Strafbarkeit des Identitätsdiebstahls durch Phishing, Pharming und Spoofing

Von Prof. Dr. Anja Schiemann, Köln/Münster

2.1.3 Weitere Vorschriften

Für eine Strafbarkeit in Betracht kommen darüber hinaus auch weniger bekannte Vorschriften aus dem Nebenstrafrecht. Soweit Elemente des Corporate Designs einer Bank oder ähnlicher benutzter Adressaten markenrechtlich oder urheberrechtlich geschützt sind, verwirklicht der Täter durch die Benutzung von Logos, geschäftlichen Bezeichnungen und ähnlichem die Straftatbestände der §§ 143 Abs. 1, 143a Abs. 1 MarkenG sowie der §§ 106 ff. UrhG.²⁷

Daneben ist eine Strafbarkeit in Form der unzulässigen Datenverarbeitung personenbezogener Daten gem. Art. 84 Abs. 1 DSGVO i.V.m. § 42 Abs. 2 Nr. 1 BDSG denkbar, da PIN und TAN zweifellos personenbezogene Daten nach Art. 4 Nr. 1 DSGVO darstellen. Die für die Datenverarbeitung erforderliche Einwilligung oder ein gesetzlicher Erlaubnistatbestand sind nicht gegeben, so dass die Datenverarbeitung unzulässig ist. Wird vorsätzlich und mit Bereicherungsabsicht gehandelt, ist der Straftatbestand erfüllt.²⁸

2.2 Strafbarkeit hinsichtlich der Datenverwendung

Der zweite Schritt des Phishings, nämlich die Nutzung der erlangten Zugangsdaten für eine Onlineüberweisung zulasten des Kontos des Getäuschten, erfüllt dann mehr Straftatbestände als der erste Schritt. Zunächst steht eine Strafbarkeit gem. § 202a StGB im Raum. Mit PIN und TAN verschafft sich der Täter Zugang zu den Konto- oder Depotinformationen des Opfers, die eigentlich ausschließlich für den Kontoinhaber bestimmt und durch die vorgeschaltete Abfrage der Zugangsdaten besonders gesichert sind. Da es dem Täter gerade um die Erlangung der Informationen geht, handelt er auch vorsätzlich.²⁹

§ 202b StGB ist dagegen auch im Rahmen der Datenverwendung nicht verwirklicht, da es auch hier zu keinem Datenaustausch zwischen dem Bankkunden und der Bank kommt.

Verwirklicht ist dagegen der Straftatbestand des Computerbetrugs in der Tatalternative des unbefugten Verwendens von Daten gem. § 263a Abs. 1 Var. 3 StGB. Durch die betrugsspezifische Auslegung des Tatbestandsmerkmals der unbefugten Datenverwendung, wird eine täuschungsäquivalente Handlung des Phishers vorausgesetzt. Der Täter gibt gegenüber der Bank vor, der berechtigte Bankkunde zu sein. Auch wenn die Preisgabe von PIN und TAN durch das Opfer bewusst erfolgte, so erstreckt sich dies jedoch nicht auf die zweckfremde Nutzung der Daten, so dass die Datenverwendung durch den Täter unbefugt ist. Indem der Phisher die Passwörter beim kontoführenden Institut einsetzt und sich ins System einloggt, beeinflusst er zudem das Ergebnis eines automatisierten Datenverarbeitungsvorgangs. Dieser Datenverarbeitungsvorgang wirkt sich unmittelbar vermögensmindernd aus, da hierfür die Freigabe eines vermögensrelevanten Zugangs ausreicht. Durch die Überweisung des Geldbetrags durch den Täter auf das Zielkonto tritt ein Vermögensschaden ein.³⁰ Auch die Bereicherungsabsicht ist gegeben, da es dem Täter, auch wenn er das Geld zunächst auf ein Konto eines Finanzkuriers transferiert, darum geht, sich selbst zu bereichern. Hat man wegen der Stoffgleichheit aufgrund der Tatsache, dass in den Fällen, in denen ein Finanzkurier beteiligt ist, zunächst eine Bereicherung beim Finanzkurier eintritt, Zweifel, so ist zu bedenken, dass es ausreicht, wenn der rechtswidrige Vermögensvorteil für einen Dritten erlangt werden soll.³¹

Auch der Straftatbestand der Fälschung beweiserheblicher Daten ist gegeben. Der Phisher stellt durch die Eingabe der Zugangsdaten des Opfers auf der Bankwebsite und die Tätigung einer Onlineüberweisung einen Datensatz her, den die Bank speichert. Erklärungsinhalt ist der Überweisungsauftrag. Durch die Verwendung von PIN und TAN erklärt der Täter, Verfügungsberechtigter über das Konto zu sein. Damit werden beweiserhebliche Daten so gespeichert, dass bei ihrer Wahrnehmung eine unechte Urkunde vorliegen würde. Da der Täter infolge des automatisierten Vorgangs keinen Menschen im Rechtsverkehr täuscht, muss ein Rückgriff auf § 270 StGB erfolgen, nach dem die fälschliche Beeinflussung einer Datenverarbeitung der Täuschung im Rechtsverkehr gleichsteht.³²

2.3 Strafbarkeit hinsichtlich des Anwerbens eines Finanzkuriers

Dagegen ist das reine Anwerben eines Finanzkuriers durch den Phisher nicht strafbar. In Betracht käme allein eine Strafbarkeit wegen Betrugs gem. § 263 StGB. Die Spam-Mail des Täters stellt dabei zweifellos eine Täuschungshandlung dar, weil die beschriebene Aufgabe des Kuriers eine andere ist, als seine tatsächlich vorgesehene Rolle. Der Finanzkurier geht nämlich davon aus, eine legale Arbeitsleistung zu erbringen. Sieht man mit der herrschenden Meinung Arbeitsleistungen generell als Bestandteil des rechtlich geschützten Vermögens an, so ist auch eine irrtumsbedingte Vermögensverfügung in Form der vom Finanzkurier erbrachten Dienstleistung gegeben.³³ Auch ein Vermögensschaden kann bejaht werden, da der Finanzagent der Bank des Kontoinhabers gegenüber bereicherungsrechtlichen Haftungsansprüchen ausgesetzt ist. Letztlich scheitert eine Betrugsstrafbarkeit jedoch an der fehlenden Stoffgleichheit. Nach dem Gesichtspunkt der Stoffgleichheit muss sich die Bereicherungsabsicht des Täters auf einen Vorteil beziehen, der unmittelbar aus dem Vermögen des Opfers stammt.³⁴ Der Bereicherungsanspruch der Bank führt aber zu einem Schaden des Finanzkuriers und beruht daher nicht auf der Überweisung und insofern nicht auf einer Verfügung des Täters.³⁵

3 Fazit

Der Phishingtäter erfüllt durch sein Verhalten einen bunten Strauß von Straftatbeständen, wobei zwischen den Handlungen der Datenbeschaffung und anschließenden Datenverwendung differenziert werden muss. Bereits durch die Datenbeschaffung durch das Verschicken der Phishing-E-Mail oder das Erstellen der Phishing-Webseite macht er sich nach § 269 StGB strafbar. Sofern die Variante des IP-Spoofing gegeben ist, wird ggf. noch § 202a StGB verwirklicht. Darüber hinaus verwirklicht der Phishing-, Pharming- oder Spoofing-Täter im Nebenstrafrecht die Strafnormen der §§ 143, 143a MarkenG sowie §§ 106 ff. UrhG, sofern er markenrechtlich oder urheberrechtlich geschützte Kennzeichen oder Bezeichnungen verwendet. Auch eine Strafbarkeit nach datenschutzrechtlichen Vorschriften steht im Raum.

Durch die anschließende Datenverwendung verwirklicht der Phisher § 202a StGB, indem er sich durch die abgefischten Daten Zugang zu den Kontoinformationen des Opfers verschafft. Durch die Verwendung der Daten im Rahmen der Onlineüberweisung ist darüber hinaus eine Strafbarkeit gemäß § 263a und §§ 269, 270 StGB gegeben.

Diese kurze rechtliche Würdigung macht deutlich, dass das geltende Strafrecht ausreichend Schutz gegen das Phishing und seine Sonderformen insgesamt bietet. Dennoch sollte der Gesetzgeber auch neuere Formen und Tatmodalitäten stets im Blick haben, um hier mit einer Nachjustierung der strafrechtlichen Vorschriften angemessen auf die fortschreitende Digitalisierung auch kriminellen Verhaltens reagieren zu können.

Anmerkungen

1. Die Verfasserin war bis Ende März 2022 Leiterin des Fachgebiets Strafrecht, Strafprozessrecht und Kriminalpolitik an der Deutschen Hochschule der Polizei (DHPol) in Münster. Zum 1. April 2022 ist die Universitätsprofessorin auf den Lehrstuhl für Strafrecht und Strafprozessrecht an der Universität zu Köln gewechselt. Der DHPol bleibt sie über eine Gastprofessur verbunden.
2. So Bär, in: Graf/Jäger/Wittig, Wirtschafts- und Steuerstrafrecht, 2. Aufl. (2017), § 269 Rn. 15.
3. Vgl. Bär, in: Graf/Jäger/Wittig, § 263a Rn. 27; Sanli, ZWH 2018, 205.
4. Vgl. hierzu ausführlich Sanli, ZWH 2018, 205 (211 f.); Seidl/Fuchs, HRRS 2010, 85 (90 f.).
5. S. Borges, NJW 2005, 3313 (3314); Popp, MMR 2006, 84.
6. S. Weidemann, in: BeckOK-StGB, Computerkriminalität, 51. Ed. (1.11.2021), Rn. 8; Metz, JR 2019, 492 (498 f.).
7. Vgl. ausf. Popp, MMR 2006, 84 (85 f.); Popp, NJW 2004, 3517 (3518); Sanli, ZWH 2018, 205 (208).
8. So KG, MMR 2012, 845.
9. S. Fischer, StGB, 68. Aufl. (2021), § 263a Rn. 30.
10. Vgl. hierzu Mühlbauer, in: MK-StGB, Bd. 5, 3. Aufl. (2019), § 263a Rn. 115; Sanli, ZWH 2018, 205 (209); Waßmer, in: Leitner/Rosenau, Wirtschafts- und Steuerstrafrecht, 1. Aufl. (2017), § 263a Rn. 108.
11. BGBl. 2021 I, 333.
12. Nach Auffassung des Gesetzgebers sollten hierdurch primär Skimming-Fälle erfasst werden, vgl. BT-Drs. 19/25631, S. 23.
13. So Stuckenberg, ZStW 118 (2006), 878 (884); Goerckenjahn, wistra 2009, 47 (52); zweifelnd Popp, MMR 2006, 84 (85).
14. S. Popp, MMR 2006, 84 (85); Fischer, § 202a Rn. 9a; Kargl, in: NK-StGB, 5. Aufl. (2017), § 202a Rn. 10.
15. So Graf, in: MK-StGB, Bd. 4, 4. Aufl. (2021), § 202a Rn. 92.
16. S. Böken, in: Kipker, Cybersecurity, 1. Auf. (2020), Kap. 15 Rn. 76; Graf, in: MK-StGB, § 202a Rn. 92.
17. Hierzu Sanli, ZWH 2018, 205 (208); Bär, in: Wabnitz/Janovsky/Schmitt, Hdb. Wirtschafts- und Steuerstrafrecht, 5. Aufl. (2020), Kap. 15 Rn. 88.
18. So Popp, MMR 2006, 84 (85).
19. Fischer, § 269 Rn. 3.
20. Vgl. Heger, in: Lackner/Kühl, StGB, 29. Aufl. (2018), § 269 Rn. 2; ausf. Buggisch, NJW 2004, 3519 (3520 f.).
21. Vgl. Bär, in: Graf/Jäger/Wittig, Wirtschafts- und Steuerstrafrecht, 2. Aufl. (2017), § 269 Rn. 15; Erb, in: MK-StGB, Bd. 5, 3. Aufl. (2019), § 269 Rn. 33; Stuckenberg, ZStW 118 (2006), 878 (890).
22. S. Erb, in: MK-StGB, § 269 Rn. 34; Sanli, ZWH 2018, 205 (209).
23. Vgl. Rinker, MMR 2002, 663.
24. S. Rinker, MMR 2002, 663 (664); Marberth-Kubicki, Computer- und Internetstrafrecht, 2. Aufl. (2020), Rn. 178.
25. Hier wird vom Hacker der Rechner eines Dritten benutzt, um davon gezielt Datenpakete an den Dritten zu schicken. Die Daten stammen also von dem Rechner, der als Absender bezeichnet wird. Allerdings bleib der Hacker anonym und das Opfer hält den infiltrierten Computer für den Absender bzw. Angreifer, vgl. Rinker, MMR 2002, 663.
26. Ausf. Rinker, MMR 2002, 663 (664); Marberth-Kubicki, Rn. 111.
27. S. Sanli, ZWH 2018, 205 (210); Ingerl/Rohnke, Markengesetz, 3. Aufl. (2010), § 143 Rn. 10; ausf. Beck/Dornis, CR 2007, 642; Marberth-Kubicki, Rn. 73; Seidl/Fuchs, HRRS 2010, 85 (87 f.).
28. S. Sanli, ZWH 2018, 205 (210); zur alten Rechtslage Heghmanns, wistra 2007, 167.
29. Vgl. Seidl/Fuchs, HRRS 2010, 85 (88); Sanli, ZWH 2018, 205 (210); a.A. Graf, NStZ 2007, 129 (131).
30. Wo genau dieser Vermögensschaden eintritt, kann im Einzelfall problematisch sein und richtet sich nach § 675u und § 675v BGB und soll hier nicht weiter vertieft werden. Ausf. hierzu aber Seidl/Fuchs, HRRS 2010, 85 (89).
31. Vgl. Fischer, § 263 Rn. 186; zu den Fallkonstellationen Sanli, ZWH 2018, 205 (209).
32. So auch Sanli, ZWH 2018, 205 (210); Seidl/Fuchs, HRRS 2010, 85 (89); Stuckenberg, ZStZ 118 (2006), 878 (906).
33. Diese Auffassung ist aber durchaus umstritten, s. dazu ausf. Heinrich, GA 1997, 24; Saliger, in: Matt/Renzikowski, StGB, 2. Aufl. (2020), § 263 Rn. 169.
34. Vgl. Fischer, § 263 Rn. 187; Lackner/Kühl, § 263 Rn. 59.
35. Insg. hierzu Sanli, ZWH 2018, 205 (211); Seidl/Fuchs, HRRS 2010, 85 (90); Goeckenjan, wistra 2008, 128 (132 f.).