Psychotricks statt Code-Knacken: Social Engineering dominiert

Der menschliche Faktor ist zur größten Sicherheitslücke im Krypto-Ökosystem geworden. Weg sind die Zeiten, in denen Hacker ausschließlich nach Schwachstellen im Code suchten. Stattdessen setzen Kriminelle zunehmend auf Psychologie: Falsche Anrufe, Deepfakes und manipulierte E-Mails machen den Nutzer zum schwächsten Glied der Kette – ein Trend, den Wallet-Anbieter nun mit ungewöhnlichen Maßnahmen zu kontern versuchen.

Die Zahlen des jüngsten FBI-Berichts sind alarmierend: Die Verluste durch Kryptowährungsbetrug in den USA erreichten im Jahr 2025 rund 11 Milliarden US-Dollar – ein Anstieg von 22 Prozent im Vergleich zum Vorjahr. Der Sicherheitsdienstleister AMLBot schlüsselt auf, dass in 65 Prozent der untersuchten Diebstähle Social Engineering die entscheidende Rolle spielte, nicht etwa technische Exploits.

Coinbase-Leck als Menetekel

Ein exemplarischer Fall verdeutlicht die neue Bedrohungslage: Im Mai 2025 gelang es Angreifern, Support-Mitarbeiter der Börse Coinbase zu bestechen. Die Täter erlangten Zugriff auf Namen, E-Mail-Adressen und offizielle Ausweisdokumente von Kunden – Daten, die sie anschließend für gezielte Identitätstäuschungen nutzten. Die Schwachstelle war nicht der Code, sondern die Organisation.

„Guardian Mode“: 48 Stunden Bedenkzeit

Die Antwort der Branche ist so pragmatisch wie unkonventionell. Der von Bitcoin-Entwickler Jameson Lopp gegründete Custody-Dienst Casa präsentierte am 26. Mai seinen „Guardian Mode“. Das System greift tief in den Nutzungsablauf ein: Es verlangt ein Video-Gespräch mit zwei Beratern und eine 48-stündige Wartezeit, bevor eine Transaktion ausgeführt wird. Die Funktion „Phone Call Detection“ blockiert Überweisungen sogar komplett, wenn der Nutzer sich in einem aktiven Telefonat befindet – es sei denn, ein spezieller Code wird eingegeben. Hinzu kommen Whitelisting und Geo-Alarme.

Die Logik dahinter ist simpel: Zeitdruck ist das bevorzugte Werkzeug der Angreifer. Indem die Plattform Zwangspausen einbaut, soll der Nutzer Gelegenheit erhalten, die Situation rational zu überdenken. Casa betont, dass alle Funktionen freiwillig („opt-in“) seien und die souveräne Wiederherstellung der Wallet weiterhin möglich bleibe.

Ein ganzer Sektor justiert nach

Andere große Player gehen ähnliche Wege. MetaMask verbesserte seinen Phishing-Schutz und warnt nun vor simulierten Transaktionen bei dApp-Interaktionen. Trust Wallet mit seinen über 220 Millionen Nutzern blockierte allein 2025 durch einen Sicherheitsscanner Transaktionen im Wert von 191 Millionen US-Dollar. Zengo wiederum eliminierte die Samenphrase als Angriffsvektor komplett und setzt auf biometrische Gesichtserkennung in Kombination mit Multi-Party Computation (MPC).

Die zugrundeliegende Erkenntnis teilt die gesamte Branche: Der Schutz privater Schlüssel allein ist wertlos, wenn der Angreifer seinen Besitzer dazu bringt, sie freiwillig zu verwenden.

KI beschleunigt die Angreifer

Die Dringlichkeit der Lage unterstreicht Charles Guillemet, CTO von Ledger. Er warnte im April 2026, dass Künstliche Intelligenz die Einstiegshürde für Angreifer massiv senkt: Ein KI-Modell zu bitten, Code-Schwachstellen zu analysieren und einen Exploit zu generieren, sei schneller, billiger und effizienter als je zuvor. Maximiliano Carjuzaa, Mitgründer des DeFi-Protokolls Money On Chain, geht noch weiter: Nahezu 100 Prozent der jüngsten Attacken hätten einen KI-Bezug. In seinem eigenen Protokoll entdeckte ein KI-Tool in weniger als einer Minute eine Schwachstelle, die fünf menschliche Audits und sieben Jahre Produktionsbetrieb überstanden hatte.

Die Wallet-Betreiber setzen also auf Verlangsamung und Reibung – gegen einen Gegner, der durch KI immer schneller wird. Für Anleger im DACH-Raum bleibt die steuerliche Einordnung dieser technischen Schutzmechanismen relevant: Werden Verluste durch Social Engineering als Veräußerungsverlust oder als Diebstahl gewertet, kann dies bei der Steuererklärung (§ 22 EStG) entscheidende Folgen haben.