Schlagwort: phishing

Rechtsanwalt für Phishing: Rechtsanwalt Ferner Alsdorf, Aachen, Fachanwalt für IT-Recht, zu Phishing und Pharming. Phishing ist eine Form des Internetbetrugs, bei der Betrüger versuchen, durch gefälschte E-Mails, Websites oder andere Kommunikationsmittel an vertrauliche Informationen wie Passwörter, Kontonummern oder Kreditkartendaten zu gelangen. Ziel ist es, diese Informationen zu stehlen und für kriminelle Zwecke wie Geld- oder Identitätsdiebstahl zu missbrauchen. Phishing ist derzeit eine der häufigsten Formen der Cyberkriminalität.

Rund um das Phishing finden Sie hier Beiträge. Rechtsanwalt Jens Ferner, Strafverteidiger und Fachanwalt für IT-Recht, bietet strafrechtliches Wissen und Strafverteidigung rund um das Phishing.

Kontrollverlust, Authentifizierungslücke: Vodafone und das (bislang) wohl teuerste DSGVO-Bußgeld Deutschlands
Wer morgens sein Smartphone entsperrt und feststellt, dass die SIM-Karte kein Netz mehr hat, ahnt zunächst einen Funkmastausfall. Was hinter solchen Ausfällen stecken kann, ist weit bedrohlicher: Ein Angreifer hat die eigene Mobilfunkidentität übernommen, empfängt nun alle SMS – einschließlich der TANs für das Onlinebanking. Genau dieses Szenario stand im Mittelpunkt des größten DSGVO-Bußgeldbescheids, den eine deutsche Datenschutzbehörde je erlassen hat.
Die Bundesbeauftragte für den Datenschutz verhängte am 3. Juni 2025 zwei Bußgelder gegen die Vodafone GmbH in Höhe von zusammen 45 Millionen Euro. Die Bescheide sind bestandskräftig; Vodafone hat beide akzeptiert und den Betrag bereits vollständig an die Bundeskasse gezahlt. Das vorherige Rekordbußgeld einer deutschen Aufsichtsbehörde hatte bei 35,3 Millionen Euro gelegen.
(mehr …)
11. Juni 2026
Phishing-Anruf, Echtzeit-Überweisung: Wer für den geleerten Kontostand einsteht
Ein gefälschter Anruf an einem Samstagnachmittag, ein paar Tastendrücke am TAN-Generator – und gut 39.000 Euro sind weg. Für den betroffenen Handwerker, dessen Frau dem vermeintlichen Bankmitarbeiter vertraute, beginnt damit nicht nur der finanzielle Schaden, sondern auch ein zäher Streit darüber, wer ihn am Ende trägt. Der Bundesgerichtshof hat diese Frage in seinem Urteil vom 3. März 2026 (XI ZR 20/24, Vorinstanz OLG Naumburg) zu Lasten des Bankkunden entschieden und dabei zugleich geklärt, welche technischen Anforderungen an eine starke Kundenauthentifizierung beim chipTAN-Verfahren zu stellen sind und dabei klargestellt:
Eine starke Kundenauthentifizierung im Sinne von § 675v Abs. 4 Satz 1 Nr. 1 BGB erfordert im manuellen chipTAN-Verfahren nicht die Angabe des Namens des Zahlungsempfängers im Display des TAN-Generators.
(mehr …)
6. Juni 2026
Digitale Beweismittel
Digitale Beweismittel sind im modernen Strafprozess der Regelfall. Dazu zählen unter anderem Chatverläufe, Smartphone-Daten, Cloud-Logs und Fahrzeugdaten aus der „Blackbox“ von Pkws. Digitale Beweise entscheiden heute über den Ausgang von Strafverfahren im allgemeinen Strafrecht ebenso wie im Wirtschafts- und Cybercrime-Bereich. Im Folgenden zeige ich, was darunter zu verstehen ist, wie ihr Beweiswert im Strafprozess zu beurteilen ist und welche forensischen Mindeststandards aus Sicht der Strafverteidigung gelten müssen. Der Schwerpunkt liegt auf der praktischen Arbeit mit digitalen Beweismitteln – von der IT-Forensik über Screenshots und E-Mails bis hin zur Car-Forensik und der seit 2026 anwendbaren E-Evidence-Verordnung der EU.
Ich widme einen wesentlichen Teil meines Alltags technischen und rechtlichen Fragen von IT-Forensik und digitalen Beweismitteln: Ich halte seit Jahren Fortbildungen und publiziere zum Thema digitale Beweismittel, so in:
Kommentierung zur Car-Forensik – Ferner, in: BeckOK StPO, § 2 TTDSG Rn. 18.1 ff.
„Transparenz als rechtsstaatlicher Grundsatz digitaler Beweismittel“ in: „Überzeugung und Zweifel“, Festschrift für Ralf Neuhaus, 2025
Digitale Beweismittel in der Ermittler-Praxis – Die Polizei, 5/2025, S. 159-164
Strafprozessuale Verwertung biometrischer Daten zur Beweiserhebung – jurisPR-StrafR 15/2025
Verwertbarkeit von ANOM-Messengerdaten in Strafverfahren – jurisPR-ITR 16/2024
DNA im Strafprozess – jurisPR-StrafR 20/2023 Anm. 1
IT-Forensik, rechtliche Grundlagen – AnwZert ITR 13/2023 Anm. 3
IT-Sachverständige im Strafverfahren – AnwZert ITR 16/2023 Anm. 2
Den Beitrag aktualisiere ich fortlaufend, zuletzt im Juni 2026.
(mehr …)
4. Juni 2026
Cyberangriff auf Unternehmen
Was in den ersten Stunden nach einem Cyberangriff über Schaden und Haftung entscheidet
Am Stuttgarter Staatstheater stand Anfang 2026 plötzlich ein Mann am Telefon, den niemand bestellt hatte: ein Verhandler, der zwischen einem öffentlichen Kulturbetrieb und einer Erpressergruppe vermitteln sollte. Die ZEIT hat den Fall im Januar nachgezeichnet – verschlüsselte Systeme, eine Lösegeldforderung in Kryptowährung, ein Prozess vor dem Landgericht, und am Ende die nüchterne Erkenntnis, dass die Täter sich verhalten wie scheue Wildtiere, die beim kleinsten Fehler verschwinden. Was sich liest wie ein Krimi, ist für die deutsche Wirtschaft längst Alltag. Und es trifft nicht mehr nur die Konzerne, sondern mit voller Wucht den Mittelstand.
Der Bitkom beziffert den jährlichen Schaden durch Datendiebstahl, Spionage und Sabotage für 2025 auf 289,2 Milliarden Euro, davon über 200 Milliarden allein durch Cyberattacken. 87 Prozent der Unternehmen waren betroffen. Das Bundesamt für Sicherheit in der Informationstechnik registrierte zuletzt täglich 119 neue Schwachstellen – ein Zuwachs von fast einem Viertel binnen eines Jahres. Wer in dieser Lage glaubt, ein gut gemeinter Notfallplan im Aktenordner reiche aus, hat die eigentliche Dynamik eines Angriffs nicht verstanden.
Ich selbst habe umfangreich fachlich zu dem Thema publiziert: zur Haftung der Geschäftsleitung, Haftungsverteilung im Schadensfall beim CEO-Fraud, dem Recht der Cyberversicherungen – aber auch zu Erscheinungsformen modernen Cybercrimes.
(mehr …)
1. Juni 2026
Gefälschte IBAN, echter Verlust: Haftung bei gefälschter Rechnung per Mail
Ein 76-jähriger Rentner überweist gut 109.000 Euro für 42 Goldbarren – und das Geld landet bei Kriminellen, weil eine abgefangene E-Mail eine fremde Kontonummer trug. Wer in der Erwartung lebt, mit der Überweisung sei seine Pflicht erledigt, erlebt in solchen Fällen ein böses Erwachen: Das Geld ist weg, der Verkäufer fordert weiter, und niemand möchte den Schaden tragen. Genau diese Konstellation hatte das Landgericht Karlsruhe mit Urteil vom 20. Mai 2026 (Az. 8 O 266/25) zu entscheiden – und es entschied konsequent zu Lasten des Zahlenden.
Ich habe mich der Thematik, speziell der Problematik der Erfüllungswirkung beim CEO Fraud unter anderem in meinen Veröffntlichungen in Ferner, jurisPR-ITR 5/2026 Anm. 6 und Ferner, jurisPR-ITR 2/2025 Anm. 6 gewidmet.
(mehr …)
30. Mai 2026
Phishing per pushTAN: OLG Düsseldorf zu Autorisierung und grober Fahrlässigkeit im Onlinebanking
Mit Hinweisbeschluss vom 23. Februar 2026 (14 U 37/25) hat der 14. Zivilsenat des Oberlandesgerichts Düsseldorf die beabsichtigte Zurückweisung der Berufung einer Bankkundin angekündigt, die von ihrer Sparkasse die Erstattung einer durch Telefonbetrug erlangten Überweisung in Höhe von 14.000 Euro begehrt hatte. Die Entscheidung verzahnt zwei zentrale Linien der Onlinebanking-Rechtsprechung: die Bestimmung der Reichweite einer „Autorisierung“ nach § 675j BGB bei täuschungsbedingten pushTAN-Freigaben und die Konturierung grober Fahrlässigkeit bei Opfern moderner Social-Engineering-Angriffe.
(mehr …)
19. Mai 2026
Cybercrime Bundeslagebild 2025: Deutschland im Stresstest
Der Cybercrime-Befund für Deutschland fällt 2025 ernüchternd aus: Die Fallzahlen bleiben hoch, die Professionalisierung der Täter nimmt weiter zu, und mit der breiten Nutzung von KI verschiebt sich die Bedrohungslage qualitativ wie quantitativ. Gleichzeitig wächst der Erwartungsdruck auf Politik und Sicherheitsbehörden, mit neuen Befugnissen die Lücke zwischen Angriffs- und Verteidigungsfähigkeit zu schließen. Im Gesamtbild aller verfügbaren Informationen zeigt sich die wahre Gefährdungslage – und warum der Gesetzgeber ganz aktuell versucht, eine Vielzahl neuer Cybercrime-Gesetze durchzubringen.
(mehr …)
14. Mai 2026
KI und Cybersicherheit
Im Frühjahr 2026 hat sich im Verhältnis von Künstlicher Intelligenz und IT-Sicherheit etwas verschoben, das über den üblichen Takt technischer Innovation hinausgeht. Anthropic stellte mit „Claude Mythos Preview“ ein Modell vor, das in OpenBSD eine 27 Jahre alte Schwachstelle aufspürte, in FFmpeg eine seit 16 Jahren schlummernde Lücke fand und insgesamt Tausende Schwachstellen in Betriebssystemen und Browsern identifizierte.
Das Modell wird nicht öffentlich angeboten, sondern nur rund vierzig Unternehmen – darunter Apple, Amazon, Microsoft, Cisco, Crowdstrike und Palo Alto Networks – im Rahmen von „Project Glasswing“ zugänglich gemacht. US-Finanzminister Scott Bessent und Notenbankchef Jerome Powell beriefen eine Dringlichkeitssitzung mit den Chefs der systemrelevanten Wall-Street-Banken ein, das BSI spricht von einer „Verschiebung der Angriffsvektoren“ und einem „Paradigmenwechsel“ in der Cyberbedrohungslage.
Der IWF hat wenige Tage später, am 7. Mai 2026, in einem Blogbeitrag festgehalten, dass KI-getriebene Cyberrisiken zu einem makro-finanziellen Schock eskalieren können, wenn Entdeckung und Ausnutzung von Schwachstellen in Maschinentempo parallel in vielen Instituten erfolgen.
Für den juristischen Beobachter ist das keine schlichte Randnotiz der Technikgeschichte: Der europäische Regulierungsrahmen für KI und Cybersicherheit wird nun an einer Realität gemessen, die schneller ist als der Gesetzgebungsprozess.
(mehr …)
10. Mai 2026
Cyberfähigkeiten von Israel und Iran
Die Cyberfähigkeiten Israels und Irans haben sich über zwei Jahrzehnte in einer Art stillen Rüstungswettlauf entwickelt. Beide Staaten betrachten den digitalen Raum längst nicht mehr nur als Nebenbühne militärischer oder politischer Auseinandersetzungen, sondern als eigenständiges Operationsfeld mit unmittelbarem Einfluss auf nationale Sicherheit, wirtschaftliche Stabilität und geopolitische Handlungsfreiheit. Dabei spiegelt der Cyberkonflikt zentrale Merkmale ihrer Rivalität wider: hohe wechselseitige Bedrohungswahrnehmung, asymmetrische Taktiken und eine bewusste Nutzung von Ambiguität und Deniability.
Hinweis: In meiner fachlichen Publikation „Cyberwar, Hackbacks und Desinformation – Juristische und technische Implikationen unklarer Begriffe“, erschienen bei Juris im AnwZert ITR 3/2025, gehe ich aus juristischer Sicht den Fragen rund um Cyberwar auf den Grund. Der Beitrag wurde zuletzt im März 2026 aktualisiert.
(mehr …)
7. März 2026
Irans Cyberfähigkeiten und Hacker
In den letzten Jahren hat der Iran seine Cyberfähigkeiten erheblich ausgebaut und nutzt diese aggressiv gegen westliche Staaten. Diese Maßnahmen umfassen eine Vielzahl von Angriffen, die von Datendiebstahl bis hin zu destruktiven Cyberangriffen reichen. Die iranische Cyberstrategie spiegelt die allgemeine asymmetrische Kriegsführung des Landes wider und zeigt, wie Teheran seine begrenzten Ressourcen einsetzt, um erhebliche Auswirkungen zu erzielen.
Der Beitrag aus dem Februar 2024 wurde im März 2026 aktualisiert. Berücksichtigt wurde neue Entwicklungen und natürlich der IRAN-Krieg.
(mehr …)
7. März 2026
Digitaler Selbstschutz im Alltag
Stiftung Warentest hat in vergangenen Jahren in mehreren Tests untersucht, wie gut sich Verbraucher gegen digitale Risiken wappnen können – von Cyberversicherungen über Antivirenprogramme bis hin zu Passwortmanagern und Zwei-Faktor-Apps. Das Bild ist klar: Wer sich klug aufstellt, braucht weder Panik noch High-End-Technik, sondern vor allem informierte Entscheidungen bei ein paar zentralen Bausteinen der eigenen Sicherheitsarchitektur.
(mehr …)
28. Februar 2026
Wirtschaftsspionage und die Wirtschaft: Aufgaben für das Management
Die Wirtschaft steckt mitten in einer digitalen Umbruchphase. Wertvolle Informationen liegen heute nicht mehr in verschlossenen Archiven, sondern in vernetzten Systemen, auf mobilen Endgeräten und in der Cloud. Wer hier Daten verliert, verliert nicht nur Know-how, sondern oft auch Marktposition und Verhandlungsmacht. Wirtschaftsspionage – ob man sie klassisch oder als „eSpionage“ bezeichnet – ist damit kein fernes Szenario mehr, sondern ein sehr konkretes Risiko für jedes Unternehmen, das mit sensiblen Informationen arbeitet.
Die moderne Wirtschaftsspionage ist dabei längst nicht mehr ausschließlich das Werk konkurrierender Unternehmen. Immer häufiger sind staatliche Akteure involviert, die gezielt Informationen aus Unternehmen abziehen – sei es, um die eigene Wirtschaft zu stärken oder geopolitische Ziele zu verfolgen. In diesem Kontext verschwimmen die Grenzen zwischen Wirtschaftsspionage, Cyberwar und staatlich gesteuerten Hackerangriffen.
(mehr …)
21. Februar 2026
Computerbetrug, § 263a StGB – Strafbarkeit wegen Computerbetrug
Computerbetrug (§ 263a StGB): Der Computerbetrug nach § 263a StGB ist bis heute eine der im Alltag am meisten missverstandenen Normen des StGB – gerade im Umfeld von Online‑Banking, Phishing‑Angriffen, manipulierten Zahlungsprozessen und KI‑gestützten Social‑Engineering‑Angriffen.
Dies nicht nur von Laien, auch und gerade bei der Polizei werden nach meiner Erfahrung gerne Ermittlungen wegen Computerbetruges geführt, die bestenfalls ein „normaler“ Betrug sind, denn: Häufig wird vorschnell „Computerbetrug“ angenommen, sobald irgendwie IT‑Hardware oder das Internet beteiligt ist; tatsächlich greift § 263a StGB aber nur, wenn der Datenverarbeitungsvorgang selbst und nicht das Vorstellungsbild einer natürlichen Person im Zentrum der Tat steht.
Ihnen wird Computerbetrug (§ 263a StGB) vorgeworfen oder Sie haben eine Vorladung wegen Computerbetrugs erhalten? In meiner Kanzlei verteidige ich seit vielen Jahren Mandanten bei Vorwürfen rund um Online‑Banking, Phishing, manipulierte Zahlungsprozesse und andere Formen des Computerbetrugs. Ich bin spezialisiert auf strafrechtliche und prozessuale Fragen der Cyberkriminalität samt digitaler Beweismittel – und biete damit ganz besondere Orientierung in solchen Strafverfahren.
(mehr …)
21. Februar 2026
Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis
Ein aktueller Fall an einem deutschen Gymnasium ist erschütternd, aber er ist kein Einzelfall: Zwei Lehrer missbrauchten über mehr als ein Jahrzehnt Schülerinnen sexuell, und an der Schule schritt niemand ein – obwohl es Gerüchte gab, obwohl Kolleginnen offenbar Verdacht hegten, obwohl eine Lehrerin nach der Verhaftung erleichtert sagte: „Gott sei Dank ist das endlich aus.“ Der Vorsitzende Richter brachte es auf den Punkt, als er eine aktuelle Studie der Aufarbeitungskommission des Bundes zitierte: Lehrer, die von Missbrauch wussten, hätten die Kollegialität vor den Schutz der Kinder gestellt, Übergriffe ignoriert oder vertuscht, um den Ruf der Schule zu schützen. Der Schulleiter reagierte auf einen konkreten Hinweis einer Betroffenen mit Desinteresse.
Wer sich mit Compliance-Management in Unternehmen auskennt, erkennt in diesem Versagen sofort strukturelle Parallelen. Es sind dieselben Mechanismen, die auch in Wirtschaftsskandalen immer wieder auftreten: eine Kultur des Wegsehens, fehlende Meldekanäle, Loyalität gegenüber Kollegen statt gegenüber den Schutzbedürftigen, und eine Leitung, die Probleme nicht wahrhaben will. Der Unterschied: In der Wirtschaft hat man in den letzten zwanzig Jahren ein ausdifferenziertes Instrumentarium entwickelt, um genau diese Mechanismen zu durchbrechen. Schulen stehen hier noch am Anfang.
Mein Beitrag hier plädiert dafür, die bewährten Grundsätze aus Compliance, Whistleblower-Schutz und Internal Investigations auf den schulischen Kontext zu übertragen – nicht als bürokratisches Pflichtprogramm, sondern als gelebte Haltung, die den Schutz von Kindern in den Mittelpunkt stellt. Ich schreibe dabei aus der Praxis, mit Erfahrung aus der Verteidigung zahlreicher Missbrauchsfälle, in denen ich seit über einem Jahrzehnt die immer gleichen Fehler in Institutionen sehe. Dabei sind selbst aktuelle Schutzkonzepte (siehe nur hier und hier) mit dem Blick eines Praktikers eher Kontrapdoduktiv – sie kranken daran, offensichtlich aus dem Elfenbeinturm nicht-betroffener heraus entwickelt worden zu sein und sind teilweise sogar kontraproduktiv, da sie typische Rechtfertigungsmuster von Tätern nicht nur ausblenden, sondern verstärken. Ohne schmerzhafte Selbsterkenntnis wird das aber nichts.
(mehr …)
15. Februar 2026
Desinformation: Gefahr von Fake News für Unternehmen
Wer ein Unternehmen führt, muss Desinformation oder Fake News inzwischen als eigenständige Risikokategorie begreifen, wie auch das Handelsblatt titelt: Binnen weniger Stunden kann heute ein anonymer Post Milliardenwerte vernichten – verstärkt durch synthetische Inhalte, die selbst Profis kaum noch von echten Aussagen unterscheiden können. Was früher nach Randphänomen aus Wahlkampagnen klang, trifft inzwischen DAX‑Konzerne, Mittelständler und Hidden Champions gleichermaßen: Desinformation ist vom Kommunikationsrisiko zum marktrelevanten Störfaktor geworden.
Was lange wie ein Randphänomen aus der politischen Sphäre wirkte, entwickelt sich damit – neben dem gesellschaftlichen Sprengstoff insgesamt – zu einem milliardenschweren Geschäftsrisiko; befeuert durch leicht verfügbare KI-Werkzeuge, skalierbare Kampagneninfrastruktur und eine Medienökonomie, die Aufmerksamkeit belohnt, nicht Wahrheit. Parallel verschärft sich der regulatorische Rahmen: Mit dem EU‑KI‑Gesetz und dem Digital Services Act geraten Unternehmen zunehmend in die Pflicht, nicht nur ihre eigenen Systeme, sondern auch die Informationsumgebung rund um Produkte und Geschäftsmodelle im Blick zu behalten – Fehler können schnell einer Frage Frage von Compliance und persönlicher Haftung werden.
Ich beschäftige mich hier im Blog seit Jahren mit dem Thema Desinformation, wobei ich dies in den Kontext von Cyberkriminalität packe. Wichtig ist mir das Herausarbeiten, dass Desinformation nicht irgendein Randbereich ist, der irgendwie die Politik betrifft, sondern dass es um ein konkret eingesetztes Instrument geht, um Gesellschaft und Wirtschaft negativ zu stören. Beachten Sie dazu auch meine bisherigen Publikationen in AnwZert ITR 3/2025 Anm. 2 und AnwZert ITR 22/2025 Anm. 2. Mein Faible für Kommunikationspsychologie ist, neben meiner Arbeit zum strategischen Denken, mit der Grund, warum ich das Thema immer wieder aufgreife. Im Rahmen meiner Lehraufträge vermittle ich Studenten den Umgang mit diesen modernen Themen, die nur scheinbar fernab klassischer Compliance liegen. Der Beitrag wurde im Februar 2026 aktualisiert mit Blick auf eine Veröffentlichung im Harvard Business Manager.
(mehr …)
2. Februar 2026