Ende der US-Sanktionen für Tornado Cash

Am 21. März 2025 gab das US-Finanzministerium überraschend bekannt, dass es die Wirtschaftssanktionen gegen den Krypto-Mixer Tornado Cash aufhebt. Diese Entscheidung kommt wenige Monate nach einem wegweisenden Urteil des Berufungsgerichts des Fifth Circuit, das die Sanktionen in ihrer damaligen Form für rechtswidrig erklärte.

Doch was bedeutet diese Entwicklung wirklich – insbesondere im Lichte staatlich gelenkter Cyberkriminalität wie im Fall ? Und lassen sich daraus Lehren für die zukünftige Regulierung digitaler Infrastrukturen ziehen?

Rückblick

Tornado Cash ist ein dezentraler „Krypto-Mixer“, der Nutzern ermöglicht, Transaktionen in der zu anonymisieren. Die Smart Contracts, auf denen das System basiert, funktionieren automatisiert und – im Falle der streitgegenständlichen Verträge – völlig unveränderlich. Weder die Entwickler noch Dritte können sie stoppen oder kontrollieren.

Bitcoin Mixer

OFAC, das Office of Foreign Assets Control des US-Finanzministeriums, hatte Tornado Cash 2022 auf seine Sanktionsliste gesetzt. Der Vorwurf: Die Software sei zur Geldwäsche durch nordkoreanische Hackergruppen wie Lazarus Group genutzt worden, um gestohlene Kryptowährungen im Wert von Hunderten Millionen Dollar zu verschleiern und so das nordkoreanische Waffenprogramm zu finanzieren.

Urteil Van Loon v. Department of the Treasury: Smart Contracts ≠ Eigentum

Im November 2024 urteilte das US-Berufungsgericht des Fifth Circuit: Die gegen Tornado Cash verhängten Sanktionen überschreiten die gesetzlich vorgesehene Befugnis des Finanzministeriums. Grund: Die von OFAC sanktionierten Smart Contracts seien kein „Eigentum“ im Sinne der IEEPA (International Emergency Economic Powers Act), weil sie nicht im Besitz oder unter der Kontrolle eines Akteurs stehen – auch nicht des Tornado Cash-Entwicklerteams.

Die Richter betonten: Diese Smart Contracts sind wie „eine Maschine ohne Stecker“ – niemand kann sie abschalten, niemand hat die Hoheit darüber. Der Versuch, Software-Code, der sich autonom auf der Blockchain bewegt, wie ein klassisches Wirtschaftsgut zu behandeln, sei rechtlich unzulässig. Damit wurde der Anspruch der US-Regierung auf Kontrolle dieser Technologie zurückgewiesen.

USA: Keine Sanktionen gegen Kryptowährungs-Mixer

Delisting durch das US-Finanzministerium

Vor diesem Hintergrund ist das „Delisting“ vom März 2025 wohl keine politische Kehrtwende, sondern eher notwendige Reaktion auf das Urteil. Die Behörde betont allerdings weiterhin ihre „tiefe Besorgnis“ über die Rolle von Tornado Cash bei nordkoreanischen Cyberoperationen. Sie behält sich zudem vor, weiterhin gezielt gegen Individuen oder Organisationen vorzugehen, die solche Plattformen zur Unterstützung von Sanktionen unterlaufenden Aktivitäten nutzen.

Der neue Finanzminister Scott Bessent unterstreicht in der Mitteilung das Dilemma: Einerseits sollen digitale Innovationen gefördert, andererseits deren Missbrauch durch autoritäre Regime verhindert werden.

Nordkorea und die strategische Nutzung von Krypto-Mixern

Das Beispiel Nordkorea zeigt: Kryptowährungen sind längst ein zentrales Element staatlich gesteuerter Cyberkriminalität geworden. Die Group setzt gezielt auf Hacks von Börsen, DeFi-Projekten und NFT-Plattformen, um Millionenbeträge zu erbeuten. Die verschleierten Mittel fließen direkt in die Finanzierung von Nuklear- und Raketenprogrammen. Der Einsatz von Mixern wie Tornado Cash war dabei zentral – laut Daten gingen 2021 mehr als 65 % aller nordkoreanischen Kryptotransfers durch solche Dienste.

Cyberkriminalität in Nordkorea und die Bedrohung der Kryptowährungsindustrie
Nordkoreanische Gruppierung LAZARUS – Sicherheitshinweis zu Cyberspionageaktivitäten

Geopolitisches Risiko?

Die rechtliche Argumentation des Gerichts ist durchaus nachvollziehbar und hat eine gewisse innere Logik – und doch hat es einen gewissen Geschmack: Denn auch wenn der Code „herrenlos“ ist, so entfaltet er in den Händen von Regimen wie Nordkorea eine ganz reale Wirkung. Es stellt sich die fundamentale Frage: Können wir es uns leisten, solch mächtige Technologien außerhalb jeglicher Haftungs- und Kontrollstrukturen zu belassen?

Die Antwort liegt wohl weniger im Recht als im politischen Willen: Die IEEPA stammt aus den 1970er Jahren – einer Zeit, in der es keine dezentralisierten autonomen Protokolle gab. Sie taugt schlicht nicht für die Anforderungen einer Welt, in der Staaten sich Kryptotechnologie wie ein Chamäleon zunutze machen: mal für , mal für Propaganda, mal für klassische Geldwäsche.

Bedeutung von Kryptowährungen für Cyberkriminelle

Ausblick

Die Tornado-Cash-Entscheidung offenbart nicht nur die Grenzen nationaler Rechtsnormen, sondern auch ein Vakuum globaler Normsetzung. Wenn Software nicht mehr „besitzbar“ ist, braucht es neue Konzepte: etwa technologische Exit-Strategien, vertragliche Rückfallklauseln oder internationale Kontrollgremien.

Nordkoreas digitale Schattenwirtschaft ist nur die Spitze des Eisbergs. Die nächste Welle könnte sich längst unter neuen Adressen und neuen Protokollen formieren. Höchste Zeit, dass Recht, Politik und Technologie neue Allianzen schmieden.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.