Ein Routinefall von Steuerfahndung in Suedkorea hat sich zu einem exemplarischen Lehrstueck fuer Cybersecurity im Umgang mit Kryptowaehrungen entwickelt: Ein einziges Pressefoto der National Tax Service (NTS) reichte aus, um beschlagnahmte Krypto-Assets im Wert von rund 4,8 Mio. US‑Dollar zu verlieren.
Der Vorfall: Wenn ein PR-Foto zur Generalschluessel-Freigabe wird
Die National Tax Service fuehrte eine breit angelegte Aktion gegen 124 grosse Steuerschuldner durch. Im Zuge dieser Massnahme beschlagnahmte die Behoerde Vermoegenswerte im Umfang von etwa 8,1 Mrd. Won (rund 5,6 Mio. US‑Dollar), darunter Bargeld, Luxusgegenstaende und Kryptowaehrungen, die auf einem Hardware Wallet des Typs Ledger gespeichert waren.
Um den Ermittlungserfolg oeffentlichkeitswirksam zu dokumentieren, veroefentlichte die NTS einen Pressebericht mit Fotos der sichergestellten Werte. Auf einem dieser Bilder war jedoch nicht nur das Ledger-Geraet selbst zu sehen, sondern auch eine danebenliegende handschriftliche Notiz mit der kompletten Seed Phrase des Wallets – also dem eigentlichen Master-Schluessel zu allen darauf befindlichen Krypto-Assets.
Damit stellte die Steuerbehoerde faktisch den Vollzugriff auf die beschlagnahmten Token ins Internet. Innerhalb weniger Stunden nach der Veroeffentlichung wurden 4 Mio. Pre-Retogeum (PRTG)-Token von diesem Wallet auf eine Adresse eines unbekannten Angreifers transferiert – zum Tatzeitpunkt mit ca. 4,8 Mio. US‑Dollar bewertet.
Ablauf des Angriffs: Von der Gas-Fee bis zur Aufteilung der Transaktionen
Transaktionsanalysen, ueber die koreanische Medien berichteten, zeigen ein strukturiertes, technisch versiertes Vorgehen. Zunaechst transferierte der Angreifer einen kleineren Betrag in Ethereum auf die kompromittierte Adresse, ausschliesslich, um die notwendigen Gas Fees – also die Transaktionsgebuehren im Ethereum-Netzwerk – bezahlen zu koennen.
Anschliessend leitete er in drei separaten Transaktionen die PRTG-Token auf ein von ihm kontrolliertes Wallet um. Die Aufteilung in mehrere Transfers ist typisch fuer Akteure, die mit der Funktionsweise oeffentlicher Blockchains vertraut sind und versuchen, Risiken wie Auffaelligkeiten bei Monitoring-Systemen oder voruebergehende Netzwerkstaus zu minimieren.
Der Vorfall unterstreicht, wie effizient Angreifer oeffentlich zugaengliche Quellen auswerten. Open-Source-Intelligence (OSINT) – also das systematische Monitoring von Pressebildern, sozialen Netzwerken und oeffentlichen Datenbanken – ist laengst Standard in der Cybercrime-Oekonomie. In oeffentlichen Blockchains kann der Zeitraum zwischen Datenleck und Vermoegensabfluss daher oft in Minuten oder Stunden gemessen werden.
Seed Phrase versus Passwort: Warum ein Leck hier endgueltig ist
Eine Seed Phrase (auch mnemonische Phrase, meist 12 bis 24 Woerter) ist nicht vergleichbar mit einem herkoemmlichen Passwort. Sie bildet den Wurzel-Schluessel, aus dem nach einem standardisierten Verfahren (z.B. BIP‑39/BIP‑32) alle privaten Schluessel und Adressen eines Wallets abgeleitet werden. Wer diese Worte kennt, kann das Wallet auf jedem kompatiblen Geraet vollstaendig rekonstruieren.
Im Gegensatz zu Online-Bankkonten existiert im Blockchain-Kontext keine zentrale Instanz, die Transaktionen stoppen, rueckgaengig machen oder Guthaben einfrieren koennte. Jede via Seed Phrase autorisierte Transaktion ist irreversibel. In der Praxis ist ein Leak daher so, als wuerde ein physischer Tresor mitsamt Schluessel oeffentlich ausgestellt und der Standort veroeffentlicht werden – eine Einschraenkung, die auch Institutionen wie das BSI in seinen Empfehlungen zur Schluesselverwaltung betonen.
Strukturelle Defizite beim Krypto-Asset-Management in Behoerden
Fehlende Prozesse und unzureichende Klassifizierung sensibler Daten
Der Vorfall ist weniger ein technisches Problem als ein organisatorisches Versagen. In einem reifen Informationssicherheitsmanagement (z.B. nach ISO 27001 oder BSI IT-Grundschutz) wuerden Seed Phrasen, private Schluessel und PIN-Codes der hoechsten Schutzklasse zugeordnet. Medien, auf denen solche Informationen erkennbar sind, duerfen dann gar nicht oder nur nach strenger Anonymisierung fotografiert oder gefilmt werden.
Schulungsdefizite und mangelnde Krypto-Kompetenz
Die Tatsache, dass ein Foto mit lesbarer Seed Phrase ueberhaupt veroefentlicht wurde, deutet auf fehlendes Grundverstaendnis fuer Funktionsweise und Risikoprofil von Krypto-Assets hin. Mitarbeitende, die mit Hardware Wallets, Blockchain-Forensik oder der Sicherung digitaler Vermoegenswerte betraut sind, benoetigen zielgerichtete Schulungen – vergleichbar mit Bargeld- oder Beweisstueck-Verwahrung im klassischen Strafverfolgungskontext.
Unterschaetzte Geschwindigkeit und Professionalitaet von Angreifern
Laut Analysen von Blockchain-Forensik-Unternehmen wie Chainalysis wurden allein im Jahr 2022 Kryptowerte im Umfang von rund 3,8 Mrd. US‑Dollar durch Hacks und Betrug entwendet. Ein wesentlicher Erfolgsfaktor der Angreifer ist die Automatisierung: Wallet-Adressen, Social-Media-Posts und Pressebilder werden kontinuierlich gescannt. Werden dabei Schluesselmaterial oder QR-Codes entdeckt, erfolgt die Ausnutzung oft nahezu in Echtzeit.
Reaktion der Steuerbehoerde und Best Practices fuer Organisationen
Die NTS entfernte den beanstandeten Pressebericht nach Bekanntwerden des Vorfalls von ihrer Website und entschuldigte sich oeffentlich. Gleichzeitig bat die Behoerde das Nationale Polizeiamt um Unterstuetzung bei der Identifizierung des Taeters. Zudem kuendigte sie an, ihre Richtlinien zur Beschlagnahme und Verwahrung virtueller Vermoegenswerte zu ueberarbeiten und ergaenzende Schulungen zur IT- und Cybersicherheit durchzufuehren.
Fuer Behoerden und Unternehmen lassen sich aus diesem Fall klare Handlungsanweisungen ableiten: Foto- und Videoaufnahmen von Seed Phrasen, privaten Schluesseln und Wallet-QR-Codes muessen strikt untersagt oder technisch kontrolliert werden. Beschlagnahmte oder verwaltete Krypto-Assets sollten in Mehrpersonen-Systemen (z.B. Multi-Signature-Wallets), in zertifizierten Custody-Loesungen oder in physisch getrennten Cold-Storage-Setups mit abgestuften Zugriffsrechten gehalten werden. Regelmaessige Audits, Vier-Augen-Prinzip und Protokollierung der Schluesselverwaltung sind dabei zwingend erforderlich.
Der Fall der koreanischen Steuerbehoerde zeigt, dass Kryptowaehrungs-Sicherheit kein Nischenthema fuer Spezialisten mehr ist, sondern zu den Basiskompetenzen jeder Organisation gehoeren muss, die mit digitalen Vermoegenswerten in Beruehrung kommt – sei es in der Strafverfolgung, in Finanzbehoerden oder in Unternehmen. Wer heute Krypto-Assets verwaltet, sollte seine Prozesse, Schulungskonzepte und technischen Kontrollen zeitnah ueberpruefen und staerken. Jeder nicht gelernte „Praxisfall“ kann sonst, wie in Suedkorea, binnen Stunden in einen realen Schaden in Millionenhoehe umschlagen.
