IOCTA 2018 Report

Der IOACTA Repost 2018 von Europol (“INTERNET ORGANISED CRIME THREAT ASSESSMENT” – IOCTA) gibt einen Ausblick auf die Entwicklungen im Cybercrime wie sie von Europol für das Jahr 2019 erwartet werden und prognostiziert:

  • Ransomware retains its dominance
  • Production of CSEM (“Child Sexual Exploitation Material”) continues
  • DDoS continues to plague public and private organisations
  • Card-not-present fraud dominates payment fraud but skimming continues
  • As criminal abuse of cryptocurrencies grows, currency users and exchangers become targets
  • Social engineering still the engine of many cybercrimes
  • Cryptojacking: a new cybercrime trend
  • Shutters close on major Darknet markets, but business continues

Im Kern zeigen sich also keine wirklich neuen Trends, es geht um (marginale) Verschiebungen in der Bedeutung jeweiliger bereits bekannter Angriffsarten. Zum Cryptojacking wird ausgeführt:

Cryptojacking is an emerging cybercrime trend, referring to the exploitation of internet users’ bandwidth and processing power to mine cryptocurrencies. While it is not illegal in some cases, it nonetheless creates additional revenue streams and therefore motivation for attackers to hack legitimate websites to exploit their visitor’s systems. Actual cryptomining malware works to the same effect, but can cripple a victims system by monopolising their processing power.

IOCTA 2018 Report, Seite 8

Soweit auf eine nur teilweise Illegalität verwiesen wird ist festzuhalten, dass hier regelmässig nach deutschem Recht eine Strafbarkeit vorliegen wird.

Cybercrime Bundeslagebild 2015

Das Bundeskriminalamt hat das “Lagebild Cybercrime 2015” veröffentlicht. Dabei entwickelt sich der sich seit Jahren abzeichnende Trend hinsichtlich Täterstrukturen und Angriffszielen weiter ab, aus meiner Sicht droht hier ein zunehmendes eskalierendes Problem.

Anzahl der Cybercrime Taten 2015 nach PKS (Quelle: BKA)
Anzahl der Cybercrime Taten 2015 nach PKS und Deliktsform (Quelle: BKA)
„Cybercrime Bundeslagebild 2015“ weiterlesen

Darknet

Was ist das Darknet – Risiko beim Einkaufen im Darknet: Das so genannte “Darknet” nimmt im IT-Strafrecht eine zunehmende Bedeutung ein und ist – nicht zuletzt wegen diverser Darstellungen in Fernsehsendungen – auch mit zahlreichen Mythen versehen. Ich möchte hier aus anwaltlicher Sicht einige Hinweise zum “Darknet” geben, dabei sollen technische Hinweise keine ernsthafte Rolle spielen. Wichtiger ist mir hier, zu verdeutlichen, welches Risiko das Darknet aus meiner Sicht als Strafverteidiger bietet.

Anwalt für Darknet – Verteidigung im Bereich des Darknets gesucht? Insbesondere bei Drogenhandel und Waffenhandel im Darknet stehe ich mit meiner Erfahrung im Cybercrime zur Verfügung.

Dazu auch von mir:

„Darknet“ weiterlesen

Nachmachen einer Zahlungskarte mit Garantiefunktion: BGH zum Versuchsbeginn beim Skimming

Gerade beim Skimming (genauer: dem Tatbestand des Nachmachens einer Zahlungskarte mit Garantiefunktion) stellt sich die Frage, wann eigentlich ein Versuchsbeginn vorliegt. Dieser setzt das unmittelbare Ansetzen voraus und wirft auf Grund der vielschichtigen Vorgehensweise die Frage auf, ob man bereits beim Ansetzen zum Erlangen der Daten, dem eigentlichen Erlangen oder noch vorher bei Herstellen der Kartenrohlinge ansetzt. Die BGH-Rechtsprechung ist hier noch nicht abgeschlossen.

Hinweis: Hinsichtlich des Konkurrenzverhältnisses bei der Verabredung zum Verbrechen bitte die aktuelle Entscheidung des BGH mit dem Aktenzeichen 3 StR 419/10 beachten.

Vorher zum Thema:

„Nachmachen einer Zahlungskarte mit Garantiefunktion: BGH zum Versuchsbeginn beim Skimming“ weiterlesen

Aktuelles zum Skimming

Das Skimming bei EC-Karten erfreut sich weiter hoher Beliebtheit – ein guter Grund, auf die aktuellen Entwicklungen zum Thema zu blicken. Noch im März 2010 hatte sich der 4. BGH-Strafsenat zu Wort gemeldet und verkündet, dass beim Auslesen von Daten, die in einem Magnetstreifen gespeichert sind, nicht automatisch der §202a StGB gegeben sein muss – ich hatte hier berichtet und kommentiert.

Nun gab es dazu eine anders lautende Rechtsprechung des 3. Strafsenats beim BGH (3 StR 425/04) sowie Probleme mit Ansichten des 1. und 5. Strafsenats. Der 4. Strafsenat hat daher bei den anderen Senaten angefragt, ob diese ihre Auffassungen aufrecht erhalten – und von den Senaten die Antwort erhalten, das man der Rechtsprechung des 4. Strafsenats beitreten möchte. Das Ergebnis ist nunmehr ein aktueller Beschluss des 4. Senats beim BGH (4 StR 555/09), in dem die bisherige Auffassung “zementiert” wird: Alleine das auslesen der (evt. Verschlüsselten) Daten aus einem Magnetstreifen einer EC-Karte fällt nicht unter den Tatbestand des §202a StGB. Die Argumentation:

Dass Daten magnetisch und damit nicht unmittelbar wahrnehmbar gespeichert sind, stellt keine besondere Sicherung gegen unberechtigten Zu- gang dar. Vielmehr handelt es sich gemäß § 202 a Abs. 2 StGB nur bei Daten, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespei- chert oder übermittelt werden, um Daten im Sinne des ersten Absatzes dieser Vorschrift. Demgemäß schützt § 202 a Abs. 1 StGB nur diejenigen nicht unmit- telbar wahrnehmbar gespeicherten Daten im Sinne des § 202 a Abs. 2 StGB, die darüber hinaus besonders gesichert sind. Das sind nur solche Daten, bei denen der Verfügungsberechtigte durch seine Sicherung sein Interesse an der Geheimhaltung der Daten dokumentiert hat (vgl. BTDrucks. 10/5058, S. 29 zu § 202 a StGB a.F.; BTDrucks. 16/3656, S. 10). Erforderlich ist, dass der Verfü- gungsberechtigte – hier das Unternehmen, das die Zahlungskarte mit Garantie- funktion ausgegeben hat (vgl. BGH, Urt. vom 10. Mai 2005 – 3 StR 425/04, NStZ 2005, 566) – Vorkehrungen getroffen hat, um den Zugriff auf die auf dem Magnetstreifen der Zahlungskarte gespeicherten Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren.

Bezüglich dieser Argumentation kann ich auf meine bisherigen Ausführungen verweisen, hier hat sich inhaltlich nichts getan.

Ergänzend dazu ist eine weitere aktuelle Entscheidung des BGH (5 StR 336/10) zu beachten, die sich mit dem Versuchsbeginn beim gewerbs- und bandenmäßigen Fälschung von Zahlungskarten mit Garantiefunktion (§152a StGB) auseinandersetzt. So ist die Frage gewesen – und vom Landgericht bejaht worden – ob bereits mit dem Versuch des Skimmings auch der Versuch der Fälschung der Karten beginnt. Relevant wird dies, wenn das Skimming-Gerät so früh gefunden wird, dass noch keine Daten kopiert werden konnten. Der BGH stellte zu Recht fest, dass alleine durch den Versuch des Skimmings noch kein Versuchsbeginn der Fälschung angenommen werden kann: Es ist auf die tatbestandliche Handlung abzustellen, zu welcher der potentielle Täter unmittelbar ansetzen muss. Und wer gerade einmal versucht, Daten überhaupt zu erhalten, der setzt noch lange nicht dazu an, Karten zu fälschen. Hier fehlt ein wesentlicher Zwischenschritt.

Lese-Hinweise:

Skimming als Ausspähen von Daten gemäß § 202a StGB?

In der aktuellen April-Ausgabe der HRRS (4/2010, S.207ff.) findet sich ein Artikel von Tyszkiewicz mit dem Titel “Skimming als Ausspähen von Daten gemäß § 202a StGB?”? Im Ergebnis kommt die Autorin zur gleichen Erkenntnis wie der BGH (4 Str 93/09) vor kurzem: Jedenfalls mit Blick auf den Magnetstreifen kann der §202a StGB schon begrifflich nicht erfüllt sein. Interessant ist – neben der ausführlichen Analyse – aber auch die (zutreffende) Feststellung, dass diese Frage an sich in den nächsten Jahren überholt sein wird: Der Magnetstreifen wird vom EMV-Chip abgelöst, der im Bereich des §202a StGB eine ganz andere Rolle spielt.

Hinweis: Diese Frage habe ich mit Blick auf die Entscheidung des BGH hier bereits aufgegriffen.