Cybercrime - Phishing, Spoofing und Pharming
Seit der massenhaften Verbreitung des Internets in den ausgehenden 1990er Jahren beschäftigt „Cybercrime" die Polizeibehörden. Kaum ein Tag vergeht, in dem nicht vor den Gefahren des Missbrauchs des Internets durch Kriminelle gewarnt wird. Dies geschah beispielsweise in dem jüngsten Bundeslagebericht Cybercrime des BKA oder auf dem 16. Europäischen Polizeikongress in Berlin im Februar 2013. Mehr und mehr scheint sich das Netz zu einem Hort krimineller Umtriebe zu entwickeln – mit stetig neuen Gefahren für den unbescholtenen Bürger wie Phishing, Spoofing oder Pharming. Den wenigsten potenziell Betroffenen dürfte jedoch klar sein, was hinter diesen Begriffen steckt und wie leicht sie sich gegen die meisten dieser Attacken schützen können.
Phishing ist zunächst einmal ein Kunstwort und erinnert nicht von ungefähr an das deutsche „Fischen“. Die Erklärungen über Herkunft und Entstehung des Begriffes gehen auseinander. Sicher ist jedoch, was damit gemeint ist: Phishing ist der Versuch, über gezielte Fehlinformationen wirtschaftlich relevante Daten über das Opfer zu erhalten – eben „abzufischen“. In aller Regel geschieht dies etwa durch Zusendung vermeintlicher E-Mails der Hausbank, die den Betroffenen auf eine spezielle, vorher eingerichtete Seite leiten sollen, die der echten Seite zum Verwechseln ähnlich sieht. Über diese Seite werden dann Kontodaten oder PIN- und TAN-Nummern abgefragt, mittels derer der Täter Zugriff auf das Konto des Opfers erlangt. Im Kern handelt es sich also um eine besonders ausgefeilte Form des Betrugs mit technischen Hilfsmitteln.
Pharming spielt für den reibungslosen Ablauf dieser Taten eine zentrale Rolle. Anders als beim Phishing wird hier jedoch nicht das Vermögen des Opfers geschädigt, sondern die technische Infrastruktur des Anbieters der gefälschten Webseite. Dem Kunden, der sich etwa bei seiner Hausbank zum Online-Banking anmelden möchte, wird durch technische Manipulation am Original die falsche Anmeldeseite sozusagen untergeschoben.
Spoofing geht in eine ähnliche Richtung und tritt in verschiedensten technischen Varianten zu Tage – unter anderem kann es auch der Ergänzung des Pharmings dienen, weil der Täter hier ebenfalls mittels Einwirkung auf Daten eine falsche Identität vorgibt bzw. seine falsche Identität verschleiert.
Die verschiedenen Angriffe bauen nicht notwendigerweise aufeinander auf und können auch unabhängig voneinander begangen werden. Denkbar ist beispielsweise, mittels eines Trojaners, also einer Virus-Infektion des Zielrechners, relevante Daten abzufangen. Das Opfer merkt meist erst dann etwas von dem Angriff, wenn es zu unbefugten Zugriffen auf sein Konto gekommen ist.
Alle beschriebenen Taten können nach dem Strafgesetzbuch bestraft werden. Die Meinungen, wie diese Handlungen strafrechtlich zu beurteilen sind, gehen im Detail auseinander. Meist wird es sich aber einerseits um eine Fälschung beweiserheblicher Daten nach § 269 StGB (als eine Art „digitale Urkundenfälschung“ bezüglich der "Lockseite") oder ein Vorbereiten des Abfangens und Ausspähens von Daten nach § 202c StGB durch Einsatz von Schadsoftware handeln. Je nach Art und Weise der Begehung kann aber auch ein Computerbetrug im Sinne von § 263a StGB in Betracht kommen.
Das Hauptproblem aus Sicht der Ermittler ist weniger, die Handlungen strafrechtlich zu erfassen, sondern vielmehr, die Hintermänner überhaupt zu ermitteln. Regelmäßig verschleiern sie die Spuren ihrer Tat, so dass eine Rückverfolgung zum Täter bzw. zum Anschlussinhaber nicht mehr möglich ist. Das Geld wollen sie natürlich trotzdem erlangen. Um hierbei ihre Anonymität aufrecht zu erhalten, bedienen sie sich sog. Finanzagenten, die ihnen die betrügerisch erlangten Gelder zukommen lassen. Deren Aufgabe ist es meist, ein Konto zur Verfügung zu stellen, auf welches die Gelder überwiesen werden, und bzw. oder das Geld am Automaten abzuheben. Neben dem ursprünglichen, "nur" finanziell Geschädigten sind diese meist völlig ahnungs- und mittellosen Personen ebenfalls Opfer der Tat.
In einem Großverfahren in Berlin etwa sprachen Mittelsmänner der Täter gezielt osteuropäische, ungelernte Arbeiter an, denen für die Einrichtung eines Kontos und die Entgegennahme der dahin transferierten Gelder eine Provision von ein paar hundert Euro versprochen wurde. Teilweise werden die sog. Finanzagenten auch über ganz normale Jobbörsen oder sogar das Arbeitsamt unter scheinbar harmlosen Job-Angeboten angeworben.
Da die - meist gutgläubigen - Mittelsmänner als Kontoinhaber leicht ermittelt und wegen der Videoüberwachung von Geldautomaten leicht identifiziert werden können, sind sie nicht viel mehr als bloße Bauernopfer für die Hintermänner. Oft kennen sie gerade einmal einen Namen oder die Handynummer der eigentlichen Täter. Die Details der Tat und die dahinterstehenden Abläufe sind ihnen nicht selten völlig unbekannt. Trotzdem sind regelmäßig gerade sie diejenigen, die für die Tat bestraft werden – der Empfang und die Weiterleitung der Gelder erfüllen meist den Tatbestand der Geldwäsche nach §261 StGB. Daneben treten die finanziellen Folgen der Tat. Musste die Bank ihren Kunden den entstandenen Schaden ersetzen, werden sie an den Finanzagenten mit Schadensersatzforderungen herantreten.
Erfahrungsgemäß gibt es große Unterschiede, wie Staatsanwälte mit sogenannten Finanzagenten umgehen. Teilweise wird anerkannt, dass diese nur in den seltensten Fällen wissen konnten, in eine Straftat verwickelt zu sein und die Verfahren werden eingestellt. Andere Staatsanwälte – insbesondere in Bayern – unterstellen häufig zumindest ein leichtfertiges Handeln der Geldvermittler. So kommt es auch immer wieder zu Geldauflagen und manchmal sogar zu Geldstrafen.
Nicht weniger uneinheitlich wird in der Praxis die Entschädigung der Bankkunden dar, wenn das Geld von den Tätern nicht zurück erlangt werden kann. Die Banken sind nicht automatisch einstandspflichtig. Kommt ein Bankkunde nämlich der Aufforderung, seine TAN herauszugeben nach, so kann es sich um eine Verletzung seiner Pflichten aus dem Vertrag mit dem Geldinstitut handeln. In einem Urteil vom Juli 2012 wies das AG Krefeld darauf hin, dass es dem Geschädigten aufgrund der Berichterstattung der letzten Jahre hätte bekannt sein müssen, dass es sich bei einer mehrfachen Abfrage von Transaktionsnummern im Internet um einen Phishing-Versuch handelte. Schadensersatz in Höhe des ihm durch die Tat entstandenen Vermögensschadens konnte er von seiner Bank deswegen nicht verlangen.
Andererseits erlebt man allerdings auch immer wieder, dass die Banken aus Kulanz ihren Kunden das verlorene Geld erstatten.
Wie so viele Taten kann also auch Phishing grundsätzlich jeden treffen. Mit einem Mindestmaß an Vorsicht und aktueller Virenschutzsoftware lässt es sich andererseits aber gerade hier besonders leicht vermeiden, zum Opfer einer Straftat zu werden.