Als Thomas Neumann Mitte Januar aus dem Urlaub zurückkam, war da auf einmal nur noch eine Null. Zehn sogenannte GIOTA  waren aus seiner elektronischen Geldbörse verschwunden, Guthaben in der gerade angesagten Kryptowährung Iota. Im Dezember hatte er dafür 30.000 Euro investiert. Offenbar hatte jemand auf Neumanns Digitalgeld zugreifen und es so stehlen können.

"Ich habe den Iota-Support angeschrieben und nicht einmal eine Antwort bekommen", erzählt Neumann, der eigentlich anders heißt. Bald darauf entschied er, den Fall zur Anzeige zu bringen. Der Beamte auf seiner lokalen Abschnittswache jedoch habe ihn dabei erst einmal mit großen Augen angesehen, sagt Neumann: "Ich habe ihm Iota erst einmal buchstabieren müssen."

Thomas Neumann, 59, passt nicht ins typische Nerd-Klischee: Er war Vorstand eines börsennotierten Unternehmens, mittlerweile lebt er als Privatier in Süddeutschland, wo er die Muße hat, seiner Tech-Leidenschaft zu frönen. Vor geraumer Zeit kaufte er sich einen Tesla, Modell X, das mit den Flügeltüren, nachdem er 30 Jahre lang BMW gefahren war. Und im Dezember schließlich investierte er in Kryptowährungen.

Von Bitcoin oder Ether zu Iota

Er habe seinen Tesla als einer der ersten Anwender mit einer digitalen Geldbörse, einer sogenannten Wallet ausstatten wollen, sagt Neumann, um dann automatisch an Ladestellen oder fürs Parken zahlen zu können. Ums Zocken mit Kryptowährungen sei es ihm nicht gegangen: "Die Technologie an sich hat mich fasziniert".

So wie Neumann ging es Ende des vergangenen Jahres vielen Menschen, erst recht angesichts des Bitcoin-Höhenflugs, von dem auch viele andere Digitalwährungen profitierten. Zunehmend investieren auch Neueinsteiger in Kryptowährungen. Manche in der sich nicht unbedingt erfüllenden Hoffnung, Gewinne zu machen. Andere eher, weil sie tatsächlich die Technik interessiert.

Doch je stärker eine Digitalwährung wächst, je mehr Geld in den Markt fließt, desto attraktiver wird sie und ihre Nutzerschaft auch für Kriminelle. Das zeigt sich auch am Fall Neumann, denn außer ihm haben zur selben Zeit auch zahlreiche weitere Nutzer die Guthaben ihrer Iota-Geldbörsen verloren.

Schaden in Höhe von Millionen Euro

Bekannt wurde das, weil sich seit Kurzem im Forum "Hello Iota" immer mehr Geschädigte zu Wort melden und ihre Leidens- und Verlustgeschichten erzählen. Addiert man die im Forum genannten Summen, kommt man auf einen Gesamtschaden in Höhe von umgerechnet mehreren Millionen Euro, der mittlerweile auch auf einer Website namens IotaWalletLoss.claims dokumentiert wird .

Iota-Mitgründer Dominik Schiener spricht auf SPIEGEL-Anfrage vom bislang größten Betrug in der Iota-Geschichte, mit einigen Hundert Betroffenen. Das Iota-Team sei "im aktiven Dialog mit der Polizei" und helfe dabei, Informationen zusammenzutragen. Diese werde man auch veröffentlichen, "damit Nutzer selbst einen Polizeireport aufgeben können". Die Community bitte man, zusammenzuarbeiten und "uns beziehungsweise der Polizei dabei zu helfen, so viele Informationen wie möglich zu sammeln".

Betrugsmaschen betreffen mittlerweile praktisch alle wichtigeren Kryptowährungen. Besonders wenn Menschen mit privaten, digitalen Schlüsseln hantieren oder zum ersten Mal virtuelle Coins hin und her transferieren wollen, ergeben sich Angriffsflächen.

Doch es gibt auch Gegenwehr: In Foren wie "Hello Iota", "BitcoinTalk" sowie in Krypto-Foren auf Reddit versuchen sich Nutzer gegenseitig zu warnen, beispielsweise, wenn jemand mit dubiosen Google-Anzeigen prominent für eine nur vorgeblich "offizielle" Iota-Wallet wirbt .

Schon wer Iota kaufen will, macht schnell mit anderen Währungen Bekanntschaft: In der Regel lässt sich Iota an Krypto-Börsen nur mit Bitcoin oder Ether bezahlen - Währungen, deren Marktkapitalisierung um einiges höher ist. Iota hat jedoch ein eigenes technisches Konzept, prominente Kooperationspartner aus der deutschen Industrie und einen anderen Fokus als die bekannteren Kryptowährungen: Geht es nach den Gründern, soll Iota eben kein Spekulationsobjekt sein, sondern Bezahlstandard im "Internet der Dinge" - da sind große Wertschwankungen eher hinderlich.

Die Betrugsmaschen der Krypto-Kriminellen

Weil die Teams hinter Kryptowährungen versuchen, ihre Digitalgeld-Systeme technisch gut zu sichern, versuchen Betrüger vor allem, menschliche Schwächen auszunutzen - so wie auch andere Cyberkriminelle, die per Phishing, also etwa mit gefälschten Websites oder E-Mails zum Beispiel versuchen, Bankkontodaten abzugreifen.

Wie geschickt manch ein Betrüger aus der Krypto-Szene vorgeht, zeigt der Fall eines Reddit-Nutzers aus Schottland. "Moodyrocket" hatte sich per Ebay eine Hardware-Wallet gekauft, eine Art Kryptowährungs-Tresor, in dem er seine kürzlich erworbenen virtuellen Coins jenseits des Rechners aufbewahren wollte.

Anfang Dezember hatte der Nutzer bei seinen Krypto-Investments zunächst Glück: Aus rund 6500 Pfund, die er in Litecoin, Ripple, Bitcoin und Dash investierte, wurden schnell 25.000, vor allem, weil der Kurs von Ripple extrem anstieg. Vier Wochen, nachdem er die Coins in seine Hardware-Wallet transferiert hatte, waren diese aber plötzlich weg.

Erst Reddit lieferte eine Erklärung

Erst nachdem "moodyrocket" auf Reddit über seinen Verlust schrieb , machten ihm andere Nutzer klar, was passiert war: Seine Wallet-Verpackung war vorab manipuliert worden, unter anderem in Form eines beigelegten Wiederherstellungscodes . Die Person, die dies getan hatte, kannte offenbar den Generalschlüssel der Wallet, wodurch sie später - weil "moodyrocket" aufgrund gefälschter Einrichtungshinweise keinen eigenen Schlüssel mehr generierte - auf dessen Guthaben zugreifen konnte.

Die Polizei ermittle noch, erzählt der um seine virtuellen Coins Betrogene vergangenen Freitag auf SPIEGEL-Anfrage, nachdem seine Postings bereits als Warnung auf Krypto-Websites und in YouTube-Videos zitiert wurden. "Ich gehe davon aus, dass die verantwortliche Person gefunden wird."

Klar ist: Die Masche, die auf "moodyrocket" zielte, läuft auch anderswo ab: Knapp entgangen ist ihr zum Beispiel der Reddit-Nutzer "Bill_565", der in Griechenland eine Hardware-Wallet gekauft hatte, in deren Verpackung ebenfalls zusätzliches, präpariertes Material lag. Ihm fiel die Unstimmigkeit aber auf .

Man müsse "seine Hausaufgaben machen", schreibt "Bill_565" dem SPIEGEL, zum Beispiel Anleitungen wirklich lesen. "Der beste Safe der Welt bringt nichts, wenn der Verkäufer selbst noch den Schlüssel dazu hat."

Niemand außer einem selbst sollte den Seed kennen

Dieser Grundsatz hilft auch, den Fall von Thomas Neumann zu verstehen, dem Iota-Käufer. Neumann hatte nämlich vor seinem Urlaub dasselbe getan wie andere Iota-Besitzer, denen nun ihr Digitalgeld fehlt. Er hatte den 81-stelligen Generalschlüssel für seine elektronische Geldbörse - den sogenannten Seed - über eine Website erstellt, deren Anbieter offenbar direkt eine Kopie davon behielt. Mit dieser Kopie ließ sich dann das Guthaben abgreifen.

Iotaseed.io hieß die Betrugs-Website, die mittlerweile nicht mehr unter dieser, aber noch unter ähnlichen Internetadressen zu erreichen ist. Sie ziert ein Iota-Logo, im Kopfteil der Seite wird gar geraten, man solle prüfen, ob man auf der richtigen Seite sei: Es gebe da draußen Betrüger.

Letztlich sind der oder die Betreiber von Iotaseed.io wohl selbst professionell vorgehende  Kryptowährungs-Diebe. Die Betreiber der Website, die im August bei einem Hoster in Panama angemeldet wurde, der die Anonymität seiner Kunden schützt, sammelten offenbar über Monate Seeds von zahlreichen Iota-Besitzern. Dann sahen sie erst einmal seelenruhig zu, wie deren Guthaben an Wert zulegten.

Mitte Januar nutzten die Betrüger schließlich ihre Schlüssel-Kopien und leerten die Geldbörsen von Neumann und anderen Nutzern der Website, angeblich flankiert von einem Überlastungsangriff . Zum Wegüberweisen des Kryptogeldes nutzten die Kriminellen insgesamt mehrere Dutzend unterschiedliche Iota-Konten.

Es gibt viele Betroffene

Neumann und seine Leidensgenossen im Forum sind seit dem Vorfall sauer - auf die Diebe, die offenbar mit hoher krimineller Energie agierten. Aber auch auf die Iota-Verantwortlichen, die für das Problem mit Iotaseed.io zwar nicht verantwortlich sind, die Sache aus Sicht der Betroffenen aber auch nicht ernst genug nehmen.

Ende voriger Woche hatte Iota-Mitgründer David Sønstebø zunächst erklärt : "Wir tun alles, um diesen Mistkerl ausfindig zu machen, aber das ist nicht einfach und hat sich in früheren Fällen als nahezu unmöglich erwiesen". Man werde eventuell hilfreiche Informationen an die Polizei weitergeben und die Ermittlungen unterstützen, um "den armen Leuten zu helfen, die ihre Einlagen verloren haben."

Thomas Neumann reichen solche Aussagen nicht. Man habe versucht, die betroffenen Nutzer "als ein bisschen doof hinzustellen", fasst er die ersten Reaktionen des Teams hinter Iota zusammen: "Dabei wäre es ihre Verantwortung, ein sicheres und nutzerfreundliches Verfahren anzubieten".

Derzeit kein automatischer Seed-Generator

Tatsächlich macht es Iota - wie auch andere Digitalwährungen - Laien nicht leicht, ihr Kryptogeld zusammenzuhalten. Immer wieder für Verwirrung sorgt beispielsweise das Prinzip, dass eine Adresse nicht mehr als sicher gilt, sobald man einmal selbst von dort Iota überwiesen hat. "Sie hätten schon ein wenig mehr machen können, um Wallets narrensicher zu machen", meint dazu ein Reddit-Nutzer, der im November mit einer Sparschwein-Analogie anschaulich erklärte , was es beim Thema Iota-Adressen zu beachten gilt.

Wenn Nutzer betrogen werden, weil sie keine Anleitungen lesen, sei das im Zweifel ihre eigene Schuld, nicht die der Entwickler, betont jener Reddit-Nutzer. Aber ein paar Extras bei der Geldbörse könnten faulen Nutzern helfen, Betrug zu entgehen.

Dass die bislang offiziell empfohlene, optisch wenig ansprechende Iota-Geldbörse  derzeit keinen Seed-Generator integriert hat - was Nutzer wie Neumann erst auf Seiten wie Iotaseed.io stoßen lässt -, führt ebenfalls dazu, dass es für entsprechende Betrugsmaschen zumindest eher eine Zielgruppe gibt als bei anderen Kryptowährungen.

Bald kommt ein neues Wallet