ChainRight

Krypto-Phishing: Haftungsfragen bei digitalen Vermögensverlusten

Krypto-Phishing ist eine der perfidesten Betrugsmaschen im digitalen Zeitalter. Wenn Sie Opfer eines solchen Angriffs geworden sind und digitale Vermögenswerte verloren haben, ist schnelles und fundiertes Handeln entscheidend. Dieser Beitrag beleuchtet die komplexen Haftungsfragen und zeigt auf, welche rechtlichen Schritte Sie einleiten können, um Ihre Verluste zu minimieren und Ihr Recht durchzusetzen.

Dr. Michel de Araujo Kurth·24.06.2026·7 Min Lesezeit

Krypto-Phishing ist eine der perfidesten Betrugsmaschen im digitalen Zeitalter. Wenn Sie Opfer eines solchen Angriffs geworden sind und digitale Vermögenswerte verloren haben, ist schnelles und fundiertes Handeln entscheidend. Dieser Beitrag beleuchtet die komplexen Haftungsfragen und zeigt auf, welche rechtlichen Schritte Sie einleiten können, um Ihre Verluste zu minimieren und Ihr Recht durchzusetzen.

Krypto-Phishing: Die Maschen der Betrüger

Krypto-Phishing-Angriffe sind vielfältig und werden von Tätern ständig weiterentwickelt. Sie zielen darauf ab, Vertrauen zu erschleichen und Opfer zur Preisgabe sensibler Daten oder zur Durchführung betrügerischer Transaktionen zu bewegen.

Credential-Phishing

Bei dieser Masche erhalten Opfer gefälschte Nachrichten – oft per E-Mail, SMS oder Anruf –, die angeblich von ihrer Bank oder einer Krypto-Börse stammen. Unter einem Vorwand, beispielsweise einer "Sicherheitswarnung", werden sie auf eine manipulierte Webseite gelockt. Dort geben sie ihre Login-Daten, Passwörter und Transaktionsnummern (TANs) ein. Die Täter nutzen diese erschlichenen Daten, um Konten zu übernehmen und unautorisierte Überweisungen durchzuführen. Warnsignale sind hier stets dringende Handlungsaufforderungen oder Links in Nachrichten, die direkt zu Login-Seiten führen.

Pig Butchering / Romance Scam

Diese Form des Betrugs ist besonders heimtückisch. Täter bauen über Wochen oder Monate hinweg eine persönliche oder romantische Beziehung zu ihren Opfern auf sozialen Netzwerken, Dating-Apps oder Messengern auf. Sobald Vertrauen aufgebaut ist, überreden sie die Opfer zu angeblich hochprofitablen Krypto-Investitionen auf speziellen Plattformen. Die Opfer überweisen Geld oder Kryptowerte, doch Auszahlungen werden blockiert und weitere Zahlungen für "Gebühren" oder "Steuern" gefordert. Unrealistisch hohe Gewinnversprechen und Druck zur schnellen Investition sind hier klare Warnzeichen.

Fake Exchange / Fake Investment Plattform

Hierbei locken Betrüger ihre Opfer mit professionell aussehenden Handelsplattformen, oft beworben mit gefälschten Promi-Aussagen. Die Plattformen zeigen fiktive Kursgewinne, um weitere Einzahlungen zu motivieren. Sobald eine Auszahlung beantragt wird, wird diese verweigert oder an die Zahlung zusätzlicher Gebühren geknüpft. Solche Plattformen sind meist ohne Impressum oder Lizenzangaben und kommunizieren ausschließlich über Messenger-Dienste.

Technischer Identitätsdiebstahl / Wallet Draining

Täter verschaffen sich Zugriff auf Konten oder Wallets durch kompromittierte Geräte (Malware), SIM-Swapping (Übernahme der Mobilfunknummer) oder Datenlecks. Opfer können auch dazu verleitet werden, ihre Wallet mit einer manipulierten Webseite oder einem Smart Contract zu verbinden. Durch eine unbemerkt erteilte Freigabe können die Täter die Wallet vollständig leerräumen. Ein plötzlicher Verlust des Mobilfunknetzes kann ein Hinweis auf SIM-Swapping sein; die Aufforderung, eine Seed Phrase online einzugeben, ist immer ein Betrugsversuch.

Rechtliche Einordnung und Haftungsfragen

Die rechtliche Aufarbeitung von Krypto-Phishing-Fällen ist komplex und erfordert eine genaue Prüfung der Umstände. Im Mittelpunkt steht die Frage, ob eine Transaktion als "autorisiert" im rechtlichen Sinne gilt.

Haftung des Zahlungsdienstleisters bei nicht autorisierten Zahlungen

Ein zentraler Ankerpunkt für Geschädigte ist § 675u BGB. Diese Vorschrift sieht einen verschuldensunabhängigen Erstattungsanspruch gegen die Bank vor, wenn ein Zahlungsvorgang nicht autorisiert war. Das bedeutet, die Bank muss den Betrag unverzüglich erstatten. Nach der Rechtsprechung des Bundesgerichtshofs trägt der Zahlungsdienstleister die volle Beweislast dafür, dass eine Zahlung vom Kunden autorisiert wurde. Ein bloßer Nachweis einer technisch korrekten Authentifizierung reicht hierfür nicht aus.

Die Bank kann sich nur entlasten, wenn der Kunde den Schaden durch vorsätzliches oder grob fahrlässiges Verhalten herbeigeführt hat (§ 675v BGB). Die Beweislast für grobe Fahrlässigkeit liegt dabei bei der Bank.

Entscheidend ist die Abgrenzung danach, wie die Freigabe zustande kam: Gibt das Opfer im Rahmen eines Credential-Phishings eine TAN auf einer gefälschten Seite ein und löst der Täter die eigentliche Überweisung selbst aus, liegt nach der Rechtsprechung in aller Regel keine wirksame Autorisierung im Sinne des § 675j BGB vor – die "Zustimmung" wurde technisch erschlichen, der Zahlungsvorgang gilt als nicht autorisiert.

Anders liegt der Fall jedoch, wenn das Opfer die Überweisung – wie typischerweise beim Romance Scam – bewusst selbst auslöst, im Online-Banking eingibt und freigibt: Hier liegt zivilrechtlich eine wirksame Autorisierung im Sinne des § 675j BGB vor, auch wenn sie auf einer Täuschung über den wirtschaftlichen Hintergrund beruht. § 675u BGB ist in dieser Konstellation nicht einschlägig; eine Bankhaftung kommt nur über Warn- und Schutzpflichten in Betracht (dazu sogleich).

Haftung bei autorisierten, aber betrügerisch veranlassten Zahlungen

Wenn der Kunde die Zahlung – wie soeben beschrieben – selbst autorisiert hat, dies aber unter Vorspiegelung falscher Tatsachen geschah (z.B. bei einem Romance Scam), ist § 675u BGB nicht anwendbar. Hier kommen mögliche Warnpflichtverletzungen der Bank ins Spiel.

Nach der höchstrichterlichen Rechtsprechung kann die eigene Bank des Kunden (die kontoführende Zahlerbank) bei "objektiver Evidenz" einer Gefährdungslage – etwa bei massiven, untypischen Abflüssen, einer einschlägigen BaFin-Warnung gegen den Zahlungsempfänger oder anderen offensichtlichen Verdachtsmomenten – verpflichtet sein, ihren Kunden zu warnen. Verletzt sie diese Schutz- und Warnpflicht gegenüber dem eigenen Kunden, kommen Schadensersatzansprüche nach § 241 Abs. 2, § 280 Abs. 1 BGB in Betracht.

Ob darüber hinaus auch die Empfängerbank gegenüber einem fremden Überweisenden, zu dem keine eigene Vertragsbeziehung besteht, eine eigenständige Warnpflicht treffen kann, ist demgegenüber rechtlich neu, deutlich umstrittener und höchstrichterlich nicht abschließend geklärt. Eine solche drittgerichtete Pflicht setzt nach der bislang ergangenen Rechtsprechung jedenfalls eine besonders gravierende, der Empfängerbank konkret bekannte Verdachtslage gegen den eigenen Kunden voraus und ist auf Ausnahmefälle beschränkt. Eine pauschale Ausdehnung der etablierten Warnpflicht (die sich primär auf das Verhältnis Bank–eigener Kunde bezieht) auf die Empfängerbank lässt sich aus der bisherigen BGH-Judikatur nicht ableiten; Geschädigte sollten sich nicht darauf verlassen.

§ 25h KWG, der Kreditinstitute zur Überwachung von Transaktionen auf Geldwäsche-Verdachtsmomente verpflichtet, wird in diesem Kontext zwar herangezogen, allerdings nur als Indiz für das Bestehen interner Prüf- und Warnstrukturen. Nach gängiger Rechtsprechung handelt es sich bei den Vorschriften des GwG und § 25h KWG ausdrücklich nicht um Schutzgesetze zugunsten einzelner Bankkunden im Sinne des § 823 Abs. 2 BGB. Ein eigenständiger Anspruch des Geschädigten lässt sich daraus also nicht herleiten. Diese Normen können lediglich im Rahmen der Konkretisierung bereits bestehender vertraglicher Schutzpflichten der Bank gegenüber dem eigenen Kunden als Anhaltspunkt herangezogen werden – sie begründen aber für sich genommen keinen Schadensersatzanspruch.

Strafrechtliche Verfolgung der Täter

Krypto-Phishing-Fälle erfüllen in der Regel den Tatbestand des Betrugs nach § 263 StGB. Bei manipulierter IT oder der unbefugten Nutzung von Zugangsdaten kommt auch Computerbetrug nach § 263a StGB in Frage. Sobald die Täter die erlangten Gelder oder Kryptowerte verschleiern, um deren Herkunft zu verdecken, liegt zudem Geldwäsche nach § 261 StGB vor. Die Strafanzeige ist ein wichtiger Schritt, um die Ermittlungsbehörden – wie die Staatsanwaltschaft, das Bundeskriminalamt (BKA) oder die Kriminalpolizei – einzuschalten. Ich begleite Sie bei der Anzeigeerstattung und bereite die Beweismittel sorgfältig auf.

Zivilrechtliche Rückforderungsansprüche

Da Kryptowährungen keine Sachen im Sinne des § 90 BGB sind, greifen klassische sachenrechtliche Herausgabeansprüche nicht direkt. Stattdessen erfolgen Rückforderungen über das Bereicherungsrecht nach § 812 BGB oder über deliktische Schadensersatzansprüche, etwa nach § 823 Abs. 2 BGB (bei Verletzung eines Schutzgesetzes) oder § 826 BGB (bei vorsätzlicher sittenwidriger Schädigung).

Was tun nach einem Krypto-Phishing-Angriff?

Die Zeit nach einem Krypto-Phishing-Angriff ist kritisch. Schnelles Handeln kann die Chancen auf eine Rückgewinnung des Vermögens erheblich verbessern.

Kryptobetrug: Haftung bei Phishing-Angriffen und Datenlecks

1. Beweissicherung und Dokumentation

Sichern Sie alle Kommunikationswege mit den Betrügern, Transaktionsnachweise, E-Mails, Chatverläufe und Screenshots der betrügerischen Plattformen. Jedes Detail kann für die spätere rechtliche Aufarbeitung entscheidend sein.

2. Kontaktaufnahme mit Bank und Krypto-Börse

Informieren Sie umgehend Ihre Bank und die betreffende Krypto-Börse über den Vorfall. Lassen Sie betroffene Konten sperren und versuchen Sie, die Transaktionen rückgängig zu machen.

3. Strafanzeige erstatten

Erstatten Sie bei der örtlichen Polizei oder online eine Strafanzeige. Dies ist der Ausgangspunkt für die strafrechtliche Verfolgung der Täter und oft Voraussetzung für weitere zivilrechtliche Schritte.

4. Anwaltliche Hilfe in Anspruch nehmen

Als Rechtsanwalt Dr. Kurth aus Frankfurt am Main, mit Tätigkeitsschwerpunkt Krypto-Betrugsopferhilfe, unterstütze ich Sie bei der juristischen Aufarbeitung. Ich beauftrage geeignete Dienstleister mit einer Blockchain-Forensik, um die Spur der Kryptowerte zu verfolgen. Ist die Spur lückenlos bis zu einer zentralisierten Krypto-Börse (CEX) nachweisbar, beantrage ich beim zuständigen Landgericht einen dinglichen Arrest nach §§ 916 ff. ZPO. Das Gericht ordnet dann die Arrestpfändung an, die durch die Krypto-Börse vollzogen wird. Dies ist ein effektiver Weg, um Vermögenswerte auf erreichbaren Börsen einzufrieren.

Es ist wichtig zu verstehen, dass ein solcher Arrest bei Self-Custody-Wallets (wie Hardware-Wallets oder MetaMask) nicht greift, da niemand die privaten Schlüssel fremder Wallets einfrieren kann. Auch bei Auslandsbörsen ohne EU-Sitz kann die Vollstreckung praktisch schwierig sein. Dennoch kann in solchen Fällen eine "Tainted-Markierung" der Coins erfolgen, sodass ein vorbereiteter Arrestantrag gestellt werden kann, falls die Coins später zu einer erreichbaren Börse transferiert werden.

Warnung vor Recovery-Scams

Seien Sie nach einem Betrug besonders vorsichtig vor sogenannten Recovery-Scams. Dies sind Betrüger, die sich als "Hacker", "Insider" oder "private Ermittler" ausgeben und versprechen, Ihr Geld gegen eine Vorauszahlung zurückzuholen. Seriöse Anwälte wie RA Dr. Kurth aus Frankfurt am Main arbeiten auf Basis von Anwaltsgebühren nach dem Rechtsanwaltsvergütungsgesetz (RVG) oder einer schriftlichen Vergütungsvereinbarung. Kennzeichen unseriöser Anbieter sind:

  • Kontaktaufnahme ohne Ihre Initiative (Cold Calls, Social Media DMs).

  • Garantierte Erfolgsversprechen – kein seriöser Anwalt kann einen Erfolg garantieren.

  • Fehlende Transparenz über Kanzleisitz, Steuernummer oder Eintragung bei der Rechtsanwaltskammer.

  • Forderung von Kryptozahlungen ohne Rechnung oder Mandatsvertrag.

  • Druck zur sofortigen Zahlung.

Häufige Fragen

Was ist der Unterschied zwischen autorisierten und nicht autorisierten Zahlungen im Kontext von Krypto-Phishing?

Eine nicht autorisierte Zahlung liegt vor, wenn der Zahlungsvorgang ohne die Zustimmung des Kunden ausgeführt wurde, beispielsweise weil Täter sich die Zugangsdaten erschlichen und die Transaktion selbst ausgelöst haben. Bei autorisierten, aber betrügerisch veranlassten Zahlungen hat der Kunde die Transaktion zwar selbst freigegeben, wurde aber durch Täuschung dazu gebracht.

Kann meine Bank für Verluste durch Krypto-Phishing haftbar gemacht werden?

Ja, unter bestimmten Umständen. Bei nicht autorisierten Zahlungen haftet die Bank grundsätzlich nach § 675u BGB. Bei autorisierten, aber betrügerisch veranlassten Zahlungen kann eine Haftung der Bank in Betracht kommen, wenn sie ihre Warn- oder Schutzpflichten verletzt hat, z.B. bei erkennbaren Betrugsmustern oder auffälligen Transaktionen.

Was ist ein dinglicher Arrest und wie hilft er bei Krypto-Verlusten?

Ein dinglicher Arrest ist eine gerichtliche Maßnahme, um Vermögenswerte einzufrieren. Im Krypto-Kontext kann ich als Anwalt einen solchen Arrest beim Landgericht beantragen, wenn die Spur der Kryptowerte lückenlos bis zu einer zentralisierten Krypto-Börse nachgewiesen werden kann. Das Gericht ordnet dann an, dass die Börse die entsprechenden Konten sperrt, um das Vermögen zu sichern.

Greift ein dinglicher Arrest auch bei Kryptowährungen in meiner Hardware-Wallet?

Nein, ein dinglicher Arrest greift nicht bei Self-Custody-Wallets wie Hardware-Wallets oder MetaMask. Hier hat niemand außer dem Inhaber Zugriff auf die privaten Schlüssel. Der Arrest ist nur bei zentralisierten Krypto-Börsen möglich, die dem Gerichtsstand unterliegen und die Vermögenswerte auf ihren Systemen halten.

Was sollte ich als Erstes tun, wenn ich Opfer eines Krypto-Phishing-Angriffs geworden bin?

Sichern Sie umgehend alle Beweise (Kommunikation, Transaktionsnachweise), informieren Sie Ihre Bank und die betroffene Krypto-Börse und erstatten Sie eine Strafanzeige bei der Polizei. Anschließend sollten Sie schnellstmöglich anwaltliche Hilfe in Anspruch nehmen.

Was ist ein Recovery-Scam und wie erkenne ich ihn?

Ein Recovery-Scam ist ein Folgebetrug, bei dem sich Betrüger als Helfer ausgeben und versprechen, Ihr verlorenes Geld gegen eine Vorauszahlung zurückzuholen. Sie erkennen sie an garantierten Erfolgsversprechen, fehlender Transparenz des Anbieters, Forderung von Kryptozahlungen ohne Rechnung und unaufgeforderter Kontaktaufnahme.

Welche Rolle spielt die Blockchain-Forensik bei der Wiedererlangung von Kryptowerten?

Die Blockchain-Forensik ist entscheidend, um die Transaktionsspuren der gestohlenen Kryptowerte auf der Blockchain zu verfolgen. Sie liefert den Nachweis, wohin die Gelder geflossen sind und ob sie auf einer zentralisierten Börse gelandet sind, was die Grundlage für einen dinglichen Arrest bildet.

Sind Kryptowährungen rechtlich als 'Sachen' einzustufen?

Nein, Kryptowährungen werden nach der derzeitigen Rechtsauffassung nicht als Sachen im Sinne des § 90 BGB eingestuft. Daher greifen klassische sachenrechtliche Herausgabeansprüche nicht direkt. Rückforderungen erfolgen stattdessen über das Bereicherungsrecht oder deliktische Schadensersatzansprüche.

Wie lange habe ich Zeit, um rechtliche Schritte einzuleiten?

Es gibt keine pauschale Antwort, da verschiedene Fristen und Verjährungsfristen gelten können. Generell gilt jedoch: Je schneller Sie handeln, desto besser sind die Chancen auf Erfolg, insbesondere bei der Sicherung von Vermögenswerten durch einen dinglichen Arrest. Zögern Sie daher nicht, umgehend anwaltliche Hilfe zu suchen.

Was ist der Unterschied zwischen einem Romance Scam und einem Pig Butchering Scam?

Beide Begriffe beschreiben im Wesentlichen dieselbe Betrugsmasche. 'Romance Scam' betont den Aufbau einer romantischen Beziehung, während 'Pig Butchering' den Prozess beschreibt, bei dem das Opfer finanziell 'gemästet' und dann 'geschlachtet' wird, indem es zu immer höheren Investitionen in betrügerische Krypto-Plattformen verleitet wird.

Glossar - Begriffe verständlich erklärt

Juristische und technische Fachbegriffe aus diesem Beitrag.

Dinglicher Arrest
Eine gerichtliche Maßnahme nach §§ 916 ff. ZPO, um Vermögenswerte, wie etwa Krypto-Guthaben auf einer Börse, vorläufig einzufrieren und so eine spätere Zwangsvollstreckung zu sichern.
Credential-Phishing
Eine Betrugsmasche, bei der Täter versuchen, durch gefälschte Nachrichten (E-Mails, SMS) Login-Daten, Passwörter oder TANs von Opfern zu erschleichen, um deren Konten zu übernehmen.
Pig Butchering
Eine komplexe Betrugsform, bei der Täter über längere Zeit eine emotionale Beziehung zum Opfer aufbauen, um es dann zu vermeintlich lukrativen, aber betrügerischen Krypto-Investitionen zu überreden.
Blockchain-Forensik
Die Analyse von Transaktionen auf der Blockchain, um die Spur von Kryptowährungen nachzuverfolgen und die Empfänger von gestohlenen Geldern zu identifizieren.
Self-Custody Wallet
Eine digitale Geldbörse, bei der der Nutzer die volle Kontrolle über seine privaten Schlüssel und somit über seine Kryptowährungen hat, im Gegensatz zu Wallets bei zentralisierten Börsen.
§ 675u BGB
Eine zentrale Vorschrift im deutschen Zivilrecht, die die Haftung des Zahlungsdienstleisters bei nicht autorisierten Zahlungsvorgängen regelt und einen Erstattungsanspruch des Kunden begründet.
SCA (Starke Kundenauthentifizierung)
Ein Sicherheitsverfahren, das mindestens zwei voneinander unabhängige Elemente zur Überprüfung der Identität eines Nutzers erfordert, um Zahlungsvorgänge zu autorisieren und Betrug zu verhindern.
SIM-Swapping
Eine Betrugsmethode, bei der Täter die Mobilfunknummer eines Opfers auf eine eigene SIM-Karte übertragen lassen, um Zugriff auf Konten zu erhalten, die über SMS-Codes gesichert sind.
Tainted-Markierung
Die Kennzeichnung von gestohlenen oder betrügerisch erlangten Kryptowährungen auf der Blockchain, um ihre Herkunft nachvollziehbar zu machen und potenzielle Empfänger zu warnen.
Recovery-Scam
Ein Folgebetrug, bei dem sich Betrüger als 'Helfer' ausgeben und Opfern von Krypto-Betrug versprechen, ihr verlorenes Geld gegen eine Vorauszahlung zurückzuholen, ohne dies jemals zu tun.

Sie sind betroffen?

Unverbindliche Erstberatung durch Dr. Kurth.

Fall prüfen lassen