Eine Geldkarte ist ein Zahlungsmittel in Form einer Plastikkarte, in die ein elektronischer Chip integriert ist. Dieser Chip kann mit einem Guthaben aufgeladen werden, mit dem dann in Geschäften, in öffentlichen Verkehrsmitteln oder an Automaten bezahlt werden kann. In Deutschland war sie vor allem unter dem Namen „GeldKarte“ der Deutschen Kreditwirtschaft bekannt, wird aber heute kaum noch genutzt, da sie zunehmend von kontaktlosen Bezahlsystemen wie NFC abgelöst wird.
Rechtliche Probleme im Zusammenhang mit der Geldkarte können in verschiedenen Bereichen auftreten:
Datenschutz: Der Einsatz der Geldkarte kann datenschutzrechtliche Bedenken aufwerfen. Obwohl die Geldkarte als anonymes Zahlungsmittel konzipiert ist, können bestimmte Transaktionen auf bestimmte Weise zurückverfolgt werden. Diebstahl und Verlust: Bei Verlust oder Diebstahl der Geldkarte besteht die Gefahr, dass das auf der Karte gespeicherte Guthaben von einer anderen Person verwendet wird. Im Gegensatz zu Kredit- oder Debitkarten, bei denen eine sofortige Sperrung und Anzeigeerstattung den finanziellen Verlust begrenzen kann, ist dies bei einer Geldkarte mit Guthaben nicht der Fall. Der Verlust ist eher mit dem Verlust von Bargeld vergleichbar. Technische Probleme: Technische Probleme können dazu führen, dass das auf der Karte gespeicherte Guthaben nicht abgerufen oder die Karte nicht korrekt aufgeladen wird. Dies kann rechtliche Fragen aufwerfen, z.B. wer für solche Fehler haftet. Betrug: Es besteht auch die Gefahr des Betrugs. Technisch versierte Kriminelle könnten versuchen, die Sicherheitssysteme der Karte zu knacken, um an das Guthaben zu gelangen. vertragsrechtliche Fragen: Es können vertragsrechtliche Fragen auftreten, z.B. in Bezug auf die Allgemeinen Geschäftsbedingungen (AGB) des Kartenanbieters, die Verfügbarkeit des Guthabens, die Rückerstattung von nicht genutztem Guthaben etc.
Die Hannoversche Allgemeine berichtet von einem „Rundum-Schlag“ gegen ein Netzwerk von Betrügern, die sich so genannter „Warenagenten“ bedient haben. Im Kern läuft es darauf hinaus, dass sich Betrüger gestohlener Zahlungsdaten wie Kreditkartendaten bedienen, um Waren zu bestellen, die an einen Dritten gesendet werden, der die Waren dann weiterleitet. Das Vorgehen sollte an das Verfahren mit Finanzagenten erinnern, die in ähnlicher Manier Geldbeträge weiterleiten. Während ersteres vorwiegend auf einen Betrug hinausläuft wird letzteres in Richtung einer (leichtfertigen) Geldwäsche münden.
Der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, ist nach § 32 Abs. 1 BDSG unzulässig, wenn kein auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht, dies hat das Bundesarbeitsgericht mit Urteil vom 27. Juli 2017 (Aktenzeichen 2 AZR 681/16) unter Bestätigung einer Entscheidung des Landesarbeitsgerichts Hamm, 16 Sa 1711/15, entschieden.
Anmerkung: Das Landesarbeitsgericht hatte vorher noch recht umfassend ausgeführt, dass eine offene Maßnahme immer der verdeckten (und dauerhaft verdekcten sowieso) vorzuziehen ist. Vor der installation eines Keyloggers hätten mit dem LAG insbesondere ohnehin vorhandene Daten wie etwa Internetverlauf und Mailverkehr ausgelesen werden können und sollen. (mehr …)
Der 4. Senat des BGH (4 StR 464/16) hat Zweifel dahingehend geäußert, ob in Fällen, in denen an einem Geldautomaten mit einer vom Berechtigten überlassenen Bankkarte unter Verwendung der ebenfalls vom Berechtigten bekannt gegebenen Geheimzahl (absprachewidrig) Geld abgehoben wird, wirklich kein Computerbetrug vorliegt:
Hintergrund ist, dass der 4. Senat in den Raum stellt, dass es sich bei Karte und Geheimzahl um ein personalisiertes Zahlungsauthentifizierungsinstrument handelt, das schon mit dem Gesetz zwingend geheim zu halten ist – eine Bevollmächtigung Dritter ist damit ausgeschlossen, die aber wiederum als Rechtfertigungsgrundlage bisher herangezogen wurde (so etwa BGH, 2 StR 16/15, hier im Blog).
Inzwischen hat sich wohl auch der Dritte Senat angeschlossen, der ausführt:
In den Fällen, in denen (…) durch Täuschung der Geschädigten die PIN für die zuvor entwendeten EC-Karten in Erfahrung brachte (…), ist er indes nicht (…) des Computerbetrugs sondern des Betrugs schuldig. Maßgebend ist insoweit, dass der Angeklagte den Geschädigten gegenüber einräumte, bereits im Besitz der Bankkarten zu sein und sie gleichzeitig darüber täuschte, wie er deren Besitz erlangt hatte. Indem diese ihm die PIN nannten, räumten sie ihm nicht anders als bei einer auf die gleichzeitige Erlangung des Besitzes an einer EC- oder Kreditkarte und der PIN gerichteten Täuschung (vgl. dazu BGHR § 263 Abs. 1 Konkurrenzen 6; BGHR § 263a StGB Anwendungsbereich 1; BGH NStZ-RR 2015, 337 ff.) oder der betrügerischen Erlangung nur des Kartenbesitzes in Fällen, in denen dem Täter die PIN bereits – wie der Geschädigte weiß – bekannt ist (vgl. OLG Jena wistra 2007, 236 f.), irrtumsbedingt die faktische Verfügungsmöglichkeit ein, die es dem Angeklagten ermöglichte, unter Missbrauch des ihm entgegengebrachten Vertrauens anschließend die Geldabhebungen an den Geldautomaten zu tätigen. Dass der Angeklagte vortäuschte, die Bankkarten seien gesperrt, ändert daran schon deshalb nichts, weil er gerade vorgab, diese Sperrung alsbald selbst beseitigen und so die Verfügungsmöglichkeit wieder herstellen zu können.
Ein Distributed Denial of Service (DDoS) Angriff ist sehr allgemein gesprochen dann anzunehmen, wenn durch eine Vielzahl böswillig erzeugter Anfragen ein System nach außen hin nicht mehr erreichbar ist. Es geht also darum, durch massenhafte Last eine Infrastruktur außer Betrieb zu setzen. Es gibt dabei drei Hauptangriffspunkte:
So kann etwa durch massenhafte Anfrage, etwa über ein Botnetz, erreicht werden, dass der Webserver-Dienst überlastet wird weil er die vielfachen Anfragen nicht mehr bewältigen kann. Laut BKA fand im Jahr 2018 jeder dritte DDoS-Angriff über widerrechtlich genutzte Cloud-Server statt, was gegenüber dem Vorjahr einen Anstieg um ca. 80 % darstellt.
Die Cloud-Server wurden dabei entweder direkt gehackt oder z. B. unter falschen Namen und mit gestohlenen Kreditkartendaten angemietet. Dabei ist zu beachten, dass Immer zielgerichteter DDOS-Angriffe eingesetzt werden, etwa gegen Online-Shops an bestimmten Umsatzstarken Tagen. Hervorzuheben sind dabei Multivektor-Angriffe (mehrere synchron ablaufende Angriffe unterschiedlicher Art) und Level-7-Angriffe; letzteres bezieht sich auf den Aufbau des sog. OSI-Modells in dem die 7. Schicht die Anwendungsschicht ist. Zu den Varianten gehören:
Syn Flooding
Wenn in TCP/IP basierten Netzen eine Verbindung aufgebaut wird, wo ein sogenannter „Handshake“ durchgeführt: Hierbei findet ein Austausch von SYN– und ACK -Datenpakete statt. Bei einem SYN-Flooding-Angriff werden an ein System nun SYN-Pakete geschickt, die anstatt der (korrekten) eigenen Absenderadresse eine gefälschte im Internet erreichbare IP-Adresse tragen. Das attackierte System versucht nun protokollgerecht auf die SYN-Pakete mit SYN-ACK-Paketen zu antworten. Da die Absenderadresse des ersten Paketes jedoch gefälscht war, kann das System unter dieser Adresse nicht den Computer erreichen, der eine Verbindung zu ihm aufbauen wollte und es dauert, bis die Verbindungsversuche des angegriffenen Systems aufgegeben werden. Mit einer Masser gefälschter SYN-Pakete, sollen dann die Verbindungskäpazitäten des angegriffenen Systems aufgezehrt werden.
Mailbombing
Beim „Mailbombing“ wird entweder eine enorm umfangreiche Nachricht in Form einer E-Mail an die Zieladresse geschickt oder die Zieladresse wird mit einer erheblichen Anzahl von Nachrichten bombardiert, so dass der Mail-Accounts zumindest faktisch nicht mehr nutzbar ist oder der Mail-Server sogar langsamer wird. In besonders krassen Fällen oder schlecht gepflegten Systemen bricht der Mailserver auch vollständig zusammen.
Ping-Flooding
Durch das „Ping Flooding“ wird ein Zielrechner mit einer gewaltigen Menge von Pings bombadiert, so dass er ausschliesslich mit der Antwort auf Pings beschäftigt ist. Abhängig von Art und Größe der Pings pro Sekunde, kann dies bei Rechnern mit älteren Betriebssystemen zu einem Systemabsturz führen. So oder so führt das Ping Flooding zu einer wesentlichen Beeinträchtigung des angegriffenen Rechners und vor allem des Netzwerkes, in dem sich dieser Rechner befindet.
Im Rahmen eines zivilrechtlichen Streits konnte sich das Oberlandesgericht des Landes Sachsen-Anhalt (6 U 3/14) zur Zuordnung von Daten an einen Berechtigten äußern, was insbesondere für die Annahme einer Strafbarkeit wegen Ausspähen von Daten (§202a StGB) von Bedeutung ist.
Es ging – konzentriert – um Messdaten, die durch ein Messsystem zur Geschwindigkeitsmessung erzeugt werden und die Frage, wer hier Zugriffsberechtigt ist. Das OLG führt sehr sauber und Nachvollziehbar aus, dass auch bei einem vollautomatischen Messsystem die Erzeugung der Daten („Skripturakt“) durch die Bedienung zu Stande kommt und nicht durch das System selber. Der Berechtigte an den Daten ist damit in erster Linie derjenige, der das System benutzt, nicht der Hersteller des Systems, auch wenn auf dessen Funktionen letztlich zurückgegriffen wird.
Das Bundeskriminalamt hat das „Lagebild Cybercrime 2015“ veröffentlicht. Dabei entwickelt sich der sich seit Jahren abzeichnende Trend hinsichtlich Täterstrukturen und Angriffszielen weiter ab, aus meiner Sicht droht hier ein zunehmendes eskalierendes Problem.
Anzahl der Cybercrime Taten 2015 nach PKS und Deliktsform (Quelle: BKA)
Der Bundesgerichtshof (2 StR 15/15) hat zwischenzeitlich geklärt, dass der Tatbestand des Computerbetrugs dann nicht erfüllt ist, wenn vom berechtigten Karteninhaber die Bankkarte und die Geheimnummer durch Täuschung erlangt und damit Abhebungen an Geldautomaten vorgenommen werden. In diesem Fall wird die EC-Karte im Ergebnis nicht „unbefugt“ im Sinne von § 263a Abs. 1 StGB benutzt. (mehr …)
Nicht wirklich IT-Strafrecht aber durchaus interessant ist eine Entscheidung des Oberlandesgerichts Hamm (III-3 RVs 103/10), das sich im Jahr 2011 mit dem Diebstahl einer EC-Karte befasst hatte. Die Karte befand sich im Abfalleimer einer Bank und wurde von jemandem, der dort reinigte, an sich genommen. Da die PIN sich bei der EC-Karte befunden hatte konnte dann Geld abgehoben werden. Durchaus diskussionswürdig war die Frage, ob ein Diebstahl der EC-Karte vorlag. (mehr …)
Stellen Sie sich vor, Sie sind Kunde bei einer Fitnesskette oder nutzen ein Online-Angebot und werden informiert, dass Ihre Daten durch einen Hackerangriff gestohlen wurden – haben Sie noch Lust dort weiter Kunde zu sein?
Leider nur sehr kurz ist der Beschluss des Amtsgerichts Düsseldorf (39 C 5229/14), der einen solchen modernen, wichtigen Streitfall betrifft: Wie geht man damit um, wenn man einen Dienstleister in Anspruch nimmt, an den man vertraglich gebunden ist und bei den persönliche Daten „gestohlen“ wurden?
Der Computerbetrug gehört weder zu den schwersten Delikten im deutschen Strafrecht noch zu den mildestens sondern bewegt sich im normalen Maß mit entsprechender Straferwartung. Er ist, je nach Form der Begehung, durchaus mit beachtlichen Konsequenzen verbunden, die sich auch schnell steigern können.
Computerbetrug: Gesetzessystematik
Der Computerbetrug soll Strafbarkeitslücken im Zusammenhang mit dem Betrug schliessen. Dabei geht es nicht darum, dass ein Betrug über oder durch Computer bzw. das Internet begangen wird, was einen normalen Betrug darstellt! Der Computerbetrug soll vielmehr den Fall erfassen, in dem nicht ein Mensch der „Getäuschte“ ist, sondern ein Schaden durch EInwirkung auf eine Datenverarbeitung erfolgt.
Es fängt mit dem Tatbestand des Betruges an: „Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt (…)“, den erwartet eine Freiheitsstrafe bis zu 5 Jahren, ohne Mindestfreiheitsstrafe.
Wenn man dann einen beachtlichen Vermögensverlust herbeiführt oder gewerbsmäßig handelt, ist es bereits ein schwerer Computerbetrug mit einer Mindeststrafe von 6 Monaten. Wenn man einen Computerbetrug als Bande begeht droht bereits eine Freiheitsstrafe von mindestens einem Jahr. Insoweit verweist der Tatbestand des Computerbetruges in seinem Absatz 2 auf die Tatbestände des Betruges.
Der Computerbetrug ist einer der zahlreichen speziellen Tatbestände die den Betrug ergänzen. Dabei findet sich in Absatz 3 noch eine besondere Variante in Form des Vertreibens von Computerprogrammen zur Begehung eines Computerbetruges: „Wer eine Straftat nach Absatz 1 vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“. Neben §202c StGB existiert damit speziell für den Bereich des reinen Softwarevertriebs bzw. der Softwareentwicklung eine eigene Strafvorschrift.
Verteidigungstaktik & spezielle Probleme bei einem Computerbetrug
Die oben genannten Mindestfreiheitsstrafen sind zu berücksichtigen, bei typischen Abläufen des Computerbetrugs. Allerdings bietet sich die Option des „minder schweren Falls“ nach §263 Abs.5 StGB, die auch beim einem Computerbetrug zu beachten ist und somit bei Vorliegen aller Tatbestandsvoraussetzungen zumindest an der Strafzumessung noch gearbeitet werden kann.
Die Besonderheiten liegen beim Computerbetrug in den Details:
Es muss „das Ergebnis eines Datenverarbeitungsvorgangs“ betroffen sein, womit in einem weitreichenden Sinn alle Daten gemeint sind, auch PIN-Codes und weiter muss
ein „beeinflussen“ vorliegen, also ein einwirken auf den Datenverarbetungsvorgang im Sinne eines Mitbestimmens oder auch – umstritten – in-Gang-setzens.
Erst hiernach kommen die vier Tatbestandsalternativen zum Tragen, die ebenso sauber geprüft werden müssen und häufig erhebliche Kenntnis von IT und IT-Abläufen benötigen:
Die unrichtige Gestaltung des Programs beschreibt die Einwirkung auf den Programmcode, nicht die Bezugnahme auf die Verwendungsabsicht des Berechtigten;
Besonders kompliziert ist die Verwendung unrichtiger oder unvollständiger Daten in Form der „Input-Manipulation“, die dringend von der unbeabsichtigten aber bestimmungsgemäßen Verwendung abzugrenzen ist;
Äusserst umstritten ist die unbefugte Verwendung der Daten: Das beginnt bereits beim Tatbestandsmerkmal „unbefugt“ und der Frage wann dieses vorliegt und geht bis zur Frage, was eine Verwendung sein soll (Nutzung oder nur Einführung). Speziell in den Bankfällen ist dies von Bedeutung, wenn etwa eine EC-Karte rechtmäßig verwendet wird, aber der vereinbarte Abhebungsrahmen überschritten wird;
Die sonst unbefugte Wirkung auf den Ablauf hat eine Auffangfunktion und wird gerne von den Instanzgerichten in ihrer Reichweite überdehnt.
Eine besondere Ausweitung erfährt der Tatbestand des Computerbetrugs dadurch, dass mit der Rechtsprechung des Bundesgerichtshofs bereits eine konkret-unmittelbare Vermögensgefährdung ausreichend ist um einen Vermögensschaden und damit einen Betrug anzunehmen. Hier muss in der Verteidigung sauber gearbeitet werden um die notwendigen Grenzen herauszuarbeiten und eine zu frühe Verurteilung abzuwehren.
Übrigens: Kein Computerbetrug liegt vor, wenn Betrugstaten über das Internet begangen werden, dies ist ein „normaler“ Betrug“
Pflichtverteidigung bei Computerbetrug?
Der Computerbetrug ist ein Vergehen, so dass eine Pflichtverteidigung nur bei besonderen Umständen in Betracht kommt. Spätestens wenn die Begehung in Form der Bande vorliegt, ist die Mindeststrafe so hoch, dass schnell die Untersuchungshaft droht. Insgesamt geht es um ein Delikt, dass grundsätzlich beim Landgericht angeklagt wird, somit steht in jedem Fall eine Pflichtverteidigung zu (§140 Abs.1 Nr.1 StPO).
Strafverteidigung beim Computerbetrugs-Vorwurf
Ich habe zahlreiche Fälle des Computerbetruges vor dem Amtsgericht und Landgericht verteidigt, nicht selten ist es dabei so, dass es sich um Situationen handelt, die sich letztlich ungeplant entwickelt haben und dann mitunter ausgeufert sind.
Es lässt sich, selbst bei klarer Beweislage, noch viel erarbeiten – durch geschickte und durchdachte Verteidigung kann man etwa zielgerichtet auf den minder schweren Fall hinarbeiten und somit das Strafmaß entsprechend reduzieren. Nicht zu verkennen ist aber auch, wie wichtig gerade beim Betrug bereits eine zielgerichtete Vorarbeit noch vor der Anklageerhebung ist. Auch die persönliche Situation des Betroffenen, dem ein Betrug vorgeworfen wird, ist zu berücksichtigen und darf in der Hauptverhandlung nicht untergehen – schädlich dagegen ist ein Bagatellisieren.
Der zweite Senat des Bundesgerichtshofs (2 StR 16/15) hat recht ausführlich dargestellt, dass die nur absprachewidrige Nutzung einer im Übrigen samt Geheimzahl überlassenen Geldkarte – auch wenn die Überlassung am Ende auf einer Täuschung beruht – jedenfalls keinen Computerbetrug darstellt. Denn, so der BGH, der Tatbestand ist so auszuzulegen, dass keine unbefugte Verwendung dann vorliegt, wenn man mit Wissen und Wollen des Karteninhabers agiert. Aber: Diese Rechtsprechung ist keinesfalls ohne Kritik. Andere Senate des BGH haben Zweifel an dieser Rechtsauffassung geäußert.
Das OLG Stuttgart (2 U 88/15) hat entschieden, dass eine eigentlich unzulässige Rabattaktion, die ein Taxifahrer nicht anbieten dürfte, für einen Vermittler von Taxifahrten (hier: Über eine Taxi-App) keinen Wettbewerbsverstoß darstellt. Die Entscheidung dürfte kontrovers zu sehen sein, ist aber zumindest dogmatisch korrekt. Die Argumente der Kläger, dass hier eine zumindest faktische Umgehung vorliegt die zum Missbrauch geradezu einlädt sind nicht von der Hand zu weisen: (mehr …)
Beim Kammergericht (5 U 7/14) finden sich Ausführungen zur Unzulässigkeit von Briefwerbung. Diese ist grundsätzlich zulässig, die wichtigste Ausnahme ist der vorherige Widerspruch des Empfängers. Doch kann sich eine unzumutbare Belästigung auch aus sonstigen Umständen ergeben, etwa wenn ein Werbeschreiben nicht als solches Erkennbar ist und zudem eine Dringlichkeit behauptet, die es schlicht nicht hat (damit aber Neugierde zum Öffnen erweckt). Eben darum ging es beim Kammergericht.
Die Entscheidung zeigt, was gerne übersehen wird: Auch für Briefwerbung gibt es Grenzen.
Es war der 2013 tragsich viel zu früh verstorbene „Barnaby Jack“, der auf der Black Hat Konferenz 2010 das Jackpotting vorstellte: Man greift einen Geldautomaten dadurch an, dass man einen Steckplatz für Flashspeicher freilegt und ein eigenes Rootkit („Schadsoftware“) installiert, damit der Geldautomat – ohne ein Konto zu belasten – seinen Inhalt schlicht ausgibt.
Nunmehr gibt es erste Fälle dieser Angriffsmethode in Deutschland und man kann sich die Frage stellen, wonach ist das strafbar – welcher Tatbestand wird beim Jackpotting verwirklicht? (mehr …)
Wenn jemand eine fremde Geldkarte betrügerisch nutzt um Geld abzuheben (etwa indem er PIN und Geldkarte dem rechtmäßiger Inhaber ohne dessen Wissen entwendet hat), liegt mit ständiger Rechtsprechung des BGH ein Computerbetrug vor. Regelmäßig schwer tun sich die Gerichte weniger bei der Feststellung dieses Tatbestandes, als vielmehr bei der richtigen Feststellung, wie viele Taten vorliegen. Es ist hier nämlich üblich, dass eben nicht nur einmal abgehoben wird, sondern dass mehrmals Geld abgehoben wird – wobei Gerichte dann gerne jedes einzelne Abheben als eigene Tat werten, somit entsprechend hohe Gesamtstrafen bilden. Dies ist aber falsch. (mehr …)
