Jede rechtswidrige Herkunft genügt. Ein bandenmäßig begangener Betrug nach § 263 StGB ist stets ausreichende Vortat.

Die Reform des § 261 StGB hat die bisherige Beschränkung auf einen enumerativen Vortatenkatalog vollständig beseitigt. Seitdem genügt die Herkunft der Vermögensgegenstände aus irgendeiner rechtswidrigen Tat. Eine Geringfügigkeitsgrenze ist gesetzlich nicht vorgesehen. Für Kryptowährungen, die typische Zahlungsform im Recovery-Scam, ist mangels körperlicher Substanz eine Originaleinziehung nach § 73 StGB nicht möglich; es kommt die Wertersatzeinziehung nach § 73c StGB in Betracht, wenn Ermittlungsbehörden die Wallet-Adressen identifizieren können.

In der Praxis sichern Recovery-Scam-Netzwerke die Erlöse durch Hopping-Transaktionen über mehrere Zwischen-Wallets, den Einsatz von Mixing-Services und schnellen Transfer in Jurisdiktionen ohne Vollstreckungsabkommen. Dennoch sind vorläufige Sicherungsmaßnahmen möglich: Nach §§ 111b, 111c StPO können Strafverfolgungsbehörden Vermögenswerte vorläufig sicherstellen und einfrieren. § 111e StPO ermöglicht den Vermögensarrest durch das Gericht, solange Wallets noch Guthaben aufweisen. Die Richtlinie 2024/1260 des Europäischen Parlaments über die Vermögensabschöpfung und Einziehung verpflichtet EU-Mitgliedstaaten zur gegenseitigen Anerkennung von Sicherstellungsanordnungen und verbessert damit die transnationale Rückgewinnbarkeit erheblich.

Wie greifen die vier Tatbestände im Zusammenspiel — und was bedeutet das für den Gesamtschaden?

Die vier Tatbestände — § 263 StGB (Betrug), § 269 StGB (Datenfälschung), § 261 StGB (Geldwäsche) und § 132a StGB (Titelmissbrauch) — sind keine alternative Aufzählung, sondern kumulative Strafbarkeit. Sie stehen in Tateinheit oder Tatmehrheit nebeneinander, je nach Fallkonstellation. Der Gesamtschaden ergibt sich aus der Addition beider Taten: Erstschaden plus Recovery-Scam-Schaden werden getrennt verfolgt, können aber in verbundenen Verfahren zusammengefasst werden.

Für Geschädigte hat die Parallelstruktur konkrete Folgen. Der Recovery-Scam ist eine selbständige neue Tat und vom Erstschaden getrennt zu verfolgen. Die Parallelität der Zahlungswege, identische Kommunikationsmuster und übereinstimmende oder verwandte Wallet-Adressen können Ermittlungsbehörden helfen, organisatorische Verbindungen zwischen Erststraftat und Recovery-Scam nachzuweisen. In einigen dokumentierten Fällen stammen Recovery-Scam-Netzwerke aus demselben organisatorischen Umfeld wie die Täter des Erstbetrugs — die internen Opferlisten wurden bei Auflösung der betrügerischen Plattform an kooperierende Netzwerke verkauft.

Tatbestand	Tathandlung im Recovery-Scam	Strafrahmen	Konkurrenz
§ 263 Abs. 1 StGB (Betrug)	Täuschung über Identität/Leistungsfähigkeit, Vorabgebühr	bis 5 Jahre; Abs. 3/5 bis 10 Jahre	Grunddelikt
§ 263 Abs. 2 StGB (Versuch)	Erstkontakt mit Täuschungshandlung vor Zahlung	Strafrahmen gemildert (Versuchsreduktion)	strafbar
§ 269 StGB (Datenfälschung)	Gefälschte Kanzlei-Sites, Behördenausweise, Mandate	bis 5 Jahre; Abs. 3 besonders schwere Fälle	Tateinheit mit § 263
§ 132a StGB (Titelmissbrauch)	Unbefugtes Führen von „Rechtsanwalt“, BKA, BaFin etc.	bis 1 Jahr Freiheitsstrafe oder Geldstrafe	Idealkonkurrenz neben § 263
§ 261 StGB (Geldwäsche)	Weiterleitung der Taterlöse über Wallets, Auslandskonten	bis 5 Jahre; Abs. 3 besonders schwere Fälle	Tatmehrheit nach Vollendung § 263

Welche zivilrechtlichen Ansprüche bestehen neben der Strafverfolgung?

Neben der Strafverfolgung bestehen selbständige zivilrechtliche Ansprüche: § 812 BGB (Bereicherungsanspruch), § 823 Abs. 2 BGB i.V.m. § 263 StGB (deliktische Haftung), § 826 BGB (sittenwidrige Schädigung) und § 134 BGB (Nichtigkeit des zugrundeliegenden Rechtsgeschäfts). Diese Ansprüche richten sich sowohl gegen unmittelbare Täter als auch gegen Hintermänner, die Organisationsstrukturen steuern, soweit sie identifizierbar sind.

Zahlungen an falsche Anwälte oder falsche Behördenvertreter sind nach § 134 BGB nichtig, weil die zugrundeliegenden Rechtsgeschäfte gegen ein gesetzliches Verbot verstoßen. Bereicherungsrechtliche Rückforderungsansprüche folgen aus § 812 Abs. 1 S. 1 Alt. 1 BGB (Leistungskondiktion). Deliktische Haftung ist über § 823 Abs. 2 BGB i.V.m. § 263 StGB sowie über § 826 BGB zu begründen. Die Anfechtung des Vertrages nach § 123 BGB (arglistige Täuschung) eröffnet zusätzlich einen Rückabwicklungsanspruch, soweit der Täter fassbar ist.

Für die grenzüberschreitende Vollstreckung ist die Richtlinie 2024/1260 des Europäischen Parlaments und des Rates über die Vermögensabschöpfung und Einziehung relevant. Sie verpflichtet alle EU-Mitgliedstaaten zur gegenseitigen Anerkennung von Einfrierungs- und Einziehungsanordnungen. In Verbindung mit TFR II (EU 2023/1113 — Transfer-of-Funds-Verordnung) und den Meldepflichten aus DAC8 entsteht ein regulatorischer Rahmen, der es zumindest für EU-basierte Plattformen schwerer macht, Taterlöse dauerhaft zu verschleiern. Für Krypto-Asset-Dienstleister, die unter MiCAR zugelassen sind, begründen Art. 140 und Art. 142 MiCAR eigene Meldepflichten bei Verdacht auf Marktmissbrauch, die für Recovery-Scam-Ermittlungen relevant werden können.

Ergänzend greifen die geldwäscherechtlichen Sorgfaltspflichten nach § 25h KWG für inländische Kreditinstitute und Zahlungsdienstleister. Erhält eine Bank oder ein Zahlungsinstitut Hinweise darauf, dass eine Transaktion mit einem Recovery-Scam in Verbindung steht — etwa durch eine sofortige Kontaktaufnahme des Opfers —, ist sie nach § 25h Abs. 2 KWG zur unverzüglichen Meldung an die Financial Intelligence Unit (FIU) verpflichtet und darf die betroffene Transaktion bis zur behördlichen Freigabe zurückhalten. In der Praxis gelingt dies nur, wenn Betroffene die Bank unmittelbar nach Erkennen des Betrugs kontaktieren — bevor die Buchung als endgültig verarbeitet gilt.

Wie unterscheidet sich Recovery-Scam strukturell von Pig-Butchering?

Pig-Butchering (systematischer Vertrauensaufbau vor großem Einmalangriff) und Recovery-Scam (gezielter Zweitangriff nach bekanntem Erstverlust) nutzen unterschiedliche Täuschungslogiken. Pig-Butchering investiert Wochen oder Monate in Vertrauensaufbau; der Recovery-Scam operiert mit bereits vorhandenem Informationsvorsprung und setzt auf den emotionalen Druck der Erstschädigung. Rechtlich sind beide eigenständige Betrugstaten nach § 263 StGB — der Recovery-Scam tritt in Tatmehrheit zum Erstbetrug.

Der strukturelle Unterschied hat praktische Konsequenzen für die Strafverfolgung. Beim Pig-Butchering liegt der Schwerpunkt der Ermittlung auf der Kommunikationsphase und den Plattformstrukturen — häufig ist § 264a StGB (Kapitalanlagebetrug) einschlägig, wenn Anlageprodukte angeboten werden. Beim Recovery-Scam liegt der Fokus auf der Identifikation der Täuschungsinfrastruktur (§ 269 StGB) und der Rückverfolgung der Zahlungsströme (§ 261 StGB). Die Identifikation von Sucker-List-Herkunft und Wallet-Korrelationen kann dabei helfen, organisatorische Verbindungen zwischen Erst- und Zweittat zu belegen.

Nach BaFin-Erkenntnissen nutzen Tätergruppen gezielt das emotionale Klima nach einem Erstschaden: Die Kombination aus Informationsvorsprung (Sucker Lists), professioneller Täuschungsinfrastruktur (§ 269 StGB) und vorgetäuschter staatlicher Autorität (§ 132a StGB) erhöht die Trefferrate beim Folgebetrug erheblich. Opfer, die bereits einen erheblichen Verlust erlitten haben, sind in einer vulnerablen Entscheidungssituation — die Bereitschaft zur Zahlung kleinerer Beträge für die erhoffte Rückholung des großen Verlustes ist statistisch messbar erhöht.

Welche strafprozessualen Sicherungsmaßnahmen greifen und wie werden sie beantragt?

Strafprozessuale Sicherungsmaßnahmen gegen Recovery-Scam-Täter laufen über zwei Schienen: die vorläufige Sicherstellung nach §§ 111b, 111c StPO durch Ermittlungsbehörden und den Vermögensarrest nach § 111e StPO durch das zuständige Gericht. Beide sind zeitkritisch — nach Leerzug einer Wallet entfällt die Sicherungswirkung. Daneben kann nach §§ 916, 935 ZPO ein dinglicher Arrest beantragt werden, wenn die Täter zivilrechtlich fassbar sind.

§ 111b Abs. 1 StPO ermächtigt Ermittlungsbehörden zur Beschlagnahme von Gegenständen, die als Beweismittel oder als einzuziehende Taterlöse in Betracht kommen. Bei Krypto-Wallets bedeutet das konkret: Blockchain-Forensik zur Wallet-Identifikation, Zusammenarbeit mit Krypto-Börsen über Rechtshilfeersuchen und — soweit die Plattform unter EU-Jurisdiktion fällt — direkte Anfrage nach Verordnung EU 2023/1113 (TFR II), die CASPs zur Übermittlung von Transferdaten verpflichtet. § 111c StPO regelt die Beschlagnahme beweglicher Sachen, was für physische Datenträger mit Wallet-Keys relevant werden kann.

§ 111e StPO ermöglicht den vorläufigen Vermögensarrest durch das Gericht, wenn konkrete Anhaltspunkte für eine spätere Einziehung nach §§ 73 ff. StGB vorliegen. Der Antrag kann durch die Staatsanwaltschaft oder — nach Akteneinsicht gemäß § 406e StPO — durch den Verletzten über seinen Rechtsanwalt initiiert werden. Zeitkritisch ist der Antrag insbesondere bei Krypto-Assets: Einmal transferierte Werte sind ohne Kooperation der empfangenden Plattform nicht zurückholbar.

Parallel zur Strafverfolgung kommt ein Arrest nach § 916 ZPO in Betracht, wenn Täter zivilrechtlich identifizierbar sind — etwa weil sie auf einem deutschen Konto eingezahlt haben. § 935 ZPO (einstweilige Verfügung) sichert darüber hinaus Unterlassungsansprüche. In der Praxis setzt die Kombination aus Strafanzeige nach § 158 StPO, Antrag auf Akteneinsicht nach § 406e StPO und Vermögensarrestantrag nach § 111e StPO den breitesten Schutzrahmen — jeder dieser Schritte läuft auf einer anderen Rechtsspur, schließt die anderen aber nicht aus.

Für die Beweissicherung gilt: Jedes Datum, jede Sender-IP-Adresse, jeder Zeitstempel und jede Wallet-Adresse ist ein potenzieller Ermittlungsansatz. E-Mail-Header enthalten SMTP-Routing-Daten, die den tatsächlichen Versandserver identifizieren können — selbst wenn der Absender eine Phantomidentität nutzt. Messenger-Screenshots allein reichen für das Strafverfahren; vollständige Exportdaten (Telegram-JSON-Export, WhatsApp-Backup) sind vorzugswürdig, weil sie Metadaten enthalten, die manuellen Screenshots fehlen.

Was Geschädigte jetzt tun

• Keine zweite Zahlung leisten. Jede weitere Überweisung oder Krypto-Transaktion vertieft den Schaden und erschwert die Ermittlungen. Nach der Zahlung brechen Täter den Kontakt ab oder erfinden neue Forderungen — diese Eskalationslogik ist Teil des Tatplans.
• Identität sofort verifizieren. Angebliche Rechtsanwälte im öffentlichen Verzeichnis der Bundesrechtsanwaltskammer (brak.de) prüfen. Angebliche Behördenmitarbeiter ausschließlich über die auf der offiziellen Behörden-Website angegebene Nummer verifizieren — niemals die vom Kontaktierenden genannte Rückrufnummer verwenden.
• Vollständige Beweissicherung. E-Mails mit vollständigem Header, Messenger-Verläufe (Telegram, WhatsApp), gefälschte Dokumente, Zahlungsanforderungen, Überweisungsbelege und Screenshots sichern — unverändert, im Originalformat, mit sichtbarem Zeitstempel und vollständigem Nachrichtentext.
• Strafanzeige nach § 158 StPO bei der zuständigen Polizeidienststelle oder Staatsanwaltschaft erstatten. Den Recovery-Scam gesondert anzeigen — nicht nur als Anhang zum Erstschaden, sondern als eigenständige Tat mit eigener Schadenshöhe.
• Vermögensarrest prüfen lassen. Solange Wallets noch Guthaben aufweisen, kann nach § 111e StPO ein gerichtlicher Vermögensarrest beantragt werden. Zeitkritisch — jede Stunde Verzögerung erhöht die Wahrscheinlichkeit, dass Täter Wallets leeren.
• Verifizierten Rechtsbeistand beauftragen. Nur ein im BRAK-Verzeichnis eingetragener Rechtsanwalt kann nach § 406e StPO Akteneinsicht beantragen, Sicherungsmaßnahmen nach §§ 111b, 111c StPO anregen und zivilrechtliche Ansprüche nach §§ 812, 823 Abs. 2, 826 BGB geltend machen.

Wer nach einem Kryptoverlust von einer unbekannten Person mit einem Rückholungsangebot kontaktiert wird, beendet das Gespräch, sichert alle Daten und sucht einen verifizierten Rechtsanwalt auf. Das Erstgespräch dient der Einschätzung des Sachverhalts und der Prüfung, welche strafprozessualen und zivilrechtlichen Schritte im konkreten Fall geboten sind. Weiterführende Informationen zu Fallzahlen und Schadensvolumen bietet das BKA-Cybercrime-Lagebild 2025. Zum Verhältnis von § 263 und § 263a StGB bei digitalen Zahlungsvorgängen lesen Sie weiter unter § 263a StGB im Krypto-Kontext — vier Tatvarianten. Aktuelle Verbraucherwarnungen zu Folgebetrugs-Mustern veröffentlicht die BaFin unter BaFin-Verbraucherwarnungen. Zur strafrechtlichen Abgrenzung von Pig-Butchering und Recovery-Scam lesen Sie weiter unter Recovery-Scam nach BaFin-Warnung: falsche Anwälte und Behörden.