Die Kryptomärkte sind aus der Nische herausgewachsen – und mit ihnen die Kriminalität. 2025 markieren die verfügbaren Daten eine Zäsur: Die absoluten Volumina krimineller Kryptotransaktionen steigen teils sprunghaft, gleichzeitig sinkt der relative Anteil am Gesamtmarkt weiter in den Bereich von rund einem Prozent. Kryptowährungen sind damit kein Sonderphänomen mehr, sondern fester Bestandteil sowohl legaler Wertschöpfung als auch organisierter Kriminalität.
Makrotrend: Mehr Volumen, geringerer Anteil
TRM Labs veranschlagt die Zuflüsse an eindeutig als „illicit“ klassifizierte Krypto-Wallets für 2025 auf 158 Milliarden US‑Dollar – ein Zuwachs um fast 145 Prozent gegenüber 2024 und der höchste Wert der letzten fünf Jahre. Gemessen am gesamten identifizierten On‑Chain‑Volumen sinkt der Anteil illegaler Aktivitäten dagegen leicht von 1,3 auf 1,2 Prozent; als Anteil der aus regulierten Diensten abfließenden Liquidität liegt er bei 2,7 Prozent. Chainalysis kommt mit anderer Methodik zu einem niedrigeren Ausgangswert (40,9 Milliarden US‑Dollar Zuflüsse zu illegalen Adressen 2024), betont aber ebenfalls eine systematische Nachkorrektur nach oben, sobald neue Adressen als kriminell erkannt werden.
Beide Analysen teilen die zentrale Aussage: Die Rolle von Krypto bei Kriminalität nimmt in absoluten Zahlen deutlich zu, ohne dass Krypto dadurch zum „kriminellen Paralleluniversum“ würde. Vielmehr nähern sich Nutzungsmuster und Missbrauch den Strukturen des klassischen Finanzsystems an – mit Schwerpunkten bei Sanktionen, Geldwäsche, Betrug und organisierter Kriminalität.
Sanktionen und Geopolitik: Krypto als Finanzinfrastruktur
Am dynamischsten wächst der Bereich der sanktionsbezogenen Kryptoflüsse. TRM beziffert die Volumina zu sanktionierten Akteuren und Jurisdiktionen im Jahr 2025 auf rund 93 Milliarden US‑Dollar, wovon 72 Milliarden auf den rubelgebundenen Stablecoin A7A5 entfallen.
Der mit der russischen Plattform A7 verbundene Wallet‑Cluster ist nach diesen Daten mit mindestens 39 bis 56 Milliarden US‑Dollar an Volumen verbunden und fungiert als Drehscheibe zwischen russischen Akteuren und Gegenparteien in China, Südostasien, Iran und anderen Regionen.
Diese Zahlen markieren eine qualitative Verschiebung: Krypto wird nicht nur punktuell zur Sanktionsumgehung eingesetzt, sondern als dauerhafte, staatlich gestützte Zahlungsinfrastruktur etabliert. Parallel zeigen Fälle wie Huione und chinesische Escrow‑Netzwerke, die laut TRM allein 2025 über 100 Milliarden US‑Dollar bewegten, wie Stablecoins in asiatischen Underground‑Banking‑Systemen zu kritischer Infrastruktur für Betrugsnetzwerke, Geldwäsche und Handelsfinanzierung werden.
Auch das deutsche Bundeslagebild zur Organisierten Kriminalität spiegelt diese Entwicklung: Es verzeichnet 2024 ein Geldwäschevolumen von 230,5 Millionen Euro in OK‑Verfahren, wobei Krypto‑Mixer bei der Anlage inkriminierter Gelder in Kryptowährungen „zunehmend eine Rolle“ spielen. Kryptowerte werden zwar bislang nur in vergleichsweise geringem Umfang gesichert (rund eine Million Euro in- und ausländisch), sind aber klar als Baustein professioneller Geldwäschestrukturen identifiziert.
Vom Bitcoin zur Stablecoin‑Ökonomie
Auf der Asset‑Seite verschiebt sich die Kryptokriminalität weiter weg vom klassischen Bitcoin‑Narrativ. Chainalysis zeigt, dass Stablecoins inzwischen rund 63 Prozent der illegalen Transaktionsvolumina ausmachen, während Bitcoin vor allem bei Ransomware und Darknet‑Märkten dominant bleibt. Der Boom der Stablecoin‑Nutzung im legalen Bereich – Remittances, Cross‑Border‑Zahlungen, Handelsfinanzierung – spiegelt sich damit auch auf der Schattenseite wider.
Eine Besonderheit: Stablecoin‑Emittenten frieren zunehmend Vermögenswerte ein, wenn ihnen Missbrauch gemeldet wird. Das macht diese Tokens für bestimmte Tätergruppen unattraktiver und zwingt sie zu komplexeren Laundering‑Ketten – etwa über Cross‑Chain‑Brücken, Privacy‑Coins und No‑KYC‑Dienste. Elliptic schätzt, dass inzwischen mehr als 21 Milliarden US‑Dollar mit Cross‑Chain‑Techniken gewaschen wurden, wobei über 20 Prozent der Fälle zehn oder mehr Blockchains einbeziehen. Nordkoreanische Gruppen wie Lazarus sollen für über zwölf Prozent dieses Volumens stehen.
Gleichzeitig verschärft der zunehmende regulatorische Druck die Verlagerung: TRM dokumentiert, dass Zuflüsse sanktionierter Akteure bei regulierten Börsen zwischen 2024 und 2025 um etwa 30 Prozent zurückgingen, während sie bei Hochrisiko‑ und DeFi‑Diensten um über 200 Prozent zulegten. Die „saubere“ Oberfläche der Branche verdichtet sich, die schwerer kontrollierbaren Segmente wachsen.
Scams, Pig Butchering und KI‑Effekte
Im Feld der Betrugsdelikte werden „Pig‑Butchering“‑Scams – also langfristig aufgebaute, emotional aufgeladene Scheinbeziehungen mit anschließender Anlageabzocke – zunehmend zur dominanten Masche. Chainalysis ordnet sie neben Hochzins‑Investments als erfolgreichste Scam‑Typen 2024 ein; Elliptic spricht von einer „industrialisieren“ Pig‑Butchering‑Ökonomie, in der professionelle Geldwäscher, technische Dienstleister und Callcenter‑Strukturen zusammenwirken.
Künstliche Intelligenz wirkt in diesem Segment als echter Multiplikator. Elliptic beschreibt ausführlich, wie generative Modelle zur Produktion von Deepfakes, täuschend echten Identitätsdokumenten und massenmassenfähigen Werbematerialien eingesetzt werden. AI‑gestützte Social‑Engineering‑Angriffe, etwa hochpersonalisierte Sextortion oder täuschend echte „Mitarbeiter“‑Kommunikation mit Opfern, senken die Eintrittshürden und erhöhen die Trefferquoten. Zugleich tauchen auf Darknet‑Märkten AI‑basierte Services auf, die gefälschte Ausweisdokumente, KYC‑Bypässe und Malware‑Baukästen anbieten.
Eine aktuelle journalistische Coin‑Laundry‑Recherche von ICIJ und Le Monde illustriert diese Trends aus der Praxisperspektive: Sie beschreibt, wie Crypto‑ATMs ohne KYC in Supermärkten, Telegram‑basierte „Cash‑Desks“, Bar‑Kurierdienste wie 60Sek in US‑Städten oder Gold‑Shops in Dubai eine Art globalen Bargeld‑Express für Kryptovermögen geschaffen haben. Diese Off‑Ramp‑Strukturen werden von Drogenkartellen, Ransomware‑Gruppen und Betrugssyndikaten genutzt, um in kurzer Zeit und weitgehend anonym große Summen zu drehen.
Ransomware und Hacks: Infrastruktur statt Code
Im Bereich Ransomware zeigt sich 2024/2025 ein gemischtes Bild. Chainalysis verzeichnet für 2024 einen Rückgang der Lösegeldzahlungen um rund 35 Prozent auf etwa 813,5 Millionen US‑Dollar, nachdem 2023 ein Rekordjahr war. Die Zahl der Vorfälle bleibt hoch, doch ein wachsender Anteil der Opfer verweigert die Zahlung – auch, weil Back‑up‑Strategien und forensische Beratung robuster werden. Gleichzeitig zerlegen internationale Strafverfolgungsaktionen dominante Ransomware‑Akteure wie LockBit und BlackCat/ALPHV und fragmentieren die Szene in viele kleinere Betreiber.
Auf der Seite der Kryptodiebstähle verschieben sich die Angriffe deutlich in Richtung Infrastruktur. TRM klassifiziert 2025 rund 76 Prozent der Verluste – 2,2 Milliarden US‑Dollar von insgesamt 2,87 Milliarden – als Folge von Infrastrukturangriffen, also kompromittierten Private Keys, Wallet‑Infrastruktur, privilegierten Zugängen oder Frontends. Der Bybit‑Hack im Februar 2025, den TRM Nordkorea zurechnet und mit 1,46 Milliarden US‑Dollar beziffert, dominiert die Jahresstatistik und zeigt, dass es für hochprofessionelle Angreifer lukrativer ist, zentrale Knotenpunkte zu kompromittieren, statt sich in komplexe Smart‑Contract‑Logik einzuarbeiten.
Daraus entsteht ein paradoxes Bild: Während sich on‑chain‑Sicherheit und Audits im DeFi‑Sektor verbessern, verschieben sich die Verwundbarkeiten hin zu Governance, Zugriffskontrollen und menschlichen Faktoren – also zu klassischen IT‑Sicherheitsproblemen, die nun unmittelbar in milliardenschwere Krypto‑Verluste übersetzt werden.
Regulierung und Strafverfolgung
Auf regulatorischer und strafverfolgungsseitiger Ebene wächst der Druck merklich. Die ICIJ‑Recherche dokumentiert, dass gegen große Börsen wie Binance in Frankreich strafrechtlich ermittelt wird – unter anderem wegen unzureichender KYC‑Maßnahmen und Verdachts der Geldwäsche aus Drogenhandel und Steuerdelikten. Zugleich hat sich die Kooperationsbereitschaft der Plattform verschlechtert: Nach Angaben europäischer Ermittler beschränkt Binance die Herausgabe von Informationen inzwischen auf Fälle mit Bezug zu Staatsangehörigen oder Wohnsitzinhabern des anfragenden Landes, was grenzüberschreitende Ermittlungen erschwert.
Politisch verschiebt sich der Schwerpunkt ebenfalls. Die Le‑Monde‑Recherchen verweisen auf die beginnende Regulierung von Anonymisierungstools: Frankreich erweiterte 2025 im Rahmen einer Drogengesetzgebung den Geldwäschetatbestand ausdrücklich auf den Einsatz von Mixern und Privacy‑Coins wie Monero; Gelder, die diese Stationen durchlaufen, können künftig leichter eingezogen werden. In den USA setzten wechselnde politische Leitlinien – von aggressiven Maßnahmen gegen Tornado Cash bis zur späteren Begnadigung von Binance‑Gründer Changpeng Zhao – eher gemischte Signale.
Auf der Technologie‑Seite investieren Blockchain‑Analyse‑Anbieter massiv in neue Werkzeuge. Elliptic beschreibt in seinem Typologien‑Report Behavioral‑Detection‑Modelle, die nicht (nur) an Entitäten, sondern an typische Transaktionsmuster anknüpfen – etwa Peel‑Chains, automatisierte Layering‑Muster oder „Mixer‑First“-Funding. Virtual Value Transfer Events (VVTEs) erlauben eine automatisierte Nachzeichnung von Cross‑Chain‑Flows über Brücken hinweg. Chainalysis wiederum ergänzt seine klassischen Attributionsdaten um „Signals“, die verdächtige Adressen auf Heuristiken‑Basis kategorisieren und so frühzeitige Risikoindikatoren liefern.
Organisierte Kriminalität
Krypto als Geldwäschewerkzeug
Im deutschen Bundeslagebild Organisierte Kriminalität sind Kryptowährungen noch kein dominanter, aber ein deutlich sichtbarer Baustein der Geldwäsche. 2024 wurden in 146 OK‑Verfahren mindestens eine Geldwäschehandlung festgestellt, insgesamt 189 Transaktionen mit einem Volumen von 230,5 Millionen Euro. Auffällig ist, dass Investitionen in Kryptowerte als Geldwäschemaßnahme von 1,4 Millionen Euro im Vorjahr auf 166,7 Millionen Euro sprangen, während Bargeld und klassische Überweisungen stark zurückgingen.
Parallel verzeichnet das Lagebild eine kräftige Zunahme des Einsatzes von Krypto‑Mixern bei der Anlage inkriminierter Gelder in Kryptowährungen. Cybercrime‑Gruppierungen, die ohnehin technikaffin agieren, treiben diesen Trend: Sie verknüpfen Mixer, Cross‑Chain‑Bridges und No‑KYC‑Services zu mehrstöckigen Laundering‑Ketten, die auf den ersten Blick kaum von legitimer DeFi‑Nutzung zu unterscheiden sind.
Gleichzeitig werden Krypto‑Assets – anders als Bargeld, Immobilien oder Fahrzeuge – in OK‑Verfahren bislang nur relativ selten gesichert: 2024 wurden Kryptowerte im Umfang von gut einer Million Euro beschlagnahmt, während Immobilien allein über 39 Millionen Euro ausmachten. Das deutet auf eine Lücke zwischen Erkenntnisstand und operativer Durchsetzung hin: Die Technik zur Nachverfolgung ist vorhanden, die Integration in Vermögensabschöpfung, Arrest und internationale Rechtshilfe steht vielerorts noch am Anfang.
Ausblick: Normalisierung und Professionalisierung
Das Gesamtbild der Jahre 2024/2025 lässt sich in drei Tendenzen verdichten, die für 2026 prägend sein dürften. Erstens: Kryptokriminalität normalisiert sich. Sie ist kein Sonderdelikt mehr, sondern integraler Bestandteil von Sanktionsumgehung, Drogenhandel, Steuerbetrug und Cybercrime. Zweitens: Die Professionalisierung nimmt zu – auf beiden Seiten. Kriminelle Akteure arbeiten arbeitsteilig, lagern Aufgaben an „Crime as a Service“‑Dienstleister aus und nutzen Stablecoins, Brücken und Off‑Ramp‑Services hochgradig effizient. Und Drittens: Ermittler, Aufsichtsbehörden und private Compliance‑Teams holen auf, indem sie Blockchain‑Transparenz systematischer nutzen, KI‑gestützte Analytik einsetzen und Krypto‑Risiken stärker in klassische AML‑Systeme integrieren.
Die Debatte über Kryptokriminalität wird sich, recht eindeutig zu erkennen, von der Frage „ob“ zu der Frage „wie“ verschieben. Nicht ob Krypto Kriminalität ermöglicht – das tut es, aber nicht mehr und nicht weniger als andere Finanzkanäle –, sondern wie Regulatoren, Strafverfolgung und Unternehmen diese Risiken einhegen, ohne die legitimen Anwendungsfelder abzuwürgen. Die entscheidenden Schlachten werden nicht auf der Ebene symbolischer Verbote geschlagen, sondern in der Kleinarbeit von Datenanalyse, internationaler Kooperation und der Frage, ob es gelingt, die vermeintliche Anonymität der Kryptoökonomie in ein Werkzeug rechtsstaatlicher Transparenz zu verwandeln.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Zuständigkeit nach § 14 Abs. 2 IRG - 5. März 2026
- Zerschlagung des globalen Datenleak-Forums LeakBase - 4. März 2026
- Steuerstrafrecht: Umsatzsteuerkarussell und Luxus PKW 2026 - 4. März 2026
