Glossar der Bitcoin-Forensik

Die 6. EU-Geldwäscherichtlinie — Teil des AMLA-Pakets 2024. Harmonisiert AML-Pflichten EU-weit, senkt die Bargeldgrenze auf 10.000 € und bringt erweiterte Sorgfaltspflichten für Krypto-Transfers zu Self-Custody-Wallets (ab 1.000 €). Deutsche Umsetzung im Geldwäschegesetz bis Juli 2027.

Der Sammelbegriff für Geldwäsche-Präventions-Maßnahmen. Umfasst KYC, KYT, Verdachtsmeldungen (SARs/STRs), Sanktions-Screening. Rechtsrahmen in der EU: AMLR (direkt anwendbar), AMLD6 (Richtlinie), AMLA (neue EU-Aufsichtsbehörde).

Ein kryptographisch abgeleiteter Identifier, an den Bitcoin-Beträge gesendet werden können. Aus einem öffentlichen Schlüssel mit Hash-Funktionen erzeugt. Heute in drei Formaten üblich: Legacy (beginnt mit 1), P2SH (beginnt mit 3) und Bech32 (beginnt mit bc1). Eine Adresse gehört nicht zwangsläufig zu einer einzelnen Person — über Cluster-Analysen lassen sich Adressen oft gemeinsamen Eigentümern zuordnen.

Die Blockchain ist ein kryptographisch verknüpftes Journal aus Blöcken, die jeweils etwa 2.500–3.500 Bitcoin-Transaktionen enthalten. Alle ca. 10 Minuten wird ein neuer Block durch Mining angehängt. Jeder Block verweist durch einen Hash auf seinen Vorgänger — die entstehende Kette ist manipulationsresistent und bildet das vollständige öffentliche Hauptbuch aller Bitcoin-Transaktionen.

CASP = Crypto-Asset Service Provider (EU-Begriff aus MiCA). VASP = Virtual Asset Service Provider (FATF-Begriff, international). Beides bezeichnet Anbieter, die Krypto-Dienstleistungen gewerblich erbringen: Börsen, Wallet-Anbieter, Zahlungsdienstleister, Custodians. Unterliegen AML-, KYC- und lizenzrechtlichen Pflichten.

Wenn ein Nutzer 0,8 BTC bezahlen will, aber einen UTXO über 1,0 BTC hat, gehen 0,2 BTC als Wechselgeld (Change) an eine neue Adresse desselben Nutzers zurück. Diese Change-Adresse gehört zum Cluster — sie korrekt zu identifizieren ist eine der schwierigsten Forensik-Aufgaben. Typische Heuristiken: Round-Number-Analyse, Fresh-Address-Detection, Optimal-Change.

Ein Cluster ist eine Gruppe von Bitcoin-Adressen, die mit hoher Wahrscheinlichkeit zum selben Eigentümer (einer Person, einer Börse, einem Mining-Pool) gehören. Cluster werden durch forensische Heuristiken gebildet — meist durch Kombination von Multi-Input, Change-Detection und Verhaltens-Mustern. Je größer und stabiler ein Cluster, desto zuverlässiger die Zuordnung.

Eine kollaborative Transaktion, in der mehrere Nutzer ihre Inputs bündeln und die Outputs vermischen, um Clustering zu erschweren. Verbreitet durch Wasabi-Wallet (ZeroLink-Protokoll) und Samourai Whirlpool. Forensisch erkennbar an gleichen Output-Beträgen (Equal-Output-CoinJoin). Eine gute Erkennung verhindert, dass CoinJoin-Teilnehmer irrtümlich zu einem Cluster zusammengefasst werden.

Der direkte Tausch von Coins zwischen verschiedenen Blockchains, ohne zentrale Börse. Bekannte Protokolle: THORChain (BTC ↔ ETH, BNB, AVAX, ATOM, DOGE, LTC, BCH), Chainflip (BTC ↔ ETH, SOL, Arbitrum, Polkadot), Bridgers (Aggregator). Ursprünglich für Arbitrage entwickelt, zunehmend auch zur Verschleierung genutzt. Coinator verfolgt Swaps über Memo-Dekodierung und Timing-Korrelation.

Die 8. Änderung der EU-Amtshilferichtlinie (Directive on Administrative Cooperation). Verpflichtet CASPs ab Steuerjahr 2026 zur Meldung von Kundendaten, Jahresumsätzen und Veräußerungs-Erträgen an die Finanzbehörde des Wohnsitz-Staates. Das Krypto-Äquivalent zum bestehenden OECD-CRS für Bankkonten.

Datenschutz-Grundverordnung (DE) / General Data Protection Regulation (EN) — EU-weite Regulation zum Schutz personenbezogener Daten, in Kraft seit 25. Mai 2018. Für Coinator relevant, weil Forensik-Arbeit mit personenbezogenen Daten Berührungspunkte hat: Rechtsgrundlagen für Verarbeitung, Betroffenenrechte, Meldepflichten bei Datenpannen. Coinator wird DSGVO-konform in Deutschland betrieben.

Dust bezeichnet kleinste UTXO-Beträge (wenige hundert Satoshi), die kaum ausgegeben werden können, weil die Gebühr den Wert übersteigen würde. Eine Dust-Attack ist das gezielte Versenden solcher Kleinstbeträge an viele Adressen, um im nächsten Spend-Vorgang Cluster-Informationen zu gewinnen. Forensisch interessant als Tracking-Indikator.

Fan-out beschreibt eine Topologie, in der ein Cluster seine Coins auf viele Empfänger aufsplittet (typisch für Layering bei Geldwäsche). Fan-in ist das Gegenteil — viele Quellen konsolidieren sich in einem Cluster (typisch für Aggregations-Wallets von Börsen). Beides sind starke Indikatoren für Entitätstypen.

Wallet-Software-Fingerprinting identifiziert die verwendete Wallet-Software anhand charakteristischer Eigenschaften der erzeugten Transaktionen — z. B. Wasabi-Signaturen, Electrum-nSequence-Wahl, Trezor-Suite-Adressreihenfolge. Erlaubt Rückschlüsse auf Nutzer-Typ und -Verhalten, ohne direkte Identifizierung.

Eine Heuristik ist eine probabilistische Regel, die mit vertretbarem Aufwand zu einer wahrscheinlich richtigen Antwort führt. In der Bitcoin-Forensik sind Heuristiken die Basis der Cluster- und TX-Analyse. Anders als deterministische Beweise liefern sie Wahrscheinlichkeitsaussagen — ihre Qualität zeigt sich in der Falsch-Positiv-Rate.

Jede Bitcoin-Transaktion referenziert Inputs (Verweise auf bestehende UTXOs) und erzeugt neue Outputs. Die Gesamtsumme der Inputs muss mindestens so hoch sein wie die Outputs; die Differenz ist die Mining-Gebühr. Mehrere Inputs aus verschiedenen Adressen deuten darauf hin, dass diese Adressen demselben Eigentümer gehören — die Basis der Multi-Input-Heuristik.

Die Kunden-Identifizierungs-Pflicht, die Banken und CASPs vor Geschäftsaufnahme erfüllen müssen — Ausweis-Prüfung, Wohnsitz-Nachweis, PEP-Check. Fundament jeder AML-Compliance. Bei Krypto wird KYC in der Regel digital durchgeführt (Video-Ident, Document-Scan).

Die Erweiterung von KYC um die laufende Analyse einzelner Transaktionen: Woher kommt das Geld? Gibt es Verknüpfungen zu Mixern oder Sanktionsadressen? Ist das Verhalten auffällig? KYT ist der natürliche Einsatzbereich für on-chain-basierte Forensik-Tools wie Coinator.

Markets in Crypto-Assets Regulation — EU-Verordnung, in Kraft seit 30. Juni 2024 (Stablecoins) und 30. Dezember 2024 (vollumfänglich). Erster umfassender Regulierungsrahmen für Krypto-Assets. Enthält Lizenz-, Offenlegungs- und Compliance-Pflichten für CASPs. Kombination mit der TFR bringt die Travel-Rule für alle Krypto-Transfers zwischen CASPs.

Ein zentralisierter (oder semi-dezentraler) Dienst, der Bitcoin-Einzahlungen mehrerer Nutzer bündelt, vermischt und in anderer Kombination auszahlt — zur Verschleierung der Herkunft. Bekannte Beispiele: ChipMixer (2023 beschlagnahmt), Sinbad (2024 beschlagnahmt), Tornado Cash (ETH-basiert, 2022 OFAC-gelistet). Coinator erkennt charakteristische Pattern der gängigen Mixer.

Die zentrale Heuristik der Bitcoin-Forensik: Wenn in einer Transaktion mehrere Adressen als Inputs verwendet werden, gehören diese mit hoher Wahrscheinlichkeit zum selben Eigentümer — die Wallet-Software signierte gleichzeitig mit allen zugehörigen Private Keys. Basis praktisch aller Cluster-Algorithmen.

OFAC = Office of Foreign Assets Control, die US-Sanktionsbehörde. Führt die SDN-Liste (Specially Designated Nationals) — Personen, Organisationen und seit 2022 auch Smart-Contracts, mit denen US-Personen keine Geschäfte machen dürfen. Europäische Institutionen sind nicht direkt gebunden, übernehmen die Listings aber oft faktisch.

Eine Zwei-Parteien-Transaktion, in der auch der Empfänger einen Input beisteuert (BIP-78). Dadurch wird die klassische Multi-Input-Heuristik ausgehebelt — der Forensiker nimmt fälschlich an, alle Inputs gehörten demselben Eigentümer. Erkennung über atypische Output-Verteilungen und Wallet-spezifische Signaturen.

Eine Peel-Chain ist eine Abfolge von Transaktionen, in der jeweils ein kleiner Betrag abgespalten („peeled") und der Rest-Wert über eine Change-Adresse weitergeführt wird. Bei Geldwäsche dient die Peel-Chain dazu, große Summen in kleine Portionen zu zerteilen. Forensisch erkennbar durch charakteristische Topologie: einzelner Vorwärts-Pfad, regelmäßige Abzweigungen.

Self-Custody bedeutet, dass der Nutzer selbst die privaten Schlüssel zu seinen Coins kontrolliert. Hot Wallets sind online (Mobile-App, Browser-Extension), Cold Wallets offline (Hardware-Wallet, Paper-Wallet). Regulatorisch neu ab MiCA: Bei Übertragungen zwischen CASP-Konten und Self-Custody-Wallets ab 1.000 € gelten erweiterte KYC-Pflichten.

Das Provider-Tagging ordnet Adressen bekannten Entitäten zu — Börsen, Mining-Pools, Payment-Providern, Custodians, ETFs. Getaggte Adressen sind das Fundament der forensischen Interpretation: ohne sie wären Cluster anonyme Graphen. Tagging entsteht durch eigene Interaktion (Deposit machen und Adresse beobachten), OSINT und Austausch in der Forensik-Community.

Kontamination: die Eigenschaft, dass ein UTXO historisch mit einer verdächtigen Quelle (Diebstahl, Mixer, Sanktionsliste) in Verbindung steht. Es gibt mehrere Rechen-Modelle: Poison-Taint (jede Verknüpfung färbt vollständig), Haircut-Taint (proportional), FIFO/LIFO (zeitbasiert). Zentrales Konzept für Mittelherkunfts-Prüfungen.

Transfer of Funds Regulation — EU-Verordnung, die in Verbindung mit MiCA die FATF-Travel-Rule umsetzt. Verpflichtet CASPs, bei Überweisungen zwischen Krypto-Anbietern Absender- und Empfänger-Informationen auszutauschen — ohne Mindestschwelle. Ähnlich dem klassischen SWIFT-Meldesystem bei Banken.

Eine Bitcoin-Transaktion ist eine signierte Nachricht, die Coins von einem oder mehreren Inputs auf einen oder mehrere Outputs überträgt. Jede TX hat eine eindeutige Transaction-ID (TXID, ein Hash). Transaktionen werden in Blöcken gebündelt und sind danach unveränderlich.

Das Unspent-Transaction-Output-Modell ist Bitcoins Buchhaltungsprinzip. Jeder TX-Output ist entweder „unspent" (nutzbar) oder „spent" (verbraucht). Eine Wallet saldiert sich durch Summieren aller UTXOs, die ihr zuzuordnen sind. Zentral für Heuristiken: Das UTXO-Modell offenbart mehr Struktur-Information als kontenbasierte Systeme.