Der mickrige Anteil der Kriminalität in Bitcoin – und die “Erfolgsstory des Jahres” im Cybercrime

Ein Bericht zeigt, dass kriminelle Zahlungen einen immer kleineren Anteil aller Bitcoin-Zahlungen ausmachen. Doch während manche Spielarten der Kriminalität im Rückzug sind, trumphen andere erst auf.

Chainalysis veröffentlicht einen Auszug aus dem bald erscheinenden “Crypto Crime Report”. Wie stets wird es spannend, wenn der Blockchain-Analyst aus dem Nähkästchen plaudert.

Der Bericht beginnt mit dem Vermerk, dass 2020 ein unglaubliches und erfolgreiches Jahr für Krypto gewesen ist. Allerdings “bleiben Kryptowährungen, wie schon immer, anziehend für Kriminelle”. Trotz des transparenten Designs schätzen Kriminelle die pseudonyme Natur von Bitcoin sowie die Möglichkeit, einfach Geld um die Welt zu senden. “Doch die gute Nachricht ist, dass im Jahr 2020 die Kriminalität in Krypto spürbar gesunken ist.”

Mit rund 10 Milliarden Dollar hat sich das Volumen illegaler Transkationen im Vergleich zu 2019 halbiert – ist aber weiterhin doppelt so hoch wie 2018. Der Anteil der illegalen Transaktionen an allen über Kryptowährungen transferierten Werten hingegen ist mit 0,34 Prozent auf den tiefsten Wert der letzten vier Jahre gefallen. Kein Wunder: Die allgemeine ökonomische Aktivität von Bitcoin ist im vergangenen Jahr sprunghaft angestiegen, doch das illegale Zahlungsvolumen deutlich gefallen. Bitcoin war noch niemals so sauber wie 2020.

Allerdings muss man auch methodisch anmerken, dass Chainalysis den Anteil krimineller Zahlungen des Jahres 2019 nachträglich von den angenommenen 1,1 Prozent auf 2 Prozent hochgeschraubt hat. “Der Grund liegt darin, dass wir mehr Adressen identifiziert haben, die 2019 in kriminelle Aktivitäten verwickelt waren.” Daher geht Chainalysis davon aus, dass die Zahlen auch für 2020 noch nachträglich steigen werden.

Dennoch steht der Befund – Volumen und Anteil krimineller Transaktoinen fallen. Aber das trifft nicht für jede kriminelle Branche zu.

Gewinner und Verlierer im Cybercrime

Chainalysis sortiert die Transaktionen nach kriminellen Disziplinen. So zeigt der Analyst, welche Spielarten der Kriminalität stärker als andere zurückgegangen sind.

Wie in jedem Jahr nimmt die Kategorie “Scam” – also Betrug – den Bärenanteil ein. Es handelt sich um diverse Betrugsmanöver, die von den klassischen Phishing-Mails zu großen Pyramiden- und Ponzispielen gehen. Gerade im vorletzten Jahr dürfte der gigantische PlusToken-Betrug aus China das Volumen dieser Klasse extrem aufgebläht haben. Da zumindest bisher noch kein vergleichbarer Betrug für das Jahr 2020 bekannt ist, fiel das Volumen dieser Kategorie massiv: von mehr als 9 auf gut 2,6 Milliarden. Das kommt schon beinah einem Kollaps der Branche gleich.

Auf dem zweiten Rang stehen die Darknetmärkte: Handelsplattformen im Darknet, auf denen vor allem Drogen, aber auch Waffen, gefälschte Dokumente und Produkte sowie Malware, Kreditkartendaten und mehr verkauft werden. Diese Märkte verzeichnen seit 2018 einen kontinuierlichen Anstieg des Volumens, wenn auch auf relativ mäßigem Niveau, für 2020 etwa 29 Prozent. Im vergangenen Jahr dürfte die Corona-Krise ein Wachstumstreiber gewesen sein: Die häusliche Isolation lässt sich mit Drogen leichter ertragen, und der Drogenhandel dürfte sich lockdown-bedingt zumindest teilweise vom lokalen Park ins Darknet verlagert haben. Daneben boten viele Betrüger auch angebliche Medikamente gegen Corona auf Darknet-Märkten an.

Eine dritte wichtige Kategorie sind die gestohlenen Funds. Diese ging 2020 im Vergleich zu 2019 und vor allem 2018 weiter zurück. Es gab wenig Hacks von Börsen und anderen Plattformen.

Die vierte wichtige Kategorie ist schließlich die Ransomware. Und diese hatte 2020 ein extrem starkes Jahr mit einem starken Wachstum. “Die große Story des Verbrechens mit Kryptowährungen 2020” nennt Chainalysis die Ransomware. Sie macht zwar nur 7 Prozent aller mit Kriminalität verbundener Transaktionen aus, stieg aber seit 2019 um satte 311 Prozent. Kein anderer Zweig des Cybercrimes verzeichnet auch nur annährend vergleichbare Wachstumsquoten. Chainalysis führt dies auch darauf zurück, dass die spontan aufgeschlagenen heimischen Büros viele neue Sicherheitslücken aufgerissen haben.

Ransomware war 2020 so wichtig, dass Chainalysis ihr ein eigenes, ebenfalls schon veröffentlichtes Kapitel des Berichts widmet. Bevor wir das anschauen, werfen wir aber noch einen Blick auf einen weiteren interessanten Chart, der die monatlichen Zahlungsflüsse aufzeigt.

Hier ist etwa zu erkennen, dass die illegalen Einnahmen aus Betrug extrem schwanken. Im Januar 2020 waren es vielleicht 50 Millionen Dollar, im August dagegen etwa 450 Millionen. Ähnlich, wenn auch auf geringerem Niveau, verhalten sich die illegalen Einnahmen aus gestohlenen Fund und durch Ransomware. Kriminelle Aktivitäten, bei denen es ein Opfer gibt – jemanden, der auf einen Betrug reinfällt, der eine E-Mail mit Malware öffnet, der eine unzureichend gesicherte Börse betreibt – sind offenbar wenig kalkulierbar und erbringen extrem volatile Erträge. Eventuell liegt dass daran, dass Menschen in der Regel nur einmal zum unfreiwilligen “Geschäftspartner” dieser Gauner werden.

Anders sieht es dagegen bei kriminellen Aktivitäten aus, in die nicht ein Täter und ein Opfer involviert sind, sondern zwei Täter. Etwa beim Drogenhandel, wo Dealer und Konsument auf freiwilliger Basis einen Handel abschließen, von dem beide profitieren. Solche Geschäfte geschehen oft wiederkehrend und erzeugen kontinuierliche Umsätze, weshalb der Drogenhandel vermutlich auch das Fundament jedes kriminellen Kartells ist. Der Umsatz durch die Darknetmärkte bewegte sich im Jahr 2020 in der Regel zwischen 100 und 180 Millionen Dollar im Monat, was ihn zu einer Quelle der Stabilität in einem ansonsten extrem erratischen Markt macht.

“Die Erfolgsstory des Jahres”

Ransomware war, wie gesagt, die Erfolgsstory des Cybercrimes im vergangenen Jahr. Mit einem Volumen von etwa 350 Millionen Dollar macht die Ransomware insgesamt zwar nur lediglich 7 Prozent aller illegalen Zahlungen aus. Doch das Wachstum ist beeindruckend, und Chainalysis betont, dass die Werte die untere Grenze darstellen. Viele Fälle werden nicht gemeldet, und die Zahlen für 2020 werden wahrscheinlich noch hochgehen, wenn mehr Adressen der Hacker bekannt sind, vor allem für die letzten beiden Monate. Da allein belgische Firmen berichten, im Jahr 100 Millionen Euro an die Erpresser zu zahlen, dürfte das wahre Ausmaß tatsächlich weit höher liegen.

Ransomware ist zudem, erklärt Chainalysis, “einzigartig destruktiv, da die Angriffe Regierungen und Unternehmen für Wochen niederschmettern können”. Gerade im letzten Jahr hatte es etwas zynisches, dass viele Krankenhäuser betroffen waren, was auch zum ersten Todesfall führte. “Wenn wir den ökonomischen Schaden kalkulieren, den Ransomware nicht nur durch Zahlungen, sondern durch außer Betrieb gesetzte Institutionen und Unternehmen anrichtet, landen wir bei 20 Milliarden Dollar.” Und das ist, wie erwähnt, die Untergrenze.

Das massive Wachstum der Ransomware im vergangen Jahr wurde, so Chainalysis, von einigen neuen Inkarnationen der Software angetrieben, die von ihren Opfern hohe Summen verlangten, sowie gestiegenen Einnahmen bestehender Versionen. Die vielen Stränge der Ransomware, die es mittlerweile gibt, geben jedoch ein falsches Bild von der Diversität des Marktes.

Ransomware ist mittlerweile ein stark arbeitsteiliges Gewerbe, in welchem die einen die Software schreiben und die anderen sie verteilen. Diejenigen, die die Malware an den Mann bringen, verwenden beliebige Varianten, weshalb hinter den Angriffswellen trotz der vielen Familien eine kleine Gruppe an Personen stehen kann. Darüber hinaus vermuten Sicherheitsexperten, dass einige der größeren Familien des Viruses dieselben Erfinder und Verwalter haben.

Chainalysis versucht, diesen Vermutungen auf den Grund zu gehen. Denn je zentraler das Gewerbe, desto einfacher lassen sich neuralgische Punkte finden, durch die man effektiv gegen Ransomware vorgehen kann.

Der Analyst verbindet die Adressen, die für Zahlungen an die verschiedenen Versionen benutzt wurden. Die meisten Coins, die die Erpresser erbeuten, fließen zu Börsen, zu “Hochrisiko-Börsen” (mit lockeren oder inexistenten Anti-Geldwäsche-Standards) und Mixern. Chainalysis vermutet, dass die Kerninfrastruktur, welche die Hacker in Dienst nehmen, um das Geld zu waschen, von lediglich einer Handvoll an Schlüsslakteuren kontrolliert wird. Darauf deutet eine Überlappung von Wallets hin, auf welche Zahlungen verschiedener Ransomware schließlich enden.

Der Großteil der Guthaben – 82 Prozent – fließt an lediglich fünf große Krypto-Börsen. Und der absolute Großteil davon – 80 Prozent aller Coins – geht an 199 Einzahlungsadressen. Eine noch kleinere Gruppe von 25 Adressen erhält 46 Prozent. Es gibt also eine relativ kleine Gruppe, die beinah die Hälfte aller Einnahmen durch Ransomware auf Börsen verwaltet.

Ein Beispiel für eine solche Adresse stellt ein Account auf einer großen, internationalen Börse dar. Er hat zwischen August 2020 und dem Ende des Jahres mehr als 63 Millionen Dollar in Bitcoin empfangen. Der Großteil der Guthaben entspringt legalen Aktivitäten, doch ein Viertel stammt aus Quellen, die mit kriminellen Aktivitäten verbunden sind, und 10 Prozent direkt aus eindeutig identifizierbaren kriminellen Quellen.

Wenn man solche Adressen oder Accounts angreift, schließt Chainalysis, treffe man die Fähigkeit der Ransomware-Hacker empfindlich, ihre Erträge in Fiatgeld umzutauschen.