MAGAZIN

Wie transnational organisierte Syndikate etablierte Systeme herausfordern

579,4 Milliarden US-Dollar. So hoch beziffert der Global Financial Crime Report 2026 von Nasdaq Verafin die weltweiten Betrugsverluste allein im Jahr 2025.¹ Ein erheblicher Teil davon geht auf eine Betrugsform zurück, die keine Firewall durchbricht, keinen Server kompromittiert und kein Passwort stiehlt — sondern Menschen manipuliert, bis sie ihr Vermögen freiwillig überweisen. In Asien nennt man sie Sha Zhu Pan: das Schlachten des Schweins. INTERPOL hat sich in seiner „Words Matter“-Kampagne der Terminologie „Romance Baiting“ angeschlossen, um Victim Blaming zu vermeiden. Die international etablierte Fachbezeichnung „Pig Butchering“ bleibt dennoch präziser: Sie benennt die operative Realität der gestaffelten Ausbeutung, nicht die emotionale Vulnerabilität des Opfers. ⁶ Was für Geschädigte oft völlig harmlos mit einer beiläufigen Textnachricht beginnt, wird im Hintergrund von transnationalen Netzwerken gesteuert, die im industriellen Maßstab Menschenhandel betreiben und Milliardenbeträge waschen. INTERPOL-Generalsekretär Valdecy Urquiza bringt diese Dimension im März 2026 auf den Punkt: „Betrug ist nicht nur ein Finanzverbrechen. Er ist eine globale Sicherheitskrise.“²

01 | Anatomie — Was Pig Butchering ist und was es nicht ist

Die Metapher und die Mechanik

Sha Zhu Pan — wörtlich: „das Schwein schlachten“. Der chinesische Begriff beschreibt eine Betrugsmethode, bei der das Opfer über Wochen oder Monate emotional gemästet wird, bevor man es finanziell schlachtet. Die Mästung besteht aus Vertrauen, Nähe und dem Versprechen gemeinsamen Wohlstands. Die Schlachtung ist der Moment, in dem das Opfer alles verliert.

Der Ablauf folgt einem festen Protokoll, das in internen Trainingsmanuals der Täterorganisationen dokumentiert ist. Am Anfang steht eine scheinbar zufällige Kontaktaufnahme: eine „versehentliche“ WhatsApp-Nachricht, eine Freundschaftsanfrage auf Instagram, ein Match auf einer Dating-App. Die Fake-Persona ist sorgfältig konstruiert — gestohlene Fotos, ein suggerierter Lebensstil aus Reisen, Luxus und beruflichem Erfolg. Selbst wenn das Opfer auf eine Verwechslung hinweist, hält der Betrüger die Konversation aufrecht.

Es folgen Wochen des Vertrauensaufbaus. Tägliche Nachrichten, Videoanrufe — zunehmend mit Deepfake-Technologie —, aufrichtiges Interesse am Leben des Opfers. Love Bombing erzeugt eine emotionale Bindung, die das Opfer nicht als Manipulation erkennt. Irgendwann fällt beiläufig ein Satz wie: „Ich zeige dir mal, wie ich nebenbei etwas investiere.“ Das Opfer erhält Zugang zu einer Handelsplattform, die Coinbase oder Binance täuschend ähnlich sieht. Erste kleine Einzahlungen zeigen beeindruckende Ergebnisse. Die Plattform ist jedoch komplett gefälscht, die Renditen im Backend programmiert.

In der Skalierungsphase erzeugt der Betrüger systematisch FOMO — Fear of Missing Out. „Heute gibt es einen Bonus-Pool. Wer jetzt nicht einzahlt, verpasst die Chance.“ Das Opfer investiert steigende Beträge, kündigt Festgeldkonten, nimmt Kredite auf. Die internen Täter-Skripte enthalten präzise Anweisungen für den Fall, dass die Hausbank Fragen stellt: „Sag, du kaufst ein Auto.“ „Behaupte, du renovierst dein Haus.“ Das Opfer wird zum unwissentlichen Komplizen seiner eigenen Enteignung.

Die Schlachtung beginnt beim ersten Auszahlungsversuch. Die gefälschte Plattform meldet: Steuernachzahlung erforderlich. Dann eine Compliance-Gebühr. Dann ein Liquiditätsnachweis. Jede Zahlung ist ein weiterer Schnitt in die vollständige, digitale Enteignung. Sobald das Opfer den Betrug erkennt oder kein Geld mehr hat, verschwindet der Betrüger. Die Plattform wird meist einfach abgeschaltet.

Die Abgrenzung: Pig Butchering ist kein Cybertrading Fraud

In der Ermittlungspraxis wird Pig Butchering häufig mit Cybertrading Fraud gleichgesetzt. Das ist ein folgenreicher Irrtum. Beim klassischen Cybertrading Fraud gelangt das Opfer über Online-Werbung, Kaltakquise oder Social-Media-Anzeigen direkt auf eine gefälschte Handelsplattform. Die Manipulation findet primär auf der Plattformebene statt — falsche Kurse, simulierte Gewinne, blockierte Auszahlungen.

Pig Butchering unterscheidet sich fundamental durch die vorgeschaltete Beziehungsebene. Die emotionale Bindung ist kein Beiwerk, sie ist die Waffe. Das Opfer investiert nicht, weil es eine Werbeanzeige gesehen hat, sondern weil ein Mensch, dem es vertraut, es dazu bringt. Deshalb versagen die klassischen Warnhinweise vor unseriösen Plattformen: Das Opfer glaubt nicht der Plattform — es vertraut der Person.

Das regulatorische Gift: Pig Butchering ist APP Fraud

Und genau hier liegt die verheerendste Eigenschaft dieser Betrugsform. Jede einzelne Zahlung in einem Pig-Butchering-Fall ist ein sogenannter Authorized Push Payment (APP) — vom Opfer selbst initiiert, mit eigenen Zugangsdaten autorisiert, aus scheinbar eigenem Antrieb. Für die kontoführende Bank ist das keine „Red Flag“, sondern eine grüne. Pig Butchering ist damit die perfekte Waffe gegen jedes Präventionssystem, das auf der Unterscheidung zwischen „autorisiert“ und „unautorisiert“ aufgebaut ist. Was hier als individuelle Tragödie erscheint, wird in Wahrheit industriell betrieben — und genau das macht es zur globalen Krise.

02 | Die Maschine — Crime-as-a-Service und das Dual-Victim-Modell

Die Industrialisierung des Betrugs

Um zu verstehen, warum unsere Präventionssysteme so oft ins Leere greifen, müssen wir Pig Butchering als das betrachten, was es ist: transnational organisierte Wirtschaftskriminalität im industriellen Maßstab. Die Täter agieren mit der Skalierung und Koordination multinationaler Großkonzerne.¹ Das System basiert auf einem modularen „Crime-as-a-Service“-Modell (CaaS). Regelrechte Betrugsfabriken lagern hochspezialisierte Aufgaben an Subunternehmen aus: Entwicklergruppen programmieren die gefälschten Handelsplattformen, Datenbroker beschaffen maßgeschneiderte Opferlisten, Spammer-Netzwerke übernehmen den massenhaften Nachrichtenversand und administrative Abteilungen steuern die Rekrutierung.³ Ein Paradebeispiel ist das chinesischsprachige Phishing-as-a-Service-Kit „Lighthouse“, das Täter für Beträge von teils unter 50 US-Dollar mieten können, um voll funktionsfähige Betrugsinfrastrukturen aufzusetzen.³

Scam Compounds und das Dual-Victim-Modell

Hinter den perfekten digitalen Fassaden dieser CaaS-Industrie verbirgt sich eine noch weitaus dunklere Realität. Wer glaubt, am anderen Ende der Leitung säßen in jedem Fall sich bereichernde Kriminelle, übersieht das tragische „Dual-Victim“-Modell, das dieses Ökosystem antreibt.² Hunderttausende Menschen aus fast 80 verschiedenen Nationen wurden unter falschen Versprechungen — oft getarnt als lukrative Tech-Jobs — in militärisch abgeriegelte Scam-Compounds verschleppt, die sich vornehmlich in Südostasien befinden, aber zunehmend auch in Zentralamerika, Westafrika und dem Nahen Osten entstehen.²

Wie die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) in einem aktuellen Beitrag für den Verafin-Report warnt: Die dorthin verschleppten Opfer werden unter Zwang und massiver Gewalteinwirkung dazu getrieben, exakt jene Betrugstaten zu begehen, die bei uns isoliert in den Akten landen.¹ Wer die ihm auferlegten finanziellen Quoten nicht erfüllt, wird mit Folter bestraft oder in andere Ausbeutungsstrukturen weiterverkauft.¹ Betrug, Geldwäsche und Menschenhandel sind hier untrennbar zu einer einzigen blutigen Wertschöpfungskette verschmolzen.

Der KI-Turbo und die psychologische Zerstörung

Diese Maschinerie hat durch den Einsatz künstlicher Intelligenz einen beispiellosen Schub erhalten. Kriminelle Syndikate nutzen heute Agentic AI, Large Language Models und Deepfakes, um ihre Angriffe extrem zu personalisieren und Sprachbarrieren mühelos zu überwinden.² Die Effizienzsteigerung ist verheerend: Laut Chainalysis generieren KI-gestützte Betrugsmaschen heute durchschnittlich 3,2 Millionen US-Dollar pro Angriff und sind damit 4,5-mal lukrativer als herkömmliche Methoden.³

Wenn die Falle schließlich zuschnappt, ist der Schaden weit mehr als finanzieller Natur. Schlagen traditionelle Investment-Maschen fehl, gehen die Täter inzwischen oftmals nahtlos zu hybriden Taktiken über, bei denen Opfer mithilfe intimer Inhalte durch Sextortion massiv erpresst werden.² Die Opfer leiden unter extremer Scham, völligem Vertrauensverlust, sozialer Isolation und tiefgreifenden Traumata, die in den schlimmsten Fällen im Suizid enden.²

Die Illusion, die diese Syndikate erschaffen, ist mittlerweile derart komplex, dass selbst hinzugezogene Anwälte bei der Anzeigenerstattung oftmals die Systematik nicht greifen können. Doch wenn schon die Geschädigten und ihre Rechtsvertreter das Ausmaß dieser Maschinerie nicht durchschauen — was sehen dann eigentlich die AML- und Compliance-Abteilungen unserer Finanzinstitute?

03 | Der blinde Fleck — Was Compliance (nicht) sieht

Warum die Dashboards grün bleiben

Die in Abschnitt 01 beschriebene APP-Fraud-Mechanik führt uns zum Kern des Problems. Laut dem Global Financial Crime Report 2026 von Nasdaq Verafin nennen 63 Prozent der befragten Finanzexperten APP-Scams als ihre absolut größte Sorge im Betrugsbereich.¹ Zahlreiche Experten verzeichneten im vergangenen Jahr einen direkten Anstieg des APP-Betrugsvolumens.¹ Doch die systemische Lücke bleibt: Da die Opfer die Transaktionen unter massiver psychologischer Manipulation selbst freigeben, wirken diese für isolierte Transaktionsüberwachungssysteme legitim. Compliance-Officer sehen eine autorisierte Überweisung an eine lizenzierte Kryptobörse. Das Dashboard bleibt grün. Die Zahlung geht durch.

Die Mule-Ökonomie

In dem Moment, in dem das manipulierte Opfer auf „Überweisung bestätigen“ klickt, verlassen die Gelder den geschützten Raum der kontoführenden Bank und treten in eine parallele Finanzinfrastruktur ein, die eigens für ihre Absorption konstruiert wurde: die Mule-Ökonomie. Diese „Finanzagenten“ bilden mittlerweile das logistische Rückgrat der globalen Kriminalwirtschaft. Allein im Jahr 2025 bewegten sie weltweit schätzungsweise 284 Milliarden US-Dollar an inkriminierten Geldern.¹ Die Täter rekrutieren hierfür zunehmend Studenten, Migranten und Freelancer unter dem Deckmantel lukrativer Online-Jobangebote.¹

Auch hier hat die Automatisierung Einzug gehalten. Aktuelle Erkenntnisse der UNODC belegen, dass Kriminelle inzwischen zunehmend Bots einsetzen, um mittels gestohlener oder synthetischer Identitäten massenhaft Mule-Konten bei Fintech-Plattformen zu eröffnen.⁵ Diese hybriden Bots füllen automatisiert Formulare aus und lösen CAPTCHAs, sodass ein einzelner Operator zahllose Konten gleichzeitig steuern kann.⁵ Anschließend werden die Gelder durch automatisiertes Smurfing in kleine Beträge gestückelt und in enormer Geschwindigkeit durch diese Kontennetze gewaschen, bevor man sie in Kryptowährungen tauscht.⁵

Von Fiat zu Krypto: Die Rolle der Chinese Money Laundering Networks

Die Umwandlung von Fiat in Krypto wird heute maßgeblich von hochprofessionellen chinesischen Geldwäschenetzwerken (Chinese Money Laundering Networks, CMLNs) übernommen. Die größte Veränderung der letzten Jahre besteht im rasanten Wechsel dieser Netzwerke weg von informellen Werttransfersystemen wie „Fei Qian“ hin zu Kryptowährungen.⁴ Krypto bietet entscheidende Vorteile: weniger KYC-Hürden, Transaktionen in Sekundenschnelle und die Möglichkeit, Milliardenwerte grenzüberschreitend auf einem Speichermedium in der Hosentasche zu transportieren.⁴ Die Skalierung ist atemberaubend: Laut TRM Labs haben diese Netzwerke ihr Krypto-Volumen von rund 123 Millionen US-Dollar im Jahr 2020 auf über 103,2 Milliarden US-Dollar im Jahr 2025 gesteigert.⁴ Chainalysis bestätigt: CMLNs machen mittlerweile rund 20 Prozent des gesamten illegalen On-Chain-Geldwäsche-Ökosystems aus.³

Für Ermittler und Blockchain-Analysten ist das Resultat bittere Alltagsrealität. Ein Gros der Fälle landet erst bei ihnen, wenn das Geld das traditionelle Bankensystem längst verlassen hat. Das System greift oft erst, wenn der finanzielle Totalschaden unwiederbringlich eingetreten ist. Um das volle Ausmaß zu begreifen, müssen wir dorthin schauen, wo die Täter ihre eigentliche Infrastruktur aufgebaut haben: auf die Blockchain.

04 | Die On-Chain-Spur — Was Ermittler sehen

Polykriminalität auf der Blockchain

Wenn wir die bankenzentrierte Fiat-Ebene verlassen und auf die Blockchain blicken, offenbart sich das wahre Ausmaß der von INTERPOL beschriebenen „Polykriminalität“. Hier verschmelzen Online-Betrug, Menschenhandel und Geldwäsche zu einem transnationalen Ökosystem. Die aktuellen Daten aus dem 2026 Crypto Crime Report von TRM Labs sind ein Weckruf: Im Jahr 2025 erreichten die illegalen Krypto-Transaktionsvolumina ein Rekordhoch von 158 Milliarden US-Dollar — ein Anstieg von knapp 145 Prozent gegenüber dem Vorjahr.⁴

Die Infrastruktur-Giganten

In der Ermittlungspraxis offenbaren sich diese Strukturen durch Cluster-Analysen, mit denen digitale Geldströme visualisiert werden. Die Krypto-Pipelines der Täter führen unweigerlich zu den Giganten der Schattenwirtschaft. Ein Paradebeispiel ist die kambodschanische Huione Group, die vom US-Finanzministerium (FinCEN) unter Section 311 des USA PATRIOT Act als vorrangige Geldwäschegefahr sanktioniert wurde.⁴ Das Konglomerat verarbeitete Gesamtzuflüsse von über 98 Milliarden US-Dollar. Auf dem Höhepunkt strömten in einem einzigen Monat schätzungsweise 4,7 Milliarden US-Dollar in das System von Huione Pay.⁴

Über derartige Plattformen und eng verbundene Verbrecherorganisationen wie die Prince Group werden die Gelder aus Pig Butchering und Scam-Compounds im großen Stil gewaschen.⁴ On-Chain-Ermittlungen zeigen dabei einen besonders perfiden Mechanismus: So investierte die Prince Group betrügerisch erlangte Werte beispielsweise in scheinbar legitime Krypto-Mining-Firmen wie Lubian Mining⁴. Der Schachzug: Durch das Mining werden völlig neue, „saubere“ Bitcoin generiert und die schmutzigen Gelder unauffällig in den legalen Wirtschaftskreislauf reintegriert.⁴

Solange Compliance-Abteilungen in Europa dieses vernetzte, kryptogestützte Backend der Täter nicht in ihre Risiko- und Überwachungsszenarien integrieren, bleiben unsere Abwehrmechanismen blind für die eigentliche Bedrohung.

05 | Der Weg nach vorn — Haftung, Allianzen, Systemverständnis

Die Illusion der Freiwilligkeit

Die Finanzindustrie macht es sich oftmals zu leicht, wenn sie bei APP Fraud die Haftung mit dem Argument ablehnt, die Opfer hätten die Gelder freiwillig angewiesen. Dieser Artikel zeigt, warum der Freiwilligkeitsbegriff hier zu kurz greift: Die Opfer stehen einer Industrie gegenüber, die mit asymmetrischer psychologischer Kriegsführung operiert, KI-gestützte Deepfakes einsetzt und ihre Angriffe über Monate orchestriert. Wie Jorij Abraham, Managing Director der Global Anti-Scam Alliance (GASA), zutreffend feststellt, nutzen Betrüger künstliche Intelligenz heute auf exakt dieselbe Weise wie legitime Unternehmen, um schneller, kostengünstiger und extrem skalierbar zu arbeiten.¹

Wer die emotionale Zerstörung dieser Angriffe kennt — die Scham, die Isolation, das Trauma, das in den schlimmsten Fällen im Suizid endet —, der weiß: Hier wird niemand aus Gier zum Opfer.² Ein System, das sich bei der Haftungsfrage blind auf die formale Autorisierung einer Zahlung beruft, ignoriert die Realität des modernen Crime-as-a-Service.

Der internationale Schulterschluss

Den Kampf gegen diese Täterstrukturen können wir isoliert nicht gewinnen. Was es braucht, sind echte Public Private Partnerships und grenzüberschreitender Datenaustausch — nicht als politisches Schlagwort, sondern als operatives Modell.

Auf globaler Ebene zeigt das Global Signal Exchange (GSE), gegründet von GASA und Google, wie sektorübergreifende Zusammenarbeit funktionieren kann: Die Plattform teilt bereits über eine Milliarde Betrugssignale zwischen Tech-Konzernen, Finanzinstituten und Strafverfolgungsbehörden.¹ Dass INTERPOL und UNODC den Global Fraud Summit 2026 in Wien veranstalteten, belegt, dass das Thema auf höchster diplomatischer Ebene angekommen ist.

In den USA hat das FBI mit Operation Level Up bewiesen, dass proaktive Opferidentifikation im großen Maßstab funktioniert: 8.103 benachrichtigte Opfer, über 511 Millionen US-Dollar an verhinderten Verlusten, 80 Fälle, in denen Suizidprävention eingeleitet wurde. Die FinCEN-Sanktionierung der Huione Group und die neue Scam Center Strike Force des DOJ setzen klare Signale auf der Enforcement-Seite.

In Europa muss die neue Anti-Money Laundering Authority (AMLA) die Chance nutzen, AML und Fraud erstmals supranational zusammenzudenken. Die Markets in Crypto-Assets Regulation (MiCA) liefert den regulatorischen Rahmen für Krypto-Dienstleister — aber sie wird nur wirksam sein, wenn die Umsetzung die On-Chain-Realität der Täter abbildet und nicht an der Fiat-Grenze stehen bleibt.

Vom Reagieren zum Systemverständnis

Ermittlung ohne Systemverständnis ist Schadensverwaltung. Das gilt für Ermittlungsbehörden, die Fälle erst sehen, wenn das Geld längst On-Chain verschwunden ist. Es gilt für Compliance-Abteilungen, die in ihren Fiat-Silos nach Anomalien suchen, während die eigentliche Wertschöpfungskette der Täter auf der Blockchain liegt. Und es gilt für die großen Technologieplattformen, auf deren Infrastruktur die erste Nachricht verschickt, das Vertrauen aufgebaut und die gefälschte Handelsplattform beworben wird — oft ohne dass ein einziger Alarm ausgelöst wird. Alle drei Seiten brauchen dasselbe: den Blick auf das Gesamtsystem — und den Willen, ihn miteinander zu teilen.

Quellenverzeichnis

1. Nasdaq Verafin – 2026 Global Financial Crime Report. (Referenziert für: Weltweite Betrugsverluste in Höhe von 579,4 Mrd. USD im Jahr 2025; Bewegung von 284 Mrd. USD durch Money Mules; Aussagen von Jorij Abraham (GASA) zur Skalierung durch KI; das Global Signal Exchange (GSE)).
2. INTERPOL – Global Financial Fraud Threat Assessment 2026 (Second Edition). (Referenziert für: Die Einstufung von Finanzbetrug als globale Sicherheitskrise; das „Dual-Victim“-Modell mit Opfern aus fast 80 Nationalitäten; hybride Betrugstaktiken und die Eskalation zu Sextortion; die psychologischen Folgen für Geschädigte bis hin zum Suizid).
3. Chainalysis – The 2026 Crypto Crime Report. (Referenziert für: Die Dominanz der Chinese Money Laundering Networks (CMLNs) mit 20% Marktanteil an der On-Chain-Geldwäsche; KI-gestützte Scams als 4,5-mal lukrativerer Angriffsvektor; das Lighthouse Phishing-as-a-Service-Kit).
4. TRM Labs – 2026 Crypto Crime Report. (Referenziert für: Das Rekordhoch von 158 Mrd. USD an illegalen Krypto-Flüssen in 2025; die Verarbeitung von über 103,2 Mrd. USD durch chinesische Geldwäsche-Netzwerke; die Sanktionierung der Huione Group; das Fallbeispiel der Prince Group inkl. Geldwäsche über Lubian Mining).
5. UNODC – 2025 Report: The intersection of criminal and technological innovation in the cybercrime landscape of Southeast Asia. (Referenziert für: Den Einsatz hybrider Bots zur automatisierten Eröffnung von Mule-Konten bei Fintech-Plattformen sowie für automatisiertes Smurfing).
6. INTERPOL – „Words Matter: Changing the Language of Online Fraud“ (2024). (Referenziert für: Die Terminologie „Romance Baiting“ zur Vermeidung von Victim Blaming; die konzeptionelle Differenzierung zwischen emotionaler Vulnerabilität und operativer Methode.)