Phishing ist eine geschickte Form des Computerbetruges. Das Wort „Phishing” setzt sich aus den Wörtern „Passwort” und „Fishing” (Angeln von Kennwörtern) zusammen. Bei der am häufigsten vorkommenden Form des Phishing richten die Täter Onlinebanking-Portale ein, die den bankeigenen Portalen zum verwechseln ähnlich sehen (Visual Spoofing). Anschließend verschicken die Täter E-Mails mit einem Hyperlink, bei dessen Anklicken der User auf die gefälschte Bankwebseite gelangt. Dort wird der User aufgefordert seine Account-Informationen (PIN- und TAN-Daten) zum Beispiel wegen angeblichen Sicherheitsgründen einzugeben. Diese werden vom Täter gespeichert und dazu verwendet, das Konto des Users abzuräumen und sich selbst oder einem Dritten Gelder auf ein meistens ausländisches Konto zu überweisen.
Welche Gegenmaßnahmen gilt es zu ergreifen, wenn man Opfer von Phishing-Attacken wird?
Die Gerichte erwarten von einem verständigen, technisch durchschnittlich begabten Anwender, dass er deutliche Hinweise auf gefälschte E-Mails und Internetseiten erkennt. Das sind beispielsweise sprachliche Mängel, deutlich falsche Internet-Adressen, Adressen ohne https-Verschlüsselung, kein Schlüsselsymbol in der Statusleiste und so weiter. Außerdem erwarten die Richter, dass der User die Warnungen der Banken beachtet, PIN und TAN niemals auf telefonische Anforderung oder auf Anforderung per E-Mail herauszugeben (Landgericht Köln, Urteil vom 5. Dezember 2007, Aktenzeichen: 9 S 195/07).
Sollte man trotz Anwendung äußerster Sorgfalt auf die Masche der Phishing-Täter reinfallen, empfiehlt es sich, folgende Maßnahmen zu ergreifen:
-
Beweissicherungsmaßnahmen treffen (zum Beispiel Phishing-E-Mails speichern);
-
den Onlinezugang zum betroffenen Konto möglichst schnell sperren;
-
die nächste Polizeidienststelle über den Betrugsfall informieren und Strafanzeige erstatten.
Anwendung des deutschen Strafrechts auf Phishing-Täter im Ausland
Die Spur zu den Tätern führt meistens zu organisierten Gruppierungen, die aus dem Ausland agieren und mit den abgefangenen Kontodaten die Gelder ins Ausland transferieren. Daher ist es sehr fraglich, inwieweit die Phishing-Täter in Deutschland strafrechtlich belangt werden können. Nach dem im Strafgesetzbuch (StGB) verankerten Territorialitätsgrundsatz gilt das deutsche Strafrecht für Taten, die im Inland begangen werden. Unter dem Begehungsort ist der Ort zu verstehen, wo der Täter gehandelt hat beziehungsweise hätte handeln sollen oder der Ort, wo der Taterfolg eingetreten ist oder nach der Vorstellung des Täters hätte eintreten sollen.
Einerseits wird bei der geltenden Gesetzeslage die Anwendung des deutschen Strafrechts bei Phishing oft auf Begründungsschwierigkeiten stoßen, was unter Umständen zur Verfahrenseinstellung gemäß § 153 c Strafprozessordnungen führen kann. Andererseits kann die deutsche Strafgewalt nicht über die Grenzen hinaus erstreckt werden, ohne auf rechtspolitischen Widerstand zu stoßen. Deshalb könnte im Wege von Übereinkommen mit anderen Staaten versucht werden, das so genannte Weltrechtsprinzip (§ 6 StGB) auch im Bereich der Internetkriminalität zur Anwendung zu bringen.
Strafbarkeit des Phishing-Täters
In der gebotenen Kürze wird hier ausschließlich auf die strafrechtliche Beurteilung der Verwendung von „gephishten” Daten zu Täter begünstigenden Verfügungen eingegangen. Da der Phishing-Täter durch Verwendung unbefugter Daten das Ergebnis eines Datenverarbeitungsvorgangs vorsätzlich beeinflusst, um sich selbst zu bereichern, macht er sich nach der einhelligen Meinung wegen Computerbetrugs gemäß § 263 a StGB strafbar. Bei gewerbsmäßiger und bandenmäßiger Vorgehensweise sieht das Gesetz für Computerbetrüger Freiheitsstrafen von bis zu zehn Jahren vor. Ob sich der Phishing-Täter darüber hinaus wegen Ausspähen von Daten (§ 202 a StGB) und wegen Fälschung beweiserheblicher Daten (§§ 269, 270 StGB) strafbar macht, ist umstritten und wird von den Gerichten noch zu klären sein.
Stand: 08.04.2010
Originaltext: Verbraucherrecht Phishing
