Phishing und Pharming

I. Erscheinungsform und Unterschiede

Das klassische Phishing beginnt mit einer versendeten Email im Design einer Bank, welche die Aufforderung enthält, Tätigkeiten im Onlinebanking nach einem Login über einen Link aus der Email vorzunehmen. Der Betroffene klickt auf den Hyperlink aus der Email und gelangt auf eine Imitation der „normalen“ Bankwebsite, die vom Beschuldigten betrieben wird. Dieser fängt die eingegebenen Zugangsdaten ab und hat Zugang zum Onlinebanking. Durch die modernen TAN-Verfahren wird der Kontoinhaber noch aufgefordert, Nummern aus der TAN-Liste oder ggf. die Mobilnummer anzugeben. Im Folgenden werden die gebuchten Summen mit den erhaltenen TAN auf ein anderes Konto transferiert. Für gewöhnlich werden die Summen an Finanzagenten überwiesen, die das Geld auf ausländische Konten verteilen.

Beim Pharming wird zunächst der genutzte Computer mit einer Schadsoftware infiltriert. Diese bewirkt beim anwählen der korrekten Domain des Bankbetreibers eine Weiterleitung zur Imitationswebsite des Beschuldigten. Im Folgenden werden die Daten abgefangen und für Transaktionen vom Konto des Betroffenen verwendet.

Die Finanzagenten werden zumeist ebenfalls über massenhafte Spam-Mails aufgefordert, die Summe aus altruistischen Gründen gegen eine Provision weiter zu überweisen. Es werden dabei erfundene Geschichten verwandt, die Mitleid wecken sollen und die Hilfe bei der Überweisung glaubhaft erscheinen lassen.

II. Strafbarkeiten des Phishing und Pharmings

Bei „modernen“ Formen der Kriminalität stößt der Ermittlungsapparat sowie das gesamte Rechtssystem an seine Grenzen. Die Staatsanwaltschaften möchten auch Fälle von scheinbar kriminellem Verhalten anklagen und Verurteilungen erwirken. Verurteilungen sind aber nur auf Grundlage der geltenden Gesetze möglich. Das Rechtsstaatsprinzip setzt fest, dass ein Angeklagter nur verurteilt werden kann, wenn die angeklagte Handlung im Zeitpunkt der Begehung durch ein Strafgesetz verboten war. Das hat zur Folge, dass Strafrechtsgesetze herangezogen werden, die weit vor der Zeit des Internets erlassen wurden. In diesem Spannungsfeld der Rechtsanwendung setzt die Strafverteidigung in Internetstraftaten an. Gesetze können zwar ausgelegt werden, dabei müssen aber die verfassungsrechtlichen Grenzen gewahrt bleiben.

a) Die Strafbarkeit nach § 202 a I StGB und § 202 b StGB wegen des Ausspähens oder Abfangens von Daten beim Versand der Mail und dem Verwenden der Website

Strafbar ist, wer sich unbefugt Zugang zu Daten unter Überwindung der Zugangssicherung verschafft, die nicht für ihn bestimmt sind und gegen unberechtigten Zugang besonders gesichert sind. Ebenso ist es strafbar, sich unbefugt unter Anwendung technischer Mittel nicht für einen selbst bestimmte Daten aus einer nichtöffentlichen Datenübermittlung zu verschaffen.

Die Strafbarkeit scheitert dabei bereits durch die freiwillige Herausgabe der Daten durch die Betroffenen, denn damit entfällt das Merkmal der „Überwindung der Zugangssicherung“. Umstritten ist weiterhin, ob die Zugangs- und TAN-Daten überhaupt taugliche Tatobjekte im Sinne der Vorschrift sind. Es liegt auch kein „Abfangen“ vor, da die Daten in direkter Kommunikation mit dem Phisher herausgegeben werden.

Abzugrenzen ist die Installation eines Trojaners bei der Methode Pharming, dabei kann argumentiert werden, dass die Zugangssicherung des Computers überwunden wird, sodass eine Strafbarkeit in Betracht kommt. Hier kommt es auf den Einzelfall an, der vom Rechtsanwalt für Internetstrafrecht geprüft wird.

b) Strafbarkeit gem. § 269 StGB wegen Fälschung beweiserheblicher Daten durch das Versenden der Mails und dem Verwenden der Phishing-Website

Strafbar macht sich nach § 269 StGB, wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde. Beweiserhebliche Daten müssen dabei den hypothetischen Urkundentest bestehen. Eine tatsächliche Urkunde liegt bei elektronischem Kommunikationsverkehr via Email nicht vor.

Eine eindeutige Aussage, ob die verschickte Email den Anforderungen der Urkundenäquivalenz entspricht, wird für den Einzelfall vom Gericht zu entscheiden sein. Dagegen spricht die zum Teil millionenfache Verwendung der gleichen Mail, was an dem geforderten Erklärungsinhalt zweifeln lässt. Zum Anderen werden die Mails mit Fantasieunternehmen als Aussteller unterzeichnet, die dem „Vorbild“ ähneln, was dem Tatbestandsmerkmal des falschen Ausstellers entgegen stehen könnte. Durch den Empfang der Mail auf dem Server und dem ggf. Ablegen auf der eigenen Festplatte wird von der Erfüllung des „Speicherns“ ausgegangen. Auch hier bietet sich Raum für eine fachgerechte Argumentation im Einzelfall.

Ähnlich verhält es sich mit der geschaffenen Phishing-Website. Ansatzpunkt der Strafverteidigung ist dort die Eigenschaft des falschen Ausstellers. Wie wird überhaupt ein „Aussteller“ einer Website ermittelt? Zu argumentieren ist, dass es auf die zugehörige IP-Adresse und Domaininhaberschaft ankommt. Die Gegenseite lässt den äußeren Schein eines bestimmten Geldinstitutes genügen. In der Frage ist juristische Argumentation und die Erklärung technischer Zusammenhänge gefragt. Eine mögliche Verurteilung gemäß § 269 StGB wegen des Erschaffens und Verwendens der Phishing-Website ist zumindest nicht ausgeschlossen.

c) Weitere Gefahren der Strafbarkeiten im Versenden der Mails und Verwenden der Website

Je nach Einzelfall kann es zu Strafbarkeiten durch die Verwendung spezifischer Logos und Kennzeichen nach dem Markengesetz kommen. Viele Logos und Symbole sind markenrechtlich geschützt, was auch zu strafrechtlichen Konsequenzen führen kann. So wird die strafbare Kennzeichenverwendung nach § 143 MarkenG mit Geldstrafe oder bis zu drei Jahren Freiheitsstrafe geahndet. Gleiches gilt im Hinblick auf das Urhebergesetz. Zu beachten bleiben auch Straftatbestände aus dem Bundesdatenschutzgesetz. Die strengen Regelungen des BDSG in den §§ 43, 44 greifen beim Verwenden und Erheben fremder personenbezogener Daten unter Umständen ein.

d) Strafbarkeit der Datenverwertung

Die Eingabe der erhaltenen Daten und die Tätigung der Überweisung stellen für sich selbstständige Handlungen da, die auch getrennt rechtlich betrachtet werden. Strafbarkeiten wegen das Abfangens und Ausspähens von Daten werden dabei abermals entfallen.

Argumentativ anspruchsvoller wird es im Rahmen des Computerbetrugs § 263a StGB. Demnach wird bestraft, wer in der Absicht sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, dass er durch die unbefugte Verwendung von Daten das Ergebnis eines Datenverarbeitungsvorgangs beeinflusst. Problematisch ist dabei insbesondere der Vermögensschaden durch den Deckungsanspruch gegen die kontoführende Bank. Das Element der täuschungsgleichen Beeinflussung des Datenverarbeitungsprozesses stellt für die Anklagebehörde eine Hürde zur Nachweisbarkeit dar. Rechtstheoretisch wird eine Strafbarkeit regelmäßig gegeben sein; allerdings müssen die einzelnen Merkmale durch die Staatsanwaltschaft in der Hauptverhandlung nachgewiesen werden.

Einige Stimmen sehen in der Entwertung der TAN ein Unbrauchbarmachen von Daten gem. § 303a StGB. Zwar kann die bestimmte TAN nicht mehr selbst durch den Berechtigten verwendet werden, sie ist aber denoch nicht unbrauchbar gemacht im Sinne der Vorschrift. § 303a StGB regelt einen Sonderfall der Sachbeschädigung. Unter Auslegung des Begriffes „unbrauchbar machen“ im Rahmen der Gesetzessystematik, ist das Entwerten der TAN nicht erfasst.

III. Strafbarkeit des Finanzagenten / Finanzkuriers

Die Aufgabe des Finanzkuriers besteht zunächst in der Zurverfügungstellung einer Kontoverbindung. Nach Erhalt des Betrages verfügt der Finanzagent die Weiterüberweisung an das besprochene Konto –  abzüglich einer vereinbarten Provision. Es kommen Strafbarkeiten im Rahmen der Beihilfe in Betracht. Voraussetzung dafür ist jeweils Vorsatz bezüglich der rechtswidrigen Haupttat. Die Anwerbung erfolgt über einen täuschenden Vorwand, was zur Folge hat, dass der Finanzkurier kein Wissen bezüglich der Haupttat hat.

Bei vorsätzlichem Handeln stellen sich noch mögliche Strafbarkeiten wegen Geldwäsche nach § 261 StGB und die Beihilfe zum Computerbetrug nach §§ 263a, 27 StGB. Im Einzelfall ist dabei zu prüfen, ob diese Tatbestände verwirklicht wurden.

IV. Zusammenfassung Strafbarkeit des Phishing und Pharming

Die bestehenden Strafgesetze passen nicht genau für die Tätigkeiten rund um das Phishing und Pharming. Für den kundigen Strafverteidiger im Internetstrafrecht bietet dies argumentativen Spielraum zur Entkräftung der Vorwürfe. Man setzt dabei sowohl auf der tatsächlichen Ebene der Nachweisbarkeit von Handlungen, sowie auf der rechtlichen Ebene der Bewertung der Handlungen an. Eine Strafbarkeit der Handlungen kann dabei nicht sicher ausgeschlossen werden.

Die Kanzlei BUSE HERZ GRUNST Rechtsanwälte aus Berlin berät Sie in allen Fragen des Internetstrafrechts bzw. IT-Strafrechts.

Benjamin Grunst, Rechtsanwalt aus Berlin
Der Bereich des Strafrechts wird maßgeblich betreut von Herrn Rechtsanwalt Benjamin Grunst, Strafverteidiger in Berlin und Brandenburg.

Treten Sie jetzt mit uns in Kontakt!