Phishing

"Unter Phishing versteht man Vorgehensweisen, bei denen der Täter per Email versucht, den Empfänger zur Herausgabe seiner Zugangsdaten für Online-Bankdienste zu bewegen." (Quelle: Seidl/Fuchs, HRRS 2/2010, S. 85).

Dieser Begriff bezeichnet die Täuschung eines Nutzers von Internetdiensten mithilfe technischer Manipulationen, um diesen zur Mitteilung vertraulicher Daten (meist PIN oder TAN) an einen Nichtberechtigten zu verleiten. Dazu wird der Nutzer durch einen verfälschten, meist in einer E-Mail mitgeteilten Link auf eine Internetseite geleitet, die einen vertrauenswürdigen Betreiber vortäuscht, so dass der Nutzer arglos geschützte Daten preisgibt.

(Quelle: BGH, Urteil vom 24.04.2012, Az. XI ZR 96/11)

Das Phishing (Password-Fishing) lässt sich in drei Akte untergliedern: Zunächst die Beschaffung der Daten mithilfe einer betrügerischen Email und Weiterleitung an eine präparierte Webseite, anschließend die Verwendung der Daten für die Transaktion des Geldes, zuletzt die Weiterleitung des Geldes von einem sog. Finanzagenten an die eigentlichen Hintermänner. Das Landgericht Bonn stellt mit Urteil vom 07.07.2009 die Funktionsweise des Phishing ausführlich dar.

Vorgehensweise

"Als seriöse Bank oder andere Firma getarnt fordern die Betrüger den Empfänger in der E-Mail auf, seine Daten zu aktualisieren. Entweder weil zum Beispiel die Kreditkarte ablaufe, das Passwort erneuert werden müsse, die Zugangsdaten verloren gegangen seien oder aus Sicherheitsgründen Kontoinformationen bestätigt werden müssten. Angreifer spekulieren dabei darauf, dass der Empfänger der massenweise verschickten Nachrichten auch tatsächlich Kunde der vorgegebenen Firmen ist. Der Inhalt der so genannten Phishing-Mails wirkt dabei täuschend echt. (...) Der Empfänger wird für die Dateneingabe über einen Link auf eine Internetseite geführt, die zum Beispiel der Banken-Homepage ähnlich sieht." (Quelle: BSI)

Immer häufiger sind Einzelpersonen das Ziel, die aufgrund ihrer Stellung im Unternehmen Zugang zu Daten haben, die sich gewinnbringend verkaufen lassen (vgl. Snapchat Pressemitteilung vom 28.02.2016)

"Da das Opfer auf seinem Kontoauszug erkennen kann, an wen das Geld überwiesen wurde, schicken die Täter das Geld nicht auf ihr eigenes Konto, sondern werben Helfer (sog. Finanzkuriere/ Finanzagenten) an, die das Geld für sie ins Ausland transferieren sollen. Diese werden meist ebenfalls über Spam-Mails angeworben. Laut Jobangebot sollen sie Geld, das auf ihr Konto überwiesen wird, bar abheben und per Western Union Bank ins Ausland überweisen." (Quelle: Seidl/Fuchs, HRRS 2/2010, S. 85).

Erklärvideo "Phishing E-Mails erkennen" von CHIP (1:42 min)

Strafbarkeit

Einigkeit besteht, dass das Phishing strafbar ist. Höchst umstritten ist jedoch, welcher Straftatbestand verwirklicht wird.

Datenbeschaffung

Die Beschaffung der Daten erfolgt durch eine betrügerischen Email und Weiterleitung an eine präparierte Webseite.

Nach einer Auffassung werde durch das Verschicken der Phishing-Email und Erstellen der Phishing-Website eine Fälschung beweiserheblicher Daten gem. § 269 StGB begangen (so Seidl/Fuchs, HRRS 2/2010, S. 85).

Nach anderer Auffassung werde der Kontoinhaber durch Täuschung zur Herausgabe seines Passworts veranlasst. Der Täter nutze den Irrtum des Kontoinhabers aus und verschaffe sich unbefugt die Daten in mittelbarer Täterschaft. Damit mache er sich wegen Ausspähen von Daten gem. § 202a StGB strafbar (so Bosch in: Satzger/Schluckebier/Widmaier, StGB, 2. Aufl. 2014, 202a Rn. 9; Ferner, internet-strafrecht.com). Das Password-fishing ist ein unbefugtes Sich-Verschaffen des Zugangs i.S.d. § 202a StGB, wenn der Berechtigte aufgrund der Täuschung annimmt, die vorgeblich anfragende Stelle sei zur Abfrage berechtigt; die durch Täuschung erlangte Einwilligung des Berechtigten ist unbeachtlich und führt nicht zu einer strafbarkeitsausschließenden Befugnis des Täters (Fischer, StGB, 62. Aufl. 2015, § 202a Rn. 12).

Datenverwendung

Die Daten werden zur Transaktion des Geldes verwendet. Der Täter verwendet unbefugt die Daten des Kontoinhabers für eine Überweisung per Online-Banking oder für eine Bezahlung im Online-Handel und macht sich dadurch wegen Computerbetrugs gem. § 263a StGB strafbar.

Weiterleitung des Geldes

Die Überweisung vom Konto des Geschädigten geht nicht direkt auf ein Konto der Hintermänner, sondern auf das Konto eines dafür angeworbenen Finanzagenten. Dieser hebt das Geld am Bankautomaten ab und leitet es per Western Union an die eigentlichen Hintermänner weiter, womit er sich wegen Geldwäsche gem. § 261 StGB strafbar macht.