Phishing ist strafbar: Das „Phishing“ – ich verwende den Begriff, wie noch gezeigt wird, sehr weit – bereitet den Juristen in Deutschland manche Kopfschmerzen, war lange heftigst umstritten, inwiefern das Phishing an sich strafbar sein soll (dazu die Analyse der Meinungen bei Graf in NStZ 2007, S.129).
Heute ist Phishing strafbar: Der Gesetzgeber hat reagiert und im Jahr 2021 durch eine Ergänzung des §263a StGB eine eindeutige Strafbarkeit des Phishing geschaffen. Die weiteren Ausführungen auf dieser Seite dienen damit nur noch rechtshistorischen Zwecken.
Zum Phishing bei uns:
Im Folgenden stelle ich meinen umfangreicheren früheren Beitrag zur älteren Rechtslage zur Verfügung, samt Übersicht über die Strukturierung des Beitrags:
- Ggfs. Betrieb einer Webseite auf der Daten eingegeben werden sollen
- Versenden einer Mail die zur Angabe von Daten auffordert, entweder via Link zu einer Webseite nach (1) oder als Antwort-Mail
- Das Erlangen der Daten
- Die Nutzung der Daten, etwa in Form der Veranlassung einer Überweisung via PIN/TAN, wobei nochmals differenziert wird nach
- Dem eigentlichen Täter, der die Überweisung veranlasst
- Evt. einem Dritten, der sein Konto als Zwischenstation für den Geldtransfer zur Verfügung stellt (so genannter Finanz-Agent)
Diese Punkte möchte ich im folgenden analysieren. Dabei ist zu bemerken, dass ich das so genannte „Pharming“, also das bereithalten gefälschter Webseiten – etwa eine gefälschte Eingabemaske die der einer Bank des Opfers ohne erhebliche Unterschiede gleicht – rechtlich im Rahmen des Phishings behandle. Da bei der juristischen Subsumtion auf das Verhalten abgestellt wird, unabhängig von Begrifflichkeiten, möchte ich mich hier nicht in unnötigen Detailfragen verlieren.
Hinweis: In diesem Rahmen spielt die Frage eine Rolle, ob deutsches Strafrecht überhaupt anwendbar ist – etwa wenn die betreffenden Webseiten auf ausländischen Servern bereit gehalten werden oder Mails aus dem Ausland veschickt werden. Für den Moment soll der Hinweis genügen, dass dies generell kein Problem darstellt[1. Dazu die sehr ausführliche Darstellung bei Stuckenberg in ZStW 118, 878 beachten], wobei es natürlich sehr abstrakte Ausnahmen gibt. Ich möchte später zum Thema der „Geltung deutschen Strafrechts“ einen eigenen Artikel schreiben.
1. Betrieb einer Webseite zur Eingabe von Daten
Wer eine Webseite bereit hält, die z.B. der einer Bank täuschend ähnlich sieht wenn nicht gar identisch gleicht, in der Hoffnung dass potentielle Opfer hier ihre Login-Daten eingeben (um diese Daten abzufangen) könnte sich wie folgt strafbar machen.
1.1 §269 I 1. Alt StGB
Im objektiven Tatbestand könnte die erste Alternative des §269 I StGB vorliegen: „Beweiserhebliche Daten“ werden so gespeichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegt.
Sollte der Täter von einer bestehenden Seite vorthandene Designs (etwa CSS etc.) kopieren und selbst verwenden, läge eine veränderung vor, jedenfalls liegt problemlos im Vorhalten der Daten auf einem Server eine Speicherung vor[1. Sch-Sch-Cramer, §269 Rn.16; SK-Hoyer, §269 Rn.8].
Ein Datum i.S.d §269 StGB ist jede in einem technischen Gerät auf optisch nicht wahrnehmbare Weise gespeicherte, codierte Information[2. SK-Hoyer, §269, Rn.5; Sch-Sch-Cramer, §269, Rn.8]. Eine Webseite ist eine solche Information, also ein Datum i.S.d. §269 StGB.
Dieses Datum muss auch „beweiserheblich“ sein, was es dann ist, wenn es zur Überzeugungsbildung über eine rechtlich erhebliche Tatsache beitragen kann[3. SK-Hoyer, §269, Rn.6;Sch-Sch-Cramer, §269, Rn.10]. Die Frage, wer der Betreiber einer Webseite ist, ist schon für sich rechtlich erheblich. Hinzu kommen verschiedene Aspekte, wie die Tatsache dass ein Bankkunde schon nur gegenüber seiner Bank Online-Zugangsdaten gebrauchen möchte und heute sogar teilweise über AGB verpflichtet ist, Dritten den Zugang nicht zu ermöglichen. Alles in allem handelt es sich bei den Angaben zu dem Betreiber einer Webseite um eine rechtlich erhebliche Tatsache, die der Überzeugungsbildung dient.
Nun müssen diese Daten auch so beschaffen sein, dass bei ihrer potentiellen Wahrnehmung eine unechte oder verfälschte Urkunde vorliegt. Ohne Bedeutung ist es, dass sie überhaupt wahrgenommen wurden (SK-Hoyer §269 Rn.10; Stuckenberg in ZStW 118, 878, 890), es reicht, wenn die Möglichkeit dazu bestanden hat (Stuckenberg in ZStW 118, 878, 890).
Da im vorliegenden Fall über den Aussteller getäuscht wird, würde wenn, dann eine unechte Urkunde vorliegen (Sch-Sch-Cramer, §269, Rn.20). Fraglich, ob überhaupt eine „hypotethische Urkunde“ angenommen werden darf. Es ist in 5 Stufen vorzugehen (Nach SK-Hoyer, §269, Rn.13 bis 26):
- Gedankenerklärung
Es muss der Anschein einer Gedankenerklärung vorliegen[6. SK-Hoyer, §269, Rn.14], was hier der Fall ist, da das Formular eine Art Garantieerklärung ähnlich dem auf einer Scheckkarte hinterlegten Magnetstreifen hat[7. Zum Magnetstreifen siehe SK-Hoyer, §269, Rn.16 sowie LK §269 Rn2.]. - Dauerhafte Verkörperung
Die Wahrnehmung muss optisch[8. SK-Hoyer, §269, Rn.17; LK §269 Rn.2] und dauerhaft[9. SK-Hoyer, §269, Rn.17] möglich sein. Die Webseite wird optisch wahrgenommen. Für die Dauerhaftigkeit ist eine Speicherung auf einer Festplatte ausreichend[10. SK-Hoyer, §269, Rn.17]. Die Daten der Webseite sind zudem auf einem Server, genauer auf dessen Festplatte, hinterlegt, somit dauerhaft wahrnehmbar. - Beweiseignung- und Bestimmung
Die Daten müssen zum Beweis einer rechtserheblichen Tatsache beitragen. Dies ist hier anzunehmen[11. Siehe oben bei „beweiserheblich“], zudem lebt die Webseite bzw. die geplante Schädigung ja gerade davon, dass das potentielle Opfer von der Tatsache, dass es sich um die eigene Bank handelt, überzeugt ist. Wäre es zum Beweis weder geeignet noch bestimmt, würde die Idee dahinter gar nicht funktionieren. - Ausstellererkennbarkeit
Wie unter (3) festgehalten macht die Webseite nur Sinn, gerade weil sie einen bestimmten Aussteller (die Hausbank des potentiellen Opfers) suggeriert. Eine Meinung[12. Graf in NStZ 2007, 129, 132] möchte dies stringend sehen, und verlangt, dass zumindest das passende Logo (und nicht ein übergordnetes) eingesetzt wird. Im Regelfall ergeben sich hier aber keine Probleme. Im Zweifelsfall muss im Einzelfall entschieden werden, wobei eine schlechte Leistung des Täters nicht zu Ungunsten (evt. dummer) potentieller Opfer eingewendet werden darf. - Unechtheit
Unecht ist die (hypothetische[12. Etwa nach einem gedachten Ausdruck]) Urkunde wenn sie nicht von dem stammt, der angeblicher Aussteller ist[13. Sch-Sch-Cramer §269 Rn.20; SK-Hoyer §269. Rn21; LK §269 Rn.6]. Angeblicher Aussteller (Verfasser de Webseite) ist die Hausbank, in Wirklichkeit ist es aber der Täter.
Der objektive Tatbestand des §269 I 1. Alt StGB ist also beim Vorhalten gefälschter Webseiten anzunehmen. Subjektiv muss die entsprechende Webseite bereitgehalten werden, um zur Täuschung im Rechtsverkehr zu handeln[14. Sch-Sch-Cramer §269 Rn.22], was im Regelfall angenommen werden kann.
Insgesamt ist somit beim Vorhalten gefälschter Webseiten zur Erlangung von Zugangsdaten eine Strafbarkeit nach §269 I 1.Alt StGB anzunehmen[15. Stuckenberg in ZStW 118, 878, 890; Leupold/Glossner 8/93].
1.2 Regelbeispiele
Der Vollständigkeit halber der Hinweis, dass die Regelbeispiele der §§269 III, 267 III Nr.1 und 3 StGB normalerweise vorliegen müssten, was aber alleine Auswirkungen auf die Strafzumessung hat.
2. Versand der Email
2.1 §269 I 1. Alt StGB
Grundsätzlich wird hier auf 1.1 oben verwiesen, denn §269 I 1. Alt. StGB kann bei Phishing-Mails, die einen existenten Absender wie eine Bank, vortäuschen grundsätzlich angewendet werden[16. Leupold/Glossner 8/91].
Ich gehe daher nur auf die Streitpunkte ein, die es in der Tat zahlreich gibt:
- Ein Teil der Literatur fordert, dass eine Authentizität, also die Erkennbarkeit des Ausstellers, nur vorliegt, wenn die Mail auch signiert ist (Frank in CR 2004, 123, 124; Popp MMR 2006, 84, 85). Ansatzpunkt ist hier die Beweiseignung der Urkunde, die mit Beweiskraft gleichgesetzt wird, was bei fehlender Signatur in der Tat zu verneinen wäre. Diese Meinung verkennt aber, dass es im Rahmen von §269 StGB alleine um die Möglichkeit geht, in einem Verfahren in einem Verfahren Überzeugensbildend zu wirken (SK-Hoyer §269 Rn.20). Das erfordert keinesfalls das Formerfordernis im Sinne des §126a BGB. Vielmehr ist Sinn der Beweiseignung, gänzlich irrelevantes auszuschliessen[19. NK-Puppe §267 Rn.18]. Die hier herangezogene Fälschungssicherheit ist nicht nur unnütz sondern war noch nie Teil der Betrachtung der §§267, 269 StGB (Stuckenberg in ZStW 118, 878, 888). Die fehlende Signatur ist also kein Problem.
- Eine andere Ansicht (Graf in NStZ 2007, 131, 132) verlangt zwar keine Signatur, aber zumindest strenge Anforderungen an die Erkennbarkeit des Ausstellers. Wenn etwa Mails als „sparkasse.de“ versendet und „unterschrieben“ sind, wird ein nicht existenter Aussteller vorgegaukelt, womit die Garantiefunktion nicht vorliegt (Graf in NStZ 2007, 131, 132). Jedenfalls dann, wenn nicht zusätzlich eine Webseite nach 1.1 zum Einsatz kommt, die dann das entsprechende Logo der existierenden Hausbank nutzt, ist dies ein mitunter starkes Argument, da nun fraglich ist, ob nicht vielmehr nur eine schriftliche Lüge vorliegt. So wird bei Verwendung nicht existenter Namen teilweise eine schriftliche Lüge angenommen (SK-Hoyer §267 Rn.59). Dies sieht die h.M. (BGHSt 1, 117, 121; BGHSt 5, 150, 151; Fischer §267. Rn.21; Wessels BT1 Rn.821) insgesamt aber anders: Die vorgetäuschte Person muss nicht existieren. Dies macht auch insofern Sinn, da der Schutz des Rechtsverkehrs gerade von dem Gedanken lebt, dass man sich auf Urkunden verlassen kann. Ob man dies bei evidenten Sachverhalten (Absender ist etwa „Spasskasse.de“) noch aufrecht erhält, ist dann im Einzelfall abzuwägen.
2.2 §269 I 3. Alt StGB
Sofern per Mail Links zu Webseiten nach 1.1 verschickt werden, liegt ein „gebrauchen“ im Sinne der 3. Alternative vor (Stuckenberg in ZStW 118, 878, 890).
3. Erlangen der Daten
3.1 §§44, 43 BDSG
Ein Bussgeld erscheint zumindest nach §43 I Nr.4,8; II Nr. 1 BDSG angebracht. Somit liegt dann auch die VOrraussetzung zur STrafbarkeit nach §44 I BDSG vor.
3.2 §202b StGB
Der §202b StGB setzt vorraus, dass der Täter sich Daten „aus“ einer nicht-öffentlichen Datenübermitlung verschafft. Dies liegt beim Phishing gerade nicht vor, denn der Täter verschafft sich hier die Daten durch eine an ihn gerichtete Übermittlung. Das „aus“ spricht für ein „Abfangen“, jedenfalls für ein Eingreifen in den Übermittlungsprozess (Leupold/Glossner 8/93; Fischer §202b Rn.3). §202b StGB scheidet beim Phishing aus (Leupold/Glossner 8/93).
Kritische Anmerkung: Ich werde durch die Argumentation bei Leupold/Glossner nicht überzeugt. Vielmehr ist die Frage, ob die Daten für den Täter bestimmt sind (siehe sogleic, beim §202a StGB), ich sehe aber sprachlich kein Problem, anzunehmen, dass der Täter die Daten aus einer Datenübermittlung erhält (woher hat er sie denn sonst?).
Letztlich aber sei darauf hingewiesen, dass hier analog auf die Argumentation zum §202a StGB verwiesen werden kann (siehe sogleich).
3.3 §202c I Nr.1 StGB
Der §202c I 1. Alt. StGB liegt wohl unproblematisch vor, sobald das Opfer seine Daten eingegeben und abgeschickt hat, und diese den Täter erreichen[28. Leupold/Glossner 8/93]. Man kann kritisch hinterfragen, inwiefern beim Phishing (die Daten sollen ja zu Transaktionen genutzt werden) eine Vorbereitung einer Tat nach §§202a, 202b StGB vorliegen soll – vielmehr wird ja eine Tat nach §263 a StGB vorbereitet. Dies aber nur als kritische Anmerkung von mir.
3.4 §202a StGB
Die Zugangsdaten, etwa zu einem Konto, sind zweifelsohne Daten im Sinne des §202a I StGB[29. Stuckenberg in ZStW 118, 878, 884]. Absatz 2 verlangt aber, dass die Daten gespeichert sind oder übermittelt werden. Abgestellt wird also darauf, dass die Daten beim Zugriff entweder gespeichert sind oder sich im Übermittlungsstadium befinden[30. Stuckenberg in ZStW 118, 878, 884]. Damit sollen nur Daten gemeint sein, auf die während eines Übermittlungsvorgangs zugegriffen wird[31. Fischer, §202a Rn.6; Stuckenberg in ZStW 118, 878, 884], während beim Phishing die Daten gerade durch die Übertragung übermittelt werden (Stuckenberg in ZStW 118, 878, 884). Somit liegt schon kein taugliches Tatobjekt vor (Stuckenberg in ZStW 118, 878, 884).
Kritische Anmerkung: Diese Auslegung verkennt die Änderung des §202a StGB im Jahr 2007; Nach seiner Änderung ist der §202a StGB eindeutig ein Geheimnisschutzdelikt (Schumann in NStZ 2007, 675, 676), deswegen wurde ja das Verschaffen des Zugangs zu den Daten überhaupt aufgenommen. Dass der Täter hier privilegiert werden soll, weil er besonders trickreich arbeitet und das Opfer auch noch mitwirken lässt, mag bei der Frage nach einer Einwilligung berücksichtigt werden, aber schliesst eben nicht schon das Tatobjekt aus.
Auch der Hinweis von Stuckenberg auf die BT-Drucks. 10/5058 (S.28) überzeugt nicht, da hier gerade die Strafbarkeit des Verschaffens von Zugangsdaten ohne Übermittlung (Suchen von Pay-TV-Passwörtern durch Kinder bei den Eltern) festgestellt wird. Offensichtlich sollte alleine das Suchen von Zugangsdaten ausgeschlossen werden, wobei ohne jegliche elektronische Mittel gearbeitet wird.
Wer meiner Kritik folgt und doch ein taugliches Tatobjekt annimmt, kann noch fragen ob die besondere Zugangssicherung überhaupt vorhanden ist (Stuckenberg in ZStW 118, 878, 885) – die aber wird ja gerade umgangen durch die erschlichene Eingabe.
Einzig der Hinweis darauf, dass eventuell ein den tatbestand ausschliessendes Einverständnis vorliegt[20. Popp in NJW 2004, 3517, 3518] vermag im Ansatz zu überzeugen und ist nicht von der Hand zu weisen. Hier ist dann zu prüfen, wie man mit einem erschlichenen Einverständnis umgeht, was ich nicht im weiteren erörtere, da es typischer StGB AT Stoff ist. Es muss aber zu dieser Klärung sehr wohl erörtert werden, ob die Fragen evt. für den Täter bestimmt sind. Nicht für den Täter bestimmt sind die Daten, wenn der Berechtigte nicht will, dass sie in den Herrschaftsbereich des Täters gelangen (LK §202a Rn.3). Das will das potentielle Opfer hier zweifelsohne, dennoch argumentiert z.B. Popp (Popp in NJW 2004, 3517, 3518) wie folgt:
Freilich sind Daten wie PIN und TAN regelmäßig auch gegenüber der Bank geheim. Wenn und soweit das Opfer sich dessen bewusst ist, erfolgt die Preisgabe des Geheimnisschutzes als solche sehenden Auges. Das Opfer unterliegt einem Irrtum dann nur im Hinblick auf Motivation und Identität seines Gegenübers, nicht aber im Hinblick auf seinen Rechtsgutsverzicht. Ein solcher Irrtum jedoch steht dem Tatbestandsausschluss kraft Einverständnis nicht im Wege.
Es soll also davon abhängen, ob das potentielle Opfer sich im Klaren ist, dass auch die Bank die Daten weder kennt noch erfragen würde. Wäre es aber nicht sauberer, dann direkt ehrlich zu fragen, ob man dem potentiellen Opfer einen dolus eventualis hinsichtlich der Kenntnisnahme durch Dritte unterstellt? Wieder wird die Dummheit des potentiellen Opfers zur Privilegierung des Täters herangezogen, der ja immerhin schon Arbeitsaufwand betrieben hat, um das Vertrauen des – wenn auch dummen oder zumindest unerfahrenen – Opfers zu erschleichen.
Fazit zum früheren Streit
Im Ergebnis lehnt die h.M. zwar wohl den §202a StGB ab, ich selbst möchte das hier aber nochmals kritisch hinterfragen. Denn letztlich ergibt die Gesamtbetrachtung:
- Sind die Daten besonders gegen Zugang gesichert (der Zugang wird ja gerade erschlichen),
- sie sind nicht für den Täter bestimmt (es kann nicht entlastent wirken, dass der Täter Erfolg hat, das ist ja gerade der Tatbestand),
- werden sie dem Täter durch ein trickreiches Vorgehen verschafft,
- wobei das Verschaffen durch eine Übermittlung i.S.d. §202a II StGB stattfindet.
Ich kann die Angst vor einer Anwendung des §202a StGB beim Phishing daher nicht teilen.
- Cybercrime in Asien - 11. September 2024
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024