Betrugsmaschen bei Kryptowährungen Plötzlich fehlt das gesamte Guthaben

Je mehr Menschen in Kryptowährungen wie Bitcoin und Iota investieren, desto attraktiver wird der Markt auch für Betrüger. Ihre Maschen sind oft raffiniert, das zeigen aktuelle Fälle, in denen Nutzer viel Geld verloren haben.

Kurscheck vor Iota-Logo
Getty Images/ NurPhoto

Kurscheck vor Iota-Logo

Von und


Wenig Zeit? Am Textende gibt's eine Zusammenfassung.


Als Thomas Neumann Mitte Januar aus dem Urlaub zurückkam, war da auf einmal nur noch eine Null. Zehn sogenannte GIOTA waren aus seiner elektronischen Geldbörse verschwunden, Guthaben in der gerade angesagten Kryptowährung Iota. Im Dezember hatte er dafür 30.000 Euro investiert. Offenbar hatte jemand auf Neumanns Digitalgeld zugreifen und es so stehlen können.

"Ich habe den Iota-Support angeschrieben und nicht einmal eine Antwort bekommen", erzählt Neumann, der eigentlich anders heißt. Bald darauf entschied er, den Fall zur Anzeige zu bringen. Der Beamte auf seiner lokalen Abschnittswache jedoch habe ihn dabei erst einmal mit großen Augen angesehen, sagt Neumann: "Ich habe ihm Iota erst einmal buchstabieren müssen."

Thomas Neumann, 59, passt nicht ins typische Nerd-Klischee: Er war Vorstand eines börsennotierten Unternehmens, mittlerweile lebt er als Privatier in Süddeutschland, wo er die Muße hat, seiner Tech-Leidenschaft zu frönen. Vor geraumer Zeit kaufte er sich einen Tesla, Modell X, das mit den Flügeltüren, nachdem er 30 Jahre lang BMW gefahren war. Und im Dezember schließlich investierte er in Kryptowährungen.

Von Bitcoin oder Ether zu Iota

Er habe seinen Tesla als einer der ersten Anwender mit einer digitalen Geldbörse, einer sogenannten Wallet ausstatten wollen, sagt Neumann, um dann automatisch an Ladestellen oder fürs Parken zahlen zu können. Ums Zocken mit Kryptowährungen sei es ihm nicht gegangen: "Die Technologie an sich hat mich fasziniert".

So wie Neumann ging es Ende des vergangenen Jahres vielen Menschen, erst recht angesichts des Bitcoin-Höhenflugs, von dem auch viele andere Digitalwährungen profitierten. Zunehmend investieren auch Neueinsteiger in Kryptowährungen. Manche in der sich nicht unbedingt erfüllenden Hoffnung, Gewinne zu machen. Andere eher, weil sie tatsächlich die Technik interessiert.

Doch je stärker eine Digitalwährung wächst, je mehr Geld in den Markt fließt, desto attraktiver wird sie und ihre Nutzerschaft auch für Kriminelle. Das zeigt sich auch am Fall Neumann, denn außer ihm haben zur selben Zeit auch zahlreiche weitere Nutzer die Guthaben ihrer Iota-Geldbörsen verloren.

Schaden in Höhe von Millionen Euro

Bekannt wurde das, weil sich seit Kurzem im Forum "Hello Iota" immer mehr Geschädigte zu Wort melden und ihre Leidens- und Verlustgeschichten erzählen. Addiert man die im Forum genannten Summen, kommt man auf einen Gesamtschaden in Höhe von umgerechnet mehreren Millionen Euro, der mittlerweile auch auf einer Website namens IotaWalletLoss.claims dokumentiert wird.

Iota-Mitgründer Dominik Schiener spricht auf SPIEGEL-Anfrage vom bislang größten Betrug in der Iota-Geschichte, mit einigen Hundert Betroffenen. Das Iota-Team sei "im aktiven Dialog mit der Polizei" und helfe dabei, Informationen zusammenzutragen. Diese werde man auch veröffentlichen, "damit Nutzer selbst einen Polizeireport aufgeben können". Die Community bitte man, zusammenzuarbeiten und "uns beziehungsweise der Polizei dabei zu helfen, so viele Informationen wie möglich zu sammeln".

Betrugsmaschen betreffen mittlerweile praktisch alle wichtigeren Kryptowährungen. Besonders wenn Menschen mit privaten, digitalen Schlüsseln hantieren oder zum ersten Mal virtuelle Coins hin und her transferieren wollen, ergeben sich Angriffsflächen.

Warnung vor einem Betrüger im Litecoin-Forum auf Reddit: Er wollte, dass das Opfer ihm aus Versehen Litecoin virtuelle Coins überweist
Reddit

Warnung vor einem Betrüger im Litecoin-Forum auf Reddit: Er wollte, dass das Opfer ihm aus Versehen Litecoin virtuelle Coins überweist

Doch es gibt auch Gegenwehr: In Foren wie "Hello Iota", "BitcoinTalk" sowie in Krypto-Foren auf Reddit versuchen sich Nutzer gegenseitig zu warnen, beispielsweise, wenn jemand mit dubiosen Google-Anzeigen prominent für eine nur vorgeblich "offizielle" Iota-Wallet wirbt.

Schon wer Iota kaufen will, macht schnell mit anderen Währungen Bekanntschaft: In der Regel lässt sich Iota an Krypto-Börsen nur mit Bitcoin oder Ether bezahlen - Währungen, deren Marktkapitalisierung um einiges höher ist. Iota hat jedoch ein eigenes technisches Konzept, prominente Kooperationspartner aus der deutschen Industrie und einen anderen Fokus als die bekannteren Kryptowährungen: Geht es nach den Gründern, soll Iota eben kein Spekulationsobjekt sein, sondern Bezahlstandard im "Internet der Dinge" - da sind große Wertschwankungen eher hinderlich.

Die Betrugsmaschen der Krypto-Kriminellen

Weil die Teams hinter Kryptowährungen versuchen, ihre Digitalgeld-Systeme technisch gut zu sichern, versuchen Betrüger vor allem, menschliche Schwächen auszunutzen - so wie auch andere Cyberkriminelle, die per Phishing, also etwa mit gefälschten Websites oder E-Mails zum Beispiel versuchen, Bankkontodaten abzugreifen.

Wie geschickt manch ein Betrüger aus der Krypto-Szene vorgeht, zeigt der Fall eines Reddit-Nutzers aus Schottland. "Moodyrocket" hatte sich per Ebay eine Hardware-Wallet gekauft, eine Art Kryptowährungs-Tresor, in dem er seine kürzlich erworbenen virtuellen Coins jenseits des Rechners aufbewahren wollte.

Anfang Dezember hatte der Nutzer bei seinen Krypto-Investments zunächst Glück: Aus rund 6500 Pfund, die er in Litecoin, Ripple, Bitcoin und Dash investierte, wurden schnell 25.000, vor allem, weil der Kurs von Ripple extrem anstieg. Vier Wochen, nachdem er die Coins in seine Hardware-Wallet transferiert hatte, waren diese aber plötzlich weg.

Erst Reddit lieferte eine Erklärung

Erst nachdem "moodyrocket" auf Reddit über seinen Verlust schrieb, machten ihm andere Nutzer klar, was passiert war: Seine Wallet-Verpackung war vorab manipuliert worden, unter anderem in Form eines beigelegten Wiederherstellungscodes. Die Person, die dies getan hatte, kannte offenbar den Generalschlüssel der Wallet, wodurch sie später - weil "moodyrocket" aufgrund gefälschter Einrichtungshinweise keinen eigenen Schlüssel mehr generierte - auf dessen Guthaben zugreifen konnte.

Die Polizei ermittle noch, erzählt der um seine virtuellen Coins Betrogene vergangenen Freitag auf SPIEGEL-Anfrage, nachdem seine Postings bereits als Warnung auf Krypto-Websites und in YouTube-Videos zitiert wurden. "Ich gehe davon aus, dass die verantwortliche Person gefunden wird."

Fotostrecke

14  Bilder
Bitcoin und Co.: Das passiert in Krypto-Foren auf Reddit

Klar ist: Die Masche, die auf "moodyrocket" zielte, läuft auch anderswo ab: Knapp entgangen ist ihr zum Beispiel der Reddit-Nutzer "Bill_565", der in Griechenland eine Hardware-Wallet gekauft hatte, in deren Verpackung ebenfalls zusätzliches, präpariertes Material lag. Ihm fiel die Unstimmigkeit aber auf.

Man müsse "seine Hausaufgaben machen", schreibt "Bill_565" dem SPIEGEL, zum Beispiel Anleitungen wirklich lesen. "Der beste Safe der Welt bringt nichts, wenn der Verkäufer selbst noch den Schlüssel dazu hat."

Niemand außer einem selbst sollte den Seed kennen

Dieser Grundsatz hilft auch, den Fall von Thomas Neumann zu verstehen, dem Iota-Käufer. Neumann hatte nämlich vor seinem Urlaub dasselbe getan wie andere Iota-Besitzer, denen nun ihr Digitalgeld fehlt. Er hatte den 81-stelligen Generalschlüssel für seine elektronische Geldbörse - den sogenannten Seed - über eine Website erstellt, deren Anbieter offenbar direkt eine Kopie davon behielt. Mit dieser Kopie ließ sich dann das Guthaben abgreifen.

Iotaseed.io hieß die Betrugs-Website, die mittlerweile nicht mehr unter dieser, aber noch unter ähnlichen Internetadressen zu erreichen ist. Sie ziert ein Iota-Logo, im Kopfteil der Seite wird gar geraten, man solle prüfen, ob man auf der richtigen Seite sei: Es gebe da draußen Betrüger.

Von Archive.org gespeichertes Abbild der Seite Iotaseed.io
Archive.org

Von Archive.org gespeichertes Abbild der Seite Iotaseed.io

Letztlich sind der oder die Betreiber von Iotaseed.io wohl selbst professionell vorgehende Kryptowährungs-Diebe. Die Betreiber der Website, die im August bei einem Hoster in Panama angemeldet wurde, der die Anonymität seiner Kunden schützt, sammelten offenbar über Monate Seeds von zahlreichen Iota-Besitzern. Dann sahen sie erst einmal seelenruhig zu, wie deren Guthaben an Wert zulegten.

Mitte Januar nutzten die Betrüger schließlich ihre Schlüssel-Kopien und leerten die Geldbörsen von Neumann und anderen Nutzern der Website, angeblich flankiert von einem Überlastungsangriff. Zum Wegüberweisen des Kryptogeldes nutzten die Kriminellen insgesamt mehrere Dutzend unterschiedliche Iota-Konten.

Es gibt viele Betroffene

Neumann und seine Leidensgenossen im Forum sind seit dem Vorfall sauer - auf die Diebe, die offenbar mit hoher krimineller Energie agierten. Aber auch auf die Iota-Verantwortlichen, die für das Problem mit Iotaseed.io zwar nicht verantwortlich sind, die Sache aus Sicht der Betroffenen aber auch nicht ernst genug nehmen.

Ende voriger Woche hatte Iota-Mitgründer David Sønstebø zunächst erklärt: "Wir tun alles, um diesen Mistkerl ausfindig zu machen, aber das ist nicht einfach und hat sich in früheren Fällen als nahezu unmöglich erwiesen". Man werde eventuell hilfreiche Informationen an die Polizei weitergeben und die Ermittlungen unterstützen, um "den armen Leuten zu helfen, die ihre Einlagen verloren haben."

Thomas Neumann reichen solche Aussagen nicht. Man habe versucht, die betroffenen Nutzer "als ein bisschen doof hinzustellen", fasst er die ersten Reaktionen des Teams hinter Iota zusammen: "Dabei wäre es ihre Verantwortung, ein sicheres und nutzerfreundliches Verfahren anzubieten".

Derzeit kein automatischer Seed-Generator

Tatsächlich macht es Iota - wie auch andere Digitalwährungen - Laien nicht leicht, ihr Kryptogeld zusammenzuhalten. Immer wieder für Verwirrung sorgt beispielsweise das Prinzip, dass eine Adresse nicht mehr als sicher gilt, sobald man einmal selbst von dort Iota überwiesen hat. "Sie hätten schon ein wenig mehr machen können, um Wallets narrensicher zu machen", meint dazu ein Reddit-Nutzer, der im November mit einer Sparschwein-Analogie anschaulich erklärte, was es beim Thema Iota-Adressen zu beachten gilt.

Wenn Nutzer betrogen werden, weil sie keine Anleitungen lesen, sei das im Zweifel ihre eigene Schuld, nicht die der Entwickler, betont jener Reddit-Nutzer. Aber ein paar Extras bei der Geldbörse könnten faulen Nutzern helfen, Betrug zu entgehen.

Dass die bislang offiziell empfohlene, optisch wenig ansprechende Iota-Geldbörse derzeit keinen Seed-Generator integriert hat - was Nutzer wie Neumann erst auf Seiten wie Iotaseed.io stoßen lässt -, führt ebenfalls dazu, dass es für entsprechende Betrugsmaschen zumindest eher eine Zielgruppe gibt als bei anderen Kryptowährungen.

Bald kommt ein neues Wallet

Die in Berlin ansässige Iota-Stiftung rät selbst, keinesfalls einen Online-Seed-Generator zu verwenden. Sei man sich nicht absolut sicher, wie man einen Seed auf sichere Art erstelle, sollte man aufhören und sich Hilfe holen, heißt es in einem aktuellen Blogpost zum Thema, der zum Beispiel Windows-Nutzern die Software KeePass zum Seed-Generieren empfiehlt: "Weder die Iota Foundation noch sonst jemand kann gestohlene Token zurückholen." Für Thomas Neumann kam diese explizite Warnung zu spät.

In Zukunft immerhin könnte das Aufbewahren von Iota jenseits der großen Krypto-Börsen immerhin einsteigerfreundlicher werden: Demnächst soll mit dem sogenannten Trinity Wallet eine neue, von der Iota-Stiftung unterstützte elektronische Geldbörse veröffentlicht werden, voraussichtlich samt integriertem Seed-Generator.


Zusammengefasst: Weil sie den Schlüssel für ihre elektronische Geldbörse auf einer Betrugs-Website namens Iotaseed.io erstellt hatten, haben zahlreiche Nutzer der Digitalwährung Iota ihr Guthaben verloren. Betrugsmaschen wie diese gibt es bei fast allen Kryptowährungen: Sogar ein Hardware-Wallet könnte - vor allem, wenn es nicht direkt beim Hersteller bestellt wurde - vorab präpariert worden sein. In den meisten Fällen versuchen Krypto-Betrüger, wie gewöhnliche Cyberkriminelle auch, menschliche Schwächen auszunutzen.


Update, 30. Januar, 12.50 Uhr: Wir haben den Artikel um eine aktuelle Stellungnahme von Iota-Mitgründer Dominik Schiener ergänzt.



insgesamt 62 Beiträge
Alle Kommentare öffnen
Seite 1
Leberwurstpizza 30.01.2018
1. So tragisch
die geschilderten Fälle auch sind: Niemand käme auf die Idee, die EZB dafür verantwortlich zu machen, wenn einem die Brieftasche mit dem Bargeld geklaut würde.
depribär 30.01.2018
2.
"Man lernt nie aus." würde ich sagen. Das gilt auch für einen 59 jährigen ehemaligen Vorstand eines börsennotierten Unternehmens. Mein Mitleid hält sich in Grenzen für den technikfazinierten Halter eines Model-X aus dem Süden Deutschlands.....
peter.teubner 30.01.2018
3. Dazugelernt
Herr Neumann sollte froh sein, er hat was dazugelernt. Und es ist ja so, niemand ist gezwungen solche Währungen zu benutzen. Wer es tut, sollte anschliessent nicht jammern und nach der der Polizei rufen, die hat wichtigere Dinge zu tun als verunglückten technikaffinen Spiele aus der Patsche zu helfen.
hoeffertobias 30.01.2018
4. Warum ...
... muss ich erst in eine neue Währung investieren, statt einfach ein Bezahlsystem mit einer alten Währung zu nutzen. Für mich reine Spielerei, ohne wirklichen Nutzen. Ob nun lola, Bitcoin oder Schwabbel - allen Kryptowährungen ist gemein, dass deren Wert eben nicht mit der Produktivität des jeweiligen Währungsraumes abgesichert sind. Maximalst unsinnig also....
pauschaltourist 30.01.2018
5.
@Leberwurstpizza Der Einlagensicherungsfond ersetzt Schäden konventioneller Währungen bis 50.000€. Dubiose und betrügerische Kryptowähren werden sebstverständlich nicht ersetzt.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.