Wolfgang Bär

Astrid Brandt, Zur Strafbarkeit des Phishing


Astrid Brandt, Zur Strafbarkeit des Phishing. Gesetzgebung vs. Technologie, Hamburg (Verlag Dr. Kovac) 2010, ISBN 978-3-8300-4828-2, € 88,-

MMR-Aktuell 2010, 304997  Wie einer aktuellen Mitteilung des BKA zu entnehmen ist, sind im Jahr 2009 die gemeldeten Phishing-Fälle im Online-Banking um 64% auf 2.923 angestiegen, wobei die durchschnittliche Schadenssumme bei etwa € 4.000,- pro Fall lag. Das Phishing als Methode zur Erlangung vertraulicher Daten im Internet, das erst mit der Schaffung und dem Ausbau der weltweiten Datennetze entstanden ist, ist damit weiterhin von großer praktischer Relevanz. Gleichwohl ist die Erfassung dieser neuen Begehungsweise durch das geltende Strafrecht nach wie vor im Einzelnen umstritten. Vor diesem Hintergrund untersucht die vorliegende, in drei Kapitel gegliederte, an der Universität Kiel von Prof. Dr. Hoyer betreute Dissertation, ob das Phishing bereits durch das geltende Strafrecht erfasst wird oder ob hierfür ein neuer Straftatbestand geschaffen werden muss.

Dazu werden in einem ersten eher technischen Kapitel (S. 1–28) zunächst der Begriff des Phishing und dessen gewöhnlicher Ablauf von der Versendung der Phishing-E-Mail bis hin zur Verwendung der „gephishten“ persönlichen Informationen näher erläutert, um diese Tathandlungen von anderen Formen des Identitätsdiebstahls wie Pharming, Keylogging oder Hacking abzugrenzen. In diesem Zusammenhang werden die Verfahren des Online-Banking und deren Sicherheitsmaßnahmen – aber auch Schwachstellen – im Bezug auf deutsche Banken aufgezeigt und diese den amerikanischen Banken gegenübergestellt. 

Den eigentlichen Schwerpunkt des Werkes bilden im Kapitel 2 (S. 29–214) die rechtlichen Prüfungen zur Strafbarkeit der Phisher (Abschnitt A) und der Finanzagenten (Abschnitt B) im Bezug auf die einzelnen Phasen eines Phishing-Angriffs. Für die besonders umstrittene Versendung der Phishing-Mail (Teil I) kommt Astrid Brandt für das erfolgreiche Phishing zum Ergebnis, dass weder ein vollendeter noch ein versuchter Betrug nach § 263 StGB und auch keine strafbare Vorbereitung eines Computerbetrugs (§ 263a Abs. 3 StGB) vorliegen. Ebenso wird auch ein Ausspähen von Daten (§ 202a StGB), ein Abfangen von Daten (§ 202b StGB), aber auch eine Fälschung beweiserheblicher Daten (§ 269 StGB) wegen Fehlens einer dauerhaften Verkörperung und einer Erkennbarkeit des Ausstellers verneint. Der Phisher macht sich nach Auffassung der Autorin aber durch das Versenden der E-Mail gem. § 202c Abs. 1 Nr. 1 StGB strafbar, da es sich bei PIN und TAN um Passwörter oder sonstige Sicherungscodes handelt, durch die sich der Täter den Zugang zu Daten ermöglichen will und die er sich mit dem Versenden der E-Mail verschafft. Ebenso erfüllt das erfolgreiche Phishing §§ 43, 44 BDSG und §§ 143 Abs. 1 Nr. 1, 4 Abs. 2 i.V.m. 14 Abs. 2, 15 Abs. 2 MarkenG. Reagiert das Opfer demgegenüber auf die Phishing-Mail nicht, scheidet auch § 202c StGB aus. Für die Erstellung einer gefälschten Internetseite (Teil II) sieht die Brandt § 269 StGB nicht als erfüllt an, weil es an einer dauerhaften Verkörperung der Webseite fehlt, da diese nur für kurze Zeit online gestellt und gespeichert wird. In Betracht kommt daher hier nur eine Strafbarkeit wegen einer Kennzeichenverletzung, soweit auf der gefälschten Webseite ein geschütztes Design verwendet wird. Im Gegensatz dazu erfüllt der letzte Schritt beim Phishing, die Verwendung der erlangten Informationen (Teil III), bei einer selbstbegünstigenden Online-Überweisung den Tatbestand des Computerbetrugs (§ 263a Abs. 1 3. Alt. StGB) ebenso wie des Ausspähens von Daten i.S.d. § 202a StGB, weil mit PIN und TAN Einblick in das Online-Konto des geschädigten Bankkunden genommen wird. Hinsichtlich der Anwerbung von Finanzagenten durch den Phisher (Teil IV) wird eine Strafbarkeit wegen Betrugs bejaht. Der Finanzagent selbst (Abschnitt B) macht sich wegen leichtfertiger Geldwäsche und unerlaubter Erbringung von Finanzdienstleistungen nach §§ 54 Abs. 1 Nr. 2, 32 Abs. 1, 1 Abs. 1 KWG strafbar. Nachdem die Täter beim Phishing regelmäßig vom Ausland aus agieren, setzt sich die Autorin im letzten Abschnitt C (S. 192–214) mit der Anwendbarkeit deutschen Strafrechts auseinander. Dabei wird mit § 9 StGB bei den §§ 263, 263a und 269 StGB unproblematisch ein Erfolgsort im Inland bejaht, was aber im Blick auf § 202c StGB nicht der Fall ist. Im letzten Teil der Dissertation vergleicht Brandt schließlich die deutschen Regelungen mit dem US-amerikanischen Bundesstrafrecht.

Insgesamt gesehen bietet die vorliegende Dissertation damit einen aktuellen Überblick über die noch immer bestehenden Streitfragen zur Erfassung des Phishing in allen seinen Phasen durch das geltende Strafrecht. Sie ist daher allen im Strafrecht tätigen Juristen zu empfehlen, die sich mit dieser Spezialfrage zu befassen haben. Da nach Ansicht der Autorin das Phänomen des Phishing allein durch bessere technische Sicherheitsverfahren beim Online-Banking und durch die Entwicklung neuer Identifikationsmöglichkeiten bei der Online-Kommunikation nicht bewältigt werden kann, fordert sie letztlich im Hinblick auf die dargestellten offenen Rechtsfragen einen eigenen Straftatbestand, der nicht nur die Probleme des Phishing, sondern auch sämtliche Formen des Identitätsdiebstahls im Internet erfassen und damit lösen sollte.

 

RiOLG Dr. Wolfgang Bär, Bindlach