Immer mehr Kunden wünschen sich das Bezahlen mit Kryptowährungen. Doch so einfach wie mit Bargeld oder Kreditkarte ist die Abwicklung mit Bitcoin oder Ethereum nicht. Und obendrein höchst gefährlich – für Verbraucher und Unternehmen. Wir geben einen Überblick.
„Wie möchten Sie bezahlen: Bar, Karte oder Bitcoin?“ Während sich die einen noch mit Kreditkarte und digitalen Zahlungssystemen schwertun, können die anderen die Bezahlung mit Kryptowährungen kaum noch erwarten. Und so langsam kommen Bitcoin & Co. als Zahlungsmittel tatsächlich in Fahrt. In El Salvador gilt Bitcoin als offizielles Zahlungsmittel und auch die Zentralafrikanische Republik erlaubt nun das Entgelt mit dieser Kryptowährung. In Österreich stehen bereits erste Geldautomaten für Kryptowährungen. Diese werden von der Firma Kurant betrieben und befinden sich in einigen Mediamärkten und sogar im bekannten Café Hummel in der Innenstadt. Der Lieferdienst Lieferando und der Finanzdienstleister PayPal testen in den USA die Bezahlung mit Kryptowährungen. Das Online-Lexikon Wikipedia oder die Umweltschutzorganisation Greenpeace genehmigen Spenden mit der Währung. Für das alltägliche Einkaufen bei uns hilft dies nur bedingt weiter. Unternehmen halten sich noch zurück, denn es gibt noch zu viele Ungereimtheiten. Und die Warnung des Internationalen Währungsfonds vor den Risiken bremst den Siegeszug von Bitcoin & Co. zusätzlich.
Starke Währungsschwankungen
Kryptowährungen sind nichts für schwache Nerven. Im Vergleich zu klassischen Währungen wie US-Dollar, Euro oder Schweizer Franken, die nur moderat schwanken, verändern sich die Kurse von Bitcoin & Co. innerhalb kürzester Zeit dramatisch. Beispielsweise verlor der Bitcoin in den letzten sechs Monaten 70 Prozent seines Wertes. Sollte ein Unternehmen also im November Waren eingekauft haben und möchte sie jetzt veräußern, steht ein herber Verlust in den Büchern. Aufgrund der „Kursungewissheit“ warten viele Firmenlenker noch mit dem Einstieg: Eine planbare Business-Gestaltung ist mit der Unbekannten Kryptowährung kaum möglich.
Im Gegensatz zu klassischen Zahlungsmitteln reagieren Bitcoins & Co. sehr stark auf Meinungen und News, die keine fundamentale Bedeutung haben. Als Elon Musk verkündete, selbst in Bitcoin zu investieren und eine Bezahlung von Teslas zuzulassen, schoss der Kurs in Höhe. Die Ankündigung aus China, Bitcoin im Land nicht zu erlauben, ließ den Kurs kräftig abrutschen.
Bitcoin-Kurs von Juli 2021 bis Mai 2022
Quelle: https://www.finanzen.net
Wenn der deutsche Finanz-Michel ins Spiel kommt
Wer in Deutschland mit Kryptowährungen handeln/bezahlen möchte, sollte sich vorher gut informieren – ansonsten wird es eine langwierige Suche nach passenden Geschäften. Und wenn man dann als Unternehmen Bitcoin & Co. einsetzt, muss man sehr genau darauf achten, wie die steuerlichen Regeln dafür lauten. Beispielsweise sehen deutsche Finanzbehörden in Kryptowährungen nämlich kein Bezahlungsmittel, sondern behandeln es als Tauschgeschäft bzw. Wirtschaftsgüter. Dann greifen unterschiedliche Regeln in der Besteuerung – übrigens auch in der Verbuchung/Ausweisung von Vorsteuer/Mehrwertsteuer. Das deutsche Bundesfinanzministerium hat dies in einer umfangreichen Anweisung zusammengefasst, denn unter besonderen Bedingungen greift sogar Steuerfreiheit im Umgang mit Kryptowährungen. In Nicht-EU-Ländern kann dies komplett unterschiedlich gehandhabt werden, Unternehmen müssen sich insbesondere im internationalen Rahmen vorher schlau machen.
Von der Geldbörse zum Problemfall
Wer Kryptowährungen besitzen möchte, braucht als erstes ein sogenanntes Wallet. Dort werden Bitcoin oder Ethereum gespeichert und von dort aus laufen die entsprechenden Transaktionen. Dies ist von der Funktion einem klassischen Bankkonto sehr ähnlich, der Hintergrund aber anders. Denn Wallets liegen nicht bei Banken, sondern zumeist bei Kryptobörsen und speziellen Anbietern. Offline-Wallets gibt es allerdings auch. Für die Transaktionen greifen die Wallets auf die Technologie Blockchain zurück, anders als klassische Finanzhäuser. Dank der Blockchain sind alle Buchung maximal sicher, frei von Manipulationen und vor allem anonym. Deswegen sind Kryptowährungen auch so beliebt bei Cyberkriminellen, beispielsweise für Erpressungen mit Ransomware (Verschlüsselungstrojaner) oder für den Einkauf illegaler Waren und Dienstleistungen.
Die wahren Probleme entstehen im Umgang mit dem Wallet selbst und der Zahlungsfunktion mit einem privaten, einmaligen Schlüssel. Kommt letzter nämlich abhanden, sind alle damit verbundenen Kryptowährungen verloren. Es gibt keine Möglichkeit einer Wiederherstellung, wie man es bei vergessenen Passwörtern von Konten kennt. Wenn Cyberkriminelle durch Hacking oder Social Engineering-Attacken Zugang zu diesen privaten Schlüsseln erhalten, können sie den gesamten Inhalt des Wallets stehlen. Um diesem Fall vorzubeugen, vertrauen Nutzer ihre privaten Schlüssel den Wallet-Diensten an. Die Folge ist logisch: Dadurch werden die Anbieter selbst zu einem lohnenden Ziel von Cyberkriminellen – denn über sie können Hacker auf das Vermögen vieler zugreifen und es stehlen.
Tragisch ist es auch dann, wenn man das Passwort zum persönlichen Schlüssel vergisst. Die Geschichte von einem Entwickler, der Bitcoins im Wert von 200 Millionen besitzt, aber das Passwort vergessen hatte, ging 2021 durch die Medien weltweit. Gerade in diesem Punkt sollte man höchst vorsichtig sein.
Manchmal reichen auch einfache Fehler, die zu Ungemach führen. Gibt der Anwender bei der Transaktion eine fehlerhafte Adresse des Empfängers ein, kommt der Betrag entweder gar nicht oder bei der falschen Person an. Die integrierte Adressüberprüfung gibt es zwar bei Bitcoin, sodass die Währung nicht im Nirvana verschwindet. Dennoch kann sie unrichtig zugestellt werden und das Geld ist verloren.
Die Waffen der Cyberkriminellen
Es bleibt die spannende Frage, wie Hacker es schaffen, an die Wallets oder privaten Schlüssel zu gelangen. Selbstverständlich greifen sie auf die typischen Waffen zurück, die sie auch für andere Angriffe wählen: Malware, Phishing, Exploits oder Social Engineering.
Doch es gibt noch einige spezielle Angriffsarten, die für den Betrug mit Kryptowährungen typisch sind. Die ESET Experten und die Journalistenkollegen von t3n.de sehen vor allem diese:
-
Reverse-Proxy-Phishing: Man-In-the-Middle-Angriff hebelt 2FA aus
Die zunehmende Nutzung von Zwei-Faktor-Authentifizierung (2FA) für Online-Dienste zwingt Phishing-Angreifer dazu, raffiniertere Werkzeuge einzusetzen: Eins davon ist das Reverse-Proxy-Tool. Mit Hilfe eines zwischengeschalteten Servers sind Cyberkriminelle in der Lage, sämtliche Daten abzugreifen, die zwischen Webseite und Opfer ausgetauscht werden. Neben Nutzernamen und Passwort können die Hacker auch Eingaben wie Kreditkartendaten und MFA-Token aufzeichnen und so in den Besitz der Session Cookies kommen. Damit lassen sich ganze Konten übernehmen, ohne den zusätzlichen Faktor eintippen zu müssen.
-
Clipping: Umleiten von Transaktionen
Clipping findet während der Transaktion von einem Wallet zum anderen statt. Über einen Backdoor-Trojaner wird zunächst eine spezielle Malware eingeschleust, der Kryptowährung-Clipper, der sich in gängigen Apps (etwa einem PDF-Reader), in Handyspielen und neuerdings in Covid-19-Trackern versteckt. Wie bei einer Banküberweisung muss auch bei Kryptwährungen ein Empfänger beziehungsweise die Wallet-Adresse in Form eines Codes angegeben werden. Beim Eingeben der Daten nutzen viele Anwender der Einfachheit halber die Copy-&-Paste-Funktion. Der Hacker holt die E-Wallet-Adresse aus der Zwischenablage (dem Clipboard) und ersetzt sie mit der Wallet-Adresse des Angreifers. Beim Einfügen ins Überweisungsformular fällt der Austausch kaum auf und die Bitcoins wandern ungehindert in fremde Hände.
-
Dusting: Fährte legen und folgen
Das Dusting von Kryptowährungen ist etwas komplexer. Die Krypto-Wallet wird deanonymisiert. Winzige Mengen eines Betrags (auch „Krypto-Staub“ genannt) werden an ein Wallet gesendet, um sie zu markieren. Angreifer können dieser Spur folgen, Transaktionen beobachten und die Adressen auf der Blockchain analysieren. In der analogen Welt wäre das so, als würde man einen Geldschein zuerst mit einem Tracker versehen, um ihn dann in die Brieftasche einer Person einzuschmuggeln. Sobald mit dem markierten Geldschein gezahlt wird, lassen sich Identität und E-Wallet herausfinden.
Erkennung von Angriffen auf Kryptowährungen T3 2021 im Vergleich zu T1 2022
-
Kryptostealer und Kryptominer
Kryptostealer haben es in der Regel nicht auf einzelne Coins abgesehen, sondern auf die sogenannten Wallets – die digitalen Brieftaschen, in denen sie gespeichert werden. Dies können «Cold Wallets» oder «Hot Wallets» sein. Cold Wallets speichern die Währung offline auf einem externen Speichermedium (wie passwortgeschützter USB-Stick) und sind nicht mit dem Internet verbunden. Hot Wallets sind dagegen mit dem Internet verbunden und werden z.B. auf den Servern und Webseiten der Tauschbörsen gespeichert. Hot Wallets sind daher super interessant für Cyberkriminelle, die mittels Kryptostealern versuchen, ganze Wallets zu übernehmen. Manchmal werden auch Kryptostealer eingesetzt, die auf einem infizierten Gerät darauf warten, dass Cold Wallets angesteckt werden, aber das ist enorm selten.
Kryptominer sind eine ganz andere Art von Bedrohung. Sie nisten sich auf fremden Geräten ein, um die Grafikprozessoren (GPU) und stellenweise auch die zentralen Prozessoren der Computer für das Berechnen von Kryptowährungen zu missbrauchen. In der Regel bedeutet das auch, dass die Maschinen für andere Aufgaben nicht mehr genutzt werden können. Im Gegensatz zu Kryptostealern sind Kryptominer jedoch nicht per se Schadcode. Man kann sie auch legitim auf seinen eigenen, extra dafür eingerichteten Geräten zum «Schürfen» von Kryptowährungen einsetzen.
Die größten Skandale
Skandale und Betrug begleiten digitale Währungen seit jeher. Und dabei reden wir nicht von kleinen Summen, sondern von handfesten Schäden. Wenn sich ein Unternehmen entschließt, mit Kryptowährungen zu handeln oder die Bezahlung damit anzubieten, sollte es sich verlässliche Partner suchen. Bei diesen drei Betrugsskandalen gingen fast sechs Milliarden US-Dollar „flöten“ – beziehungsweise wechselten den Besitzer:
- Onecoin: vier Milliarden Dollar Schaden
- Bitconnect: eine Milliarde Dollar Schaden
- BitClub Network: 722 Millionen Dollar Schaden
Die aktuellen Krisen auf den Weltmärkten schwappen auch auf die Kryptowährungen über. Der Kursrutsch der letzten Monate bringt so manchen Dienstleister und einige Kryptobörsen in finanzielle Schieflage. Man darf gespannt sein, wie es um die Sicherheit der Kundenvermögen bestellt sein wird. Denn eine Einlagensicherung wie bei Banken gibt es hier nicht.
Schützen Sie sich und Ihre Wallets
Das deutsche Bundesministerium für Sicherheit in der Informationstechnologie hat drei wichtige Regeln aufgestellt, die sehr zu empfehlen sind:
- Legen Sie mehrere Sicherheitskopien Ihrer Wallet an, für den Fall, dass Ihr PC oder das Smartphone gestohlen wird oder einen technischen Defekt hat. Diese Backups sollten sicher verwahrt und mit einem kryptografischen Zugriffsschutz versehen werden
- Wie beim Bargeld sollten Sie auch in Ihrer Wallet auf PC oder Smartphone keine großen Summen aufbewahren; nur kleinere Mengen für den täglichen Bedarf sind sinnvoll
- Wichtig ist vor allem die Verschlüsselung der Wallet sowie der angelegten Sicherheitskopien
Fazit
Man-in-the-Middle, Hijacking, Clipping und Dusting – keine der Angriffstechniken ist wirklich neu. Sie wurden lediglich auf ein neues Ziel ausgerichtet. Je mehr die Kryptowährung zum Mainstream wird, desto lukrativer gestalten sich Attacken auf die persönlichen Wallets, Krypto-Börsen oder Mining-Tools. Unternehmen und Anlegern bleibt nichts anderes übrig, als sich über aktuelle Betrugsmaschen und Angriffstechniken auf dem Laufenden zu halten. Wachsam bleiben kann anstrengend sein, Schutzmaßnahmen unbequem: Trotzdem sind sie immer noch der sicherste Weg.