Artikel-Feed

Strafbarkeit von Phishing in Deutschland – Teil 1

Daten zum Artikel
Autor des Artikels: Jens Ferner (Diplom-Jurist)
Kurz-Link (für Zitate/Links): http://www.internet-strafrecht.com/?p=91
Dieser Artikel hat zur Zeit die Version: 253
Zur Zitierung finden Sie hier Informationen.

Artikel erstellt am Donnerstag, Januar 1st, 2009 um 21:14.
Tags: , , , , , , ,

Das “Phishing”1 bereitet den Juristen in Deutschland manche Kopfschmerzen, jedenfalls ist bis heute heftigst umstritten, inwiefern das Phishing an sich strafbar sein soll2.

Ich möchte in diesem Beitrag das Thema tiefgehend analysieren. Dazu stelle ich auf die verschiedenen Stufen der Tat ab und unterscheide nach den Handelnden:

  1. Ggfs. Betrieb einer Webseite auf der Daten eingegeben werden sollen
  2. Versenden einer Mail die zur Angabe von Daten auffordert, entweder via Link zu einer Webseite nach (1) oder als Antwort-Mail
  3. Das Erlangen der Daten
  4. Die Nutzung der Daten, etwa in Form der Veranlassung einer Überweisung via PIN/TAN, wobei nochmals differenziert wird nach
    1. Dem eigentlichen Täter, der die Überweisung veranlasst
    2. Evt. einem Dritten, der sein Konto als Zwischenstation für den Geldtransfer zur Verfügung stellt (so genannter Finanz-Agent)

Diese Punkt möchte ich im folgenden analysieren. Dabei ist zu bemerken, dass ich das so genannte “Pharming”, also das bereithalten gefälschter Webseiten3 rechtlich im Rahmen des Phishings behandle. Da bei der juristischen Subsumtion auf das Verhalten abgestellt wird, unabhängig von Begrifflichkeiten, möchte ich mich hier nicht in unnötigen Detailfragen verlieren.

Hinweis: In diesem Rahmen spielt die Frage eine Rolle, ob deutsches Strafrecht überhaupt anwendbar ist – etwa wenn die betreffenden Webseiten auf ausländischen Servern bereit gehalten werden oder Mails aus dem Ausland veschickt werden. Für den Moment soll der Hinweis genügen, dass dies generell kein Problem darstellt4, wobei es natürlich sehr abstrakte Ausnahmen gibt. Ich möchte später zum Thema der “Geltung deutschen Strafrechts” einen eigenen Artikel schreiben.

Rn. 1

1. Betrieb einer Webseite zur Eingabe von Daten

Wer eine Webseite bereit hält, die z.B. der einer Bank täuschend ähnlich sieht wenn nicht gar identisch gleicht, in der Hoffnung dass potentielle Opfer hier ihre Login-Daten eingeben (um diese Daten abzufangen) könnte sich wie folgt strafbar machen.

Rn. 2

1.1 §269 I 1. Alt StGB

Im objektiven Tatbestand könnte die erste Alternative des §269 I StGB vorliegen: “Beweiserhebliche Daten” werden so gespeichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegt.

Sollte der Täter von einer bestehenden Seite vorthandene Designs (etwa CSS etc.) kopieren und selbst verwenden, läge eine veränderung vor, jedenfalls liegt problemlos im Vorhalten der Daten auf einem Server eine Speicherung vor5.

Ein Datum i.S.d §269 StGB ist jede in einem technischen Gerät auf optisch nicht wahrnehmbare Weise gespeicherte, codierte Information6. Eine Webseite ist eine solche Information, also ein Datum i.S.d. §269 StGB.

Rn. 3

Dieses Datum muss auch “beweiserheblich” sein, was es dann ist, wenn es zur Überzeugungsbildung über eine rechtlich erhebliche Tatsache beitragen kann7. Die Frage, wer der Betreiber einer Webseite ist, ist schon für sich rechtlich erheblich. Hinzu kommen verschiedene Aspekte, wie die Tatsache dass ein Bankkunde schon nur gegenüber seiner Bank Online-Zugangsdaten gebrauchen möchte und heute sogar teilweise über AGB verpflichtet ist, Dritten den Zugang nicht zu ermöglichen. Alles in allem handelt es sich bei den Angaben zu dem Betreiber einer Webseite um eine rechtlich erhebliche Tatsache, die der Überzeugungsbildung dient.

Nun müssen diese Daten auch so beschaffen sein, dass bei ihrer potentiellen Wahrnehmung eine unechte oder verfälschte Urkunde vorliegt. Ohne Bedeutung ist es, dass sie überhaupt wahrgenommen wurden8, es reicht, wenn die Möglichkeit dazu bestanden hat9.

Rn. 4

Da im vorliegenden Fall über den Aussteller getäuscht wird, würde wenn, dann eine unechte Urkunde vorliegen10. Fraglich, ob überhaupt eine “hypotethische Urkunde” angenommen werden darf. Es ist in 5 Stufen vorzugehen11:

  1. Gedankenerklärung
    Es muss der Anschein einer Gedankenerklärung vorliegen12, was hier der Fall ist, da das Formular eine Art Garantieerklärung ähnlich dem auf einer Scheckkarte hinterlegten Magnetstreifen hat13.
  2. Dauerhafte Verkörperung
    Die Wahrnehmung muss optisch14 und dauerhaft15 möglich sein. Die Webseite wird optisch wahrgenommen. Für die Dauerhaftigkeit ist eine Speicherung auf einer Festplatte ausreichend16. Die Daten der Webseite sind zudem auf einem Server, genauer auf dessen Festplatte, hinterlegt, somit dauerhaft wahrnehmbar.
  3. Beweiseignung- und Bestimmung
    Die Daten müssen zum Beweis einer rechtserheblichen Tatsache beitragen. Dies ist hier anzunehmen17, zudem lebt die Webseite bzw. die geplante Schädigung ja gerade davon, dass das potentielle Opfer von der Tatsache, dass es sich um die eigene Bank handelt, überzeugt ist. Wäre es zum Beweis weder geeignet noch bestimmt, würde die Idee dahinter gar nicht funktionieren.
  4. Ausstellererkennbarkeit
    Wie unter (3) festgehalten macht die Webseite nur Sinn, gerade weil sie einen bestimmten Aussteller (die Hausbank des potentiellen Opfers) suggeriert. Eine Meinung18 möchte dies stringend sehen, und verlangt, dass zumindest das passende Logo (und nicht ein übergordnetes) eingesetzt wird. Im Regelfall ergeben sich hier aber keine Probleme. Im Zweifelsfall muss im Einzelfall entschieden werden, wobei eine schlechte Leistung des Täters nicht zu Ungunsten (evt. dummer) potentieller Opfer eingewendet werden darf.
  5. Unechtheit
    Unecht ist die (hypothetische19) Urkunde wenn sie nicht von dem stammt, der angeblicher Aussteller ist20. Angeblicher Aussteller (Verfasser de Webseite) ist die Hausbank, in Wirklichkeit ist es aber der Täter.

Rn. 5

Der objektive Tatbestand des §269 I 1. Alt StGB ist also beim Vorhalten gefälschter Webseiten anzunehmen. Subjektiv muss die entsprechende Webseite bereitgehalten werden, um zur Täuschung im Rechtsverkehr zu handeln21, was im Regelfall angenommen werden kann.

Insgesamt ist somit beim Vorhalten gefälschter Webseiten zur Erlangung von Zugangsdaten eine Strafbarkeit nach §269 I 1.Alt StGB anzunehmen22.

Rn. 6

1.2 Regelbeispiele

Der Vollständigkeit halber der Hinweis, dass die Regelbeispiele der §§269 III, 267 III Nr.1 und 3 StGB normalerweise vorliegen müssten, was aber alleine Auswirkungen auf die Strafzumessung hat.

 

Rn. 7

2. Versand der Email

2.1 §269 I 1. Alt StGB

Grundsätzlich wird hier auf 1.1 oben verwiesen, denn §269 I 1. Alt. StGB kann bei Phishing-Mails, die einen existenten Absender wie eine Bank, vortäuschen grundsätzlich angewendet werden23.

Rn. 8

Ich gehe daher nur auf die Streitpunkte ein, die es in der Tat zahlreich gibt:

  1. Ein Teil der Literatur fordert, dass eine Authentizität, also die Erkennbarkeit des Ausstellers, nur vorliegt, wenn die Mail auch signiert ist24. Ansatzpunkt ist hier die Beweiseignung der Urkunde, die mit Beweiskraft gleichgesetzt wird, was bei fehlender Signatur in der Tat zu verneinen wäre. Diese Meinung verkennt aber, dass es im Rahmen von §269 StGB alleine um die Möglichkeit geht, in einem Verfahren in einem Verfahren Überzeugensbildend zu wirken25. Das erfordert keinesfalls das Formerfordernis im Sinne des §126a BGB. Vielmehr ist Sinn der Beweiseignung, gänzlich irrelevantes auszuschliessen26. Die hier herangezogene Fälschungssicherheit ist nicht nur unnütz sondern war noch nie Teil der Betrachtung der §§267, 269 StGB27. Die fehlende Signatur ist also kein Problem.
  2. Eine andere Ansicht28 verlangt zwar keine Signatur, aber zumindest strenge Anforderungen an die Erkennbarkeit des Ausstellers. Wenn etwa Mails als “sparkasse.de” versendet und “unterschrieben” sind, wird ein nicht existenter Aussteller vorgegaukelt, womit die Garantiefunktion nicht vorliegt29. Jedenfalls dann, wenn nicht zusätzlich eine Webseite nach 1.1 zum Einsatz kommt, die dann das entsprechende Logo der existierenden Hausbank nutzt, ist dies ein mitunter starkes Argument, da nun fraglich ist, ob nicht vielmehr nur eine schriftliche Lüge vorliegt. So wird bei Verwendung nicht existenter Namen teilweise eine schriftliche Lüge angenommen30. Dies sieht die h.M.31 insgesamt aber anders: Die vorgetäuschte Person muss nicht existieren. Dies macht auch insofern Sinn, da der Schutz des Rechtsverkehrs gerade von dem Gedanken lebt, dass man sich auf Urkunden verlassen kann. Ob man dies bei evidenten Sachverhalten (Absender ist etwa “Spasskasse.de”) noch aufrecht erhält, ist dann im Einzelfall abzuwägen.

Rn. 9

2.2 §269 I 3. Alt StGB

Sofern per Mail Links zu Webseiten nach 1.1 verschickt werden, liegt ein “gebrauchen” im Sinne der 3. Alternative vor32.

 

Rn. 10

3. Erlangen der Daten

3.1 §§44, 43 BDSG

Ein Bussgeld erscheint zumindest nach §43 I Nr.4,8; II Nr. 1 BDSG angebracht. Somit liegt dann auch die VOrraussetzung zur STrafbarkeit nach §44 I BDSG vor.

Rn. 11

3.2 §202b StGB

Der §202b StGB setzt vorraus, dass der Täter sich Daten “aus” einer nicht-öffentlichen Datenübermitlung verschafft. Dies liegt beim Phishing gerade nicht vor, denn der Täter verschafft sich hier die Daten durch eine an ihn gerichtete Übermittlung. Das “aus” spricht für ein “Abfangen”, jedenfalls für ein Eingreifen in den Übermittlungsprozess33. §202b StGB scheidet beim Phishing aus34.

Kritische Anmerkung: Ich werde durch die Argumentation bei Leupold/Glossner nicht überzeugt. Vielmehr ist die Frage, ob die Daten für den Täter bestimmt sind (siehe sogleic, beim §202a StGB), ich sehe aber sprachlich kein Problem, anzunehmen, dass der Täter die Daten aus einer Datenübermittlung erhält (woher hat er sie denn sonst?).
Letztlich aber sei darauf hingewiesen, dass hier analog auf die Argumentation zum §202a StGB verwiesen werden kann (siehe sogleich).

Rn. 12

3.3 §202c I Nr.1 StGB

Der §202c I 1. Alt. StGB liegt wohl unproblematisch vor, sobald das Opfer seine Daten eingegeben und abgeschickt hat, und diese den Täter erreichen35. Man kann kritisch hinterfragen, inwiefern beim Phishing (die Daten sollen ja zu Transaktionen genutzt werden) eine Vorbereitung einer Tat nach §§202a, 202b StGB vorliegen soll – vielmehr wird ja eine Tat nach §263 a StGB vorbereitet. Dies aber nur als kritische Anmerkung von mir.

Rn. 13

3.4 §202a StGB

Die Zugangsdaten, etwa zu einem Konto, sind zweifelsohne Daten im Sinne des §202a I StGB36. Absatz 2 verlangt aber, dass die Daten gespeichert sind oder übermittelt werden. Abgestellt wird also darauf, dass die Daten beim Zugriff entweder gespeichert sind oder sich im Übermittlungsstadium befinden37. Damit sollen nur Daten gemeint sein, auf die während eines Übermittlungsvorgangs zugegriffen wird38, während beim Phishing die Daten gerade durch die Übertragung übermittelt werden39. Somit liegt schon kein taugliches Tatobjekt vor40.

Kritische Anmerkung: Diese Auslegung verkennt die Änderung des §202a StGB im Jahr 2007; Nach seiner Änderung ist der §202a StGB eindeutig ein Geheimnisschutzdelikt41, deswegen wurde ja das Verschaffen des Zugangs zu den Daten überhaupt aufgenommen. Dass der Täter hier privilegiert werden soll, weil er besonders trickreich arbeitet und das Opfer auch noch mitwirken lässt, mag bei der Frage nach einer Einwilligung berücksichtigt werden, aber schliesst eben nicht schon das Tatobjekt aus.
Auch der Hinweis von Stuckenberg auf die BT-Drucks. 10/5058 (S.28) überzeugt nicht, da hier gerade die Strafbarkeit des Verschaffens von Zugangsdaten ohne Übermittlung (Suchen von Pay-TV-Passwörtern durch Kinder bei den Eltern) festgestellt wird. Offensichtlich sollte alleine das Suchen von Zugangsdaten ausgeschlossen werden, wobei ohne jegliche elektronische Mittel gearbeitet wird.

Rn. 14

Wer meiner Kritik folgt und doch ein taugliches Tatobjekt annimmt, kann noch fragen ob die besondere Zugangssicherung überhaupt vorhanden ist42. – die aber wird ja gerade umgangen durch die erschlichene Eingabe.

Einzig der Hinweis darauf, dass eventuell ein den tatbestand ausschliessendes Einverständnis vorliegt43 vermag im Ansatz zu überzeugen und ist nicht von der Hand zu weisen. Hier ist dann zu prüfen, wie man mit einem erschlichenen Einverständnis umgeht, was ich nicht im weiteren erörtere, da es typischer StGB AT Stoff ist. Es muss aber zu dieser Klärung sehr wohl erörtert werden, ob die Fragen evt. für den Täter bestimmt sind. Nicht für den Täter bestimmt sind die Daten, wenn der Berechtigte nicht will, dass sie in den Herrschaftsbereich des Täters gelangen44.Das will das potentielle Opfer hier zweifelsohne, dennoch argumentiert z.B. Popp43 wie folgt:

Freilich sind Daten wie PIN und TAN regelmäßig auch gegenüber der Bank geheim. Wenn und soweit das Opfer sich dessen bewusst ist, erfolgt die Preisgabe des Geheimnisschutzes als solche sehenden Auges. Das Opfer unterliegt einem Irrtum dann nur im Hinblick auf Motivation und Identität seines Gegenübers, nicht aber im Hinblick auf seinen Rechtsgutsverzicht. Ein solcher Irrtum jedoch steht dem Tatbestandsausschluss kraft Einverständnis nicht im Wege.

Rn. 15

Es soll also davon abhängen, ob das potentielle Opfer sich im Klaren ist, dass auch die Bank die Daten weder kennt noch erfragen würde. Wäre es aber nicht sauberer, dann direkt ehrlich zu fragen, ob man dem potentiellen Opfer einen dolus eventualis hinsichtlich der Kenntnisnahme durch Dritte unterstellt? Wieder wird die Dummheit des potentiellen Opfers zur Privilegierung des Täters herangezogen, der ja immerhin schon Arbeitsaufwand betrieben hat, um das Vertrauen des – wenn auch dummen oder zumindest unerfahrenen – Opfers zu erschleichen.

Rn. 16

Im Ergebnis lehnt die h.M. zwar wohl den §202a StGB ab, ich selbst möchte das hier aber nochmals kritisch hinterfragen. Denn letztlich ergibt die Gesamtbetrachtung:

  1. Sind die Daten besonders gegen Zugang gesichert (der Zugang wird ja gerade erschlichen),
  2. sie sind nicht für den Täter bestimmt (es kann nicht entlastent wirken, dass der Täter Erfolg hat, das ist ja gerade der Tatbestand),
  3. werden sie dem Täter durch ein trickreiches Vorgehen verschafft,
  4. wobei das verschaffen durch eine Übermittlung i.S.d. §202a II StGB stattfindet.

Ich kann die Angst vor einer Anwendung des §202a StGB beim Phishing daher nicht teilen.

Hinweis: Der erste Teil endet hier. Im Zweiten Teil des Beitrags geht es dann um den noch ausstehenden §263a StGB sowie die dritte Ausführungsstufe: Das Abfangen des Geldes und die Strafbarkeit so genannter “Finanzagenten”.

  1. Ich verwende den Begriff, wie noch gezeigt wird, sehr weit
  2. Ebenso in der Analyse der Meinungen GRaf in NStZ 2007, S.129
  3. Etwa eine gefälschte Eingabemaske die der einer Bank des Opfers ohne erhebliche Unterschiede gleicht
  4. Dazu die sehr ausführliche Darstellung bei Stuckenberg in ZStW 118, 878 beachten
  5. Sch-Sch-Cramer, §269 Rn.16; SK-Hoyer, §269 Rn.8
  6. SK-Hoyer, §269, Rn.5; Sch-Sch-Cramer, §269, Rn.8
  7. SK-Hoyer, §269, Rn.6;Sch-Sch-Cramer, §269, Rn.10
  8. SK-Hoyer §269 Rn.10; Stuckenberg in ZStW 118, 878, 890
  9. Stuckenberg in ZStW 118, 878, 890
  10. Sch-Sch-Cramer, §269, Rn.20
  11. Nach SK-Hoyer, §269, Rn.13 bis 26
  12. SK-Hoyer, §269, Rn.14
  13. Zum Magnetstreifen siehe SK-Hoyer, §269, Rn.16 sowie LK §269 Rn2.
  14. SK-Hoyer, §269, Rn.17; LK §269 Rn.2
  15. SK-Hoyer, §269, Rn.17
  16. SK-Hoyer, §269, Rn.17
  17. Siehe oben bei “beweiserheblich”
  18. Graf in NStZ 2007, 129, 132
  19. Etwa nach einem gedachten Ausdruck
  20. Sch-Sch-Cramer §269 Rn.20; SK-Hoyer §269. Rn21; LK §269 Rn.6
  21. Sch-Sch-Cramer §269 Rn.22
  22. Stuckenberg in ZStW 118, 878, 890; Leupold/Glossner 8/93
  23. Leupold/Glossner 8/91
  24. Frank in CR 2004, 123, 124; Popp MMR 2006, 84, 85
  25. SK-Hoyer §269 Rn.20
  26. NK-Puppe §267 Rn.18
  27. Stuckenberg in ZStW 118, 878, 888
  28. Graf in NStZ 2007, 131, 132
  29. Graf in NStZ 2007, 131, 132
  30. SK-Hoyer §267 Rn.59
  31. BGHSt 1, 117, 121; BGHSt 5, 150, 151; Fischer §267. Rn.21; Wessels BT1 Rn.821
  32. Stuckenberg in ZStW 118, 878, 890
  33. Leupold/Glossner 8/93; Fischer §202b Rn.3
  34. Leupold/Glossner 8/93
  35. Leupold/Glossner 8/93
  36. Stuckenberg in ZStW 118, 878, 884
  37. Stuckenberg in ZStW 118, 878, 884
  38. Fischer, §202a Rn.6; Stuckenberg in ZStW 118, 878, 884
  39. Stuckenberg in ZStW 118, 878, 884
  40. Stuckenberg in ZStW 118, 878, 884
  41. Schumann in NStZ 2007, 675, 676
  42. Stuckenberg in ZStW 118, 878, 885
  43. Popp in NJW 2004, 3517, 3518
  44. LK §202a Rn.3
  45. Popp in NJW 2004, 3517, 3518

Geschrieben in Allgemein

Post comment as
twitter logo facebook logo
Sort: Newest | Oldest

Trackbacks

  1. Hinterhaeltige Betrueger warnen per Phishing-e-Mail vor Betrug sagt:
    3. Juni 2010 um 14:51

    [...] [...]

  2. Wikipedia-Phishing | Rechtsanwalt Ferner - Alsdorf, Aachen sagt:
    3. Juli 2010 um 09:01

    [...] Strafbarkeit von Phishing nach deutschem Recht (Teil 1) Tags: phishing [...]

  3. OLG Zweibrücken zum Phishing | Internet-Strafrecht.com sagt:
    7. Oktober 2010 um 11:18

    [...] habe zum Thema “Strafbarkeit des Phishing” bereits etwas ausführliches geschrieben, der erste Teil ist hier zu finden. Den zweiten Teil schulde ich auf Grund von Zeitmangel bis heute, er wird aber noch in diesem Jahr [...]

www.ferner.eu | www.rechtsanwalt-ferner.de | newsletter.ferner-alsdorf.de | stoererhaftung.ferner-alsdorf.de | auskunftsanspruch.ferner-alsdorf.de
medienstrafrecht.com | www.daten-strafrecht.de