HRRS

Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht

Dezember 2004
5. Jahrgang
PDF-Download

Aufsätze und Entscheidungsanmerkungen

Phishing: Brauchen wir einen Sondertatbestand zur Verfolgung des Internetphishings?

Von Ass. Roman G. Weber, LL.M. Wirtschaftsstrafrecht (Detmold)[1]

I. Prolegomena

Das Internet ist einer der wenigen Bereiche, in denen noch Wachstumsraten zu verzeichnen sind. Dies gilt insbesondere für die Internetkriminalität. So meldet jüngst die Anti Phishing Working Group (im Folgenden: APWG)[2] eine Zuwachsrate von 52% für den Bereich des sog. Passwort-Phishing[3].

Passwort-Phishing beschreibt das rechtswidrige Ausspähen von Kennwörtern für online geführte Konten (Visa, Paypal/Ebay, Postbank, Kundenkonto Internethändler) und die Nutzung der Information für unerlaubte Geldtransaktionen auf Täterkonten[4]. Die anfänglich in den USA lokalisierte Gefahr hat sich längst zu einer weltweiten kriminellen Methode entwickelt: Aus immer mehr Ländern werden Phishing-Mails initialisiert. Obgleich die Täter-/ resp. Zielkonten in der Regel bei osteuropäischen Banken geführt werden, holen auch unerwartete andere Staaten in der Kriminalitätsstatistik der APWG auf: Täterhomepages werden aus dem Vereinigten Königreich, aus Mexiko, Taiwan und Südkorea geschaltet.

Die deutschen Internetnutzer werden demgemäß auch zunehmend von international agierenden Tätergruppen fokussiert: Dies scheint eine nachvollziehbare Entwicklung angesichts des Umstandes, dass statistisch betrachtet jeder dritte Deutsche von der Online-Kontoführung bei Banken, Kreditinstituten oder Internetdienstleistern Gebrauch macht[5]. So ist zu prognostizieren, dass in Deutschland die Zahl der Attacken ansteigen wird. Bereits im Juli 2004 wurden die ersten Fälle bei deutschen Banken publik. Ende Juli konnten Volks- und Raiffeisenbanken[6] Angriffe abwehren: Allein aufgrund dreier(!) Attacken waren € 50.000 auf dem Weg zu den Täterkonten[7]. Angesichts dieser Dimension ist es an der Zeit, sich dem grenzüberschreitenden Phishing auch aus strafrechtlicher Sicht zu nähern. Hierzu wird eingangs der Phishing-Ablauf dargestellt und sodann juristisch analysiert.

II. Phishing-Ablauf

Die Täter treten regelmäßig direkt an die Nutzer heran und inszenieren in einer E-Mail ein - mehr oder weniger - überzeugendes Szenario, das den Nutzer davon überzeugen soll, sein Konto zu "überprüfen". Indem der Gutgläubige hierauf eingeht, ist er auf dem Weg in einen gut konstruierten Hinterhalt. Denn jetzt klickt er sich durch zu einer vom Täter manipulierten Login-Seite. Diese ähnelt täuschend echt der Seite des Kontoführers (z.B. Bank), ist aber vom Täter geschaltet ("Täterhomepage")[8]. Dort angekommen werden Kontonummer, PIN[9]/ Passwort und mehrere TANs[10] abgefragt. Wenn der Kunde seine Daten preisgibt, gerät er ins Netz der kriminellen Bande, die die Daten zwischenspeichert und nutzen kann, um beispielsweise für sich vorteilhafte Transaktionen durchzuführen.

III. Strafrechtliche Bewertung

Es stellt sich die Frage, ob das deutsche Strafrecht auf ein verwerfliches Handeln von ausländischen Tätern parieren kann oder es möglicherweise eines neuen Tatbestandes bedarf. Nach der Frage, ob das Phishing von kernstrafrechtlichen deutschen Normen erfasst wird, ist zu klären, ob die meist aus dem Ausland operierenden Täter bei einem Angriff auf deutsche online-Kunden der deutschen Gerichtsbarkeit unterliegen. Im Nachfolgenden wird ein Lösungsweg vorgestellt.

Für den Bereich des Internet-Phishings liegt bislang keine höchst- oder obergerichtliche Entscheidungslinie vor. Es kommen als Vermögensdelikte die beiden Tatbestände des § 263 StGB (Betrug) und des § 263a StGB (Computerbetrug) in Betracht. Da die Täter sich im ersten Schritt die Kennwörter (PIN, Kontonummer, TAN) erschleichen und sie erst später - zuweilen Tage oder Wochen später - einsetzen, wird zuerst der Computerbetrug und sodann der Betrug problematisiert[11].

A. Computerbetrug

Fokussiert man auf den eigentlichen Vermögenstransfer, wäre aufgrund des Zusammenhangs mit dem Internet und die dort vorherrschende verselbstständigte Datenverarbeitung[12] an einen Fall des § 263a StGB zu denken.

Da die zugangseröffnenden Kennwörter per se "richtig" sind, ist die vorliegende Manipulationsart ein Fall der dritten Begehungsalternative des Tatbestandes, sog. "unbefugtes Verwenden von Kennwörtern". Indem der Täter die Passwörter beim kontoführenden Institut einsetzt und sich ins System einlogt, beeinflusst er das Ergebnis eines automatisierten DV-Vorgangs; denn ohne Eingabe könnte er sich keinen Einfluss auf die Transaktionsmöglichkeiten verschaffen. Diese Datenverwendung kommt einer Identitätstäuschung gleich. Ein Einverständnis durch den Kontoinhaber liegt idR[13] nicht vor, sodass die Eingabe "unbefugt" im Sinne des Tatbestandes erfolgt.

Nach dem Erschleichen des Zugangs wird der Täter eine Geldtransaktion veranlassen. Indem er hierzu unberechtigt eine Transaktionsnummer (TAN) als fremden Zugangscode eingibt, damit einen Zugang mit vermögensrelevanter Wirkung erlangt[14], erfüllt er das Tatbestandsmerkmal der "unmittelbar durch die Manipulation veranlassten vermögensrelevanten Disposition"[15]. Aber auch wenn die Transaktion ohne nochmalige Legitimationsabfrage ausgelöst wird, wäre das Tatbestandsmerkmal zu bejahen: Denn Voraussetzung ist auch hierfür der System-Login, ein anhaltender Zustand, der vom Täter erschwindelt wurde.

Sofern die Transaktion zum Erfolg führt und dem Täter auf seinem Auslandskonto (Täterkonto) das Geld gutgeschrieben wurde, liegt auch ein kausaler unmittelbarer Vermögensvorteil vor. Dieser korrespondiert mit einem sich bei der Bank einstellenden Vermögensverlust. Denn ungeachtet eines Anspruchs der Bank gegen den Kunden wird im ersten Schritt das Vermögen der Bank geschädigt. In der Regel kann zwar ausweislich der online-Bedingungen[16] im Rückgriff[17] das Konto des Nutzers belastet werden, aber das Ausfallrisiko beim Kunden reicht aus, um einen Vermögensschaden bei der Bank zu begründen[18].

Wenn zudem die subjektive Tatbestandsseite erfüllt ist (Vorsatz sowie Absicht, sich oder einem Dritten einen stoffgleichen rechtswidrigen Vermögensvorteil zu verschaffen), der Täter zudem rechtswidrig und vorwerfbar handelte, ist er eines vollendeten Computerbetruges schuldig.

Die bandenmäßige Begehung ist besonders sanktioniert nach § 263a II iVm § 263 III No.1 bzw. V StGB. Mit § 263a II iVm § 263 III No.2, 3 StGB erhöht der Gesetzgeber das Strafmaß beispielsweise für den Fall des erhöhten Vermögensverlustes beim Opfer oder für den Fall, dass eine Person in die Gefahr wirtschaftlicher Not gerät. Ein Strafantrag (§ 263a II iVm § 263 IV StGB) wird selten erforderlich sein - der Versuch ist strafbar (§ 263a II iVm § 263 II StGB).

Bereits an dieser Stelle ist festzuhalten: Das deutsche Strafrecht sieht zumindest eine Sanktion für das innerdeutsche Phishing vor.

B. Betrug

Ob neben dem Computerbetrug auch die Voraussetzungen für eine Betrugsstrafbarkeit gegeben sind, hängt nicht zuletzt von der Bewertung der Kennwörter als Vermögenswert ab. Hierzu im Folgenden:

Um wegen vollendeten Betrugs bestrafen zu können, müsste der Täter einen Irrtum erregt und dadurch das Opfer getäuscht haben. Aufgrund der Täuschung müsste sodann das Opfer eine Vermögensverfügung getroffen haben, die bei ihm zu einem Vermögensschaden geführt hat. Die Täter senden E-Mails mit der Aufforderung resp. dem dringenden Rat, eine bestimmte Internetseite aufzusuchen. Da dem Opfer die Möglichkeit eröffnet wird, sich entweder für die Verlinkung und die anschließende Eingabe auf der Täterhomepage zu entscheiden oder andernfalls die E-Mail zu ignorieren, besteht eine alternative Entscheidungsmöglichkeit[19]. Lässt sich das Opfer auf die Weiterleitung und die Eingabe ein, ist es durch den Täter getäuscht worden. Eine kausale Irrtumserregung liegt also vor.

Ob die Eingabe resp. Preisgabe der Daten eine Vermögensverfügung darstellt, ist demgegenüber fraglich. Zum einen ist zu überlegen, ob die Kennwörter zum Vermögen des Opfers zählen, zum anderen, ob die Preisgabe eine Verfügung iS der Norm ist. Einig zu sein scheint man sich in der Definition des Vermögens, das sich als Summe aller geldwerten Güter einer natürlichen Person darstellt[20]. Was hingegen konkret unter den Begriff des "geldwerten Gutes" zu subsumieren ist, ist - wenn auch zumeist im Ergebnis unstreitig - in der Herleitung umstritten. Es scheint sich inzwischen die Ansicht verfestigt zu haben, dass Immaterialgüter, der Besitz an Sachen sowie sonstige Rechte (wie Spezialkenntnisse oder Ge-

schäftsgeheimnisse) vom Begriff erfasst werden, vorausgesetzt, sie stellen einen geldwerten Vorteil dar und könn(t)en als solche - auf einem legalem Markt - einen Marktpreis erzielen. In diesem Zusammenhang differenziert eine Ansicht streng zwischen einem Nutzwert und dem Tauschwert und stellt entscheidend auf dem Tauschwert ab[21]. Ob dem Besitz von Passworten ein Vermögenswert zukommt, ist für den Fall des Phishings resp. des Betrugs bislang noch nicht entschieden worden.

Für die Beurteilung kann es m.E. weniger auf den Besitz der ausgedruckten Passwortmitteilungen ankommen, als auf die immaterielle Kenntnis: das Wissen um den Zugangscode. Daher bietet sich eine Einordnung als sonstiges Recht an, wobei dann zu fragen ist, ob den Passworten neben dem zugangs- und transaktionseröffnenden Nutzwert auch ein geldwerter Tauschwert zukommt. Stellt man auf den Täter ab, haben die Kennworte nur in ihrem Kontext einen Wert: Die PIN ohne Kontonummer nutzt ihm nichts und ist insofern wertlos. Gegen eine Wertbeimessung spricht auch die Überlegung, die Bejahung eines Wertes und dessen konkrete Taxierung müsste sich in Abhängigkeit vom Kontostand des Opfers verändern - die PINs und TANs für ein bereits überzogenes resp. gesperrtes Konto sind für den Täter ebenfalls wertlos. Nur wenn er alle zugriffsberechtigten Datensätze zu einem transaktionsfähigen Konto in Händen hält, ist die Werthaltigkeit der Information gegeben. Die sich hieraus ergebenden Probleme, einen Wert in Abhängigkeit von der Deckung anzunehmen resp. in der Höhe zu bestimmen, sind in der Praxis kaum überwindbar und bergen ein Konfliktpotenzial mit dem Bestimmtheitsgrundsatz. So wird im Ergebnis eine Wertzumessung bzgl. der Kennworte zu verneinen sein.

Wollte man dennoch eine Werthaltigkeit annehmen, hätte man sich mit der Frage auseinander zu setzen, ob Besitz bzw. Kenntnis der Kennworte eine von der Rechtsordnung anerkannte Position[22] und die Kennwortweitergabe ein Rechtsgeschäft ist, das vor dem Hintergrund eines hypothetischen Tauschvertrages von seinem Inhalt her ein "rechtsmäßiges Rechtsgeschäft"[23] wäre. Zumindest Letzteres ist stark zu bezweifeln.

Wer auch hier (immer noch) keine Bedenken hat und im Ergebnis eine Werthaltigkeit bejaht, hätte zu prüfen, ob eine Vermögensverfügung stattfindet. Nach übereinstimmender Ansicht ist unter den Begriff jedes Handeln, Dulden oder Unterlassen, das sich unmittelbar vermögensmindernd auswirkt zu subsumieren. Das heißt, nach dem Verfügungsverhalten des Opfers dürfte kein rechtswidriges Handeln des Täters oder eines Dritten erforderlich sein, um einen Vermögensverlust herbeizuführen[24]. Die Nutzung und der Einsatz der PIN gegenüber der Bank stellt jedoch einen für sich sanktionierten rechtswidrigen (Zwischen-)Akt dar, sodass das Unmittelbarkeitskriterium beim Phishing nicht erfüllt wäre: Denn anders als beispielsweise die Leerung eines Tresors nach Erschleichen einer Geheimnummer - eine Literaturstimme bejaht in dieser Konstellation das Unmittelbarkeitskriterium[25] - muss der Täter beim Phishing noch eine Datenverarbeitung manipulieren, um die eigentliche vermögensschädigende Transaktion zu begründen[26].

Sofern man (richtigerweise) einen Vermögenswert der Kennwörter ablehnte, ist an die " Tatvariante" des Herbeiführens einer konkreten Vermögensgefährdung zu denken. Ob die Bekanntgabe der Kennwörter - der PIN, TAN und der Kontonummer - als Vermögensgefährdung gewertet werden kann, ist ebenfalls problematisch. Dies liegt insbesondere daran, dass sich in diesem Bereich eine breite Meinungsfront und eine z.T. wenig nachvollziehbare Judikatur ausgebildet haben. Die konkrete Gefährdung von Vermögenswerten ist ein Vermögensschaden im Sinne der Norm, wenn sie nach wirtschaftlicher Betrachtungsweise bereits eine Verschlechterung der gegenwärtigen Vermögenslage bedeutet[27]. Erforderlich ist die nahe liegende Gefahr des Vermögensverlustes[28]. Eine solche Lage könnte hier bestehen, denn mit der Preisgabe der Codeworte erlangt der Täter Kenntnis aller für die Transaktion und den Kontozugriff notwendigen Daten. Diese Überlegung ist insoweit neu, als der Phishing-Mißbrauch nunmehr völlig unabhängig von materiellen Datenträgern wie Scheck- und Codekarten ist.

Möglicherweise könnte der Annahme einer Gefahrenlage aber die nachträgliche, mithin sogar widerrechtliche Computermanipulation durch den Täter entgegenstehen. Vorliegend ist der Getäuschte in eine Situation geraten, in der der endgültige Verlust nicht mehr von seinem Zutun abhängt - die Nutzung der Kennwörter mit anschließender Transaktion erfolgt zeitversetzt durch den Täter ohne weitere Beteiligung des Opfers. Nach einer alten Literaturansicht[29] hätte man daher eine Vermögensgefährdung durchaus bejahen können, denn der endgültige Vermögensverlust hängt nicht mehr vom Handeln des Opfers ab.

Dieses Ergebnis kann in dieser Absolutheit jedoch heute nicht unreflektiert zugrunde gelegt werden. Rechtsprechung und Literatur sind sich weitgehend uneinig, wann eine Gefahr bejaht werden kann: Nach der Literatur [30] soll das bloße Schaffen einer Möglichkeit, das Opfer demnächst in Anspruch zu nehmen, der Annahme einer Gefahr entgegenstehen.Demgegenüber stellt die Rechtsprechung klar heraus [31], dass der Gefahrenannahme eine

der Verfügung nachfolgende Täterhandlung nicht entgegensteht. Besonders deutlich wird die diametrale Bewertung am Beispiel der Übergabe eines Scheckbuches an einen zum Missbrauch entschlossenen Täter: Die Literatur verneint [32], die Rechtsprechung [33] bejaht eine Gefahrensituation. Es ist also fraglich, welchem Meinungslager hier zu folgen ist.

Meines Erachtens liegt es nahe, sich für eine Vermögensgefährdung auszusprechen: Denn dem Täter sind alle Informationen bekannt, um in den Genuss des zu transferierenden Geldes zu gelangen. Diese Konstellation weist Parallelen zu den Fällen auf, in denen die Bank aufgrund einer Täuschung ihrem zahlungsunwilligen Kunden eine EC-Karte samt Euro-Schecks aushändigte[34]: Eine konkrete Vermögensgefährdung wurde vom BGH angenommen, weil der Täter alle "Schlüssel" in der Hand hielt und zur Erlangung des Vorteils nur noch aktiv werden musste. Durch den Gebrauch der erlangten Informationen wird die Gefährdungslage weiter konkretisiert und zum Schadenseintritt vertieft. Festzustellen bleibt: Eine konkrete Vermögensgefährdung kann bejaht werden.

Die Anwendung des Rechtsinstituts der sog. "mehraktigen bzw. gestreckten Verfügung", nach dem auch in jenen Konstellationen ein Betrug annehmbar ist, in denen die endgültige Schädigung erst herbeigeführt wird durch (mind. zwei) aufeinander folgende Einzelakte (erster Akt durch den Getäuschten, weiterer Akt durch ein Handeln einer weiteren Person)[35], ist nicht erforderlich, denn die Bekanntgabe der PIN stellt bereits eine Vermögensgefährdung dar, sodass es keines weiteren Aktes bedarf, um den Betrugstatbestand zu erfüllen.

Bei alledem bleibt ein Praxisproblem: Eine schadensgleiche Vermögensgefährdung kann nämlich nur dann vom Gericht bejaht werden, wenn die sie begründenden Tatsachen feststehen, nicht aber dann, wenn sie möglicherweise oder höchstwahrscheinlich vorliegen[36]. Daher wird man in der Praxis vermehrt zu Versuchsstrafbarkeiten gelangen.

Abschließend ist noch ein Blick auf das Konkurrenzverhältnis der Tatbestände des Betrugs und des Computerbetrugs zu werfen: Auch dieses ist umstritten[37]. Nach einer Ansicht soll ein Subsidiaritätsverhältnis anzunehmen sein[38], da eine Wertgleichheit bzgl. des verwirklichten Unrechts bestehe. M.E. spricht gegen eine Gesetzeskonkurrenz nicht zuletzt der Umstand, dass sich die Taten gegen zwei Rechtsgutträger richten. Der Betrug richtete sich gegen den Passwort-/ Kontoinhaber - mit dem Computerbetrug greift der Täter primär das Vermögen des Geldinstituts an, das den Betrag aus seinem Vermögen "ausfolgt"[39].

C. Probleme durch Grenzüberschreitung

Würden die Täter aus Deutschland über das intradeutsche Datennetz bei exklusiver Nutzung deutscher Server agieren, ergäben sich keine Besonderheiten für die Strafverfolgung. Sie obläge exklusiv der deutschen Gerichtsbarkeit nach § 3 iVm § 9 I StGB. Da jedoch der Tatverlauf regelmäßig Grenzüberschritte aufweist, muss überlegt werden, ob die Strafverfolgung auch beim internationalen Phishing der deutschen Justiz obliegt.

1. Betrug

Fokussiert man auf die tatbestandlichen Handlungen des Betruges, hat man sich zunächst zu vergegenwärtigen, dass die Phishing-Mail im Ausland geschrieben und auf einen deutschen Mailserver gesendet wurde. In Deutschland liest das Opfer die Aufforderung zur Datenbekanntgabe, wird also getäuscht, irrt und offenbart seine Daten durch Eingabe - genauer: der Datenübermittlungsfreigabe - mittels eines in Deutschland stehenden Computers. Daran schließt sich die Übermittlung[40] ins Ausland an, wo die Daten wiederum auf den Täterserver zwischengespeichert werden und alsdann für den Täterzugriff zur Verfügung stehen. Räumlich können demnach die Wahrnehmung der E-Mail durch das Opfer, der resultierende Irrtum, die Vermögensverfügung sowie die Vermögensgefährdung dem Hoheitsgebiet Deutschlands zugeordnet werden. Fraglich ist, ob dies für eine deutsche Verfolgungszuständigkeit ausreicht.

Für die Bestimmung der Strafverfolgungszuständigkeit können mehrere Begründungsansätze nutzbar gemacht werden. Im Folgenden werden einige dargestellt: Die in der Literatur und der Rechtsprechung entwickelten Grundsätze für die Bewertung von Inlandstaten sind auf die Fälle der Internetkriminalität übertragbar[41]. Somit ist fraglich, ob der beschriebene Inlandsbezug hier ausreicht, um die Voraussetzungen der §§ 3, 9 StGB zu erfüllen. Nach dem Ubiquitätsprinzip (§ 9 I StGB) genügt es, wenn der Tätigkeitsort des Täters oder der Erfolgsort der Tat im Inland liegt.

Für die Festlegung des Erfolgsortes ist beim Betrug auf den im Inland eintretenden Vermögensschaden[42] resp.

die konkrete Vermögensgefährdung abzustellen. Diese liegt im Zeitpunkt der Vermögensverfügung im Moment der Datenein- und -übermittlungsfreigabe, der sich im Inland ereignet. Dem Täter kommt es auf diese Handlung besonders an: Seine ganze Handlung ist, insbesondere wegen der auf deutsche User abgestimmten[43] und an diese bewusst[44] gesendeten Phishing-Mails, auf einen deutschen Erfolgsort ausgerichtet. Diese Umstände, ergänzt durch die Sprachwahl und die für deutsche User spezifisch konzipierten Login-Täterhomepages stellen einen hinreichenden Anknüpfungspunkt für einen Inlandsbezug dar.

Der Tätigkeitsort bestimmt sich beim Betrug nach dem Ort, an welchem getäuscht wurde[45]. Dies korrespondiert mit dem Ansatz Esers[46], wonach der Tätigkeitsort auch dort liegt, wo sich die (Tat-)Handlung zugleich entfaltet - wo sie also wahrgenommen[47] werden kann/ verfügbar gemacht wird[48]. Die idR auf einem deutschen Server zwischengespeicherten, auf die Userfestplatte heruntergeladene resp. dort abermals zwischengespeicherte Täter-E-Mail entfaltet ihre Wirkung bei ihrer Kenntnisnahme durch das Opfer: also im Inland. Auch hiernach wäre der Phishing-Betrug als Inlandstat zu beurteilen.

Möglicherweise könnte sich aber etwas anderes daraus ergeben, dass der Täter auf die Daten erst im Ausland zugreifen (Täterserver) kann. Die Bereicherung tritt demnach erst im Ausland ein. Eine Lösung lässt sich aus der Rechtsprechung des OLG Frankfurt[49] herleiten: Das Gericht hatte den quasi gespiegelten Fall zu bewerten, in dem nur die Bereicherung im Inland, alle anderen Tathandlungen jedoch im Ausland stattfanden. Der Senat betonte, es sei für die Zuordnung nicht hinreichend, auf den Eintritt der Bereicherung abzustellen: Sofern der Vermögensschaden durch Täuschung im Ausland herbeigeführt wurde und nur die Bereicherung im Inland stattfand, läge gleichwohl eine Auslandstat vor. Was demnach zu einer Auslandstat führte, muss im umgekehrten Fall zu einer Inlandstat führen, sofern Täuschung, Irrtum, Verfügung und Vermögensgefährdung im Inland erfolgen. Dies ist vorliegend der Fall: Mithin lässt sich auch insoweit der Betrug als Inlandstat bewerten.

2. Computerbetrug

Bleibt noch zu überlegen, ob auch der nachfolgende Computerbetrug eine Inlandstat iSv § 3 StGB ist. War beim Betrug das Vermögen des Passwortberechtigten noch betroffen, wird beim Computerbetrug das Vermögen[50] der Bank bzw. des kontoführenden Unternehmens (beispielsweise Paypal, Internetdienstleister) geschädigt. Es handelt sich um ein Erfolgsdelikt, sodass auf den Erfolgsort (§ 9 StGB) abzustellen ist. Der tatbestandliche Erfolg tritt aufgrund des grenzüberschreitenden Überweisungs-, Zahlungs- resp. Geschäftsbesorgungsvertrages unmittelbar bzw. mittelbar[51] am inländischen Sitz des Geschädigten ein. Folglich begründet sich die deutsche Strafverfolgungszuständigkeit aus §§ 3, 9 StGB. Somit obliegt die Strafverfolgung des Internet-Phishings hinsichtlich beider Delikte der deutschen Justiz.

IV. Resümee

Ungeachtet der aufgezeigten dogmatischen und praktischen Probleme hat sich zeigen lassen, dass das deutsche Strafrecht in seiner jetzigen Form das Internetphishing sanktioniert. Aus materielltatbestandlicher Sicht steht der Strafverfolgung durch die bundesdeutsche Justiz auch die bewusst von den Tätern gewählte Überschreitung der Staatsgrenzen nicht im Wege. Ob dies jedoch ausreicht, um eine effektive Sanktionierung der aus dem Ausland handelnden Täter zu erreichen, muss wegen des Dilemmas der die Staatsgrenzen überschreitenden Verfolgungsmöglichkeiten bezweifelt werden.

Fest steht jedoch: Der Neueinführung eines speziellen Phishing-Straftatbestandes bedarf es nicht.


[1] Der Autor steht für Rückfragen gerne im Wort unter AssessorWeber@web.de.

[2] Anti Phishing Working Group: http://www.antiphishing.org

[3] Durchschnittliche Steigerungsrate für Phishing-Mails im Zeitraum Dezember 2003 bis Juli 2004: 52% pro Monat. Quelle: Phishing - Report July 2004: http://www.antiphishing.org

[4] Weil das Passwort trickreich vom Berechtigten herausgezogen wird, hat sich der Begriff des Phishings bei den Sicherheitsbehörden etabliert: "Password" + "Fishing" = "Phishing".

[5] Zum Hintergrund, weshalb sich deutsche Nutzer als Opfer besonders gut eignen, vgl. Weber, Geangelte Informationen - Wie man sich vor Internetkriminalität schützt, in W+S, Heft 11/2004, Seite 42f.: http://www.ws-huethig.de/article/ 4d7036bc 92d.html

[6] Vgl. http://www.vnunet.de/security/article.asp? ArticleID=20040830016

[7] Viele Spuren sollen nach Osteuropa führen: http://heute.t-online.de/ZDFheute/artikel/16/0,1367,comp-0-2186320, 00.html

[8] Manchmal kann die gefälschte Homepage an einer kleinen, unauffälligen Variante der URL erkannt werden. Die neusten Phishingfälle lassen sich jedoch nicht mehr an der URL aufspüren.

[9] PIN = Persönliche Identifikations Nummer.

[10] TAN = TransAktionsNummer.

[11] Zur Frage, ob auf das Institut des sog. mehraktigen Betruges zurückgegriffen werden muss, vgl. unten III.B. am Ende.

[12] Vgl. LK-Tiedemann, StGB, 11. Auflage, 27. Ergänzungslieferung 1998, § 263a StGB, Rdnr. 56, 58.

[13] Vgl. Möhrenschläger in wistra 1986, 128, 133.

[14] Sog. Inputmanipulation - vgl. bei Möhrenschläger in wistra 1991, 321, 325.

[15] Schönke/Schröder-Cramer, StGB, 26. Auflage 2001, § 263a Rdnr. 23 m.w.N.

[16] Vgl. pars pro toto: Bedingungen für die konto-/depotbezogene Nutzung des Online-Bankings mit PIN und TAN; Sparkassenverlagsvordruck, 182.180.000; Fassung 1/2004.

[17] Hierbei wird es sich wegen § 676h BGB seltener um einen Aufwendungsersatzanspruch als um einen Schadensersatzanspruch nach § 280 BGB handeln; vgl. insbes. zur Beweislastumkehr und dem Anscheinsbeweis für einen Pflichtverstoß des Kontoführers: Palandt-Sprau, BGB, 63. Auflage 2004, § 676h Rdnr. 13.

[18] Vgl. die Erwägungen in BGH 1 StR 512/00, Beschluss vom 30.01.2001 abrufbar über http://www.hrr-strafrecht.de

[19] Vgl. SK-Horn, System.-Kom. StGB, 7. Auflage, Ergänzungslieferung Februar 2004, § 263 Rdnr. 166f.

[20] Gallandi in Achenbach/Wannemacher, Beraterhandbuch, § 21 I Rdnr. 146; Tröndle/Fischer, StGB, § 263 Rdnr. 59; SK-Horn, (Fn. 19), § 263 Rdnr. 118ff.

[21] SK-Horn, (Fn. 19), § 263 Rdnr. 119ff.

[22] Zu diesem Merkmal vgl. bei Gallandi in Achenbach/ Wannemacher, (Fn. 20), § 21 I Rdnr. 150f.; Tröndle/Fischer, StGB, 51.Aufl. 2003, § 263 Rdnr. 64ff.

[23] SK-Horn, (Fn. 19), § 263 Rdnr. 118, 121, 124.

[24] Gallandi in Achenbach/Wannemacher, (Fn. 20), § 21 I Rdnr. 152; Krey, BT2, Rdnr. 386; SK-Horn, (Fn. 19), § 263 Rdnr. 162.

[25] SK-Horn, (Fn. 19), § 263 Rdnr. 162.

[26] A.A. bei Tröndle/Fischer (Fn. 22) § 263 Rdnr. 46 für die Preisgabe einer Codekarten-PIN.

[27] Schönke/ Schröder-Cramer, (Fn. 15), § 263 Rdnr. 143.

[28] BGHSt 34, 394, 395.

[29] Schönke/ Schröder-Schröder, (Fn. 15), § 263 Rdnr. 100.

[30] Nachweise bei Schönke/Schröder-Cramer, (Fn. 15), § 263 Rdnr. 145.

[31] BGHSt 6, 115, 117.

[32] Schönke/Schröder-Cramer, (Fn. 15), § 263 Rdnr. 145.

[33] BGH 33, 244, 246; BGH 2 StR 260/01 vom 21.10.2001, III 2. abrufbar über http://www.hrr-strafrecht.de; BGH bei Dallinger in MDR 1953, 21.

[34] Vgl. Fn. 33 und dort insbesondere des o.g. Beschluss vom 21.10.2001.

[35] Vgl. LK-Tiedemann, StGB, 11. Auflage, 33. Ergänzungslieferung 2000, § 263 StGB, Rdnr. 111.

[36] BGH StV 1995, 24.

[37] Vgl. Tröndle/Fischer (Fn. 22), § 263a Rdnr. 23 - der für ein gegenseitiges Ausschlussverhältnis plädiert - sowie Lenckner/ Winkelbauer, CR 1986, 654, 660f.

[38] LK-Tiedemann, (Fn. 35), § 263a StGB, Rdnr. 81.

[39] Vgl. BGHSt 38, 120,122f. Ob die Bank ihrerseits einen Ersatzanspruch gegen den Kontoinhaber wegen einer etwaigen Pflichtverletzung bei der Aufbewahrung der Kennwörter hat, ist eine Frage des Einzelfalles, namentlich auch der regelmäßig in Allgemeinen Geschäftsbedingungen vorgenommenen Risikoverteilung zwischen Kunde und Bank. Weitere Erwägungen zur Konkurrenzfrage bei BGH 1 StR 512/00, Beschluss vom 30.01.2001, (Fn. 18).

[40] Eine mögliche Strafbarkeit von Providern (Content-, Access-, Host- und Service-Provider) wird im Folgenden vernachlässigt.

[41] LK-Tiedemann, (Fn. 35), § 263 Rdnr. 334 a.E.

[42] LK-Tiedemann, (Fn. 35), § 263 Rdnr. 334.

[43] Hilgendorf NJW 1997, 1873, 1875.

[44] BGH NStZ 1994, 232, 232f.; Collardin CR 1995, 618, 629.

[45] LK-Tiedemann, (Fn. 35), § 263 Rdnr. 334.

[46] Schönke/ Schröder-Cramer, (Fn. 15), § 9 Rdnr. 4.

[47] Schönke/ Schröder-Cramer, (Fn. 15), § 9 Rdnr. 4.

[48] Idee der sog. Push-Technologie: vgl. bei Sieber NJW 1999, 2065, 2068ff.; vgl. hierzu auch Tröndle/Fischer, (Fn. 22), § 9 Rdnr. 7a.

[49] OLG Frankfurt wistra 1990, 271. Zu dieser Entscheidung vgl. auch bei BayObLG NJW 1992, 1248.

[50] Tröndle/Fischer, (Fn. 22), § 263a StGB, Rdnr. 2.

[51] Vgl. oben: Gliederungspunkt III.A.