Fallstudien

Kontext

Ein 65-jähriger italienischer Rentner, wohnhaft in Piemonte, wurde über eine WhatsApp-Gruppe in eine angebliche „Krypto-Arbitrage"-Plattform mit Sitz in Hongkong eingeführt. Innerhalb von sechs Monaten tätigte er vierzehn Einzahlungen in USDT-TRC20 auf eine einzelne On-Chain-Adresse — insgesamt 340.000 €. Das Interface zeigte wachsende Gewinne, einen persönlichen Account-Manager und sogar eine kleine „Test-Auszahlung", die tatsächlich ausgezahlt wurde, um Vertrauen aufzubauen. Als größere Auszahlungen hinter eskalierenden Vorabzahlungen für „Steuern" und „Compliance" blockiert wurden, erkannte er, dass er Ziel einer Pig-Butchering-Operation geworden war.

Wir wurden 52 Tage nach der letzten Einzahlung kontaktiert — später als ideal, aber bevor die Auszahlungskette vollständig abgeschlossen war.

Die Herausforderung

Bei Eröffnung der Akte hatten die Mittel bereits drei Wallet-Hops durchlaufen und einen Einzahlungscluster bei einem Tier-2-Exchange in Asien erreicht. Der Betreiber hatte mit dem Fiat-Off-Ramp begonnen, aber ihn nicht abgeschlossen: ein Teil des Saldos befand sich noch auf der Plattform. Jede zusätzliche Woche bedeutete mehr Saldo, der in nicht zurückholbare Bank-Cashouts abfließen würde.

Unser Vorgehen

1. On-Chain-Tracing mit Chainalysis Reactor und TRM Labs, um das vollständige Muster der 14 Einzahlungen zu rekonstruieren und den empfangenden Cluster beim Exchange zu identifizieren.
2. Korrelation des Cashout-Timings mit einer bereits bekannten Pig-Butchering-Vorlage aus unserer internen Datenbank — die Analyse ergab zwei wiederkehrende Wallets, die in mehr als vierzig Opferberichten unseres Querverweiskatalogs auftauchten.
3. Konsolidierung der Beweise in ein einheitliches Dossier mit mehreren Geschädigten und förmliche Einreichung bei der zuständigen italienischen Staatsanwaltschaft, mit paralleler Compliance-Anfrage an den Exchange.
4. Compliance-basiertes präventives Einfrieren beim Exchange auf Grundlage des Dossiers, bevor ein förmlicher gerichtlicher Beschluss vorlag.
5. Paralleles Zivilverfahren zur Erwirkung des gerichtlichen Freigabetitels, den der Exchange für die Rückgabe der Mittel verlangte.

Ergebnis

187.000 € zurückgewonnen — 55 % des Kapitals — vierzehn Monate nach Mandatsannahme. Der Restbetrag war bereits vor dem Einfrieren über mehrere kleinere Bankbeziehungen in Fiat-Cashouts verstreut worden und wurde in unserem Abschlussbericht formell als nicht rückholbar dokumentiert.

Was diesen Fall möglich gemacht hat: der Mandant kam rechtzeitig zu uns, solange die Cluster-Analyse noch Hebel hatte. Sechs Monate später wäre die Auszahlungskette abgeschlossen gewesen, und dieselbe Akte hätte ein Null-Ergebnis produziert. Zeit ist die teuerste Zutat in der Rückgewinnungsarbeit.

---

Kontext

Ein streitiges Scheidungsverfahren vor dem Tribunale Civile di Milano. Die Anwälte der Ehefrau vermuteten, dass der Ehemann in den achtzehn Monaten vor Einreichung des Antrags bedeutende eheliche Vermögenswerte in Kryptowährungen verschoben hatte, doch italienische Kontoauszüge zeigten lediglich normale Familienüberweisungen. Der Ehemann bestritt unter Eid, Krypto zu halten.

Italienische Familiengerichte verfügen über begrenzte eigene Offenlegungsmittel für Off-Shore- oder Self-Custody-Bestände. Ohne einen gezielten forensischen Ansatz wäre das verdeckte Portfolio für das Verfahren unsichtbar geblieben.

Die Herausforderung

Wir mussten eine überzeugende Argumentation für ein nicht-technisches Gericht aufbauen, die einer Kreuzbefragung durch den gegnerischen Sachverständigen standhalten würde. Das bedeutete: (1) zulässige Datensätze der richtigen italienischen Exchanges zu beschaffen, (2) eine belastbare Verbindung zwischen diesen Daten und einer On-Chain-Wallet herzustellen, (3) ein Gutachten vorzulegen, das ein Zivilrichter lesen, verstehen und sich zu eigen machen kann.

Unser Vorgehen

1. Mandat als CTP (parteibestellter technischer Sachverständiger) für die Verteidigung der Ehefrau.
2. Ausarbeitung und Einreichung — über den Anwalt — von Anträgen zur Herausgabe der Datensätze der drei italienischen Exchanges, die der Ehemann am wahrscheinlichsten genutzt hatte: Young Platform, The Rock Trading und Coinbase Italy. Die zurückgelieferten Daten zeigten Einzahlungen von rund 95.000 €.
3. Identifikation von acht Auszahlungsadressen, die dem Ehemann aus den Exchange-Daten zugeordnet werden konnten, und anschließende Clusterung zu einer einzigen Self-Custody-Wallet mittels Co-Spend-Heuristik.
4. On-Chain-Bewertung zum Analysezeitpunkt: 4,2 BTC, 31 ETH und rund 890.000 USDT — insgesamt etwa 520.000 €.
5. Erstellung eines 47-seitigen Forensikgutachtens mit integriertem Glossar, vollständiger Chain of Custody, reproduzierbarer Methodik und angemessen eingeschränkten Schlussfolgerungen. Aussage in drei Verhandlungen, einschließlich einer strukturierten Replik auf den gegnerischen Sachverständigen.

Ergebnis

Das Gericht hat unsere Analyse vollumfänglich übernommen. Das Urteil verpflichtete den Ehemann, 50 % der identifizierten Bestände — rund 260.000 € am Übertragungstag — in die eheliche Vermögensmasse zu überführen. Die anschließende Berufung wurde zurückgewiesen.

Was diesen Fall entschieden hat: das Gutachten war für einen nicht-technischen Richter geschrieben. Integriertes Glossar, saubere Diagramme, angemessen eingeschränkte Schlussfolgerungen. Glaubwürdigkeit unter Kreuzverhör hat mehr gewogen als jedes einzelne On-Chain-Detail. Eine korrekte Antwort, die das Gericht nicht versteht, ist kein Beweis — sie ist Rauschen.

---

Kontext

Ein mittelständisches Fertigungsunternehmen in Emilia-Romagna wurde von einer LockBit-Variante befallen. Nach elf Tagen gescheiterter Wiederherstellungsversuche und Druck durch verlorene Produktionszeit genehmigte der Geschäftsführer die Zahlung eines Lösegelds von 1,8 BTC (seinerzeit rund 78.000 €). Der Betrieb wurde wiederhergestellt. Die örtliche Staatsanwaltschaft eröffnete anschließend ein Ermittlungsverfahren zur Zahlungskette, und wir wurden als technische Berater zur Unterstützung des Nucleo Speciale Tutela Economia der Guardia di Finanza eingebunden.

Die Herausforderung

Die Bitcoin-Infrastruktur von LockBit setzt auf aggressive Peel-Chain-Muster und mischt Affiliate-Anteile routinemäßig durch CoinJoin. Die Lösegeldadresse war brandneu, ohne OPSEC-Fehler am Eingangspunkt. Allein betrachtet, hatte diese Akte keinen offensichtlichen Ansatzpunkt.

Unser Vorgehen

1. Verfolgung der Peel Chain über 23 Hops in vier Wochen manueller Analyse, mit Protokoll jedes Splits und jeder berührten Adresse.
2. Identifikation einer Wasabi-CoinJoin-Transaktion, in der der Lösegeldfluss mit Outputs zusammenfloss, die bereits aus einem früheren Affiliate-Fall in unserem internen Datensatz markiert waren.
3. Anwendung von Intersection-Analyse auf beide Flüsse, um zwei Output-Adressen als plausible Kandidaten für den Affiliate-Anteil zu isolieren.
4. Einer der beiden Kandidaten konsolidierte später mit einer zuvor markierten Adresse bei HTX — die Signatur, auf die wir gewartet hatten.
5. Compliance-Anfrage über MLAT-Kanäle, formell über die Guardia di Finanza geleitet, führte zum Einfrieren von 0,84 BTC bei HTX bis zur gerichtlichen Freigabe.

Ergebnis

0,84 BTC bei HTX eingefroren (rund 36.000 € am Freeze-Datum), derzeit anhängig zur gerichtlichen Freigabe an das geschädigte KMU. Über den Einzelfall hinaus hat die Analyse drei neue Affiliate-Wallet-Cluster zur gemeinsamen EU-Ransomware-Aufklärung beigetragen.

Was diesen Fall entschieden hat: CoinJoin sollte das Ende der Spur sein. Es war es nicht — weil ein separater Fall das Konsolidierungsmuster dieses Affiliates bereits festgenagelt hatte. Ermittlung ist kumulativ. Jede Akte nährt die nächste; der Wert eines internen Datensatzes bemisst sich in Monaten, nicht in Transaktionen.