Englisch
Deutsch
Spanisch
Französisch
Türkisch
Zurück zu Leitfäden
Wie funktioniert ein Krypto-Payment-Gateway? Der technische Leitfaden
Ein Krypto-Payment-Gateway wirkt aus Händlersicht wie ein klassischer Checkout: Kunde klickt, Zahlung erscheint. Technisch ist es eine Orchestrierung aus Rechnungssystem, Wallet-Infrastruktur, Chain-Watcher, Risiko-Engine und Fiat-Off-Ramp, die auf Sekundenbasis zusammenwirken müssen.
Dieser Leitfaden zerlegt die Architektur Schritt für Schritt. Wir zeigen den Invoice-Lebenszyklus, Rate-Locks, Mempool-Detection, Confirmation-Policies, realistische Edge-Cases wie Unter- und Überzahlung, Webhooks mit Signatur und Idempotenz, Custody-Modelle und den EUR-Off-Ramp über SEPA. Geschrieben für deutsche Entwickler und Payment-Leads im MiCAR-Umfeld.
Steigern Sie Ihr Geschäft durch die Annahme von Krypto-Zahlungen
Die Architektur im Überblick
Ein modernes Krypto-Gateway besteht aus sechs eng gekoppelten Komponenten. Jede hat eine klare Verantwortung und eigene SLA-Metriken. Eine Störung in einer Komponente darf die anderen nicht mitreißen.
Invoice-Service
Nimmt EUR-Beträge entgegen, bestimmt Tokenpreis, legt Rate-Lock an, erzeugt Einzahlungsadresse und liefert QR-Code plus Deep-Link.
HD-Wallet-Infrastruktur
Leitet je Invoice eine frische Adresse aus einem BIP-32/44-Baum ab. Private Keys in HSM oder MPC-Cluster, nie im Application-Layer.
Chain-Watcher
Verbindet sich zu Full Nodes oder spezialisierten RPC-Anbietern, subscribet auf neue Blöcke und matched Transaktionen gegen offene Invoices.
Risk-Engine
Gleicht Eingangsadressen mit Chainalysis, Elliptic oder TRM ab, wendet Sanktionsscreening an, setzt Confirmation-Policy je Risikoklasse.
Treasury und Exchange
Verbucht Eingänge, konvertiert bei Bedarf in EUR auf Partner-Exchanges, verwaltet Hot- und Cold-Wallet-Split.
SEPA-Off-Ramp
Triggert SEPA- oder SEPA-Instant-Auszahlung an das Händlerkonto, typischerweise am selben oder Folgewerktag.
Der Invoice-Lebenszyklus
Ein Invoice ist ein Zustandsautomat. Jeder Übergang wird per Webhook an Ihr System gemeldet, jeder Zustand hat definierte Timeouts.
Rate-Locks, Mempool und Confirmations
Preisstabilität und Bestätigungsverhalten sind die beiden technischen Kernentscheidungen. Beide betreffen Kundenerfahrung und Betrugsrisiko direkt.
Rate-Lock
Der EUR-Kurs eines Tokens wird beim Invoice-Erstellen fixiert, typischerweise für 10 bis 20 Minuten. Fachanbieter nutzen einen Mittelwert mehrerer Exchanges und legen einen Spread von 0,3 bis 0,8 % auf, um Slippage beim internen Off-Ramp zu decken. Läuft der Lock ab, wird der Invoice "expired" und kann mit neuem Kurs neu erzeugt werden.
Mempool-Detection
Der Chain-Watcher sieht eine Transaktion, sobald sie in den Mempool broadcasted wird, also bevor sie in einem Block ist. Das ermöglicht ein frühes "payment detected"-Signal für den Kunden. Für die Warenfreigabe reicht das nicht, die Transaktion kann noch durch Replace-by-Fee ersetzt oder gedroppt werden.
Confirmation-Policy
| Chain | Typische Confirmations | Wartezeit (Schnitt) |
|---|---|---|
| Bitcoin | 1 bei < 500 EUR, 2 bis 3 bei größeren Beträgen | 10 bis 30 Minuten |
| Ethereum L1 | 12 bis 32 (je nach Policy) | 3 bis 8 Minuten |
| Base, Arbitrum | 1 bis 3 | Unter 30 Sekunden |
| Tron (USDT) | 19 bis 25 | Ca. 1 Minute |
| Solana | 1 (finalized) | Unter 15 Sekunden |
Edge-Cases, die der Code kennen muss
Der Happy-Path ist leicht. Das Gateway verdient sein Geld damit, wie es Fehler behandelt. Folgende Fälle sollten in Ihrer Integration automatisiert sein.
- Unterzahlung. Kunde sendet weniger als geschuldet, z.B. weil er die Netzwerkgebühr nicht eingerechnet hat. Invoice bleibt offen, Kunde kann nachsenden, oder Rechnung läuft aus und wird storniert.
- Überzahlung. Kunde sendet zu viel, oft durch Kursrundung. Gateway bucht die Differenz als Guthaben oder zahlt automatisch zurück. Erstattungspolitik muss im Shop-AGB dokumentiert sein.
- Falsches Netzwerk. USDT als TRC-20 gesendet, erwartet war ERC-20. Ein guter Anbieter erkennt den Asset-Mismatch und versucht ein Recovery gegen Gebühr, verspricht aber nichts.
- Reorg. Ein Block wird re-orged, die Transaktion verschwindet temporär. Deshalb mehrere Confirmations statt nur einer. Ein konservativer Anbieter wartet bei Bitcoin 2 bis 3 Blöcke, bevor er "confirmed" feuert.
- Stuck Transaction. Zu niedrige Gas-Gebühr, Transaktion hängt stundenlang im Mempool. Der Kunde-Support muss CPFP- oder Replace-by-Fee-Optionen kennen.
- Sanktionierter Absender. Risk-Engine markiert Eingang als high-risk (z.B. Mixer-Output). Mittel werden gehalten, Rückweisung gemäß GwG und Sanktionsliste-Prozess. Dokumentierter Workflow ist Pflicht.
Webhooks, Signaturen und Idempotenz
Der Webhook ist das kritische Nervensystem zwischen Gateway und Ihrem ERP. Drei Regeln müssen ohne Ausnahme gelten: signiert, idempotent, akzeptiert Retries.
- Signatur prüfen. Jeder Webhook kommt mit HMAC-SHA256 über Payload und Timestamp, signiert mit Ihrem Endpoint-Secret. Ohne Verifikation akzeptieren Sie nichts. Replay-Angriffe mit Zeitfenster von 5 Minuten blocken.
- Idempotenz über event_id. Derselbe Webhook kann drei- oder viermal ankommen, wenn Ihr Endpoint eine 5xx-Antwort gibt. event_id als Unique-Key in einer Tabelle, duplicate ignorieren.
- Schnelle 200-Antwort. Webhook entgegennehmen, in eine Queue schreiben, 200 OK zurückgeben. Schwere Logik läuft asynchron. Sonst riskieren Sie Timeouts und Exponential-Backoff auf Anbieterseite.
- Ereignistypen kennen. Mindestens invoice.created, invoice.detected, invoice.confirmed, invoice.expired, invoice.underpaid, invoice.overpaid, invoice.settled, refund.executed.
- Reconciliation per Endpoint. Zusätzlich zu Webhooks eine tägliche GET /invoices?since=… Reconciliation, um Lücken durch Ausfälle zu schließen.
Custody und EUR-Off-Ramp
Wie ein Gateway Private Keys hält und wie schnell es aus Krypto in EUR kommt, sind zwei Entscheidungen, die in Ihren Vertrag gehören.
Custody-Modelle
- Custodial. Anbieter verwahrt Schlüssel in HSM (Hardware Security Modules) oder MPC-Clustern (z.B. Fireblocks, Copper, BitGo). SOC 2 Type II und ISO 27001 sind Marktstandard. Für 95 % der Händler die richtige Wahl.
- Non-Custodial. Händler verwahrt selbst, Anbieter liefert nur Watcher und Invoice-Layer. Keine Verwahrerhaftung, aber volle operative Verantwortung für Schlüsselsicherheit, Cold-Storage und Backups.
- Hybrid. Anbieter verwahrt temporär während des Settlement, zahlt dann sofort in eigenes MPC-Wallet des Händlers aus. Für größere B2B-Volumen interessant.
EUR-Off-Ramp
Der Off-Ramp konvertiert Krypto in EUR und zahlt per SEPA aus. Entscheidende Parameter:
- Konversionsspread. 0,3 bis 0,8 % gegenüber dem Mid-Market-Preis. Transparent und vertraglich gedeckelt verhandelbar.
- SEPA versus SEPA Instant. Standard-SEPA 1 Werktag, Instant (SCT Inst) binnen Sekunden, aber häufig Aufpreis von 0,10 bis 0,50 EUR je Payout.
- Auszahlungszyklus. Täglich (Mo-Fr), intra-day oder auf Abruf über API. Wählen Sie das Muster, das zu Ihrem Cash-Management passt.
- Batching und Cutoffs. Viele Anbieter haben einen Cutoff um 14:00 Uhr CET. Transaktionen danach landen erst am Folgewerktag, außer mit Instant-Payout.
Sauber dokumentiert, offen integriert
Ein technisches Gateway, das Ihren Payment-Lead ernst nimmt.
GatewayCrypto liefert vollständige OpenAPI-Dokumentation, signierte Webhooks, Sandbox mit Produktionsparität und SDKs für Node.js, Python, PHP, Go, Ruby und Java. Ihr Integrations-Engineer sitzt während des Rollouts in Ihrem Slack.
- MPC-Verwahrung. Private Keys in MPC-Cluster, nie in Application-Servern.
- Signierte Webhooks. HMAC-SHA256, Replay-Schutz, Retries mit Exponential-Backoff.
- SEPA und SEPA Instant. EUR-Payout nach Ihrem Zyklus, DATEV-konformer Export.
Steigern Sie Ihr Geschäft durch die Annahme von Krypto-Zahlungen
Los geht's
Häufig gestellte Fragen
Von wenigen Sekunden (Base, Arbitrum, Solana) bis zu 30 Minuten (Bitcoin bei 2 bis 3 Confirmations). Stablecoins auf Tron oder L2-Chains liegen unter 60 Sekunden. Für den Checkout ist das vergleichbar oder schneller als ein 3DS2-Challenge-Flow.
Nur auf "confirmed" reagieren, nicht auf "detected". Mempool-Erkennung ist für UX sinnvoll, aber kein Freigabesignal. Bei Bitcoin mindestens 2 Confirmations bei Beträgen über 500 EUR, bei L2s und Solana reicht "finalized".
Speichern Sie sowohl den EUR-Betrag als auch den Token-Betrag der Rechnung. Der Eingang wird zum Lock-Kurs verbucht. Abweichungen bei Konversion fallen beim Anbieter an und werden im Settlement-Report als Spread ausgewiesen.
Für den deutschen und EU-Markt 2026: BTC, ETH, USDT auf Tron und USDC auf Base oder Arbitrum. Das deckt den Großteil der Händlervolumina. Solana und weitere L2s ergänzen, sobald Ihre Käuferdaten das rechtfertigen.
Ja, wenn er Verwahrung, Tausch oder Ausführung von Aufträgen übernimmt und Sie in der EU tätig sind. Die Übergangsfrist für Bestandsanbieter läuft spätestens am 1. Juli 2026 aus. Prüfen Sie die CASP-Liste der BaFin oder der jeweiligen EU-Aufsichtsbehörde.
Über die Sandbox des Anbieters. GatewayCrypto liefert Testnet-Invoices für alle unterstützten Chains (Bitcoin Testnet, Sepolia, Tron Shasta, Base Sepolia), simulierte Webhooks inklusive Fehlerzustände und ein Reconciliation-Endpoint mit gleicher API wie Produktion.
Gute Anbieter implementieren Exponential-Backoff-Retries über 24 bis 48 Stunden. Zusätzlich führen Sie eine tägliche Reconciliation über GET /invoices?updated_since=, um Ereignisse zu holen, die Sie verpasst haben. Idempotenz-Key verhindert doppelte Verbuchung.
Der Settlement-Report liefert je Rechnung: Tokenbetrag, Eingangskurs, Konversionsspread, EUR-Gutschriftsbetrag, Anschaffungswert. Die Umsatzerlösbuchung erfolgt in EUR zum Settlement-Kurs, die steuerliche Behandlung nach EStG und UStG. Details bitte mit dem Steuerberater abstimmen.
