IT-Straftaten 5 |
|
 |
Schutz des Rechtsverkehrs |
|
Zusammenfassung
IT-Strafrecht
IT-Strafrecht im engeren Sinne
Computersabotage
persönlicher Lebens- und Geheimbereich
strafbare Vorbereitungshandlungen
Schutz des Rechtsverkehrs
IT-Strafrecht im weiteren Sinne
Nebenstrafrecht
Inhaltsdelikte
Anlagenschutz
|
Computerbetrug
Urkunden. Dateien mit Beweiswert
Fälschung beweiserheblicher Daten
"Nachladen" von Guthabenkarten
Phishing-Mails
Phishing-Sites
Identitätsdiebstahl
Absender. E-Mail-Header
besondere Fälle
Abgrenzungen
|
Im
Zusammenhang mit dem Schutz des Rechtsverkehrs konzentriert sich das IT-Strafrecht
im engeren Sinne auf das Vermögen und auf Daten mit Urkundscharakter.
|
 |
Computerbetrug |
|
Der
Computerbetrug ( §
263a StGB) ist dem Betrug (
§ 263 StGB) nachgebildet, nur dass anstelle eines Menschen, der
getäuscht wird, einem Irrtum erliegt und schließlich eine nachteilige
Vermögensverfügung trifft, eine Maschine, also ein
Datenverarbeitungsvorgang gesetzt wird. Die "Täuschungs"handlungen
bestimmt das Gesetz so:
1) unrichtige Gestaltung des Programms,
2) Verwendung unrichtiger oder unvollständiger Daten,
3) unbefugte Verwendung von Daten oder
4) sonst durch unbefugte Einwirkung auf den Ablauf. |
1) richtet sich gegen den Programmierer, der Hintertüren oder automatische
Routinen in sein Programm einbaut, um es später beim Einsatz beim Kunden
in der Weise zu missbrauchen, dass ihm Vermögenswerte zufließen, auf die
er keinen Anspruch hat.
"Vermögen" ist alles, was einen wirtschaftlichen Wert hat. Es kann
sich also nicht nur um materielles und um Buchgeld handeln, sondern auch
um Waren oder um Dienstleistungen, die ansonsten nicht unentgeltlich in
Anspruch genommen werden können.
Ein
bekannter Anwendungsfall für 2) ist der Missbrauch von Sicherheitslücken
und von Programmfehlern durch die Eingabe der "richtigen" Steuerungsbefehle,
die die vorgesehene Funktionalität überrumpeln. |
 |
|
|
Der
Missbrauch ausgeforschter Kontodaten (
Phishing,
Skimming) ist der wichtigste aktuelle Anwendungsfall von
3). Geschützt
ist aber jeder Datenverarbeitsvorgang mit vermögensrechtlichen
Auswirkungen, wenn fremde Konto- und Zugangsdaten verwendet werden, um
z.B. Sachleistungen (Treibstoff, Waren) oder Dienstleistungen (Telekommunikation,
Mehrwertdienste) gegen eine Identifikation des Anwenders abzurufen.
Nicht einschlägig sind hingegen anonyme Zugangs- und Bezahlsysteme,
die zwar nach einer Kontodeckung, nicht aber nach einer Identifikation
des Anwenders verlangen. Das ist zum Beispiel bei der Pre-Paid-Karte (Geldkarte
auf Guthabenbasis) der Fall, weil es dabei nicht darauf ankommt, wer die
Karte einsetzt, sondern nur darauf, welches Guthaben auf ihrem Chip
gespeichert ist.
|
4) behandelt schließlich die äußerliche Manipulation eines
Datenverarbeitungsvorganges. Das können mechanische Einwirkungen ebenso
gut sein wie technische Vorrichtungen (Magnete, zusätzliche Markierungen
auf Chipkarten, Licht oder andere elektromagnetische Quellen, um den
Verarbeitungsvorgang zu stören) sowie Geräte und eingespeiste
Programmdaten, die den Datenverarbeitungsvorgang stören, indem sie ihn
im Zielgerät verändern.
04.09.2008: Darüber hinaus enthält
§
263a Abs. 3 StGB eine
vorverlagerte Strafbarkeit wegen Computerprogramme, deren Zweck der
Computerbetrug ist. Die Tat ist mit Freiheitsstrafe bis zu 3 Jahren
bedroht. Sie betrifft das Herstellen, Verschaffen, Feilhalten, Verwahren
oder Überlassen solcher Programme im Stadium der
sonst
straflosen Vorbereitungshandlung (siehe
vorverlagertes Hackerstrafrecht).
|
 |
Urkunden. Dateien mit Beweiswert |
|
Mit dem
Straftatbestand der Urkundenfälschung ( § 267 StGB)
soll die personelle Zuordnung einer Erklärung (Inhalt des Schriftstücks)
zu einer konkreten Person (Aussteller) gewährleistet werden. Es kommt
dabei also nicht darauf, ob die Erklärung inhaltlich richtig ist, sondern
darauf, dass der Aussteller die in der Urkunde wiedergegebene Erklärung
abgegeben hat.
Wenn der Erklärungsinhalt falsch ist, handelt es sich um eine im
deutschen Strafrecht straflose
schriftliche Lüge (nicht so in der Schweiz!).
Der
Urkundenfälschung nachgebildet ist der Straftatbestand der
Fälschung
beweiserheblicher Daten ( §
269 StGB).
Wichtig für ihn ist, dass die betreffenden elektronischen Daten im
Rechtsverkehr zu Beweiszwecken verwendet werden sollen.
Anders als der Betrug verlangt § 269 StGB nicht, dass durch die
Täuschung ein Vermögensvorteil erstrebt wird.
|
Rechtsverkehr ist
ein sehr weiter Begriff und
(Rechtsverkehr)
beschränkt ihn zu sehr auf zivilrechtliche Rechtsgeschäfte (Verträge,
Abrechnungen). Allgemeiner gesagt ist eine Erklärung im Rechtsverkehr
jede Dokumentation und Äußerung, die auf Rechtsverhältnisse und ihren
daraus abgeleiteten Rechten und Pflichten Einfluss hat. Es kann sich dabei
auch um verwaltungs-, sozialrechtliche oder andere Rechtsgebiete handeln.
Ein Beweis ist
eine menschliche Bekundung (Personenbeweis, Zeuge, Sachverständiger)
oder ein Gegenstand, die aus sich heraus, in ihrem Zusammenspiel oder
aufgrund einer Konvention eine Tatsache begründen. "Konvention" betrifft
mit meinen Worten
das Verfahren der Tatsachenbegründung. Sie kann auf Regeln aus dem
Verfahrensrecht (zulässige Beweismittel), auf einer Vereinbarung (Heizkostenabrechnung),
auf wissenschaftlichen Erkenntnissen (Sachverständiger) oder auch auf
Erfahrungswissen beruhen (Allgemeinerfahrungen, kriminalistische
Erfahrungen und gerichtsbekannte Tatsachen). Siehe auch
Verdacht.
|
 |
Fälschung beweiserheblicher Daten |
|
§ 269 StGB kennt zwei
Tathandlungen der Datenmanipulation, nämlich das Speichern und das
Verändern, wodurch sowohl die Manipulation stationärer Daten, die
bereits gespeichert sind, der Verarbeitungsvorgang, bei dem Daten
schließlich gespeichert werden, als auch an den Daten umfasst ist, die
nach ihrer Veränderung an eine andere Stelle übermittelt werden.
Bei der Anwendung der Strafvorschrift ist deshalb zu prüfen, ob die
verfälschten Daten
a) |
Einfluss auf eine Rechtsbeziehung haben, aus der mindestens bei
einem Beteiligten Rechte oder Pflichten berührt werden,
|
b) |
sich auf einen konkreten Aussteller beziehen, der mithilfe der Daten
seine Rechtsbeziehungen gestaltet, und
|
c) |
in einer Rechtsbeziehung Beweis für eine Tatsache erbringen
sollen.
|
|
Mindestens vier wichtige Anwendungsfälle sind von der Rechtspraxis als
strafbare Fälschung beweiserheblicher Daten anerkannt worden:
1. |
Manipulation des Guthabens auf einer
Guthabenkarte
|
2. |
nachgemachte E-Mails, die zum Beispiel den Anschein erwecken,
von einer Bank zu stammen (
Phishing)
|
3. |
nachgemachte Websites, die ebenfalls den Anschein vermitteln
sollen, sie würden von einer Bank oder einem anderen Anbieter
stammen (
Phishing,
Pharming,
Pharming [Meldung])
|
4. |
Auftreten unter fremdem Namen (Identitätsdiebstahl)
|
|
 |
"Nachladen" von Guthabenkarten |
|
Zum unberechtigtem
Nachladen von
Guthabenkarten hat der Bundesgerichtshof deutliche Worte gefunden
und diese Art der Manipulation als Fälschung beweiserheblicher Daten
anerkannt (
siehe rechts). Mit der "nachgefüllten" Guthabenkarte wird der
Automatik, die die Karte ausliest, um die Berechtigung für eine
Gegenleistung zu prüfen, über den auf der Karte verkörperten Wert "getäuscht".
Das funktioniert aber nur, wenn der Aussteller der Geldkarte ein anderer
ist als der Inhaber oder Manipulateur. Denn der Chip auf der Karte soll
die Erklärung des Austellers (= Bank, Tankstellenunternehmen,
Zugangsprovider) ersetzen, dass er, der Aussteller, der Karte einen
bestimmten Wert zumisst (der gespeicherte Geldbetrag) und der Akzeptant
auf diese Erklärung vertraut.
|
BGH,
Beschluss vom 13.05.2003 - 3 StR 128/03:
Wer eine abtelefonierte Telefonkarte unberechtigt wieder auflädt, macht
sich gemäß
§ 269 Abs. 1 StGB strafbar (...). Der Gesetzgeber hat § 269
Abs. 1 StGB den Tatbestandsvarianten der Urkundenfälschung ( § 267 Abs. 1 StGB) so weit nachgebildet, wie es ihm unter Beachtung der
Besonderheiten der elektronischen Datenverarbeitung möglich erschien
(...). Die Speicherung oder Veränderung beweiserheblicher Daten zur
Täuschung im Rechtsverkehr ist danach nur strafbar, wenn bei Wahrnehmung
der manipulierten Daten eine unechte oder verfälschte Urkunde vorliegen
würde. Gleiches gilt für den täuschenden Gebrauch derartiger Daten.
|
 |
Phishing-Mails und -Sites. Identitätsdiebstahl |
|
Im
Zusammenhang mit dem
Phishing sind zunächst E-Mails aufgetaucht, die den Eindurck
vermitteln sollten, sie stammten von einer bekannten Bank. Sie waren dem
typischen Layout der Bank nachempfunden und forderten den Empfänger, mit
welcher Geschichte auch immer, dazu auf, seine Zugangsdaten für das
Homebanking einzugeben (
Kontonummer, PIN, TAN,
Missbräuche).
Die verwendete Legende ist im Hinblick auf das Urkundsdelikt
uninteressant. Nur die Täuschung über die Identität des Absenders führen
dazu, sie als Straftat gemäß §
269 StGB zu qualifizieren
(1).
Nicht nur die Herstellung gefälschter beweiserheblicher Daten ist unter
Strafe gestellt, sondern auch deren Verwendung. Das macht die irgendwo
begangene Tat zu
einem Erfolgsdelikt, dessen Erfolg im Inland eintritt und deshalb nach
deutschem Strafrecht verfolgt werden kann (
§ 9 Abs. 1 StGB). |
Dasselbe
gilt wegen der Straf- und Verfolgbarkeit bei gefälschten Websites
(Pharming),
die von den Phishern eingesetzt wurden, nachdem der Trick mit den
E-Mails nicht mehr richtig funktionierte. Auch mit ihnen wird über die
Identität der austellenden Bank getäuscht und auch ihr (krimineller) Erfolg
tritt im Inland ein.
Der vierte
Anwendungsfall gehört zu der Fallgruppe des Identitätsdiebstahls und war
Gegenstand eines Verfahrens vor dem Strafrichter in Euskirchen
(1).
Der Verurteilte hatte ohne Vollmacht fremde Kontodaten bei eBay dazu
genutzt, Waren anzubieten.
Eine
Variante der gefälschten Websites ist der
Man-in-the-Middle-Angriff. Auch hierbei verwendet der Angreifer
vorgetäuschte Identitätsmerkmale, so dass auch er sich wegen §
269 StGB strafbar macht. |
 |
|

|
Die
Anwendungsfälle lassen sich in gewissen Grenzen auch auf das
Spamming
(
Botnetze,
Meldung)
übertragen.
Kein
Anwendungsfall sind die "normalen" Spams, in denen für Viagra und andere
Leistungen geworben wird. Sie nerven in der Masse, enthalten aber
ernsthafte Angebote und das meistens auch unter existierenden
Absenderangaben.
Bei falschen Eintragungen im E-Mail-Header muss man wohl differenzieren.
Von Bedeutung ist zum Beispiel die Absenderangabe. Im Header der
jüngsten bei mir eingegangenen Spam-Mail ist als Absender ein "Billie
Rosado" mit einer Adresse unter "abc-celle.de" eingetragen. Im Text
jedoch werde ich aufgefordert, meine Antwort an eine Adresse unter
"SuperOnset.info" zu richten. Die Adresse im Header kann beim Versand
beliebig eingestellt werden und die Verwendung einer .de-Adresse ist
geschickt gewählt, weil viele Spam-Filter solche Adressen als "gute"
akzeptieren. Ich bin sicher, dass diese Adresse nicht existiert und ich
es nicht mit dem Absender "Billie Rosado" zu tun habe.
|
Ist
das eine beweiserhebliche Angabe?
Im Endeffekt: Jein. Die Absenderadresse gibt mir die Auskunft, dass der
Versender die Domain "abc-celle.de" sein soll und ich über deren Inhaber
Kontakt zum Absender herstellen kann. Insoweit ist sie eine für das
Geschäftsverhältnis relevante Angabe.
Andererseits kann sich der
Absender rechtmäßig beim Versand vertreten lassen und muss das auch
nicht offen erklären. Das spricht dafür, dass falsche Headereintragungen
jedenfalls nicht strafbar sind im Hinblick auf §
269 StGB.
Auch andere Angaben im Header können gefälscht werden. Das gilt z.B.
für die received-Pfade (siehe
DNSstuff.com), d.h. die Eintragungen über die Stationen, über
die die Nachricht gelaufen ist, bevor die nächste Etappe bekannt war.
Die Manipulation kann aber nur direkt beim Versand erfolgen. Gegen die
echten Eintragungen auf den Zwischenstationen können sich die
Manipulateure nicht wehren, so dass die received-Vermerke jedenfalls die
Region verraten, aus der eine E-Mail stammt.
|
 |
|
|
Fazit: Noch ist unklar, ob gefälschte Header-Angaben auch falsche
beweiserhebliche Daten im Sinne von §
269 StGB sind. Hiermit wird sich die Rechtspraxis auseinandersetzen
müssen und ich glaube, dass sie insoweit keine strengen Maßstäbe an die
Richtigkeit legen wird. Wünschenswert wäre jedenfalls eine
gesetzgeberische Klarstellung.
Die Verpflichtung, Vertretungsverhältnisse immer offen legen zu müssen,
täte auch dem klassischen Zivilrecht gut. Wegen der
Duldungsvollmacht darf der abwartende Vertretende gerne die
Vertragshaftung (mit) übernehmen. Aber die
Anscheinsvollmacht wäre endgültig aus der Welt, wenn sich der
Gesetzgeber dafür entschiede, dem Vertreter Erklärungs- und
Haftungspflichten in Bezug auf seine Rechtsstellung als Vertreter
aufzugeben. Im Hinblick auf IuK-technische Betrügereien würden viele (Beweis-)
Schwierigkeiten überholt sein.
|
Während ich
die (falsche) Angabe beliebiger
Absenderadressen im E-Mail-Header als nicht strafbar oder jedenfalls
wegen der Detailprobleme als nicht verfolgbar ansehe, ist das bei der
Pfizer-Variante
anders: Hier wurde offenbar der Unternehmens-Server gehackt und für die
Spam-Werbung für firmeneigene und firmenfremde Produkte missbraucht. Der
Werber erweckt somit den Anschein, dass er allein dadurch, dass er die
technische Infrastruktur des bekannten Pharmakonzerns benutzt (missbraucht),
auch dazu legitimiert ist, Pharmaprodukte dieses Unternehmens (und bei
der Gelegenheit auch anderer Arzneimittelhersteller) zu vertreiben.
Dabei will der Werber dadurch, dass auch die technischen Protokolldaten
seines Angriffs keinen Widerspruch zu seinem Vorgehen erkennen lassen,
seine werbende Nachricht verplausulieren. Damit gibt er selber ihnen
Urkundseigenschaften und gerät in die strafrechtliche Haftung des §
269 StGB. |
 |
besondere Fälle |
|
Die Täuschung im
Rechtsverkehr bei der Datenverarbeitung ( § 270 StGB)
stellt nur klar, dass auch die "verlängerte" Manipulation strafbar ist.
Einfach gesagt: Auch die indirekte Fälschung, bei der der Angreifer
zunächst ein unbeteiligtes System korrumpiert, um mit dessen veränderten Daten ein anderes System zu einer Datenverarbeitung mit
falschen Daten zu veranlassen, macht sich strafbar.
|
Dasselbe gilt für den, der Daten für andere verarbeitet oder
speichert. Er kann sich wegen "Daten"unterdrückung (richtig:
Urkundenunterdrückung,
§
274 StGB) strafbar machen, wenn er beweiserhebliche Daten, über die er nicht oder nicht ausschließlich
verfügen darf, in der Absicht, einem anderen Nachteil zuzufügen, löscht,
unterdrückt, unbrauchbar macht oder verändert (§ 274 Abs.1 Nr. 2 StGB).
|
 |
Abgrenzungen |
|
Das
klassische
Phishing
beginnt mit einer
Werbekampagne für Finanzagenten. Hierbei wird zwar in aller Regel
eine Legende erzählt, die die Interessenten einlullen und werben soll,
jedoch werden dabei keine falschen Daten verbreitet, die urkundlich
wirken und deshalb gemäß §
269 StGB strafbar wären. Sowohl die Anwerbung der Agenten wie auch
die Vorbereitung der Kontenpenetration ist noch nicht in ein
Umsetzungsstadium eingetreten, so dass es sich noch um straflose
Vorbereitungshandlungen handelt. Die einzige Ausnahme wäre dann
anzunehmen, wenn die Spams von einem
"Pfizer"-Server stammen und damit einen offiziellen
Anschein erregen.
Die
zweite
Kampagne will die Bankkunden dazu bringen, ihre Kontodaten zu
offenbaren. Sowohl die nachgemachten E-Mails, die den Eindruck
vermitteln, dass sie von der Hausbank des Empfängers stammen, wie auch
die nachgemachten Webseiten, auf die der Empfänger gelenkt wird,
erfüllen den Tatbestand der Fälschung beweiserheblicher Daten auch
ohne dass der Empfänger auf die Täuschung eingeht.
|
Bei der
Kontenpenetration handelt es sich (tateinheitlich,
§ 52
StGB) um einen Computerbetrug (
§ 263a StGB), weil die Bank-EDV über die Berechtigung der
Kontoverfügung getäuscht werden soll, und um eine Fälschung
beweiserheblicher Daten ( §
269 StGB), weil die Phisher
ohne Vollmacht unter einer fremden Identität auftreten. Eine
Computersabotage (
§ 303b StGB) käme nur dann in Betracht, wenn auf dem PC des
Anwenders selber Änderungen vorgenommen werden. Das kommt vor Allem im
Zusammenhang mit
Malware-Angriffen vor, bei denen eine Einnistung auf dem Zielsystem
erfolgt, und bei
Man-in-the-Middle-Angriffen.
|
 |
Anmerkungen |
|
(1)
Siehe z.B.
Alexander Schultz, § 269 tGB - Fälschung
beweiserheblicher Daten, mediendelikte.de
AG
Euskirchen, Urteil vom 19.06.2006 - 5 Ds 279/05 (bei
www.a-i3.org);
bestätigendes Berufungsurteil des
LG
Bonn, Urteil vom 13.10.2006 - 36 B 24/06 (ebenda).
|
Siehe auch
Diebstahl virtueller Sachen. |
 |
Cyberfahnder |
|
© Dieter
Kochheim,
11.03.2018 |