Finanzagent oder Warenagent

Bei einem Finanzagenten oder Warenagenten handelt es sich im Kern um einen Mittelsmann: Der Täter im Hintergrund versucht durch betrügerisches agieren an Gelder oder Waren zu kommen. Damit der Hintermann nicht direkt zu finden ist beauftragt er Dritte, für ihn Geld oder Waren anzunehmen und später an den Täter weiterzuleiten.

Bei den Finanzagenten handelt es sich nicht selten um gutgläubige Ausgenutzte, die eine kleine Provision erhalten oder die durch soziale Tricks – etwa eine vorgetäuschte Liebschaft – zur Weiterleitung verleitet werden. Hier drohen für solche gutgläubigen Agenten eigene Strafbarkeit, etwa wegen (leichtfertiger) Geldwäsche oder Beihilfe zur Tat des Täters.

Cybercrime as a Service

Unter dem Begriff “Cybercrime as a Service” wird das Angebot von Dienstleistungen zur Begehung von digitalen Straftaten gefasst. Zu solchen Dienstleistungen gehört insbesondere:

  • Die Fertigung individueller Malware inklusive Ransomware, gerne basierend auf bestehenden Bausätzen;
  • das Verteilen lassen von Malware inklusive „Infection on Demand“
  • die Möglichkeit der Anmietung von Botnetzen
  • das Durchführen lassen von DDoS-Attacken;
  • das Durchführen von Datendiebstahls-Szenarien oder gleich der Verkauf/Ankauf erlangter sensibler Daten;
  • die Vermittlung von Finanz- oder Warenagenten;
  • hochprofessionalisierte Anonymisierungs- und Hostingdienste zum Verschleiern eigener Identität (was nicht zwingend illegal sein muss!);
  • die Nutzung von Dropzones um illegal erlangte physische Waren auch zustellen zu lassen.

Digitaler Schwarzmarkt

Der Digitale Schwarzmarkt oder auch “Underground Economy” ist nur eine digitale Variante eines kriminellen Marktplatzes, der häufig aber nicht zwingend im Darknet beheimatet ist. Neben dem Verkauf von klassischen Waren wie Waffen oder Drogen werden dort auch digitale Güter (gestohlene Identitäten oder Zahlungsmittel, Software) und Dienstleistungen (“Cybercrime as a Service”) angeboten. Kinderpornographie ist regelmässig auf solchen Plattformen ausdrücklich verboten und wird daher in einschlägigen Handelsplätzen vertrieben, die vom Oberbegriff “Digitaler Schwarzmarkt” nicht mehr erfasst sind.

Advanced Persistent Threat – APT

Der Advanced Persistent Threat (“APT-Angriff”) ist ein Oberbegriff für Angriffe, bei denen das langfristige Infiltrieren einer IT-Infrastruktur angestrebt ist. Die Angreifer investieren sehr viel Energie und Aufwand und beabsichtigen eben nicht ein kurzfristiges Ziel, sondern die andauernde Infiltration und hierbei auch das Ausdehnen des Beherrschend bis in tiefste Strukturen der IT-Infrastruktur des Angegriffenen.

BVerfG zum Schutz der Internetnutzung: Ermittlungsbehörden dürfen mitsurfen

Eine Entscheidung des Bundesverfassungsgerichts (2 BvR 1454/13) verdient Beachtung. Angesichts der Entscheidung, mit der festgestellt wurde, dass die praktizierte weite Auslegung des Begriffs “Telekommunikation” entsprechend § 100a StPO keinen verfassungsrechtlichen Bedenken begegnet und die Überwachung des gesamten Internetverkehrs eines Beschuldigten durch Ermittlungsbehörden möglich ist, ist es umso überraschender, dass diese bis heute etwas “unterging”. Die Entscheidung dürfte auch hinsichtlich der ausdrücklichen Schaffung einer Quellen-TKÜ im Jahr 2017 eine gewisse Relevanz entfalten.
“BVerfG zum Schutz der Internetnutzung: Ermittlungsbehörden dürfen mitsurfen” weiterlesen

IT-Forensik: Zugriff von Ermittlungsbehörden auf iPhones

Immer wieder für gewisse Nervosität sorgt die Frage, ob ein iPhone nun “sicher” ist, nachdem dieses von Ermittlungsbehörden beschlagnahmt wurde. Spätestens seit dem Februar 2017, in dem ein Bericht über die Nutzung von Cellebrite-Hardware durch deutsche Behörden endgültig klar wurde, ist das Fragezeichen noch Grösse geworden. Nun muss man nicht erst an Cellebrite denken, wo ohnehin der Verdacht im Raum steht ob es letztlich um Jailbreak-Techniken gehtdie Angriffsszenarien auf ein iPhone sind mannigfaltig, wenn auch im Detail eher teuer zu bewerkstelligen.

Jedenfalls in den von mir bearbeiteten Fällen klassischer Cyberkriminalität wurde bisher kein auf üblichem Wege gesichertes und verschlüsseltes iPhone ausgelesen. Weder Kripo vor Ort noch LKA NRW haben in von mir verteidigten Fällen auf diese Informationen zugreifen können. Da in mindestens einem Fall zudem auch noch ein Mandant vor dem erfolgreichen Auslesen sein iPhone per Fernzugriff löschen konnte scheint auch sonst das Prozedere hinsichtlich des Auslesens von iPhones eher rudimentär zu geschehen. Gleichwohl sind die Risiken nicht zu unterschätzen, insbesondere wenn man in via iCloud oder IMAP synchronisierten Bereichen Inhalte speichert die andere nicht kennen sollen – zu einfach ist es, mit Passwörtern, die irgendwo notiert sind, hierauf Zugriff zu erhalten ohne sich lange am iPhone abzumühen. Falls man nicht ohnehin seinen parallel genutzten Mac/PC so schlecht gesichert hat, dass die Ermittler auf die dort gespeicherten iCloud-Nutzer-Tokens zugreifen und diese kopieren können (dazu unten der zweite Link).
Und auch dieses Szenario kenne ich übrigens: Dass man sich alle Mühe gibt mit seinem iPhone, den PIN nirgendwo notiert, aber dann die Zugangsdaten zu den genutzten Diensten irgendwo sonst notiert hat.

Zum Thema:

CEO-Fraud

Beim CEO-Fraud geht es um eine Variation des Social-Engineerings: Hier versuchen Täter, zielgerichtet entscheidungsbefugte Personen in einem Unternehmen zu manipulieren, insbesondere mit dem Ziel dass diese hohe Geldbeträge ins Ausland überweisen. Man besorgt sich vorher umfangreiche und umfassende Informationen über das Unternehmen, um die Vorspiegelung geschickt wirken zu lassen, am Erfolg versprechendsten sind Unternehmen mit zahlreichen Mitarbeitern. Mir sind aber auch Fälle in kleinen Unternehmen bekannt, in denen dann angeblich veränderte Zahlungsmodalitäten eines Geschäftspartners unter psychischem Druck am Ende zu Zahlungen führten.

Grundsätzlich gilt: Bei ungewöhnlichen Zahlungsanweisungen sollen vor Veranlassung der Zahlung Kontrollen greifen. So sollten Sie eine mit Zahlungsanweisungen eingegangene E-Mail genau auf Absenderadresse und korrekte Schreibweise prüfen. Wichtiger wäre es aus meiner Sicht, bei plötzlich geänderten Zahlungsmodalitäten (wie insbesondere bei geänderten Bankverbindungen) die Zahlungsaufforderung beim vermeintlichen Auftraggeber durch einen Rückruf oder eine schriftliche Rückfrage (nicht per Antwort auf die Mail!) zu kontrollieren.

Lagebild Cybercrime 2016

Sowohl das Bundeskriminalamt als auch das LKA NRW haben zwischenzeitlich wieder Veröffentlichungen zum Lagebild Cybercrime veröffentlicht – die Presse hat die Meldungen wie gewohnt unreflektiert aufgenommen, dabei ist in den Publikationen durchaus offen angesprochen, warum die Zahlen mit Hintergrundwissen aufgenommen werden müssen.

Überblick des BKA

Auf den ersten Blick besteht ein massiver Anstieg der Fälle von Cybercrime im engeren Sinn – allerdings muss man die Hintergründe kennen: So wird der Computerbetrug in der polizeilichen Kriminalstatistik (PKS) nun klarer ausgewiesen, der überdies den Grossteil der erfassten Taten ausmacht. Durch diese differenzierte Erfassung des vom Anteil der beträchtlichsten Delikts steigen automatisch die Fallzahlen massiv an, ein. Vergleich aber ist nur mittelbar möglich (so auch auf Seite 5 des Berichts). Dabei ist auch daran zu denken, dass Massenhacks, ausgehend von einer Tat und einem Täter, die aber zu einer Vielzahl von Betroffenen führen (wie etwa standardisierte Router-Hacks) letztlich nur zu einer Fallzahl führen!

“Lagebild Cybercrime 2016” weiterlesen

Strafverteidigung bei Computerbetrug

Allgemeines zum Computerbetrug

Der Computerbetrug gehört weder zu den schwersten Delikten im deutschen Strafrecht noch zu den mildestens sondern bewegt sich im normalen Maß mit entsprechender Straferwartung. Er ist, je nach Form der Begehung, durchaus mit beachtlichen Konsequenzen verbunden, die sich auch schnell steigern können.

Computerbetrug: Gesetzessystematik

Der Computerbetrug soll Strafbarkeitslücken im Zusammenhang mit dem Betrug schliessen. Dabei geht es nicht darum, dass ein Betrug über oder durch Computer bzw. das Internet begangen wird, was einen normalen Betrug darstellt! Der Computerbetrug soll vielmehr den Fall erfassen, in dem nicht ein Mensch der “Getäuschte” ist, sondern ein Schaden durch EInwirkung auf eine Datenverarbeitung erfolgt.

Es fängt mit dem Tatbestand des Betruges an: “Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt (…)”, den erwartet eine Freiheitsstrafe bis zu 5 Jahren, ohne Mindestfreiheitsstrafe.

Wenn man dann einen beachtlichen Vermögensverlust herbeiführt oder gewerbsmäßig handelt, ist es bereits ein schwerer Computerbetrug mit einer Mindeststrafe von 6 Monaten. Wenn man einen Computerbetrug als Bande begeht droht bereits eine Freiheitsstrafe von mindestens einem Jahr. Insoweit verweist der Tatbestand des Computerbetruges in seinem Absatz 2 auf die Tatbestände des Betruges.

Der Computerbetrug ist einer der zahlreichen speziellen Tatbestände die den Betrug ergänzen. Dabei findet sich in Absatz 3 noch eine besondere Variante in Form des Vertreibens von Computerprogrammen zur Begehung eines Computerbetruges: “Wer eine Straftat nach Absatz 1 vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.”. Neben §202c StGB existiert damit speziell für den Bereich des reinen Softwarevertriebs bzw. der Softwareentwicklung eine eigene Strafvorschrift.

Verteidigungstaktik & spezielle Probleme bei einem Computerbetrug

Die oben genannten Mindestfreiheitsstrafen sind zu berücksichtigen, bei typischen Abläufen des Computerbetrugs. Allerdings bietet sich die Option des “minder schweren Falls” nach §263 Abs.5 StGB, die auch beim einem Computerbetrug zu beachten ist und somit bei Vorliegen aller Tatbestandsvoraussetzungen zumindest an der Strafzumessung noch gearbeitet werden kann.

Die Besonderheiten liegen beim Computerbetrug in den Details:

  • Es muss “das Ergebnis eines Datenverarbeitungsvorgangs” betroffen sein, womit in einem weitreichenden Sinn alle Daten gemeint sind, auch PIN-Codes und weiter muss
  • ein “beeinflussen” vorliegen, also ein einwirken auf den Datenverarbetungsvorgang im Sinne eines Mitbestimmens oder auch – umstritten – in-Gang-setzens.

Erst hiernach kommen die vier Tatbestandsalternativen zum Tragen, die ebenso sauber geprüft werden müssen und häufig erhebliche Kenntnis von IT und IT-Abläufen benötigen:

  1. Die unrichtige Gestaltung des Programs beschreibt die Einwirkung auf den Programmcode, nicht die Bezugnahme auf die Verwendungsabsicht des Berechtigten;
  2. Besonders kompliziert ist die Verwendung unrichtiger oder unvollständiger Daten in Form der “Input-Manipulation”, die dringend von der unbeabsichtigten aber bestimmungsgemäßen Verwendung abzugrenzen ist;
  3. Äusserst umstritten ist die unbefugte Verwendung der Daten: Das beginnt bereits beim Tatbestandsmerkmal “unbefugt” und der Frage wann dieses vorliegt und geht bis zur Frage, was eine Verwendung sein soll (Nutzung oder nur Einführung). Speziell in den Bankfällen ist dies von Bedeutung, wenn etwa eine EC-Karte rechtmäßig verwendet wird, aber der vereinbarte Abhebungsrahmen überschritten wird;
  4. Die sonst unbefugte Wirkung auf den Ablauf hat eine Auffangfunktion und wird gerne von den Instanzgerichten in ihrer Reichweite überdehnt.

Eine besondere Ausweitung erfährt der Tatbestand des Computerbetrugs dadurch, dass mit der Rechtsprechung des Bundesgerichtshofs bereits eine konkret-unmittelbare Vermögensgefährdung ausreichend ist um einen Vermögensschaden und damit einen Betrug anzunehmen. Hier muss in der Verteidigung sauber gearbeitet werden um die notwendigen Grenzen herauszuarbeiten und eine zu frühe Verurteilung abzuwehren.

Übrigens: Kein Computerbetrug liegt vor, wenn Betrugstaten über das Internet begangen werden, dies ist ein “normaler” Betrug”

Pflichtverteidigung bei Computerbetrug?

Der Computerbetrug ist ein Vergehen, so dass eine Pflichtverteidigung nur bei besonderen Umständen in Betracht kommt. Spätestens wenn die Begehung in Form der Bande vorliegt, ist die Mindeststrafe so hoch, dass schnell die Untersuchungshaft droht. Insgesamt geht es um ein Delikt, dass grundsätzlich beim Landgericht angeklagt wird, somit steht in jedem Fall eine Pflichtverteidigung zu (§140 Abs.1 Nr.1 StPO).

Strafverteidigung beim Computerbetrugs-Vorwurf

Ich habe zahlreiche Fälle des Computerbetruges vor dem Amtsgericht und Landgericht verteidigt, nicht selten ist es dabei so, dass es sich um Situationen handelt, die sich letztlich ungeplant entwickelt haben und dann mitunter ausgeufert sind.

Es lässt sich, selbst bei klarer Beweislage, noch viel erarbeiten – durch geschickte und durchdachte Verteidigung kann man etwa zielgerichtet auf den minder schweren Fall hinarbeiten und somit das Strafmaß entsprechend reduzieren. Nicht zu verkennen ist aber auch, wie wichtig gerade beim Betrug bereits eine zielgerichtete Vorarbeit noch vor der Anklageerhebung ist. Auch die persönliche Situation des Betroffenen, dem ein Betrug vorgeworfen wird, ist zu berücksichtigen und darf in der Hauptverhandlung nicht untergehen – schädlich dagegen ist ein Bagatellisieren.

Beiträge von mir zum Computerbetrug

 

Sexualstrafrecht: Besitz jugendpornographischer Bilder durch Cache

Das Amtsgericht Bocholt (3 Ds – 540 Js 100/16 – 581/16) konnte sich mit der Bestrafung wegen des Besitzes jugendpornographischer Bilder auseinandersetzen und hierbei feststellen, dass eine solche auf Vorsatzebene nur in Betracht kommt, wenn entweder das jugendliche Alter der Person bekannt ist oder diese ganz offensichtlich nicht volljährig sind. Das bedeutet im letztgenannten Fall, dass diese Personen so kindlich wirken müssen, dass sie “fast schon in die Nähe des Besitzes kinderpornographischer Schriften fallen”:

Das Bundesverfassungsgericht führt hierzu aus, dass weder an Hand der körperlichen Merkmale noch durch eine Analyse von Gesichtszügen die Unterscheidung zwischen einer 16- oder 17-jährigen oder einer 18- jährigen Person mit hinreichender Zuverlässigkeit getroffen werden kann. Grundsätzlich ist davon auszugehen, dass allein vom optischen Eindruck her eine Unterscheidungsmöglichkeit nicht besteht (Vergleiche Bundesverfassungsgericht Beschluss vom 06.12.2008 – 2 BVR 2369,2380/08 zitiert nach Beck RS 2009). Eine Strafbarkeit ist deshalb nur dann gegeben, wenn die dargestellten Personen ganz offensichtlich nicht volljährig sind, etwa dann, wenn sie fast noch kindlich wirken und somit in die Nähe des Straftatbestandes aus § 184 b StGB (Kinderpornographie) fallen (…)

Die Entscheidung ist Wichtig, sie demonstriert die rechtliche Unsicherheit im Bereich der Jugendpornographie und wie damit bei Gerichten umzugehen ist; im Zweifelsfall muss der Gesamteindruck der betrachteten Person derart kindlich wirken, dass damit im Umkehrschluss schon zwingend eine jugendpornographische Szene im Raum steht.
“Sexualstrafrecht: Besitz jugendpornographischer Bilder durch Cache” weiterlesen