Globale Krypto-Strafverfolgung verschärft sich: AML-Bußgelder und Phishing-Razzien

Die regulatorische Schlinge zieht sich zu: Kryptos Compliance-Abrechnung ist eingetroffen

Die Ära regulatorischer Toleranz gegenüber den Compliance-Grauzonen der Kryptowährungsbranche neigt sich rasch dem Ende zu. Zwei bedeutende Durchsetzungsentwicklungen – eine richtet sich gegen eine bedeutende asiatische Exchange wegen systemischer Verstöße gegen die Geldwäschebekämpfung, die andere ist eine multinationale Strafverfolgungsoperation zur Zerschlagung ausgefeilter Phishing-Netzwerke – senden eine unübersehbare Botschaft an die Branche: Die Regeln sind real, und die Konsequenzen stehen nun im angemessenen Verhältnis zum Ausmaß der Verstöße.

Für Bitcoin-Inhaber und das breitere Krypto-Ökosystem repräsentieren diese parallelen Maßnahmen mehr als isolierte Einzelfälle. Sie spiegeln eine reifende regulatorische Architektur wider, die zunehmend in der Lage ist, Non-Compliance im großen Maßstab zu identifizieren, zu verfolgen und zu bestrafen – mit tiefgreifenden Konsequenzen für den Betrieb von Exchanges und den Schutz der Vermögenswerte gewöhnlicher Nutzer.

Die Fakten

Südkoreas Financial Intelligence Unit (FIU) hat die bislang höchste Strafe gegen eine Kryptowährungs-Exchange verhängt und Bithumb zur Zahlung von 36,8 Milliarden Won – rund 24,6 Millionen Dollar – verpflichtet. Grundlage war die Entdeckung von rund 6,65 Millionen einzelnen Verstößen gegen die AML- und Kundenverifizierungsvorschriften des Landes ^[1]. Die Verstöße wurden bei Vor-Ort-Prüfungen der fünf größten südkoreanischen Krypto-Exchanges aufgedeckt, die zwischen 2024 und 2025 durchgeführt wurden ^[1].

Das Ausmaß der Verstöße ist in seiner Reichweite bemerkenswert. Bei rund 3,55 Millionen Fällen wurden Kundenidentitäten nicht ordnungsgemäß verifiziert, während weitere 3,04 Millionen Transaktionen abgewickelt wurden, obwohl sie Kriterien erfüllten, die eine automatische Sperrung hätten auslösen müssen ^[1]. Die Regulierungsbehörden beanstandeten zudem 45.772 Transaktionen, die mit 18 nicht registrierten ausländischen Exchanges durchgeführt wurden – ein direktes Warnsignal für potenzielle Sanktionsumgehung oder illegale Kapitalströme ^[1]. Als Teil des Sanktionspakets erhielt Bithumbs CEO eine formelle Rüge, und der Compliance-Verantwortliche der Exchange sieht sich einer sechsmonatigen Suspendierung gegenüber. Die Neukundenregistrierung – einschließlich Ein- und Auszahlungen für neue Konten – wurde für sechs Monate teilweise ausgesetzt, obwohl bestehende Kunden weiterhin handeln dürfen ^[1]. Die Strafe übertrifft knapp die 35,2 Milliarden Won, die zuvor 2025 gegen den Konkurrenten Upbit verhängt wurden, und macht den Bithumb-Fall zum Maßstab für die Schwere der Durchsetzungsmaßnahmen auf dem südkoreanischen Markt ^[1].

Die Maßnahme gegen Bithumb wurde nicht isoliert verkündet. Diesseits und jenseits des Atlantiks haben Strafverfolgungsbehörden aus den Vereinigten Staaten, dem Vereinigten Königreich und Kanada eine koordinierte Initiative namens „Operation Atlantic" ins Leben gerufen, die speziell auf Approval-Phishing-Angriffe im Kryptobereich abzielt ^[2]. Die Operation vereint die britische National Crime Agency, den US Secret Service, die Ontario Provincial Police und die Ontario Securities Commission, unterstützt durch die britische Financial Conduct Authority, die Royal Canadian Mounted Police und die Staatsanwaltschaft des DC District ^[2]. Approval Phishing ist ein besonders heimtückischer Angriffsvektor: Opfer werden dazu gebracht, Transaktionen zu unterzeichnen, die Betrügern unwissentlich die vollständige Kontrolle über ihre Crypto Wallets übertragen. Brent Daniels, der stellvertretende Direktor des US Secret Service für operative Einsätze, wies darauf hin, dass Approval Phishing und Anlagebetrug jährlich Verluste in Millionenhöhe verursachen ^[2]. Operation Atlantic baut auf „Project Atlas" auf, einem gemeinsamen Vorläuferprojekt der Ontario-Polizei und des Secret Service aus dem Jahr 2024, und bezieht aktiv private Krypto-Dienstleister im Vereinigten Königreich ein, um potenzielle Opfer zu identifizieren und zu warnen, bevor weiterer finanzieller Schaden entsteht ^[2].

Das Ausmaß der Phishing-Bedrohung verleiht dem Mandat der Operation zusätzliche Dringlichkeit. Laut Daten der Analyseplattform Nominis stiegen Phishing-Angriffe im Februar dieses Jahres stark an, obwohl der durch Betrug und Exploits insgesamt gestohlene Gesamtwert auf 49 Millionen Dollar sank – ein deutlicher Rückgang gegenüber den im Januar verzeichneten 385 Millionen Dollar ^[2]. Über einen längeren Zeitraum betrachtet schätzt Chainalysis, dass Approval-Phishing-Angriffe zwischen Mai 2021 und Juli 2024 rund 2,7 Milliarden Dollar in Kryptowährungen erbeuteten ^[2].

Analyse & Kontext

Was diese Konvergenz von Durchsetzungsmaßnahmen analytisch bedeutsam macht, ist nicht eine einzelne Strafe oder Operation für sich – es ist das Muster, das sie gemeinsam repräsentieren. Regulierungsbehörden weltweit haben einen Großteil von Bitcoins erstem Jahrzehnt damit verbracht, zu debattieren, ob und wie Kryptowährungen reguliert werden sollten. Diese Debatte ist beendet. Was wir jetzt erleben, ist die Umsetzungsphase: Behörden mit echten Befugnissen, echten Budgets und echter grenzüberschreitender Koordination arbeiten systematisch den Compliance-Rückstand auf.

Der Bithumb-Fall ist besonders aufschlussreich, weil das Ausmaß der Verstöße – 6,65 Millionen Einzelverstöße – darauf hindeutet, dass es sich nicht um isolierte Versehen handelte, sondern um systemische Fehler, die über Jahre in operative Prozesse eingebettet waren. Südkoreanische Regulierungsbehörden haben nun einen klaren Präzedenzfall geschaffen: Die Größe Ihrer Exchange schützt Sie nicht vor angemessener Bestrafung, und die Strafe wird mit dem Ausmaß der Non-Compliance skalieren. Speziell für Bitcoin-Märkte ist Südkorea historisch gesehen eine handelsumsatzstarke Jurisdiktion mit überproportionalem Einfluss auf die Preisfindung, insbesondere in Phasen der Volatilität. Einschränkungen bei der Neukundenregistrierung bei Bithumb, auch wenn sie vorübergehend sind, bedeuten eine spürbare Reduzierung der On-Ramp-Kapazität eines der aktivsten Märkte Asiens. Das breitere Signal an Exchanges weltweit ist eindeutig – investieren Sie jetzt in Compliance-Infrastruktur, oder riskieren Sie Bußgelder, die die Kosten für deren Aufbau bei Weitem übersteigen.

Operation Atlantic adressiert einen anderen, aber gleichermaßen bedeutsamen Bedrohungsvektor. Die Verlagerung von Exchange-Hacks hin zu Social Engineering auf Wallet-Ebene spiegelt die eigenen Sicherheitsverbesserungen der Branche wider: Als verwaltende Plattformen ihre Abwehr stärkten, schwenkten Angreifer darauf um, menschliche Psychologie statt technischer Schwachstellen auszunutzen. Das Approval-Phishing-Modell ist verheerend effektiv, weil es die Unwiderruflichkeit von Blockchain-Transaktionen ausnutzt – sobald ein Opfer die Wallet-Kontrolle übertragen hat, ist eine Rückgewinnung ohne behördliche Intervention faktisch unmöglich. Die Tatsache, dass Operation Atlantic proaktiv potenzielle Opfer per Telefon und E-Mail kontaktiert, bevor Verluste entstehen, stellt eine echte Weiterentwicklung der Strafverfolgungsmethodik dar – eine Verschiebung von reaktiver Strafverfolgung hin zu präventiver Intervention. Für Bitcoin-Nutzer im Besonderen unterstreicht dies, wie wichtig es ist, genau zu verstehen, wozu eine Wallet-Signatur oder Transaktionsgenehmigung berechtigt, bevor man unterschreibt.

Wichtigste Erkenntnisse

• Südkoreas Rekordstrafe von 24,6 Millionen Dollar gegen Bithumb – die 6,65 Millionen AML-Verstöße abdeckt – signalisiert, dass Compliance-Verstöße im großen Maßstab nun mit entsprechend skalierten Strafen geahndet werden, und setzt damit einen neuen Durchsetzungsmaßstab für asiatische Kryptomärkte [1].
• Die sechsmonatige teilweise Sperrung neuer Nutzerdienste bei Bithumb, einschließlich Ein- und Auszahlungen für neue Konten, stellt eine spürbare Reduzierung der On-Ramp-Kapazität in einem der umsatzstärksten Bitcoin-Märkte Asiens dar und sollte auf kurzfristige Auswirkungen auf die regionale Liquidität hin beobachtet werden [1].
• Die multinationale Struktur von Operation Atlantic – mit Behörden aus den USA, dem Vereinigten Königreich und Kanada – zeigt, dass die Krypto-Strafverfolgung rasch zu einem koordinierten internationalen Unterfangen wird statt einem Flickenteppich nationaler Reaktionen, was Jurisdiktionsarbitrage zu einer zunehmend unzuverlässigen Compliance-Strategie macht [2].
• Approval Phishing bleibt einer der finanziell destruktivsten Bedrohungsvektoren in der Kryptowelt, verantwortlich für geschätzte 2,7 Milliarden Dollar an Verlusten zwischen 2021 und 2024; Nutzer müssen jede unaufgeforderte Wallet-Verbindungsanfrage oder Transaktionsgenehmigung als potenzielle Bedrohung behandeln, unabhängig davon, wie legitim die Oberfläche erscheint [2].
• Für Bitcoin-Inhaber und Branchenteilnehmer gleichermaßen ist die gemeinsame Botschaft aus Seoul, London, Washington und Ottawa konsistent: Compliance-Infrastruktur und persönliche Sicherheitshygiene sind keine optionalen Extras mehr – sie sind der Preis für das Agieren in einem zunehmend regulierten, zunehmend überwachten digitalen Asset-Ökosystem.