Der jüngste Hack auf das DeFi-Protokoll **1INCH** sorgt für Schlagzeilen:
Nach Verhandlungen mit den Angreifern wurden zwar rund 5 Mio. $ zurückgezahlt – die Hacker behielten jedoch einen Teil der gestohlenen Mittel als „Belohnung“ für das Aufdecken von Sicherheitslücken.
Was auf den ersten Blick wie eine pragmatische Lösung wirkt, birgt aus rechtlicher Sicht erhebliche Risiken.
Als Fachanwältin für Bank- und Kapitalmarktrecht mit Schwerpunkt Kryptowerte erkläre ich, warum solche Fälle **dringenden Handlungsbedarf** für betroffene Unternehmen und Investoren auslösen – und welche Fehler Sie jetzt unbedingt vermeiden müssen.
1. Strafrechtliche Risiken:
Verhandlungen mit Hackern sind kein rechtsfreier Raum
Die freiwillige Rückzahlung von Teilbeträgen ändert nichts daran, dass der initiale Hack einen strafbaren Diebstahl nach § 242 StGB darstellt.
Auch die Vereinbarung eines „Bug-Bounty“-ähnlichen Deals im Nachhinein ist höchst problematisch:
– Verdacht der Geldwäsche (§ 261 StGB): Akzeptiert ein Unternehmen gestohlene Gelder als „Belohnung“, könnten Transaktionen als Verschleierung illegaler Herkunft gewertet werden.
-Beihilfe zur Erpressung (§ 253 StGB): Durch Verhandlungen besteht die Gefahr, künftige Angriffe zu provozieren – ein klassischer Fall von „Weiche-Ziel-Syndrom“.
*Praxis-Tipp: Betroffene Unternehmen müssen umgehend strafrechtliche Ermittlungen einleiten und transparent mit Behörden kooperieren.
Ein Schweigen aus Reputationsangst kann später als Mitwisserschaft ausgelegt werden.
2. Zivilrechtliche Fallstricke:
Wer haftet für die verlorenen Mittel?
Auch wenn ein Teil der Gelder zurückfloss, bleiben Fragen zur zivilrechtlichen Haftung offen:
– Schadensersatzansprüche der Nutzer (§ 823 BGB): Haben Investoren aufgrund mangelnder Sicherheitsstandards Verluste erlitten, drohen Klagen auf Schadensersatz.
– AGB-Klauseln unwirksam?: Viele Protokolle schließen Haftung für Hacks in ihren Nutzungsbedingungen aus – doch solche Klauseln sind nach deutschem Recht häufig sittenwidrig (§ 307 BGB), wenn grundlegende Sicherheitsvorkehrungen fehlen.
*Handlungsbedarf: Überprüfen Sie umgehend Ihre Vertragsgestaltung und IT-Sicherheitsstandards.
Eine präventive rechtliche Absicherung ist günstiger als teure Gerichtsverfahren.
3. Compliance-Albtraum: BaFin-Auflagen und meldepflichtige Vorfälle
Für Unternehmen mit Sitz in Deutschland gelten strenge Pflichten aus dem Kreditwesengesetz (KWG) und der MaRisk:
– Meldeverpflichtung bei Cyberangriffen (§ 24c KWG)**: Hacks müssen unverzüglich der BaFin gemeldet werden
– stillschweigende Verhandlungen mit Angreifern verstoßen gegen Aufsichtspflichten.
– Sorgfaltspflichtverletzung (§ 25a KWG): Unzureichende IT-Sicherheit kann als Organisationsverschulden gewertet werden, mit Bußgeldern bis zu 5 Mio. €.
*Wichtig: Die BaFin verschärft derzeit die Prüfung von Krypto-Unternehmen.
Ein proaktives Risikomanagement ist entscheidend, um Lizenzentzüge oder Sanktionen zu vermeiden.
🚨 Was Sie jetzt tun müssen: So schützen Sie sich rechtlich
1. **Forensische Analyse**: Dokumentieren Sie jeden Schritt des Angriffs – diese Beweise sind entscheidend für Strafverfolgung und Haftungsfragen.
2. **Compliance-Check**:
Lassen Sie Verträge und Sicherheitsprotokolle von einem Experten prüfen, um Haftungslücken zu schließen.
3. **Transparenz gegenüber Behörden**:
Vermeiden Sie eigenmächtige Verhandlungen mit Hackern und involvieren Sie frühzeitig Strafverfolgungsbehörden.
💡 Sie wurden Opfer eines Krypto-Hacks? – So helfe ich Ihnen
Als Fachanwältin für Bank- und Kapitalmarktrecht mit langjähriger Expertise in Kryptowert-Regulierung vertrete ich Unternehmen und Investoren in allen Phasen solcher Krisen:
– Notfall-Beratung: Unmittelbare Erstberatung nach einem Hack, inkl. Kommunikation mit Behörden.
– Haftungsabwehr: Strategische Verteidigung gegen Schadensersatzklagen oder BaFin-Sanktionen.
– Prävention: Rechtssichere Gestaltung von Smart Contracts, AGB und Compliance-Systemen.
Kontaktieren Sie mich jetzt: Je früher wir handeln, desto höher die Chance, finanzielle und reputative Schäden zu minimieren.
