Kategorien
Cybersecurity & IT-Sicherheit Statistiken

Cybersecurity: Lage der IT-Sicherheit 2019

Lage der Cybersecurity 2019: Gegen Ende des Jahres mehren sich üblicherweise die Berichte zum Thema Cybersicherheit (und Cybercrime), beginnend mit dem Bericht des BSI, der dieses Jahr am 17. Oktober vorgestellt wurde. Ich habe bewusst einige Wochen gewartet, um nun an dieser Stelle einen kurzen und weiterführenden Überblick zu geben.

Es lässt sich wenig überraschend festhalten, dass gerade mit zunehmender und beschleunigter Digitalisierung die IT-Sicherheit an Bedeutung gewinnt. Dabei mehrt sich jedenfalls bei mir der Eindruck, dass der Staat ebenso blindwütig wie mit erheblichen finanziellen Mitteln auf der einen Seite die Digitalisierung vorantreibt – auf der anderen Seite gleichwohl aber die Förderung der IT-Sicherheit im (praktischen) Alltag vernachlässigt. Die so entstehende Schere gefährdet Unternehmen genauso wi Behörden.

Kategorien
Meine Tätigkeit im IT-Strafrecht & Cybercrime

Kein Betrug wenn Kaufpreis nach Widerrufserklärung nicht erstattet wird

Ich bin inzwischen durchaus abstruse Vorwürfe von Staatsanwaltschaften gewohnt – dass aber allen ernstes nach einer misslungenen Rückabwicklung auf Grund eines Widerrufs der Vorwurf des Betruges erhoben wird ist mal was ganz neues:

Dass das dogmatisch nicht funktionieren kann sollte relativ schnell auf der Hand liegen: Betrug setzt eine Täuschung voraus. Der Widerruf dagegen basiert auf einer willkürlichen Entscheidung des Verbrauchers, basierend auf gesetzlicher Möglichkeit. Nachdem also Kaufpreis und Waren – wie vorliegend – ausgetauscht wurden; wie will eine Täuschung geschweige denn Irrtumserregung denn hier bitte aussehen bei einer Widerrufserklärung? Die Staatsanwaltschaft beantragte trotz dieser recht naheliegenden und sich durchaus aufdrängenden Gedanken einen Strafbefehl – im späteren Verhandlungstermin dann ging es allerdings schnell: Innerhalb von 10 Minuten konnten wir mit einem Freispruch den Saal verlassen.

Es sei nochmals darauf hingewiesen, dass man mit allem rechnen muss, gerade im Bereich Fernabsatz laufen vermeintlich geprellte Käufer inzwischen nach meiner Wahrnehmung geradezu vorschnell zur Polizei um Anzeige zu erstatten. Wenn man dann noch auf eine Staatsanwaltschaft trifft, die zügig einen Strafbefehl beantragt und man sich dann nicht rechtzeitig wehrt ist man flugs vorbestraft.

Kategorien
Cybercrime Glossar

Rechnungsbetrug

Beim Rechnungsbetrug geht es darum, dass auf irgendeinem Weg eine Rechnung am Ende im Raum steht, die seriös aussieht, die aber betrügerisch ist. Im einfachsten Fall geht es um eine nur scheinbar bestellte Dienstleistung und einen Dritten, der eine Geschäftsbeziehung schlicht vorgaukelt.

Wesentlich komplexer ist der Rechnungsbetrug im eigentlichen Sinne: Hier wird – etwa durch Social Engineering oder CEO-Fraud – ermittelt, welche Geschäftsbeziehungen bestehen. Dann wird, etwa per Mail oder durch gefälschte Rechnungen, der Eindruck erweckt, die Bankverbindung des Geschäftspartners hat sich verändert und es wird zur Zahlung auf ein neues Konto aufgefordert.

Hinweis: Erschreckend oft funktioniert diese Masche, auch bei ganz erheblichen Summen! In diesem Bereich habe ich Fälle vertreten, wo sich ein erschreckend naiver Umgang zeigte, etwa in dem kurzerhand per Mail mitgeteilte Bankverbindungen schlicht übernommen wurden.

Kategorien
Cybercrime Glossar

Romance-Scamming

Beim Romance-Scamming (auch “Romantik Betrug”) geht es darum, dass jemand – regelmäßig unter Vortäuschung einer erfundenen Identität – über eine soziale Plattform Kontakt herstellt und sich in den Alltag seines Opfers einbringt. Er oder Sie spielt Gefühle vor, macht sich unverzichtbar und schafft all dies, ohne dass es zu echten Treffen kommt. Am Ende wird dann unter vorgeschobenen Gründen, etwa einer plötzlichen Ausreise, eines Notfalls etc., um einen Geldbetrag oder Hilfestellung gebeten. Neben der Zahlung von Geldbeträgen habe ich hier etwa in Fällen helfen müssen, in denen gutgläubige Opfer Warenlieferungen angenommen und dann ins Ausland weitergeliefert haben.

Infografik des BKA zum Romantik-Betrug
Kategorien
Allgemeines zu IT-Strafrecht & Cybercrime

Erpresser-Mails mit Porno-Scam (“Beim Masturbieren aufgenommen” – Update, 18.10.2019)

Seit einiger Zeit kursieren Mails, mit denen Empfänger zu einer Zahlung gebracht werden sollen mit einer fiesen Masche. Ursprünglich wurde behauptet, man hätte den Rechner “gehackt” und Videos über die Rechner-interne Cam erstellt, auf denen man sieht wie der Betrachter sich Pornos ansieht.

Lassen Sie sich nicht einschüchtern, ich beschreibe im Folgenden einige Szenarien, auch um Ihnen zu zeigen, dass die bei Ihnen eingetroffene Mail massenhaft versendet wurde. Das LKA NRW weist auch darauf hin, dass kein Fall mit vorhandenen Aufnahmen bekannt geworden ist.

Kategorien
Allgemeines zu IT-Strafrecht & Cybercrime

Cybercrime Bundeslagebild 2017

Im Bundeslagebild 2017 zeigt sich ein erneuter Anstieg der Cyberkriminalität, wobei weiterhin Vermögensdelikte den Großteil ausmachen. Eine besondere Welle war auch 2017 die Thematik “Ransomware”, wobei weiterhin die wirtschaftliche Bedeutung der Taten hervorzuheben ist

Aktuelle Phänomene aus dem BKA Bundeslagebild Cybercrime 2017
Kategorien
Cybercrime Glossar

Betrug beim Online-Shopping

Betrug beim Verkauf im Internet ist relativ leicht möglich – gleich ob über eine Plattform wie eBay oder Amazon oder durch einen schnell ins Netz gestellten Online-Shop: Durch besonders günstige Angebote wird versucht, den Betroffenen Geld im Zuge einer Vorabzahlung abzuknöpfen. Geliefert wird dann irgendein Schrott – oder auch einfach gar nichts.

Als Betroffener hat man natürlich Rechte und kann sich wehren – insbesondere sein Geld zurück verlangen. Doch hier gilt oft, dass man auf seinen Kosten sitzen bleibt.

Infografik des BKA zum Betrug beim Online-Shopping
Kategorien
Cybercrime Glossar

CEO-Fraud – CEO-Betrug

Beim CEO-Fraud (CEO-Betrug) geht es um eine Variation des Social-Engineerings: Hier versuchen Täter, zielgerichtet entscheidungsbefugte Personen in einem Unternehmen zu manipulieren, insbesondere mit dem Ziel dass diese hohe Geldbeträge ins Ausland überweisen. Man besorgt sich vorher umfangreiche und umfassende Informationen über das Unternehmen, um die Vorspiegelung geschickt wirken zu lassen, am Erfolg versprechendsten sind Unternehmen mit zahlreichen Mitarbeitern. Mir sind aber auch Fälle in kleinen Unternehmen bekannt, in denen dann angeblich veränderte Zahlungsmodalitäten eines Geschäftspartners unter psychischem Druck am Ende zu Zahlungen führten.

Grundsätzlich gilt: Bei ungewöhnlichen Zahlungsanweisungen sollen vor Veranlassung der Zahlung Kontrollen greifen. So sollten Sie eine mit Zahlungsanweisungen eingegangene E-Mail genau auf Absenderadresse und korrekte Schreibweise prüfen. Wichtiger wäre es aus meiner Sicht, bei plötzlich geänderten Zahlungsmodalitäten (wie insbesondere bei geänderten Bankverbindungen) die Zahlungsaufforderung beim vermeintlichen Auftraggeber durch einen Rückruf oder eine schriftliche Rückfrage (nicht per Antwort auf die Mail!) zu kontrollieren.

Infografik des BKA zum CEO-Fraud

Dazu auch: Beitrag bei Haufe zum CEO-Fraud

Kategorien
Meine Tätigkeit im IT-Strafrecht & Cybercrime

Strafverteidigung bei Computerbetrug

Allgemeines zum Computerbetrug

Der Computerbetrug gehört weder zu den schwersten Delikten im deutschen Strafrecht noch zu den mildestens sondern bewegt sich im normalen Maß mit entsprechender Straferwartung. Er ist, je nach Form der Begehung, durchaus mit beachtlichen Konsequenzen verbunden, die sich auch schnell steigern können.

Computerbetrug: Gesetzessystematik

Der Computerbetrug soll Strafbarkeitslücken im Zusammenhang mit dem Betrug schliessen. Dabei geht es nicht darum, dass ein Betrug über oder durch Computer bzw. das Internet begangen wird, was einen normalen Betrug darstellt! Der Computerbetrug soll vielmehr den Fall erfassen, in dem nicht ein Mensch der “Getäuschte” ist, sondern ein Schaden durch EInwirkung auf eine Datenverarbeitung erfolgt.

Es fängt mit dem Tatbestand des Betruges an: “Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt (…)”, den erwartet eine Freiheitsstrafe bis zu 5 Jahren, ohne Mindestfreiheitsstrafe.

Wenn man dann einen beachtlichen Vermögensverlust herbeiführt oder gewerbsmäßig handelt, ist es bereits ein schwerer Computerbetrug mit einer Mindeststrafe von 6 Monaten. Wenn man einen Computerbetrug als Bande begeht droht bereits eine Freiheitsstrafe von mindestens einem Jahr. Insoweit verweist der Tatbestand des Computerbetruges in seinem Absatz 2 auf die Tatbestände des Betruges.

Der Computerbetrug ist einer der zahlreichen speziellen Tatbestände die den Betrug ergänzen. Dabei findet sich in Absatz 3 noch eine besondere Variante in Form des Vertreibens von Computerprogrammen zur Begehung eines Computerbetruges: “Wer eine Straftat nach Absatz 1 vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.”. Neben §202c StGB existiert damit speziell für den Bereich des reinen Softwarevertriebs bzw. der Softwareentwicklung eine eigene Strafvorschrift.

Verteidigungstaktik & spezielle Probleme bei einem Computerbetrug

Die oben genannten Mindestfreiheitsstrafen sind zu berücksichtigen, bei typischen Abläufen des Computerbetrugs. Allerdings bietet sich die Option des “minder schweren Falls” nach §263 Abs.5 StGB, die auch beim einem Computerbetrug zu beachten ist und somit bei Vorliegen aller Tatbestandsvoraussetzungen zumindest an der Strafzumessung noch gearbeitet werden kann.

Die Besonderheiten liegen beim Computerbetrug in den Details:

  • Es muss “das Ergebnis eines Datenverarbeitungsvorgangs” betroffen sein, womit in einem weitreichenden Sinn alle Daten gemeint sind, auch PIN-Codes und weiter muss
  • ein “beeinflussen” vorliegen, also ein einwirken auf den Datenverarbetungsvorgang im Sinne eines Mitbestimmens oder auch – umstritten – in-Gang-setzens.

Erst hiernach kommen die vier Tatbestandsalternativen zum Tragen, die ebenso sauber geprüft werden müssen und häufig erhebliche Kenntnis von IT und IT-Abläufen benötigen:

  1. Die unrichtige Gestaltung des Programs beschreibt die Einwirkung auf den Programmcode, nicht die Bezugnahme auf die Verwendungsabsicht des Berechtigten;
  2. Besonders kompliziert ist die Verwendung unrichtiger oder unvollständiger Daten in Form der “Input-Manipulation”, die dringend von der unbeabsichtigten aber bestimmungsgemäßen Verwendung abzugrenzen ist;
  3. Äusserst umstritten ist die unbefugte Verwendung der Daten: Das beginnt bereits beim Tatbestandsmerkmal “unbefugt” und der Frage wann dieses vorliegt und geht bis zur Frage, was eine Verwendung sein soll (Nutzung oder nur Einführung). Speziell in den Bankfällen ist dies von Bedeutung, wenn etwa eine EC-Karte rechtmäßig verwendet wird, aber der vereinbarte Abhebungsrahmen überschritten wird;
  4. Die sonst unbefugte Wirkung auf den Ablauf hat eine Auffangfunktion und wird gerne von den Instanzgerichten in ihrer Reichweite überdehnt.

Eine besondere Ausweitung erfährt der Tatbestand des Computerbetrugs dadurch, dass mit der Rechtsprechung des Bundesgerichtshofs bereits eine konkret-unmittelbare Vermögensgefährdung ausreichend ist um einen Vermögensschaden und damit einen Betrug anzunehmen. Hier muss in der Verteidigung sauber gearbeitet werden um die notwendigen Grenzen herauszuarbeiten und eine zu frühe Verurteilung abzuwehren.

Übrigens: Kein Computerbetrug liegt vor, wenn Betrugstaten über das Internet begangen werden, dies ist ein “normaler” Betrug”

Pflichtverteidigung bei Computerbetrug?

Der Computerbetrug ist ein Vergehen, so dass eine Pflichtverteidigung nur bei besonderen Umständen in Betracht kommt. Spätestens wenn die Begehung in Form der Bande vorliegt, ist die Mindeststrafe so hoch, dass schnell die Untersuchungshaft droht. Insgesamt geht es um ein Delikt, dass grundsätzlich beim Landgericht angeklagt wird, somit steht in jedem Fall eine Pflichtverteidigung zu (§140 Abs.1 Nr.1 StPO).

Strafverteidigung beim Computerbetrugs-Vorwurf

Ich habe zahlreiche Fälle des Computerbetruges vor dem Amtsgericht und Landgericht verteidigt, nicht selten ist es dabei so, dass es sich um Situationen handelt, die sich letztlich ungeplant entwickelt haben und dann mitunter ausgeufert sind.

Es lässt sich, selbst bei klarer Beweislage, noch viel erarbeiten – durch geschickte und durchdachte Verteidigung kann man etwa zielgerichtet auf den minder schweren Fall hinarbeiten und somit das Strafmaß entsprechend reduzieren. Nicht zu verkennen ist aber auch, wie wichtig gerade beim Betrug bereits eine zielgerichtete Vorarbeit noch vor der Anklageerhebung ist. Auch die persönliche Situation des Betroffenen, dem ein Betrug vorgeworfen wird, ist zu berücksichtigen und darf in der Hauptverhandlung nicht untergehen – schädlich dagegen ist ein Bagatellisieren.

Beiträge von mir zum Computerbetrug

 

Kategorien
Allgemeines zu IT-Strafrecht & Cybercrime

Strafbarkeit von Warenagenten

Die Hannoversche Allgemeine berichtet von einem “Rundum-Schlag” gegen ein Netzwerk von Betrügern, die sich so genannter “Warenagenten” bedient haben. Im Kern läuft es darauf hinaus, dass sich Betrüger gestohlener Zahlungsdaten wie Kreditkartendaten bedienen, um Waren zu bestellen, die an einen Dritten gesendet werden, der die Waren dann weiterleitet. Das Vorgehen sollte an das Verfahren mit Finanzagenten erinnern, die in ähnlicher Manier Geldbeträge weiterleiten. Während ersteres vorwiegend auf einen Betrug hinausläuft wird letzteres in Richtung einer (leichtfertigen) Geldwäsche münden.