Krypto-Sicherheit unter Beschuss: Von Bitcoin-Automaten-Hacks bis zu globalen Phishing-Razzien

Die Abrechnung mit der Krypto-Sicherheit ist da

Zwei Entwicklungen dieser Woche zeichnen ein nüchternes Bild des aktuellen Stands der Kryptowährungs-Sicherheit im Jahr 2025. Auf der einen Seite hat ein börsennotierter Bitcoin-Automatenbetreiber einen mehrere Millionen Dollar schweren internen Sicherheitsvorfall offengelegt, der auf kompromittierte Zugangsdaten zurückzuführen ist. Auf der anderen Seite hat eine internationale Strafverfolgungskoalition eine der koordiniertesten Krypto-Betrugsrazzien der jüngsten Geschichte durchgeführt. Zusammen erzählen sie eine einzige, dringende Geschichte: Der Kampf um die Bitcoin-Sicherheit verschärft sich, und weder Institutionen noch einzelne Nutzer können es sich leisten, sorglos zu sein.

Dies sind keine isolierten Vorfälle. Sie sind Datenpunkte in einem beunruhigenden Muster, das die Krypto-Landschaft in diesem Jahr geprägt hat – ein Muster, in dem hochentwickelte kriminelle Netzwerke jede Schwachstelle auskundschaften, von der IT-Infrastruktur von Unternehmen bis hin zu individuellen Wallet-Berechtigungen.

Die Fakten

Bitcoin Depot, der größte Krypto-Automatenbetreiber in den Vereinigten Staaten mit mehr als 9.000 Maschinen in 47 Bundesstaaten, hat in einer SEC-Einreichung enthüllt, dass Hacker ungefähr 50,9 Bitcoin – zum damaligen Zeitpunkt rund 3,66 Millionen Dollar wert – aus unternehmensseitig kontrollierten Wallets gestohlen haben ^[2]. Der Sicherheitsvorfall wurde am 23. März entdeckt, als das Unternehmen unbefugten Zugriff auf Teile seiner IT-Systeme feststellte. Angreifer hatten interne Zugangsdaten erlangt, die mit den digitalen Asset-Abrechnungskonten verbunden waren, und diese genutzt, um die Gelder aus den Unternehmens-Wallets zu transferieren ^[2].

Bitcoin Depot betonte umgehend, dass der Vorfall auf das Unternehmensumfeld beschränkt war und weder Kundenplattformen noch Kundendaten oder -systeme beeinträchtigt wurden ^[2]. Das Unternehmen aktivierte Incident-Response-Protokolle, zog externe Cybersicherheitsexperten hinzu und benachrichtigte die Strafverfolgungsbehörden. Es wurde ein vorläufiger Schadensschätzung von 3,665 Millionen Dollar erfasst, wobei sich der endgültige Betrag im Laufe der Untersuchung noch verschieben könnte. Das Unternehmen merkte an, dass es über eine Versicherung verfügt, die einen Teil des Verlustes abdecken könnte, bot jedoch keine Garantie für eine vollständige Erstattung ^[2].

Die Offenlegung trifft das Unternehmen zu einem ohnehin schwierigen Zeitpunkt. Regulierungsbehörden in Connecticut haben kürzlich seine Geldübertragungslizenz wegen Gebührenverstößen ausgesetzt, und Bitcoin Depot hat für 2026 einen Rückgang der Kerngeschäftserlöse um 30 bis 40 Prozent prognostiziert, unter Berufung auf verschärfte staatliche Vorschriften und strengere Compliance-Anforderungen ^[2]. Das Nettoeinkommen des Unternehmens sank zudem von 7,8 Millionen Dollar im Jahr 2024 auf 4,7 Millionen Dollar im Jahr 2025 ^[2].

Auf der Strafverfolgungsseite hat die Operation Atlantic derweil einen bedeutenden Schlag gegen organisierten Krypto-Betrug geliefert. Eine multinationale Koalition – darunter die britische National Crime Agency, der US Secret Service, die Ontario Provincial Police und die Ontario Securities Commission – koordinierte einen gezielten Angriff gegen Approval-Phishing-Netzwerke ^[1]. Die Operation identifizierte rund 20.000 Opfer, fror mehr als 12 Millionen Dollar an Vermögenswerten ein und sicherte zahlreiche verdächtige Wallets. Die Krypto-Exchange Binance beteiligte sich ebenfalls an der Unterstützung der Maßnahmen ^[1].

Approval Phishing ist der spezifische Angriffsvektor, der im Mittelpunkt der Operation Atlantic steht. Bei diesen Machenschaften werden Opfer dazu gebracht, Kriminellen Wallet-Zugriffsberechtigungen zu erteilen – häufig über gefälschte Investmentplattformen oder Romance Scams – und damit faktisch die Kontrolle über ihre Gelder abzugeben ^[1]. „Diese intensive Aktion hat dazu geführt, dass Tausende von Opfern im Vereinigten Königreich und im Ausland geschützt wurden, Kriminelle gestoppt wurden und anderen dabei geholfen wurde, den Verlust ihres Geldes zu verhindern", sagte Miles Bonfield, stellvertretender Leiter der Ermittlungen bei der National Crime Agency ^[1]. Die Ermittler analysieren weiterhin die während der Operation gesammelten Daten, um weitere kriminelle Aktivitäten zu identifizieren.

Analyse & Kontext

Der Sicherheitsvorfall bei Bitcoin Depot ist eine Erinnerung daran, dass Custody-Risiken nicht einfach verschwinden, weil ein Unternehmen im Bitcoin-Bereich tätig ist – sie nehmen lediglich eine andere Form an. Der Angriffsvektor war hier kein Fehler im Protokoll oder der Kryptographie von Bitcoin; es war ein menschliches und organisatorisches Versagen. Kompromittierte Zugangsdaten verschafften den Angreifern einen direkten Weg zu den Abrechnungs-Wallets und umgingen dabei sämtliche technischen Abwehrmaßnahmen am Perimeter. Dies ist die beständige Lektion der meisten großen Krypto-Diebstähle: Das schwächste Glied ist selten die Blockchain selbst. Es ist die Schicht menschlicher Prozesse, des Zugriffsmanagements und der internen Kontrollen, die darum herum aufgebaut ist. Für einen Nasdaq-notierten Betreiber, der Tausende von Automaten und Milliarden an Transaktionsvolumen verwaltet, wirft diese Art von Sicherheitsvorfall ernsthafte Fragen über die interne Sicherheitshygiene und das Management privilegierter Zugriffsrechte auf.

Die Operation Atlantic hingegen repräsentiert eine gereifte Reaktionsarchitektur seitens der Strafverfolgungsbehörden. Die beteiligte Koordination über mehrere Rechtsprechungen hinweg – die USA, das Vereinigte Königreich und Kanada umfassend, mit Beteiligung einer großen privaten Exchange – spiegelt wider, wie ernst Regierungen Krypto-Betrug mittlerweile nehmen. Historisch gesehen wurden Krypto-Kriminalitätsermittlungen durch Zuständigkeitsfragmentierung und mangelnde Blockchain-Forensik-Expertise behindert. Das ändert sich rapide. Die in einer einzigen Operation eingefrorenen 12 Millionen Dollar und die identifizierten 20.000 Opfer signalisieren, dass die Behörden nicht länger nur reaktiv vorgehen; sie bauen die institutionellen Kapazitäten für proaktive, koordinierte Strafverfolgung auf. Approval Phishing, die von der Operation Atlantic ins Visier genommene Technik, hat sich zu einem der schädlichsten Vektoren im Krypto-Betrug entwickelt, gerade weil es das Vertrauen der Nutzer ausnutzt statt technischer Schwachstellen – was behördliche Eingriffe in einer Weise unerlässlich macht, die technische Patches allein nicht bewältigen können.

Für Bitcoin-Nutzer und Investoren konvergieren diese beiden Geschichten in einem zentralen Thema: Die Infrastruktur rund um Bitcoin – Exchanges, Automatenbetreiber, Wallet-Interfaces – trägt Risiken, die das zugrunde liegende Netzwerk nicht aufweist. Bitcoin selbst wurde in keinem der beiden Fälle gehackt. Was versagte, waren die darauf aufgebauten Custody-Systeme. Diese Unterscheidung ist enorm wichtig für die Art und Weise, wie Nutzer Custody-Entscheidungen treffen. Das Argument für Self-Custody gewinnt jedes Mal an Gewicht, wenn die Zugangsdaten eines zentralisierten Betreibers kompromittiert werden. Gleichzeitig müssen die institutionellen Sicherheitspraktiken in der gesamten Branche weiterentwickelt werden, um mit dem zunehmend professionellen Charakter krypto-fokussierter krimineller Organisationen Schritt zu halten.

Wichtige Erkenntnisse

• Credential-Sicherheit ist die Achillesferse zentralisierter Bitcoin-Dienste. Bitcoin Depots Verlust von 3,7 Millionen Dollar resultierte aus kompromittierten internen Zugangsdaten, nicht aus einem Fehler in Bitcoin selbst – ein Muster, das sich bei großen Krypto-Diebstählen wiederholt ^[2].
• Die internationale Strafverfolgungskoordination erreicht neue Effektivitätsniveaus. Die grenzüberschreitende Razzia der Operation Atlantic – mit eingefrorenen 12 Millionen Dollar und 20.000 identifizierten Opfern – zeigt, dass Regulierungsbehörden und Strafverfolgung ernsthafte Krypto-Betrugs-Infrastrukturen aufbauen ^[1].
• Approval Phishing ist eine erstrangige Bedrohung für Privatnutzer. Kriminelle müssen keine Wallets knacken; sie überzeugen Nutzer, ihnen freiwillig Zugang zu gewähren. Das Verstehen und Widerrufen von Wallet-Berechtigungen ist mittlerweile eine grundlegende Sicherheitshygiene-Anforderung ^[1].
• Self-Custody bleibt der zuverlässigste Schutz gegen Custody-Sicherheitsvorfälle. Beide Vorfälle bestätigen, dass Bitcoin, das in unternehmenskontrollierten Wallets verwahrt wird, ein Gegenparteirisiko trägt, das das Bitcoin-Netzwerk selbst nicht auferlegt.
• Regulatorischer und sicherheitsbezogener Druck gestaltet das Geschäftsmodell von Krypto-Betreibern neu. Bitcoin Depots Umsatzprognosen und Compliance-Herausforderungen verdeutlichen, dass strengere Sicherheitsstandards mit realen finanziellen Kosten verbunden sind – diese Kosten sind jedoch zunehmend nicht verhandelbar ^[2].