Am 10. März 2025 wurde bekannt, dass ein schwerer Hack auf das DeFi-Protokoll 1INCH stattfand, der zu Rückzahlungen in Höhe von rund 5 Millionen USD durch die Angreifer führte. Diese betrügerischen Aktivitäten werfen Fragen über die Sicherheit im Kryptowährungsbereich auf und insbesondere darüber, welche rechtlichen Risiken Unternehmen und Investoren im Kontext von Cyberangriffen begegnen.
Nach Angaben von anwalt.de behielten die Hacker einen Teil der gestohlenen Mittel als „Belohnung“ für das Aufzeigen von Sicherheitslücken. Während eine Rückzahlung gewisse Hoffnung vermitteln könnte, birgt das Verhandeln mit Hackern erhebliche rechtliche Risiken für betroffene Unternehmen. Dazu gehören sowohl strafrechtliche als auch zivilrechtliche Aspekte, die eine umfassende Risk-Management-Strategie erforderlich machen.
Rechtliche Risiken
Unternehmen, die Opfer eines Hacks werden, sehen sich verschiedenen Herausforderungen gegenüber. Ein wesentlicher Punkt sind die strafrechtlichen Risiken. Der Hack könnte als strafbarer Diebstahl nach § 242 StGB betrachtet werden. Die Akzeptanz gestohlener Gelder könnte auch als Geldwäsche (§ 261 StGB) eingestuft werden, während Verhandlungen mit Hackern möglicherweise als Beihilfe zur Erpressung (§ 253 StGB) interpretiert werden könnten. Unternehmen wird geraten, strafrechtliche Ermittlungen einzuleiten und mit den Behörden zu kooperieren.
Auf zivilrechtlicher Ebene könnten Nutzer Schadensersatzansprüche nach § 823 BGB geltend machen, wenn sie aufgrund mangelnder Sicherheitsstandards Verluste erlitten haben. AGB-Klauseln, die Haftpunkte für Hacks ausschließen, könnten nach deutschem Recht (§ 307 BGB) unwirksam sein, falls grundlegende Sicherheitsvorkehrungen fehlen. Daher sollten Unternehmen ihre Vertragsgestaltung und IT-Sicherheitsstandards überprüfen.
Compliance-Anforderungen und Empfehlungen
Die BaFin hat zudem klare Anforderungen an die Compliance von Unternehmen im Kryptowährungsbereich. Cyberangriffe müssen gemäß § 24c KWG unverzüglich der BaFin gemeldet werden. Verhandlungen mit Angreifern verstoßen gegen Aufsichtspflichten, und unzureichende IT-Sicherheit kann als Organisationsverschulden (§ 25a KWG) gewertet werden, was mit Bußgeldern bis zu 5 Millionen Euro geahndet werden kann. Die BaFin hat bereits die Prüfungen von Krypto-Unternehmen verschärft.
Zu den empfohlenen Maßnahmen zählt die forensische Analyse der Angriffe, um jeden Schritt für potenzielle strafrechtliche Verfolgung und Haftungsfragen zu dokumentieren. Ein Compliance-Check durch Experten ist ebenfalls wichtig, um Verträge und Sicherheitsprotokolle zu überprüfen. Transparente Kommunikation gegenüber den Behörden ist unerlässlich, um eigenmächtige Verhandlungen mit Hackern zu vermeiden.
Risiken beim Erwerb von Kryptowährungen
Zusätzlich zu den oben genannten Risiken weist die BaFin auch auf die Gefahren des Erwerbs von Kryptowerte hin, darunter Bitcoin, Ether, XRP, Bitcoin Cash und Litecoin. Verbraucher können erhebliche Kapitalverluste erleiden, was Risiken nicht nur beim direkten Erwerb, sondern auch bei derivativen Finanzinstrumenten wie CFDs und Zertifikaten umfasst. Hohe Volatilität und mögliche Illiquidität von Kryptowerten stellen weitere Risiken dar, wie in einer Mitteilung der BaFin aufgeführt.
Insgesamt macht dieses Ereignis deutlich, dass Unternehmen im Kryptowährungssektor nicht nur mit technischen, sondern auch mit rechtlichen Herausforderungen konfrontiert sind. Ein umfassendes Sicherheits- und Compliance-Management ist unerlässlich, um nicht nur finanzielle, sondern auch rechtliche Folgen von Cyberangriffen zu minimieren.
Sowohl im Hinblick auf die rechtlichen Rahmenbedingungen als auch auf die Sicherheit können Unternehmen ihre Strategien verbessern, um sich im dynamischen Umfeld der Kryptowährungen abzusichern. Laut der BaFin wird es immer wichtiger, sich über die Definition und die rechtlichen Anforderungen im Kryptoverwahrungsgeschäft im Klaren zu sein.
