Computerbetrug
Urkunden. Dateien mit Beweiswert
  Fälschung beweiserheblicher Daten
  "Nachladen" von Guthabenkarten
  Phishing-Mails
  Phishing-Sites
  Identitätsdiebstahl
    Absender. E-Mail-Header
besondere Fälle
Abgrenzungen

 
Der Computerbetrug ( § 263a StGB) ist dem Betrug ( § 263 StGB) nachgebildet, nur dass anstelle eines Menschen, der getäuscht wird, einem Irrtum erliegt und schließlich eine nachteilige Vermögensverfügung trifft, eine Maschine, also ein Datenverarbeitungsvorgang gesetzt wird. Die "Täuschungs"handlungen bestimmt das Gesetz so:

1) unrichtige Gestaltung des Programms,

2) Verwendung unrichtiger oder unvollständiger Daten,

3) unbefugte Verwendung von Daten oder

4) sonst durch unbefugte Einwirkung auf den Ablauf.

 
1) richtet sich gegen den Programmierer, der Hintertüren oder automatische Routinen in sein Programm einbaut, um es später beim Einsatz beim Kunden in der Weise zu missbrauchen, dass ihm Vermögenswerte zufließen, auf die er keinen Anspruch hat.

"Vermögen" ist alles, was einen wirtschaftlichen Wert hat. Es kann sich also nicht nur um materielles und um Buchgeld handeln, sondern auch um Waren oder um Dienstleistungen, die ansonsten nicht unentgeltlich in Anspruch genommen werden können.

Ein bekannter Anwendungsfall für 2) ist der Missbrauch von Sicherheitslücken und von Programmfehlern durch die Eingabe der "richtigen" Steuerungsbefehle, die die vorgesehene Funktionalität überrumpeln.

Der Missbrauch ausgeforschter Kontodaten ( Phishing,   Skimming) ist der wichtigste aktuelle Anwendungsfall von 3). Geschützt ist aber jeder Datenverarbeitsvorgang mit vermögensrechtlichen Auswirkungen, wenn fremde Konto- und Zugangsdaten verwendet werden, um z.B. Sachleistungen (Treibstoff, Waren) oder Dienstleistungen (Telekommunikation, Mehrwertdienste) gegen eine Identifikation des Anwenders abzurufen.

Nicht einschlägig sind hingegen anonyme Zugangs- und Bezahlsysteme, die zwar nach einer Kontodeckung, nicht aber nach einer Identifikation des Anwenders verlangen. Das ist zum Beispiel bei der Pre-Paid-Karte (Geldkarte auf Guthabenbasis) der Fall, weil es dabei nicht darauf ankommt, wer die Karte einsetzt, sondern nur darauf, welches Guthaben auf ihrem Chip gespeichert ist.
 

4) behandelt schließlich die äußerliche Manipulation eines Datenverarbeitungsvorganges. Das können mechanische Einwirkungen ebenso gut sein wie technische Vorrichtungen (Magnete, zusätzliche Markierungen auf Chipkarten, Licht oder andere elektromagnetische Quellen, um den Verarbeitungsvorgang zu stören) sowie Geräte und eingespeiste Programmdaten, die den Datenverarbeitungsvorgang stören, indem sie ihn im Zielgerät verändern.

04.09.2008: Darüber hinaus enthält § 263a Abs. 3 StGB eine vorverlagerte Strafbarkeit wegen Computerprogramme, deren Zweck der Computerbetrug ist. Die Tat ist mit Freiheitsstrafe bis zu 3 Jahren bedroht. Sie betrifft das Herstellen, Verschaffen, Feilhalten, Verwahren oder Überlassen solcher Programme im Stadium der sonst straflosen Vorbereitungshandlung (siehe vorverlagertes Hackerstrafrecht).
 

Mit dem Straftatbestand der Urkundenfälschung ( § 267 StGB) soll die personelle Zuordnung einer Erklärung (Inhalt des Schriftstücks) zu einer konkreten Person (Aussteller) gewährleistet werden. Es kommt dabei also nicht darauf, ob die Erklärung inhaltlich richtig ist, sondern darauf, dass der Aussteller die in der Urkunde wiedergegebene Erklärung abgegeben hat.

Wenn der Erklärungsinhalt falsch ist, handelt es sich um eine im deutschen Strafrecht straflose schriftliche Lüge (nicht so in der Schweiz!).

Der Urkundenfälschung nachgebildet ist der Straftatbestand der Fälschung beweiserheblicher Daten ( § 269 StGB).

Wichtig für ihn ist, dass die betreffenden elektronischen Daten im Rechtsverkehr zu Beweiszwecken verwendet werden sollen.

Anders als der Betrug verlangt § 269 StGB nicht, dass durch die Täuschung ein Vermögensvorteil erstrebt wird.

 
Rechtsverkehr ist ein sehr weiter Begriff und (Rechtsverkehr) beschränkt ihn zu sehr auf zivilrechtliche Rechtsgeschäfte (Verträge, Abrechnungen). Allgemeiner gesagt ist eine Erklärung im Rechtsverkehr jede Dokumentation und Äußerung, die auf Rechtsverhältnisse und ihren daraus abgeleiteten Rechten und Pflichten Einfluss hat. Es kann sich dabei auch um verwaltungs-, sozialrechtliche oder andere Rechtsgebiete handeln.

Ein Beweis ist eine menschliche Bekundung (Personenbeweis, Zeuge, Sachverständiger) oder ein Gegenstand, die aus sich heraus, in ihrem Zusammenspiel oder aufgrund einer Konvention eine Tatsache begründen. "Konvention" betrifft mit meinen Worten das Verfahren der Tatsachenbegründung. Sie kann auf Regeln aus dem Verfahrensrecht (zulässige Beweismittel), auf einer Vereinbarung (Heizkostenabrechnung), auf wissenschaftlichen Erkenntnissen (Sachverständiger) oder auch auf Erfahrungswissen beruhen (Allgemeinerfahrungen, kriminalistische Erfahrungen und gerichtsbekannte Tatsachen). Siehe auch Verdacht.
 

 
§ 269 StGB kennt zwei Tathandlungen der Datenmanipulation, nämlich das Speichern und das Verändern, wodurch sowohl die Manipulation stationärer Daten, die bereits gespeichert sind, der Verarbeitungsvorgang, bei dem Daten schließlich gespeichert werden, als auch an den Daten umfasst ist, die nach ihrer Veränderung an eine andere Stelle übermittelt werden.

Bei der Anwendung der Strafvorschrift ist deshalb zu prüfen, ob die verfälschten Daten

 
Mindestens vier wichtige Anwendungsfälle sind von der Rechtspraxis als strafbare Fälschung beweiserheblicher Daten anerkannt worden:

1.	Manipulation des Guthabens auf einer Guthabenkarte
2.	nachgemachte E-Mails, die zum Beispiel den Anschein erwecken, von einer Bank zu stammen ( Phishing)
3.	nachgemachte Websites, die ebenfalls den Anschein vermitteln sollen, sie würden von einer Bank oder einem anderen Anbieter stammen ( Phishing, Pharming, Pharming [Meldung])
4.	Auftreten unter fremdem Namen (Identitätsdiebstahl)

 
BGH, Beschluss vom 13.05.2003 - 3 StR 128/03:
Wer eine abtelefonierte Telefonkarte unberechtigt wieder auflädt, macht sich gemäß § 269 Abs. 1 StGB strafbar (...). Der Gesetzgeber hat § 269 Abs. 1 StGB den Tatbestandsvarianten der Urkundenfälschung ( § 267 Abs. 1 StGB) so weit nachgebildet, wie es ihm unter Beachtung der Besonderheiten der elektronischen Datenverarbeitung möglich erschien (...). Die Speicherung oder Veränderung beweiserheblicher Daten zur Täuschung im Rechtsverkehr ist danach nur strafbar, wenn bei Wahrnehmung der manipulierten Daten eine unechte oder verfälschte Urkunde vorliegen würde. Gleiches gilt für den täuschenden Gebrauch derartiger Daten.
 

 
Im Zusammenhang mit dem Phishing sind zunächst E-Mails aufgetaucht, die den Eindurck vermitteln sollten, sie stammten von einer bekannten Bank. Sie waren dem typischen Layout der Bank nachempfunden und forderten den Empfänger, mit welcher Geschichte auch immer, dazu auf, seine Zugangsdaten für das Homebanking einzugeben ( Kontonummer, PIN, TAN, Missbräuche).

Die verwendete Legende ist im Hinblick auf das Urkundsdelikt uninteressant. Nur die Täuschung über die Identität des Absenders führen dazu, sie als Straftat gemäß § 269 StGB zu qualifizieren (1).

Nicht nur die Herstellung gefälschter beweiserheblicher Daten ist unter Strafe gestellt, sondern auch deren Verwendung. Das macht die irgendwo begangene Tat zu einem Erfolgsdelikt, dessen Erfolg im Inland eintritt und deshalb nach deutschem Strafrecht verfolgt werden kann ( § 9 Abs. 1 StGB).

 
Dasselbe gilt wegen der Straf- und Verfolgbarkeit bei gefälschten Websites (Pharming), die von den Phishern eingesetzt wurden, nachdem der Trick mit den E-Mails nicht mehr richtig funktionierte. Auch mit ihnen wird über die Identität der austellenden Bank getäuscht und auch ihr (krimineller) Erfolg tritt im Inland ein.

Der vierte Anwendungsfall gehört zu der Fallgruppe des Identitätsdiebstahls und war Gegenstand eines Verfahrens vor dem Strafrichter in Euskirchen (1). Der Verurteilte hatte ohne Vollmacht fremde Kontodaten bei eBay dazu genutzt, Waren anzubieten.

Eine Variante der gefälschten Websites ist der Man-in-the-Middle-Angriff. Auch hierbei verwendet der Angreifer vorgetäuschte Identitätsmerkmale, so dass auch er sich wegen § 269 StGB strafbar macht.

Die Anwendungsfälle lassen sich in gewissen Grenzen auch auf das Spamming ( Botnetze, Meldung) übertragen.

Kein Anwendungsfall sind die "normalen" Spams, in denen für Viagra und andere Leistungen geworben wird. Sie nerven in der Masse, enthalten aber ernsthafte Angebote und das meistens auch unter existierenden Absenderangaben.

Bei falschen Eintragungen im E-Mail-Header muss man wohl differenzieren.

Von Bedeutung ist zum Beispiel die Absenderangabe. Im Header der jüngsten bei mir eingegangenen Spam-Mail ist als Absender ein "Billie Rosado" mit einer Adresse unter "abc-celle.de" eingetragen. Im Text jedoch werde ich aufgefordert, meine Antwort an eine Adresse unter "SuperOnset.info" zu richten. Die Adresse im Header kann beim Versand beliebig eingestellt werden und die Verwendung einer .de-Adresse ist geschickt gewählt, weil viele Spam-Filter solche Adressen als "gute" akzeptieren. Ich bin sicher, dass diese Adresse nicht existiert und ich es nicht mit dem Absender "Billie Rosado" zu tun habe.

Ist das eine beweiserhebliche Angabe?

Im Endeffekt: Jein. Die Absenderadresse gibt mir die Auskunft, dass der Versender die Domain "abc-celle.de" sein soll und ich über deren Inhaber Kontakt zum Absender herstellen kann. Insoweit ist sie eine für das Geschäftsverhältnis relevante Angabe.

Andererseits kann sich der Absender rechtmäßig beim Versand vertreten lassen und muss das auch nicht offen erklären. Das spricht dafür, dass falsche Headereintragungen jedenfalls nicht strafbar sind im Hinblick auf § 269 StGB.

Auch andere Angaben im Header können gefälscht werden. Das gilt z.B. für die received-Pfade (siehe DNSstuff.com), d.h. die Eintragungen über die Stationen, über die die Nachricht gelaufen ist, bevor die nächste Etappe bekannt war. Die Manipulation kann aber nur direkt beim Versand erfolgen. Gegen die echten Eintragungen auf den Zwischenstationen können sich die Manipulateure nicht wehren, so dass die received-Vermerke jedenfalls die Region verraten, aus der eine E-Mail stammt.

Fazit: Noch ist unklar, ob gefälschte Header-Angaben auch falsche beweiserhebliche Daten im Sinne von § 269 StGB sind. Hiermit wird sich die Rechtspraxis auseinandersetzen müssen und ich glaube, dass sie insoweit keine strengen Maßstäbe an die Richtigkeit legen wird. Wünschenswert wäre jedenfalls eine gesetzgeberische Klarstellung.

Die Verpflichtung, Vertretungsverhältnisse immer offen legen zu müssen, täte auch dem klassischen Zivilrecht gut. Wegen der Duldungsvollmacht darf der abwartende Vertretende gerne die Vertragshaftung (mit) übernehmen. Aber die Anscheinsvollmacht wäre endgültig aus der Welt, wenn sich der Gesetzgeber dafür entschiede, dem Vertreter Erklärungs- und Haftungspflichten in Bezug auf seine Rechtsstellung als Vertreter aufzugeben. Im Hinblick auf IuK-technische Betrügereien würden viele (Beweis-) Schwierigkeiten überholt sein.
 

 
Die Täuschung im Rechtsverkehr bei der Datenverarbeitung ( § 270 StGB) stellt nur klar, dass auch die "verlängerte" Manipulation strafbar ist.

Einfach gesagt: Auch die indirekte Fälschung, bei der der Angreifer zunächst ein unbeteiligtes System korrumpiert, um mit dessen veränderten Daten ein anderes System zu einer Datenverarbeitung mit falschen Daten zu veranlassen, macht sich strafbar.
 

 
Dasselbe gilt für den, der Daten für andere verarbeitet oder speichert. Er kann sich wegen "Daten"unterdrückung (richtig: Urkundenunterdrückung, § 274 StGB) strafbar machen, wenn er beweiserhebliche Daten, über die er nicht oder nicht ausschließlich verfügen darf, in der Absicht, einem anderen Nachteil zuzufügen, löscht, unterdrückt, unbrauchbar macht oder verändert (§ 274 Abs.1 Nr. 2 StGB).
 

 
Das klassische Phishing beginnt mit einer Werbekampagne für Finanzagenten. Hierbei wird zwar in aller Regel eine Legende erzählt, die die Interessenten einlullen und werben soll, jedoch werden dabei keine falschen Daten verbreitet, die urkundlich wirken und deshalb gemäß § 269 StGB strafbar wären. Sowohl die Anwerbung der Agenten wie auch die Vorbereitung der Kontenpenetration ist noch nicht in ein Umsetzungsstadium eingetreten, so dass es sich noch um straflose Vorbereitungshandlungen handelt. Die einzige Ausnahme wäre dann anzunehmen, wenn die Spams von einem "Pfizer"-Server stammen und damit einen offiziellen Anschein erregen.

Die zweite Kampagne will die Bankkunden dazu bringen, ihre Kontodaten zu offenbaren. Sowohl die nachgemachten E-Mails, die den Eindruck vermitteln, dass sie von der Hausbank des Empfängers stammen, wie auch die nachgemachten Webseiten, auf die der Empfänger gelenkt wird, erfüllen den Tatbestand der Fälschung beweiserheblicher Daten auch ohne dass der Empfänger auf die Täuschung eingeht.
 

 
Bei der Kontenpenetration handelt es sich (tateinheitlich, § 52 StGB) um einen Computerbetrug ( § 263a StGB), weil die Bank-EDV über die Berechtigung der Kontoverfügung getäuscht werden soll, und um eine Fälschung beweiserheblicher Daten ( § 269 StGB), weil die Phisher ohne Vollmacht unter einer fremden Identität auftreten. Eine Computersabotage ( § 303b StGB) käme nur dann in Betracht, wenn auf dem PC des Anwenders selber Änderungen vorgenommen werden. Das kommt vor Allem im Zusammenhang mit Malware-Angriffen vor, bei denen eine Einnistung auf dem Zielsystem erfolgt, und bei Man-in-the-Middle-Angriffen.
 

 
(1) Siehe z.B. Alexander Schultz, § 269 tGB - Fälschung beweiserheblicher Daten, mediendelikte.de
AG Euskirchen, Urteil vom 19.06.2006 - 5 Ds 279/05 (bei www.a-i3.org);
bestätigendes Berufungsurteil des LG Bonn, Urteil vom 13.10.2006 - 36 B 24/06 (ebenda).
 

 
Siehe auch Diebstahl virtueller Sachen.