Strafbarkeit von Phishing in Deutschland – Teil 1

Das “Phishing” – Ich verwende den Begriff, wie noch gezeigt wird, sehr weit – bereitet den Juristen in Deutschland manche Kopfschmerzen, jedenfalls ist bis heute heftigst umstritten, inwiefern das Phishing an sich strafbar sein soll (Ebenso in der Analyse der Meinungen GRaf in NStZ 2007, S.129).

Ich möchte in diesem Beitrag das Thema tiefgehend analysieren. Dazu stelle ich auf die verschiedenen Stufen der Tat ab und unterscheide nach den Handelnden.


Übersicht über die Strukturierung des Beitrags:

  1. Ggfs. Betrieb einer Webseite auf der Daten eingegeben werden sollen
  2. Versenden einer Mail die zur Angabe von Daten auffordert, entweder via Link zu einer Webseite nach (1) oder als Antwort-Mail
  3. Das Erlangen der Daten
  4. Die Nutzung der Daten, etwa in Form der Veranlassung einer Überweisung via PIN/TAN, wobei nochmals differenziert wird nach
    1. Dem eigentlichen Täter, der die Überweisung veranlasst
    2. Evt. einem Dritten, der sein Konto als Zwischenstation für den Geldtransfer zur Verfügung stellt (so genannter Finanz-Agent)

Diese Punkte möchte ich im folgenden analysieren. Dabei ist zu bemerken, dass ich das so genannte “Pharming”, also das bereithalten gefälschter Webseiten – etwa eine gefälschte Eingabemaske die der einer Bank des Opfers ohne erhebliche Unterschiede gleicht – rechtlich im Rahmen des Phishings behandle. Da bei der juristischen Subsumtion auf das Verhalten abgestellt wird, unabhängig von Begrifflichkeiten, möchte ich mich hier nicht in unnötigen Detailfragen verlieren.

Hinweis: In diesem Rahmen spielt die Frage eine Rolle, ob deutsches Strafrecht überhaupt anwendbar ist – etwa wenn die betreffenden Webseiten auf ausländischen Servern bereit gehalten werden oder Mails aus dem Ausland veschickt werden. Für den Moment soll der Hinweis genügen, dass dies generell kein Problem darstellt1, wobei es natürlich sehr abstrakte Ausnahmen gibt. Ich möchte später zum Thema der “Geltung deutschen Strafrechts” einen eigenen Artikel schreiben.

1. Betrieb einer Webseite zur Eingabe von Daten

Wer eine Webseite bereit hält, die z.B. der einer Bank täuschend ähnlich sieht wenn nicht gar identisch gleicht, in der Hoffnung dass potentielle Opfer hier ihre Login-Daten eingeben (um diese Daten abzufangen) könnte sich wie folgt strafbar machen.

1.1 §269 I 1. Alt StGB

Im objektiven Tatbestand könnte die erste Alternative des §269 I StGB vorliegen: “Beweiserhebliche Daten” werden so gespeichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegt.

Sollte der Täter von einer bestehenden Seite vorthandene Designs (etwa CSS etc.) kopieren und selbst verwenden, läge eine veränderung vor, jedenfalls liegt problemlos im Vorhalten der Daten auf einem Server eine Speicherung vor2.

Ein Datum i.S.d §269 StGB ist jede in einem technischen Gerät auf optisch nicht wahrnehmbare Weise gespeicherte, codierte Information3. Eine Webseite ist eine solche Information, also ein Datum i.S.d. §269 StGB.

Dieses Datum muss auch “beweiserheblich” sein, was es dann ist, wenn es zur Überzeugungsbildung über eine rechtlich erhebliche Tatsache beitragen kann4. Die Frage, wer der Betreiber einer Webseite ist, ist schon für sich rechtlich erheblich. Hinzu kommen verschiedene Aspekte, wie die Tatsache dass ein Bankkunde schon nur gegenüber seiner Bank Online-Zugangsdaten gebrauchen möchte und heute sogar teilweise über AGB verpflichtet ist, Dritten den Zugang nicht zu ermöglichen. Alles in allem handelt es sich bei den Angaben zu dem Betreiber einer Webseite um eine rechtlich erhebliche Tatsache, die der Überzeugungsbildung dient.

Nun müssen diese Daten auch so beschaffen sein, dass bei ihrer potentiellen Wahrnehmung eine unechte oder verfälschte Urkunde vorliegt. Ohne Bedeutung ist es, dass sie überhaupt wahrgenommen wurden (SK-Hoyer §269 Rn.10; Stuckenberg in ZStW 118, 878, 890), es reicht, wenn die Möglichkeit dazu bestanden hat (Stuckenberg in ZStW 118, 878, 890).

Da im vorliegenden Fall über den Aussteller getäuscht wird, würde wenn, dann eine unechte Urkunde vorliegen (Sch-Sch-Cramer, §269, Rn.20). Fraglich, ob überhaupt eine “hypotethische Urkunde” angenommen werden darf. Es ist in 5 Stufen vorzugehen (Nach SK-Hoyer, §269, Rn.13 bis 26):

  1. Gedankenerklärung
    Es muss der Anschein einer Gedankenerklärung vorliegen5, was hier der Fall ist, da das Formular eine Art Garantieerklärung ähnlich dem auf einer Scheckkarte hinterlegten Magnetstreifen hat6.
  2. Dauerhafte Verkörperung
    Die Wahrnehmung muss optisch7 und dauerhaft8 möglich sein. Die Webseite wird optisch wahrgenommen. Für die Dauerhaftigkeit ist eine Speicherung auf einer Festplatte ausreichend9. Die Daten der Webseite sind zudem auf einem Server, genauer auf dessen Festplatte, hinterlegt, somit dauerhaft wahrnehmbar.
  3. Beweiseignung- und Bestimmung
    Die Daten müssen zum Beweis einer rechtserheblichen Tatsache beitragen. Dies ist hier anzunehmen10, zudem lebt die Webseite bzw. die geplante Schädigung ja gerade davon, dass das potentielle Opfer von der Tatsache, dass es sich um die eigene Bank handelt, überzeugt ist. Wäre es zum Beweis weder geeignet noch bestimmt, würde die Idee dahinter gar nicht funktionieren.
  4. Ausstellererkennbarkeit
    Wie unter (3) festgehalten macht die Webseite nur Sinn, gerade weil sie einen bestimmten Aussteller (die Hausbank des potentiellen Opfers) suggeriert. Eine Meinung11 möchte dies stringend sehen, und verlangt, dass zumindest das passende Logo (und nicht ein übergordnetes) eingesetzt wird. Im Regelfall ergeben sich hier aber keine Probleme. Im Zweifelsfall muss im Einzelfall entschieden werden, wobei eine schlechte Leistung des Täters nicht zu Ungunsten (evt. dummer) potentieller Opfer eingewendet werden darf.
  5. Unechtheit
    Unecht ist die (hypothetische12) Urkunde wenn sie nicht von dem stammt, der angeblicher Aussteller ist13. Angeblicher Aussteller (Verfasser de Webseite) ist die Hausbank, in Wirklichkeit ist es aber der Täter.

Der objektive Tatbestand des §269 I 1. Alt StGB ist also beim Vorhalten gefälschter Webseiten anzunehmen. Subjektiv muss die entsprechende Webseite bereitgehalten werden, um zur Täuschung im Rechtsverkehr zu handeln14, was im Regelfall angenommen werden kann.

Insgesamt ist somit beim Vorhalten gefälschter Webseiten zur Erlangung von Zugangsdaten eine Strafbarkeit nach §269 I 1.Alt StGB anzunehmen15.

1.2 Regelbeispiele

Der Vollständigkeit halber der Hinweis, dass die Regelbeispiele der §§269 III, 267 III Nr.1 und 3 StGB normalerweise vorliegen müssten, was aber alleine Auswirkungen auf die Strafzumessung hat.

2. Versand der Email

2.1 §269 I 1. Alt StGB

Grundsätzlich wird hier auf 1.1 oben verwiesen, denn §269 I 1. Alt. StGB kann bei Phishing-Mails, die einen existenten Absender wie eine Bank, vortäuschen grundsätzlich angewendet werden16.

Ich gehe daher nur auf die Streitpunkte ein, die es in der Tat zahlreich gibt:

  1. Ein Teil der Literatur fordert, dass eine Authentizität, also die Erkennbarkeit des Ausstellers, nur vorliegt, wenn die Mail auch signiert ist (Frank in CR 2004, 123, 124; Popp MMR 2006, 84, 85). Ansatzpunkt ist hier die Beweiseignung der Urkunde, die mit Beweiskraft gleichgesetzt wird, was bei fehlender Signatur in der Tat zu verneinen wäre. Diese Meinung verkennt aber, dass es im Rahmen von §269 StGB alleine um die Möglichkeit geht, in einem Verfahren in einem Verfahren Überzeugensbildend zu wirken (SK-Hoyer §269 Rn.20). Das erfordert keinesfalls das Formerfordernis im Sinne des §126a BGB. Vielmehr ist Sinn der Beweiseignung, gänzlich irrelevantes auszuschliessen17. Die hier herangezogene Fälschungssicherheit ist nicht nur unnütz sondern war noch nie Teil der Betrachtung der §§267, 269 StGB (Stuckenberg in ZStW 118, 878, 888). Die fehlende Signatur ist also kein Problem.
  2. Eine andere Ansicht (Graf in NStZ 2007, 131, 132) verlangt zwar keine Signatur, aber zumindest strenge Anforderungen an die Erkennbarkeit des Ausstellers. Wenn etwa Mails als “sparkasse.de” versendet und “unterschrieben” sind, wird ein nicht existenter Aussteller vorgegaukelt, womit die Garantiefunktion nicht vorliegt (Graf in NStZ 2007, 131, 132). Jedenfalls dann, wenn nicht zusätzlich eine Webseite nach 1.1 zum Einsatz kommt, die dann das entsprechende Logo der existierenden Hausbank nutzt, ist dies ein mitunter starkes Argument, da nun fraglich ist, ob nicht vielmehr nur eine schriftliche Lüge vorliegt. So wird bei Verwendung nicht existenter Namen teilweise eine schriftliche Lüge angenommen (SK-Hoyer §267 Rn.59). Dies sieht die h.M. (BGHSt 1, 117, 121; BGHSt 5, 150, 151; Fischer §267. Rn.21; Wessels BT1 Rn.821) insgesamt aber anders: Die vorgetäuschte Person muss nicht existieren. Dies macht auch insofern Sinn, da der Schutz des Rechtsverkehrs gerade von dem Gedanken lebt, dass man sich auf Urkunden verlassen kann. Ob man dies bei evidenten Sachverhalten (Absender ist etwa “Spasskasse.de”) noch aufrecht erhält, ist dann im Einzelfall abzuwägen.

2.2 §269 I 3. Alt StGB

Sofern per Mail Links zu Webseiten nach 1.1 verschickt werden, liegt ein “gebrauchen” im Sinne der 3. Alternative vor (Stuckenberg in ZStW 118, 878, 890).

3. Erlangen der Daten

3.1 §§44, 43 BDSG

Ein Bussgeld erscheint zumindest nach §43 I Nr.4,8; II Nr. 1 BDSG angebracht. Somit liegt dann auch die VOrraussetzung zur STrafbarkeit nach §44 I BDSG vor.

3.2 §202b StGB

Der §202b StGB setzt vorraus, dass der Täter sich Daten “aus” einer nicht-öffentlichen Datenübermitlung verschafft. Dies liegt beim Phishing gerade nicht vor, denn der Täter verschafft sich hier die Daten durch eine an ihn gerichtete Übermittlung. Das “aus” spricht für ein “Abfangen”, jedenfalls für ein Eingreifen in den Übermittlungsprozess (Leupold/Glossner 8/93; Fischer §202b Rn.3). §202b StGB scheidet beim Phishing aus (Leupold/Glossner 8/93).

Kritische Anmerkung: Ich werde durch die Argumentation bei Leupold/Glossner nicht überzeugt. Vielmehr ist die Frage, ob die Daten für den Täter bestimmt sind (siehe sogleic, beim §202a StGB), ich sehe aber sprachlich kein Problem, anzunehmen, dass der Täter die Daten aus einer Datenübermittlung erhält (woher hat er sie denn sonst?).
Letztlich aber sei darauf hingewiesen, dass hier analog auf die Argumentation zum §202a StGB verwiesen werden kann (siehe sogleich).

3.3 §202c I Nr.1 StGB

Der §202c I 1. Alt. StGB liegt wohl unproblematisch vor, sobald das Opfer seine Daten eingegeben und abgeschickt hat, und diese den Täter erreichen18. Man kann kritisch hinterfragen, inwiefern beim Phishing (die Daten sollen ja zu Transaktionen genutzt werden) eine Vorbereitung einer Tat nach §§202a, 202b StGB vorliegen soll – vielmehr wird ja eine Tat nach §263 a StGB vorbereitet. Dies aber nur als kritische Anmerkung von mir.

3.4 §202a StGB

Die Zugangsdaten, etwa zu einem Konto, sind zweifelsohne Daten im Sinne des §202a I StGB19. Absatz 2 verlangt aber, dass die Daten gespeichert sind oder übermittelt werden. Abgestellt wird also darauf, dass die Daten beim Zugriff entweder gespeichert sind oder sich im Übermittlungsstadium befinden20. Damit sollen nur Daten gemeint sein, auf die während eines Übermittlungsvorgangs zugegriffen wird21, während beim Phishing die Daten gerade durch die Übertragung übermittelt werden (Stuckenberg in ZStW 118, 878, 884). Somit liegt schon kein taugliches Tatobjekt vor (Stuckenberg in ZStW 118, 878, 884).

Kritische Anmerkung: Diese Auslegung verkennt die Änderung des §202a StGB im Jahr 2007; Nach seiner Änderung ist der §202a StGB eindeutig ein Geheimnisschutzdelikt (Schumann in NStZ 2007, 675, 676), deswegen wurde ja das Verschaffen des Zugangs zu den Daten überhaupt aufgenommen. Dass der Täter hier privilegiert werden soll, weil er besonders trickreich arbeitet und das Opfer auch noch mitwirken lässt, mag bei der Frage nach einer Einwilligung berücksichtigt werden, aber schliesst eben nicht schon das Tatobjekt aus.
Auch der Hinweis von Stuckenberg auf die BT-Drucks. 10/5058 (S.28) überzeugt nicht, da hier gerade die Strafbarkeit des Verschaffens von Zugangsdaten ohne Übermittlung (Suchen von Pay-TV-Passwörtern durch Kinder bei den Eltern) festgestellt wird. Offensichtlich sollte alleine das Suchen von Zugangsdaten ausgeschlossen werden, wobei ohne jegliche elektronische Mittel gearbeitet wird.

Wer meiner Kritik folgt und doch ein taugliches Tatobjekt annimmt, kann noch fragen ob die besondere Zugangssicherung überhaupt vorhanden ist (Stuckenberg in ZStW 118, 878, 885) – die aber wird ja gerade umgangen durch die erschlichene Eingabe.

Einzig der Hinweis darauf, dass eventuell ein den tatbestand ausschliessendes Einverständnis vorliegt22 vermag im Ansatz zu überzeugen und ist nicht von der Hand zu weisen. Hier ist dann zu prüfen, wie man mit einem erschlichenen Einverständnis umgeht, was ich nicht im weiteren erörtere, da es typischer StGB AT Stoff ist. Es muss aber zu dieser Klärung sehr wohl erörtert werden, ob die Fragen evt. für den Täter bestimmt sind. Nicht für den Täter bestimmt sind die Daten, wenn der Berechtigte nicht will, dass sie in den Herrschaftsbereich des Täters gelangen (LK §202a Rn.3). Das will das potentielle Opfer hier zweifelsohne, dennoch argumentiert z.B. Popp (Popp in NJW 2004, 3517, 3518) wie folgt:

Freilich sind Daten wie PIN und TAN regelmäßig auch gegenüber der Bank geheim. Wenn und soweit das Opfer sich dessen bewusst ist, erfolgt die Preisgabe des Geheimnisschutzes als solche sehenden Auges. Das Opfer unterliegt einem Irrtum dann nur im Hinblick auf Motivation und Identität seines Gegenübers, nicht aber im Hinblick auf seinen Rechtsgutsverzicht. Ein solcher Irrtum jedoch steht dem Tatbestandsausschluss kraft Einverständnis nicht im Wege.

Es soll also davon abhängen, ob das potentielle Opfer sich im Klaren ist, dass auch die Bank die Daten weder kennt noch erfragen würde. Wäre es aber nicht sauberer, dann direkt ehrlich zu fragen, ob man dem potentiellen Opfer einen dolus eventualis hinsichtlich der Kenntnisnahme durch Dritte unterstellt? Wieder wird die Dummheit des potentiellen Opfers zur Privilegierung des Täters herangezogen, der ja immerhin schon Arbeitsaufwand betrieben hat, um das Vertrauen des – wenn auch dummen oder zumindest unerfahrenen – Opfers zu erschleichen.

Fazit im Teil1

Im Ergebnis lehnt die h.M. zwar wohl den §202a StGB ab, ich selbst möchte das hier aber nochmals kritisch hinterfragen. Denn letztlich ergibt die Gesamtbetrachtung:

  1. Sind die Daten besonders gegen Zugang gesichert (der Zugang wird ja gerade erschlichen),
  2. sie sind nicht für den Täter bestimmt (es kann nicht entlastent wirken, dass der Täter Erfolg hat, das ist ja gerade der Tatbestand),
  3. werden sie dem Täter durch ein trickreiches Vorgehen verschafft,
  4. wobei das verschaffen durch eine Übermittlung i.S.d. §202a II StGB stattfindet.

Ich kann die Angst vor einer Anwendung des §202a StGB beim Phishing daher nicht teilen.

Hinweis: Der erste Teil endet hier. Im Zweiten Teil des Beitrags geht es dann um den noch ausstehenden §263a StGB sowie im dritten Teil um die dritte Ausführungsstufe: Das Abfangen des Geldes und die Strafbarkeit so genannter “Finanzagenten”.

Nachweise:

  1. Dazu die sehr ausführliche Darstellung bei Stuckenberg in ZStW 118, 878 beachten
  2. Sch-Sch-Cramer, §269 Rn.16; SK-Hoyer, §269 Rn.8
  3. SK-Hoyer, §269, Rn.5; Sch-Sch-Cramer, §269, Rn.8
  4. SK-Hoyer, §269, Rn.6;Sch-Sch-Cramer, §269, Rn.10
  5. SK-Hoyer, §269, Rn.14
  6. Zum Magnetstreifen siehe SK-Hoyer, §269, Rn.16 sowie LK §269 Rn2.
  7. SK-Hoyer, §269, Rn.17; LK §269 Rn.2
  8. SK-Hoyer, §269, Rn.17
  9. SK-Hoyer, §269, Rn.17
  10. Siehe oben bei “beweiserheblich”
  11. Graf in NStZ 2007, 129, 132
  12. Etwa nach einem gedachten Ausdruck
  13. Sch-Sch-Cramer §269 Rn.20; SK-Hoyer §269. Rn21; LK §269 Rn.6
  14. Sch-Sch-Cramer §269 Rn.22
  15. Stuckenberg in ZStW 118, 878, 890; Leupold/Glossner 8/93
  16. Leupold/Glossner 8/91
  17. NK-Puppe §267 Rn.18
  18. Leupold/Glossner 8/93
  19. Stuckenberg in ZStW 118, 878, 884
  20. Stuckenberg in ZStW 118, 878, 884
  21. Fischer, §202a Rn.6; Stuckenberg in ZStW 118, 878, 884
  22. Popp in NJW 2004, 3517, 3518
mm

Ich bin als Strafverteidiger und Fachanwalt für Informationstechnologierecht speziell im IT-Strafrecht tätig und berate rund um Cybercrime sowie das digitale und Wirtschafts-Strafrecht. Neben dem IT-Recht bin ich vorwiegend im Strafrecht tätig mit inzwischen mehreren hundert Strafverteidigungen. Die Anwaltskanzlei Ferner Alsdorf bietet seit ihrer Gründung vor 20 Jahren eine eindeutig fokussierte Tätigkeit auf das Strafrecht.

3 Replies to “Strafbarkeit von Phishing in Deutschland – Teil 1”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.