Wer verstehen will, wie die digitale Schattenwirtschaft rund um Cybercrime funktioniert, muss dem Geld folgen. Nicht den Waren, nicht den Servern, nicht den Pseudonymen – dem Geld. Denn an der Frage, wie ein Käufer im Darknet seine Drogen, seine gestohlenen Zugangsdaten oder seine gefälschten Dokumente bezahlt, entscheidet sich, ob Strafverfolger eine Spur haben oder ins Leere ermitteln. Und genau hier hat sich in den vergangenen Jahren ein bemerkenswerter Wandel vollzogen, der weit über das klischeehafte Bild vom anonymen Bitcoin-Koffer hinausgeht.
Die Zahlen sind eindeutig: Allein über Kryptowährungsadressen mit illegalem Hintergrund flossen 2025 mindestens 154 Milliarden US-Dollar – ein Anstieg von 162 Prozent gegenüber dem Vorjahr. Das ist kein Nischenphänomen mehr, sondern eine eigene Ökonomie mit eigenen Zahlungsdienstleistern, eigenen Wechselstuben und einer erstaunlichen Innovationsdynamik. Wer als Ermittler, Verteidiger oder Unternehmen mitreden will, sollte die Klaviatur kennen, auf der hier gespielt wird.
Grundprinzip: Anonymität schlägt Komfort
Bevor wir in die einzelnen Methoden einsteigen, lohnt ein Blick auf die Logik dahinter: Anders als der legale Zahlungsverkehr, der auf Geschwindigkeit, Bequemlichkeit und Rückbuchbarkeit optimiert ist, folgt die kriminelle Zahlungswelt einem einzigen Imperativ: maximale Anonymität bei minimaler Rückverfolgbarkeit. Jede Methode, die im Folgenden beschrieben wird, ist letztlich ein Kompromiss zwischen diesem Ideal und der praktischen Handhabbarkeit. Genau dieser Zielkonflikt erklärt, warum die Szene ständig neue Wege sucht – und warum Strafverfolgungsbehörden immer einen Schritt hinterherlaufen.
Kryptowährungen
Kryptowährungen bilden nach wie vor das Fundament der illegalen Zahlungsinfrastruktur. Doch das vermeintlich anonyme Krypto-Geld ist differenzierter, als die öffentliche Debatte suggeriert.
Bitcoin
Bitcoin war das Zahlungsmittel der ersten Stunde, vom Silk-Road-Zeitalter an. Sein entscheidender Konstruktionsfehler aus krimineller Sicht: Bitcoin ist pseudonym, nicht anonym. Jede Transaktion liegt dauerhaft auf einer öffentlichen Blockchain und lässt sich mit Analyse-Werkzeugen wie Chainalysis rekonstruieren. Deshalb wanderte die Szene zeitweise zu sogenannten Privacy Coins ab – kehrte zuletzt aber teilweise zu Bitcoin zurück, nachdem große Börsen die anonymeren Alternativen aus dem Programm nahmen. Zur Verschleierung kommen Mixer oder „Tumbler“ zum Einsatz, die eingehende Coins mit denen anderer Nutzer vermengen und so die Spur durchtrennen. Im November 2025 schaltete das BKA den Mixer cryptomixer.io ab und stellte dabei Kryptowerte von rund 25 Millionen Euro sicher.
Monero
Monero ist die Königsklasse der Verschleierung: Ringsignaturen, Stealth-Adressen und Zero-Knowledge-Proofs machen Sender, Empfänger und Betrag praktisch unsichtbar – eine Rückverfolgung gilt nach aktuellem Stand als kaum möglich. Als das BKA im Juni 2025 den „Archetyp Market“ zerschlug, stellte sich heraus: Dort wurde ausschließlich mit Monero bezahlt. Der Haken für die Kriminellen: Seit dem Delisting durch Binance und andere Börsen sind die täglichen Monero-Transaktionen drastisch gesunken. Die Szene weicht nun auf direkte Peer-to-Peer-Tauschgeschäfte, sogenannte Atomic Swaps, und auf den Tausch gegen Gutschein-Codes aus.
Stablecoins
Die eigentliche Überraschung der vergangenen Monate aber sind die Stablecoins, allen voran Tether (USDT). Bis Ende 2025 entfielen 84 Prozent aller illegalen Kryptotransaktionen auf diese wertstabilen Token. Der Reiz liegt auf der Hand: kein Kursrisiko, schnelle Transferierbarkeit, und trotz wachsender Regulierung noch erhebliche Kontrolllücken. Wie groß die Dimensionen mittlerweile sind, zeigt der Fall der russischen Plattform Garantex, über die unter anderem Ransomware-Erlöse gewaschen wurden: Bei ihrer Abschaltung im März 2025 wurden Kryptowerte in Milliardenhöhe eingefroren.
Underground-Wechselstuben
Ohne die Möglichkeit, Krypto in echtes Geld zu verwandeln, wäre das gesamte System wertlos. Diese Funktion übernehmen kriminelle Exchange-Dienste, die bewusst auf jede Identitätsprüfung verzichten – beworben mit dem Slogan „no-KYC, no logging“. Im September 2024 schalteten BKA und Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) 47 solcher in Deutschland gehosteter Plattformen ab; zu ihren Kunden zählten Ransomware-Gruppen, Darknet-Händler und Botnetz-Betreiber. Über die Plattform eXch wuschen nordkoreanische Hacker einen Teil der 1,5 Milliarden Dollar, die sie 2025 von der Börse Bybit erbeuteten – auch hier griffen die Behörden zu und stellten rund 34 Millionen Euro sicher.
Gutscheine und Prepaid-Karten als niedrigschwellige Variante
Nicht jede illegale Zahlung erfordert technisches Spezialwissen. Für Betrug, Erpressung und Romance Scams ist eine ganz andere Kategorie das Mittel der Wahl: handelsübliche Gutscheine und Prepaid-Produkte.
Paysafecard funktioniert über einen 16-stelligen PIN-Code, den man anonym gegen Bargeld an Tankstelle oder Kiosk kauft. Online muss nur dieser Code eingegeben werden – keine Bankdaten, keine Identität. Der Empfänger löst ihn ein oder verkauft ihn weiter. BaFin und BKA warnen seit Jahren vor dem Geldwäscherisiko solcher Vouchers. Amazon-Gutscheine und ähnliche Händler-Geschenkkarten sind aus drei Gründen besonders beliebt: Sie lassen sich in kleinen Beträgen ohne Identifizierung kaufen, per Chat als bloße Codenummer weitergeben und am Ende gegen physische Ware eintauschen, die sich verkaufen lässt. Seit der EU-Einstufung als E-Geld muss Amazon zwar bei bestimmten Transaktionen Identitätsprüfungen vornehmen – in der Praxis greifen diese Kontrollen aber nur punktuell. Klassisches Muster: Täter drängen ihre Opfer, Gutscheincodes zu kaufen und zu übermitteln. Dieselbe Mechanik gilt für Gaming-Guthaben wie Google Play, iTunes oder Steam, wo der zusätzliche Handel mit virtuellen Items eine weitere Verschleierungsebene bietet.
TikTok-Coins: Social Media als Bank?
Die vielleicht unterschätzteste Entwicklung betrifft die virtuellen Währungen sozialer Plattformen. TikTok-Coins kauft der Nutzer mit echtem Geld und verschenkt sie während Livestreams an Content Creator. TikTok wandelt eingehende Geschenke intern in „Diamonds“ um, die der Creator sich – abzüglich einer Provision von rund 50 Prozent – auszahlen lassen kann.
Für Geldwäsche ist dieser Kreislauf wie geschaffen: Inkriminiertes Geld kauft Coins, diese fließen an einen kontrollierten Account, der die Diamonds auszahlt. Weil echte Fans parallel ebenfalls Geschenke senden, vermischen sich legale und illegale Geldflüsse von selbst – das klassische „Layering“ entsteht quasi nebenbei. Der US-Bundesstaat Utah hat TikTok deshalb als unlizenziertes Geldtransferunternehmen verklagt und weist darauf hin, dass der Konzern intern bereits ab 2021 von dem Missbrauch wusste, ohne wirksam einzuschreiten. Rechtlich heikel: Viele Aufsichtsbehörden behandeln solche Plattformen noch nicht als Finanzinstitute, obwohl sie faktisch Zahlungsverkehr abwickeln – was die Anwendung von § 261 StGB und Geldwäschegesetz erheblich erschwert. Wer TikTok-Coins bislang für eine Spielerei hielt, sollte umdenken.
PayPal: weniger Zahlungsmittel und mehr Beute?
PayPal spielt in dieser Welt eine Doppelrolle. Als direktes Zahlungsmittel für illegale Ware taugt es kaum, weil die Betrugserkennung zu engmaschig ist. Als Ressource dagegen ist es Gold wert: Kriminelle erbeuten massenhaft Zugangsdaten über Infostealer-Malware, Phishing und Fakeshops und verkaufen sie im Darknet. Mit gekaperten Konten greifen sie per Lastschrift auf das verknüpfte Bankkonto zu oder shoppen auf Kosten des Opfers. Im August 2025 standen 15,8 Millionen PayPal-Zugangsdaten im Darknet zum Verkauf. PayPal ist hier also weniger Transaktionsweg als vielmehr Angriffsziel und Baustein komplexerer Betrugsschemata.
Hawala: das uralte System im digitalen Zeitalter
So digital die Schattenwirtschaft auch ist – am Ende muss Krypto-Reichtum in greifbares Bargeld verwandelt werden. Hier kommt das wohl älteste Werkzeug ins Spiel: Hawala, ein rund 1.200 Jahre altes informelles Transfersystem. Ein Vermittler in Land A nimmt Bargeld entgegen, ein Netzwerkpartner in Land B zahlt es aus – ohne Bankkonto, ohne Dokumentation, ohne Spur. In Deutschland ist das verboten, es verstößt gegen das Zahlungsdiensteaufsichtsgesetz und § 261 StGB. Das LKA Nordrhein-Westfalen nennt Underground-Banking eine „wesentliche Triebfeder für Kriminelle“. Vor dem Landgericht Darmstadt stand 2024 ein Fall mit einem Transfervolumen von rund zwei Millionen Euro. Wie nahtlos Alt und Neu ineinandergreifen, zeigte das BKA im Mai 2026: Drogenhändler erwirtschafteten Millionen in Kryptowerten und tauschten sie über ein Underground-Banking-Netzwerk gegen Bargeld – mit Finanztransaktionen von Deutschland bis Vietnam.
Money Mules: die menschliche Schwachstelle
Bleibt das letzte Glied der Kette: Personen, die ihr eigenes Bankkonto für die Weiterleitung krimineller Gelder hergeben. Money Mules oder Finanzagenten werden heute gezielt über TikTok, Instagram, Snapchat und Telegram mit verlockenden Nebenjob-Angeboten rekrutiert. Das Tückische: Strafbar nach § 261 StGB macht sich der Mule auch dann, wenn er die kriminelle Herkunft der Gelder nicht kannte – Leichtfertigkeit genügt. Die Kriminalpolizei Dortmund verzeichnete bereits 2024 einen deutlichen Anstieg solcher Fälle.
Darknet-Payments
| Zahlungsmethode | Anonymität | Typischer Einsatz | Ermittlungsansatz |
|---|---|---|---|
| Bitcoin | mittel (rückverfolgbar) | Darknet-Märkte, Ransomware | Blockchain-Analyse |
| Monero | sehr hoch | High-End-Darknet, Drogenhandel | kaum möglich, Börsen-Monitoring |
| Stablecoins (USDT) | mittel–hoch | Sanktionsumgehung, Plattformen | Issuer-Kooperation, Freezing |
| Mixer / Tumbler | hoch | Verschleierung von BTC-Erlösen | Server-Beschlagnahme |
| No-KYC-Exchanges | sehr hoch | Krypto-zu-Bargeld-Wechsel | Infrastructure-Takedowns |
| Paysafecard / Prepaid | hoch | Betrug, Kleinbeträge | Verkaufsstellen-Monitoring |
| Amazon-/Gaming-Gutscheine | hoch | Erpressung, Betrug | Einlöse-Schwellen, KYC |
| TikTok-Coins | mittel (AML-Lücke) | Geldwäsche via Livestream | Plattformregulierung offen |
| PayPal (gekapert) | niedrig–mittel | Käufe auf Opferkosten | Zugangsdaten-Ermittlung |
| Hawala | sehr hoch | Bargeldtransfer grenzüberschreitend | Financial Intelligence |
| Money Mules | hoch | Layering von Betrugsgeld | Kontoanalyse, Social Media |
Ausblick
Die Strafverfolgung reagiert auf diese Vielfalt mit einem Vier-Ebenen-Ansatz: personenbezogene Ermittlungen, Zerschlagung technischer Infrastruktur, Entzug finanzieller Mittel und gezielte Störung der Kommunikation in der Szene. Die Blockchain-Forensik ist dabei zum zentralen Werkzeug avanciert, und Chainalysis-Daten finden zunehmend Eingang in Strafverfahren. Genau hier aber liegt ein für die Verteidigung relevanter Punkt, der bislang zu selten thematisiert wird: Blockchain-Analysen sind keine unmittelbaren Beweise, sondern Schlussfolgerungen aus Wahrscheinlichkeitskorrelationen. Wer die Methoden des Geldflusses versteht, versteht auch ihre forensischen Grenzen … und das gilt für beide Seiten des Gerichtssaals.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Berichterstattung: bewusst einseitig ist schon unwahr – 23. Juni 2026
- Crimenetwork: Phönix aus dem Darknet – 22. Juni 2026
- Compliance-Versagen durch KI-Agenten: Wer haftet wenn Chatbots Grenzen überschreiten? – 22. Juni 2026