Der jüngste Arrest des US-Regierungsauftragnehmers John Daghita, in der Szene unter dem Pseudonym Lick bekannt, verdeutlicht, wie kritisch Insider-Bedrohungen im Umgang mit Kryptowährungen und beschlagnahmten digitalen Vermögenswerten sind. Daghita soll mehr als 46 Millionen US‑Dollar in Krypto-Assets unterschlagen haben, die im Auftrag der US‑Regierung verwaltet wurden.
Festnahme und Verbindung zur US Marshals Service und beschlagnahmten Krypto-Assets
Daghita wurde nach Angaben der Ermittlungsbehörden in einer gemeinsamen Operation des FBI und der französischen Spezialeinheit GIGN festgenommen. Bei Durchsuchungen stellten die Beamten große Bargeldbeträge in 100‑Dollar-Scheinen, mehrere Festplatten sowie Hardware-Wallets sicher, die mutmaßlich zur Verwahrung und zum Transfer der digitalen Vermögenswerte dienten.
Der Beschuldigte ist Sohn von Dean Daghita, Präsident und CEO des in Virginia ansässigen Unternehmens Command Services & Support (CMDSS). Seit Oktober 2024 fungierte CMDSS als externer Dienstleister des US Marshals Service und war mit der Verwaltung und Sicherung von beschlagnahmten digitalen Vermögenswerten betraut. Dazu zählten nach vorliegenden Informationen auch Kryptowährungen aus dem Bitfinex-Hack von 2016, bei dem fast 120.000 BTC entwendet wurden – einer der größten Kryptodiebstähle überhaupt.
Solche Dienstleister erhalten in der Regel Zugang zu kritischer Infrastruktur, etwa zu Wallet-Management-Systemen oder zu Komponenten, die mit privaten Schlüsseln interagieren. Ohne konsequente Umsetzung von Rollen- und Rechtekonzepten, klarer Trennung von Aufgaben und unabhängigen Audits entsteht ein erhebliches Risiko: Ein privilegierter Insider kann Transaktionen unauffällig umleiten und Gelder schrittweise abziehen.
Blockchain-Analyse als Schlüssel zur Aufdeckung des mutmaßlichen Kryptodiebstahls
Die erste öffentliche Verbindung zwischen Daghita und dem Verschwinden der Gelder stellte der bekannte Blockchain-Analyst ZachXBT her. Ende Januar veröffentlichte er eine detaillierte on-chain Analyse, in der er Transfers von rund 23 Millionen US‑Dollar aus Wallets, die mit dem US Marshals Service in Verbindung standen, auf Adressen nachzeichnete, die er Daghita zuordnete.
Möglich wurde dies durch die Transparenz öffentlicher Blockchains. Jede Transaktion wird dauerhaft in einem verteilten Register gespeichert. Durch Korrelation von Beträgen, Zeitstempeln, Adressmustern und typischem Verhalten von Marktteilnehmern lassen sich Wallets clustern und häufig mit realen Personen oder Organisationen verknüpfen. Diese Form der Blockchain-Forensik ist inzwischen ein zentrales Werkzeug von Strafverfolgungsbehörden und Analysefirmen.
Nach Angaben von ZachXBT spielte Daghita zudem eine Rolle bei seiner eigenen Deanonymisierung. In einem privaten Telegram-Chat mit einem anderen mutmaßlichen Cyberkriminellen, Dritan Kapplani Jr., demonstrierte Daghita in Echtzeit Transaktionen zwischen zwei Wallets. Die anschließende Auswertung der zugrunde liegenden Transaktionen zeigte, dass diese Adressen mit staatlich beschlagnahmten Assets verbunden waren – darunter Gelder aus dem Bitfinex-Hack.
Dust-Attacken: Technischer und psychologischer Druck
Nachdem ZachXBT seine Erkenntnisse an Behörden übermittelt hatte, soll Daghita den Analysten wiederholt in Telegram-Nachrichten provoziert und Kleinstbeträge an dessen öffentlich bekannte Wallet gesendet haben. Dieses Vorgehen wird als Dust-Attacke bezeichnet: winzige Transaktionsbeträge (dust) werden verschickt, um Bewegungen der Zieladresse zu verfolgen, Deanonymisierung zu versuchen oder psychologischen Druck auszuüben.
ZachXBT erklärte später, Daghita habe diese Dust-Angriffe mit Mitteln durchgeführt, die aus den mutmaßlich veruntreuten beschlagnahmten Assets stammten, und ihn damit „verspottet“. Der Fall unterstreicht, dass technische Angriffe und psychologische Taktiken im Kryptobereich häufig Hand in Hand gehen.
Insider-Bedrohung bei der Verwaltung beschlagnahmter Kryptowährungen
Der Vorfall illustriert eine der schwierigsten Herausforderungen in der Cybersicherheit: die Insider-Bedrohung. Während klassische Sicherheitsarchitekturen darauf ausgelegt sind, externe Angreifer abzuwehren, verfügen Insider – Mitarbeitende oder Dienstleister – über legitime Zugriffe und Prozesskenntnis. Laut Verizon Data Breach Investigations Report 2023 ist bei knapp einem Fünftel der untersuchten Sicherheitsvorfälle ein interner Akteur beteiligt.
In Behörden und Finanzinstituten ist das Risiko erhöht, da dort sehr große Volumina an digitalen Vermögenswerten verwaltet und häufig mehrere Behördenebenen und externe Provider eingebunden sind. Unzureichende Zugriffskontrollen, fehlende Echtzeit-Überwachung von Transaktionen und lückenhafte Audit-Prozesse können dazu führen, dass hohe Summen über längere Zeit unentdeckt abfließen.
Cybersecurity-Best-Practices für Organisationen mit Krypto-Assets
1. Prinzip der geringsten Privilegien und Aufgabentrennung
Zugriffe auf private Schlüssel, Wallet-Management-Systeme und Auszahlungsfunktionen sollten strikt nach dem Least-Privilege-Prinzip vergeben werden. Kritische Transaktionen müssen mindestens einem Vier-Augen- oder Sechs-Augen-Prinzip unterliegen, sodass keine Einzelperson große Beträge allein bewegen kann.
2. Multi-Signature und HSM für Schlüsselverwaltung
Der Einsatz von Multi-Signature-Wallets (Multi-Sig), Hardware Security Modules (HSM) und verteilten Schlüsselverwaltungsverfahren reduziert das Risiko, dass ein einzelner kompromittierter Insider oder ein einzelner kompromittierter Schlüssel zum Totalverlust führt.
3. Kontinuierliches On-Chain-Monitoring und unabhängige Audits
Automatisierte On-Chain-Monitoring-Systeme sollten ungewöhnliche Transaktionen in nahezu Echtzeit erkennen – etwa Transfers zu zuvor unbekannten Adressen, Splitting in viele Kleinstbeträge oder Bewegungen außerhalb definierter Zeitfenster. Ergänzend sind regelmäßige, unabhängige Audits der Wallet-Adressen und aller Transaktionen unverzichtbar.
4. Strenge Kontrolle von Dienstleistern und deren Personal
Externe Anbieter wie CMDSS benötigen ein formales Sicherheitszertifizierungs- und Überprüfungsverfahren. Dazu gehören Hintergrundchecks des Personals, dokumentierte Sicherheitsprozesse, technische und organisatorische Kontrollen, lückenlose Protokollierung sowie klar definierte Meldewege für sicherheitsrelevante Ereignisse.
5. Ausgereifte Incident-Response- und Notfallprozesse
Organisationen sollten vordefinierte Playbooks für Sicherheitsvorfälle mit Krypto-Assets haben: schnelle Blockierung verdächtiger Adressen, Koordination mit Börsen und Stablecoin-Emittenten, Zusammenarbeit mit Strafverfolgungsbehörden und Blockchain-Analysefirmen. Je schneller reagiert wird, desto größer ist die Chance, Gelder zu sichern oder zurückzuerlangen.
Der Fall Daghita zeigt, dass selbst staatliche Stellen mit hohen Sicherheitsanforderungen nicht immun gegen gut informierte Insider sind. Organisationen, die mit Kryptowährungen oder anderen digitalen Vermögenswerten arbeiten, sollten diese Vorfälle zum Anlass nehmen, Zugriffskonzepte, Schlüsselarchitekturen und Monitoring-Strategien kritisch zu überprüfen und zu stärken. Wer Transparenz, technische Sicherheitsmechanismen und robuste Governance kombiniert, reduziert das Risiko, dass der nächste große Krypto-Verlust aus den eigenen Reihen kommt.
