Der Krypto-Geldautomaten-Betreiber Bitcoin Depot hat einen Cybersicherheitsvorfall gemeldet, bei dem Angreifer 50,9 Bitcoin im Wert von rund 3,7 Millionen US-Dollar erbeuteten. Der Vorfall verdeutlicht die anhaltenden Sicherheitsrisiken in der Kryptowährungsbranche und verstärkt den regulatorischen Druck auf das bereits umstrittene Unternehmen.
Angreifer kompromittieren interne Bitcoin-Wallets
Am 23. März gelang es einem Angreifer, Zugangsdaten zu kompromittieren, die mit den firmeneigenen Bitcoin-Wallets von Bitcoin Depot verbunden waren. Das Unternehmen betont, dass Kundenkonten, Handelsplattformen und persönliche Daten nicht betroffen seien. Der laufende Geschäftsbetrieb verzeichnete nach Unternehmensangaben keine wesentlichen Einschränkungen. Bitcoin Depot prüft den Vorfall weiterhin und geht davon aus, dass eine bestehende Versicherung einen Teil des Schadens abdecken könnte.
Die Angriffsmethode deutet auf eine gezielte Attacke hin, bei der die Kriminellen spezifische Schwachstellen in der IT-Infrastruktur des Unternehmens ausnutzten. Cybersicherheitsexperten warnen seit Jahren vor den besonderen Risiken, denen Kryptowährungsunternehmen ausgesetzt sind, da sie für Hacker besonders attraktive Ziele darstellen. Die gestohlenen Bitcoin wurden unmittelbar nach dem Angriff auf verschiedene Wallet-Adressen transferiert, was eine Rückverfolgung erheblich erschwert.
Regulatorische Probleme verschärfen sich bundesweit
Der Cyberangriff trifft Bitcoin Depot zu einem denkbar ungünstigen Zeitpunkt. Das Unternehmen steht bereits in mehreren US-Bundesstaaten unter intensiver Beobachtung durch Aufsichtsbehörden. Connecticut setzte die Lizenz für Geldübermittlungen aus und verhängte eine vorläufige Unterlassungsverfügung wegen überhöhter Gebühren und unzureichender Rückerstattungen an Betrugsopfer.
Weitere Bundesstaaten gehen ebenfalls gegen das Unternehmen vor: Massachusetts klagt wegen überhöhter Entgelte und angeblicher Unterstützung betrügerischer Aktivitäten, während Maine eine Zahlung von 1,9 Millionen US-Dollar zur Entschädigung betroffener Nutzer durchsetzte. Die Regulierungsbehörden kritisieren insbesondere die unzureichenden Verbraucherschutzmaßnahmen und die mangelnde Kooperation bei der Bekämpfung von Betrugsdelikten.
Bitcoin Depot operiert als einer der größten Krypto-ATM-Betreiber in den USA mit über 8.000 Standorten. Das börsennotierte Unternehmen (NASDAQ: BTM) sieht sich zunehmend mit Vorwürfen konfrontiert, dass seine Geschäftspraktiken Betrügern in die Hände spielen. Kritiker monieren, dass die hohen Transaktionsgebühren von bis zu 20 Prozent und die laxen Identitätsprüfungen das Risiko für Verbraucher erhöhen.
Zweiter Sicherheitsvorfall binnen eines Jahres
Besonders problematisch ist, dass Bitcoin Depot bereits im Juni 2024 eine weitere Datenschutzverletzung melden musste. Dabei wurden personenbezogene Daten von 26.732 Kunden über ein externes System offengelegt. Erst nach Abschluss der behördlichen Untersuchung im Juni 2025 erhielt das Unternehmen die Genehmigung, betroffene Personen offiziell zu informieren.
Die wiederholten Sicherheitsvorfälle werfen Fragen über die IT-Sicherheitsstandards bei Bitcoin Depot auf. Branchenexperten fordern verstärkte Investitionen in Cybersicherheit und die Implementierung von Multi-Faktor-Authentifizierung sowie Cold-Storage-Lösungen für Unternehmensgelder. Der aktuelle Vorfall zeigt, dass auch etablierte Unternehmen in der Krypto-Branche weiterhin anfällig für sophistizierte Cyberangriffe sind.
Städte verbannen Krypto-Geldautomaten wegen Betrugsrisiken
Parallel zu den Problemen von Bitcoin Depot verschärfen mehrere US-Kommunen ihr Vorgehen gegen Krypto-Geldautomaten generell. Der Grund: eine deutliche Zunahme von Betrugsfällen, bei denen Bürger hohe Summen an Kriminelle überweisen.
- Stillwater (Minnesota) untersagte den Betrieb solcher Geräte nach erheblichen finanziellen Verlusten bei Einwohnern
- Spokane (Washington) führte ein stadtweites Verbot ein und bezeichnete die Automaten als bevorzugtes Instrument für Kriminelle
- Haverhill (Massachusetts) prüft ein Verbot mit 60-tägiger Entfernungsfrist für bestehende Geräte
Die Betrugsmasche folgt meist einem ähnlichen Muster: Opfer erhalten Anrufe von vermeintlichen Behördenvertretern oder Technikern, die sie dazu drängen, sofort Geld über Krypto-Automaten zu überweisen. Die Anonymität und Irreversibilität von Kryptowährungstransaktionen macht es für Betrüger besonders attraktiv, während Opfer kaum Möglichkeiten zur Rückholung ihrer Gelder haben.
Branche unter zunehmendem Legitimationsdruck
Die Häufung von Sicherheitsvorfällen und Betrugsvorwürfen setzt die gesamte Krypto-ATM-Branche unter Druck. Während die Technologie grundsätzlich legitime Anwendungsfälle hat, zeigen die aktuellen Entwicklungen, dass viele Betreiber unzureichende Sicherheitsmaßnahmen implementiert haben. Die regulatorischen Maßnahmen spiegeln wachsende Bedenken wider, dass Krypto-Geldautomaten zu oft als Einfallstor für Geldwäsche und Betrug missbraucht werden.
Branchenverbände arbeiten an Selbstregulierungsstandards, um das Vertrauen zurückzugewinnen. Dazu gehören strengere KYC-Verfahren (Know Your Customer), Transaktionslimits und verbesserte Aufklärung der Nutzer über Betrugsrisiken. Einige Betreiber haben bereits freiwillig schärfere Sicherheitsmaßnahmen eingeführt, um sich von problematischen Anbietern abzugrenzen.
Der Fall Bitcoin Depot verdeutlicht exemplarisch die Herausforderungen einer noch jungen Branche, die zwischen Innovation und notwendiger Regulierung navigieren muss. Für Verbraucher unterstreicht der Vorfall die Wichtigkeit, bei Kryptowährungstransaktionen besondere Vorsicht walten zu lassen und nur etablierte, gut regulierte Anbieter zu nutzen. Die Entwicklungen zeigen auch, dass die Krypto-Industrie noch einen weiten Weg vor sich hat, um das Vertrauen von Regulierungsbehörden und Verbrauchern vollständig zu gewinnen.
