Chainalysis & Blockchain-Analyse als Beweismittel: Wie belastbar ist die Spur?
In der Ermittlungsakte liegt ein bunt eingefärbter Graph: Adressen, Pfeile, Cluster, dazwischen Namen von Krypto-Börsen. Am Ende steht eine Wallet, die angeblich Ihnen gehört, und daneben eine Summe, die die Staatsanwaltschaft als Tatertrag einziehen will. Erzeugt hat diese Grafik keine Behörde, sondern eine Software – meist Chainalysis, TRM Labs oder Elliptic. Und genau hier beginnt die Verteidigung.
Wir verteidigen Beschuldigte in Krypto-Verfahren als Fachanwälte für Strafrecht und Steuerrecht. Blockchain-Analysen sehen beeindruckend objektiv aus. Bei näherem Hinsehen sind sie eine Kette von Annahmen – und jede dieser Annahmen kann falsch sein. Wer das versteht, verhandelt in seinem Verfahren aus einer ganz anderen Position.
Was die Blockchain zeigt – und was nicht
Die Blockchain ist ein öffentliches, unveränderliches Kassenbuch. Sie belegt zuverlässig, dass eine Adresse zu einem Zeitpunkt einen bestimmten Betrag an eine andere Adresse gesendet hat. Das ist der harte Kern, an dem nichts zu rütteln ist.
Was die Blockchain gerade nicht zeigt, ist die Person dahinter. Eine Bitcoin-Adresse ist ein Pseudonym, kein Name. Der Schritt von der Adresse zum Menschen – die Zurechnung – ist keine Tatsache, sondern eine Schlussfolgerung. Diese Schlussfolgerung leisten die Analysetools über zwei Brücken: KYC-Daten der Börsen (wo ein Konto auf einen echten Namen läuft) und statistische Heuristiken, die Adressen zu „Clustern“ eines mutmaßlich selben Inhabers zusammenfassen. Beide Brücken tragen nicht immer.
Die Achillesferse: das Clustering
Herzstück jeder Blockchain-Analyse ist die sogenannte Common-Input-Ownership-Heuristik: Werden in einer Transaktion mehrere Eingänge zusammengeführt, unterstellt die Software, dass alle diese Adressen demselben Inhaber gehören. Das stimmt oft – aber eben nicht immer. CoinJoin-Transaktionen, Mixer, Custodial Wallets von Börsen, Payment-Batching oder schlicht mehrere Nutzer einer geteilten Wallet brechen diese Annahme. Wo die Heuristik irrt, wird eine fremde Adresse fälschlich Ihrem Cluster zugeschlagen – und mit ihr ein Betrag, der nie Ihnen gehörte.
Das Ergebnis solcher Tools ist deshalb keine Gewissheit, sondern eine Wahrscheinlichkeitsaussage. Chainalysis selbst versieht Zuordnungen intern mit Konfidenzstufen. In der deutschen Ermittlungsakte taucht diese Unsicherheit oft nicht mehr auf – dort steht die bunte Grafik dann als scheinbar feststehendes Ergebnis. Diese Verkürzung offenzulegen, ist Verteidigungsarbeit.
Kein Freibrief: Es gibt keine gefestigte höchstrichterliche Rechtsprechung
Anders als bei etablierten Beweismitteln wie der DNA-Analyse gibt es zur Verwertbarkeit und Beweiskraft kommerzieller Blockchain-Forensik in Deutschland bislang keine gefestigte Rechtsprechung des Bundesgerichtshofs. Gerichte stützen sich in der Praxis auf die Analysen, ohne dass deren Methodik regelmäßig offengelegt oder unabhängig überprüft würde. Das ist keine Schwäche der Verteidigung, sondern eine Chance: Wo die Beweisregeln noch nicht ausjudiziert sind, lässt sich streiten.
Maßstab bleibt der Strengbeweis und die freie richterliche Beweiswürdigung nach § 261 StPO. Das Gericht muss von der Täterschaft überzeugt sein; verbleiben vernünftige Zweifel an der Zurechnung, gilt der Grundsatz in dubio pro reo. Eine Software-Wahrscheinlichkeit von „wahrscheinlich derselbe Inhaber“ ist genau das – wahrscheinlich, nicht sicher.
Die Werkzeuge der Verteidigung
Dahinter steht ein Grundproblem der Waffengleichheit: Die Ermittlungsbehörden verfügen über teure kommerzielle Analysesoftware und geschulte Auswerter, die Verteidigung muss sich diese Expertise erst beschaffen. Umso wichtiger ist es, die eigenen Verfahrensrechte konsequent zu nutzen, statt die Grafik der Behörde als gesetzt hinzunehmen. Gegen eine Blockchain-Analyse verteidigt man nicht mit Bauchgefühl, sondern mit Verfahrensrechten:
- Akteneinsicht in die Rohdaten und die Methodik verlangen (§ 147 StPO) – nicht nur der fertige Report gehört in die Akte, sondern die zugrunde liegenden Transaktionsdaten und die verwendeten Annahmen.
- Die Zuordnung Adresse zu Person angreifen – wer hatte tatsächlich Zugriff auf den privaten Schlüssel? Geteilte Wallets, gehackte Accounts und Custodial-Lösungen säen berechtigten Zweifel.
- Einen eigenen Sachverständigen ins Spiel bringen und Beweisanträge nach § 244 StPO stellen – die Heuristiken sind überprüfbar, die Cluster nachrechenbar.
- Die Betreiber-Blackbox thematisieren – die genaue Funktionsweise kommerzieller Tools ist Geschäftsgeheimnis der Anbieter; was nicht überprüfbar offengelegt wird, kann in seiner Beweiskraft nicht unbesehen hingenommen werden.
Anfangsverdacht ist nicht gleich Verurteilungsbeweis
Ein häufiges Missverständnis auf beiden Seiten: Für die Einleitung eines Ermittlungsverfahrens, eine Durchsuchung oder eine Kontosperre genügt ein Anfangsverdacht – und dafür reicht eine Blockchain-Analyse regelmäßig aus. Etwas ganz anderes ist der Beweis, der für eine Verurteilung trägt. Hier muss das Gericht die volle Überzeugung von der Täterschaft gewinnen. Zwischen „verdächtig genug für eine Durchsuchung“ und „bewiesen genug für eine Verurteilung“ liegt ein weiter Raum, in dem sich Verteidigung bewegt. Wer das verkennt und im Ermittlungsverfahren vorschnell einräumt, verschenkt genau diesen Raum.
Verstärkt wird die Analyse in der Praxis fast immer durch die KYC-Daten der Börsen: Sobald eine verdächtige Adresse Coins an ein verifiziertes Börsenkonto sendet, verknüpft sich das Pseudonym mit einem Klarnamen. Das ist oft der eigentlich belastende Punkt – nicht die Grafik selbst, sondern die eine Transaktion zur Börse. Die Verteidigung muss deshalb genau trennen: Was folgt aus harten KYC-Daten, und was ist nur heuristisch erschlossen?
Typische Fehler der Betroffenen
- Die Grafik für bare Münze nehmen – wer die Zuordnung früh akzeptiert, macht das wahrscheinlichste Szenario der Ermittler zur eigenen Wahrheit.
- Beträge bestätigen, die aus fremden Cluster-Anteilen stammen – einmal eingeräumt, ist die falsche Zuordnung kaum noch zu korrigieren.
- Ohne Not erklären, wie eine Transaktion „wirklich“ war – jede Erklärung liefert den Ermittlern neue Anknüpfungspunkte und schließt Lücken in deren Kette.
- Die Akteneinsicht auf den Report beschränken lassen – ohne die Rohdaten lässt sich die Methodik nicht prüfen.
Mixer, CoinJoin und Privacy-Coins: die Spur bricht ab
Genau an den Werkzeugen, die die Analyse erschweren, entzündet sich oft der Streit. Mixer-Dienste, CoinJoin-Transaktionen oder Privacy-Coins wie Monero durchbrechen die Common-Input-Heuristik bewusst: Nach dem Mischvorgang lässt sich nicht mehr sicher sagen, welcher Ausgang zu welchem Eingang gehört. Die Ermittler arbeiten dann mit Wahrscheinlichkeitszuordnungen, die deutlich weicher sind als eine klare On-Chain-Spur.
Wichtig ist die rechtliche Klarstellung: Die bloße Nutzung eines Mixers ist für sich genommen kein Beweis für eine Straftat – Privatsphäre ist kein Schuldeingeständnis. Erst wenn die gemischten Coins nachweisbar aus einer Vortat stammen, kommt der Geldwäschevorwurf in Betracht. Wo die Analyse an der Mischung abreißt, fehlt häufig gerade dieser Nachweis. Wir haben die Strafbarkeitsfrage rund um Mixer im Beitrag Bitcoin-Mixer benutzt – strafbar? vertieft.
Wann die Analyse trägt
Zur ehrlichen Einordnung gehört auch das Gegenteil: Nicht jede Blockchain-Analyse ist angreifbar. Sendet ein Beschuldigter Coins direkt von seinem verifizierten Börsenkonto an eine eindeutig einer Straftat zugeordnete Adresse, ist die Spur hart und die Zuordnung kaum zu erschüttern. Wer in einer solchen Konstellation auf pauschale Zweifel setzt, verliert an Glaubwürdigkeit. Gute Verteidigung unterscheidet deshalb genau, wo die Kette hält und wo sie bricht – und konzentriert die Kraft auf die schwachen Glieder.
Wo Blockchain-Analysen im Verfahren auftauchen
Diese Tools stehen selten allein. Sie sind der rote Faden, an dem entlang Durchsuchungen angeordnet, Konten gesperrt und Wallets sichergestellt werden. Das Bundeskriminalamt setzt sie in großen Verfahren gegen Darknet-Märkte und Mixer ein. Am Ende trifft die Analyse auf die reale Welt – und dort wird der Zugriff auf die Coins erzwungen. Was Sie bei der Sicherstellung der Wallet herausgeben müssen und was nicht, behandeln wir im Beitrag Seed Phrase und PIN bei der Wallet-Beschlagnahme; wie eine Beschlagnahme der Bitcoin-Wallet abläuft, lesen Sie dort ebenfalls.
Stützt sich der Vorwurf auf eine Steuerschätzung aus On-Chain-Daten, lohnt zusätzlich der Blick in unseren Beitrag zur Steuerfahndung bei Kryptowährung – auch dort ist die Datengrundlage der entscheidende Hebel.
Vertiefung und dauerhafte Beratung
Den umfassenden Überblick zu Sicherstellung, Wallet-Forensik und Verteidigungsstrategie finden Sie auf unserer Spezialisierungsseite Beschlagnahme & Wallet Forensik. Liegt in Ihrer Akte eine Blockchain-Analyse, sollte sie nicht als feststehendes Ergebnis hingenommen, sondern Schritt für Schritt nachgeprüft werden – oft hält der Graph der Prüfung nicht stand.

