Strafbarkeit des Identitätsdiebstahls durch Phishing, Pharming und Spoofing

Von Prof. Dr. Anja Schiemann, Köln/Münster

1 Einleitung

Die bekannteste Form des Identitätsdiebstahls ist das sog. Phishing, das Fischen nach Onlinezugangsdaten.² In rechtlicher Hinsicht muss nach vier Stufen differenziert werden. Im ersten Schritt geht es um die Erlangung der relevanten Zugangsdaten und TANs für das Online-Banking. Hierzu locken die Täter vornehmlich Bankkunden durch massenhaft versendete E-Mails auf imitierte Webseites, um sie zur Preisgabe von nutzbaren Daten zu bewegen. Im zweiten Schritt werden, soweit dies erforderlich ist, die so erlangten Daten verändert, bevor sie im dritten Schritt vom Täter zur Durchführung der Transaktion missbraucht werden. Im vierten Schritt werden zur Abwicklung des Geldtransfers sog. Finanzmanager oder Finanzagenten eingesetzt, die das erlangte Geld entgegennehmen und gegen Provision ins Ausland transferieren.³ Die ersten beiden Schritte sind im Hinblick auf den Identitätsdiebstahl sowie die Datenveränderung relevant. Dagegen soll der vierte Schritt und die Frage nach der Strafbarkeit des Finanzagenten im Rahmen dieses Aufsatzes ausgespart werden, da dies nicht unmittelbar mit dem Phishingvorgang in Verbindung steht.⁴

Soweit in der ersten Phase die Nutzer statt mit einer E-Mail unmittelbar durch Manipulationen an Domain-Name-Servern (DNS) auf gefälschte Web-Seiten umgeleitet werden, spricht man vom sog. Pharming. Das Pharming kommt also ohne die Spam-E-Mail mit dem darin befindlichen Hyperlink aus. Durch die Malware wird vielmehr nicht die Original-Banking-Webseite, sondern die vom Täter manipulierte Webseite aufgerufen.⁵

Beim IP-Spoofing werden falsche IP-Nummern verwendet, um dem angegriffenen Rechner oder System eine falsche Identität vorzutäuschen. Hierbei werden bspw. die IP-Adressen in den Datenpaketen verändert, die an den Eingangs-Port eines Netz-Routers übertragen werden.⁶ Insofern sind IP-Spoofing und Pharming stark verwandte Phänomene.

2 Strafbarkeit

2.1 Strafbarkeit hinsichtlich der Datenverschaffung

2.1.1 Nicht in Betracht kommende Straftatbestände

Das Phishing der sensiblen Daten selbst erfüllt nur sehr wenige Straftatbestände. Insbesondere die Straftatbestände Betrug, Computerbetrug oder das Ausspähen oder Abfangen von Daten werden nicht verwirklicht. Warum? Der Straftatbestand des Betrugs gem. § 263 StGB setzt voraus, dass das getäuschte Opfer irrtumsbedingt eine Verfügung über sein Vermögen trifft und sich dadurch selbst schädigt. Die Herausgabe der persönlichen Zugangsdaten als solche wirkt aber nicht unmittelbar vermögensmindernd, sondern schafft vielmehr die Voraussetzungen dafür, dass der Täter durch eine weitere Handlung auf das Konto des Opfers zugreift und erst dadurch einen Vermögensschaden herbeiführt.⁷ Auch ein versuchter Computerbetrug wurde vom KG verneint. Denn ein unmittelbares Ansetzen zur Verwirklichung des Straftatbestands i.S.d. § 22 StGB läge erst dann vor, wenn der Täter die erlangten Daten auch verwendet. Dagegen stelle die Einrichtung von Zielkonten, eine fingierte polizeiliche Anmeldung und das Abfangen von Kontounterlagen noch keinen versuchten Computerbetrug dar.⁸

Eine Strafbarkeit in Form der Vorbereitung eines Computerbetrugs gem. § 263a Abs. 3 StGB wird ebenfalls in der Regel nicht verwirklicht, weil hierzu ein Computerprogramm gegeben sein muss, dessen Zweck auf die Begehung einer Tat nach Abs. 1 gerichtet ist.⁹ Das Verfassen einer sog. Phishing-E-Mail ist aber keine solche Vorbereitungshandlung, weil als Programm nur eine Befehlsfolge an einen Computer bezeichnet werden kann, die selbsttätig abläuft und ein eigenes Arbeitsergebnis produziert. Auch soweit mit entsprechender Intention eine Internet-Seite erstellt wird, die als Programm gewertet werden kann, fehlt es am erforderlichen Unmittelbarkeitszusammenhang, da nicht dieses Programm, sondern erst die darüber erlangten Daten für den späteren Computerbetrug verwendet werden.¹⁰Auch sofern seit Inkrafttreten des 61. StrÄndG v. 10.3.2021¹¹am 18.3.2021 gem. Nr. 2 Passwörter oder sonstige Sicherungscodes als Tatobjekte erfasst werden, kommt eine Strafbarkeit nicht in Betracht.¹²

Auch der Straftatbestand des Ausspähens von Daten gem. § 202a StGB ist nicht einschlägig. Aufgrund der weiten Auslegung des Datenbegriffs können PIN und TAN als Kontozugangs- und Transaktionsinformationen zwar hierunter subsumiert werden.¹³Allerdings veranlasst der Täter das Opfer selbst dazu, die fraglichen Daten an seinen Rechner zu übersenden. Insofern muss der Täter keine Sicherung gegen den unberechtigten Zugang überwinden, vielmehr sind die Daten für ihn bestimmt.¹⁴

Strafbar gem. § 202a StGB ist dagegen das IP-Spoofing. Denn soweit das Opfer die vorgespiegelte Adresse für vertrauenswürdig hält, gibt es den Zugang zu seinem Netzwerk und damit zu den dort vorhandenen Daten frei. Da hier mit dem Netzwerk-Rechner Daten ausgetauscht werden und zusätzlich die Adresse eines weiteren Rechners benutzt wird, werden Geheimhaltungs- und Sicherungsmaßnahmen des Verfügungsberechtigten ausschaltet.¹⁵ Einschränkend ist aber erforderlich, dass ein Zugangsschutz überwunden wurde.¹⁶

Der Straftatbestand des Abfangens von Daten gem. § 202b StGB ist in keiner Konstellation erfüllt. Voraussetzung ist nämlich, dass der Täter Daten aus einer nichtöffentlichen Datenübermittlung oder einer elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage abfängt. Hierfür müsste sich der Täter in die Datenübermittlung zwischen Bankkunden und Bank schalten. Dies ist aber beim Versenden von Phishing-E-Mails und dem Aufbau von Phishing-Websites ersichtlich nicht der Fall, weil die Datenübermittlung von Anfang an nur zwischen Täter und Opfer stattfindet.¹⁷

Ebenfalls nicht verwirklicht sind die Straftatbestände der Datenveränderung gem. § 303a Abs. 1 StGB und der Computersabotage gem. § 303b Abs. 1 StGB. Weder verursachen Phishing-Mails oder Phishing-Websites ein Löschen, Unterdrücken, Unbrauchbarmachen oder Verändern von nach § 303a StGB geschützten Daten, noch liegt eine Störung der Datenverarbeitung i.S.v. § 303b Abs. 1 StGB vor.

2.1.2 Fälschung beweiserheblicher Daten

Zentrale Vorschrift, um dem ersten Schritt des Phishings, nämlich der Datenbeschaffung, strafrechtlich zu begegnen, ist § 269 Abs. 1 StGB. Allerdings sollte die „Schlagkraft“ dieser Vorschrift nicht überschätzt werden.¹⁸ Die Prüfung der Strafbarkeit nach § 269 StGB erfordert eine „urkundengerechte“ Umsetzung der Datenverarbeitungsvorgänge.¹⁹ Daher gelten für die Bestimmung des Ausstellerbegriffs und der Echtheit die Regeln zur Urkundenechtheit analog.²⁰

Der wirkliche oder scheinbare Aussteller einer Erklärung per E-Mail kann also auch aus der E-Mail-Adresse oder einem Firmenlogo des Absenders hervorgehen. Deshalb ist eine sog. Phishing-Mail, mit der unter falscher Absenderangabe, z.B. einer Bank, persönliche Daten und sensible Informationen abgefragt werden, eine unechte Datenurkunde. Denn hier werden rechtlich erhebliche Gedankenerklärungen unter falscher Identität gemacht, so dass über den wahren erkennbaren Aussteller getäuscht wird.²¹

Auch die Einrichtung einer Homepage mit falschen Angaben zur Identität des Betreibers (Pharming) ist nach § 269 StGB strafbar, wenn diese scheinbar eine rechtserhebliche Erklärung der wahrheitswidrig genannten Person enthält. Hierfür ist weder die Verwendung einer gefälschten elektronischen Signatur, noch der Einsatz einer gefälschten IP-Adresse erforderlich. Denn die rechtserhebliche Erklärung wird in erster Linie durch den Text verkörpert, an dem sich das Täuschungsopfer im Rechtsverkehr orientiert.²²

Auch bei IP-Spoofing ist eine Strafbarkeit nach § 269 StGB gegeben. Denn beim echten IP-Spoofing werden falsche IP-Nummern verwendet, um eine falsche Identität vorzuspiegeln. Insofern werden falsche Absenderkennungen verschickt.²³Durch das Verändern der Daten wird eine echte Urkunde verfälscht.²⁴ Doch auch beim unechten IP-Spoofing²⁵ ist § 269 StGB in Form des Gebrauchs gespeicherter oder veränderter Daten verwirklicht.²⁶