Assambleia de Deus BerlinCyber CrimeCyber Hackingder Klemptnerladen PortugieseIT TechnikSpam Tanten

vom Cyber Idiot bis zum Hacker

Prof. Dr. Thomas Hoeren
Institut für Informations-, Telekommunikations- und Medienrecht
Universität Münster
Leonardo-Campus 9
D-48149 Münster
hoeren@uni-muenster.de

skript-internetrecht-april-2014 

PDF  (download) 579 Seiten

Internetrecht

Stand: April 2014

Das folgende Skriptum steht zum kostenlosen Download zur Verfügung. Das Urheberrecht und sonstige Rechte an dem Text verbleiben beim Verfasser, der keine Gewähr für die Richtigkeit und Vollständigkeit der Inhalte übernehmen kann.

Das Skript kann und will die rechtliche Beratung im Einzelfall nicht ersetzen.

Eine Verwendung des Textes, auch in Auszügen, bedarf der Genehmigung des Verfassers. Für den Download des Textes wird keine Gebühr verlangt. Wir folgen insofern dem Shareware-Prinzip

Cybercrime Convention

Mit der Cybercrime Convention wurde der erste globale Versuch gestartet, eine Harmonisie-
rung der straf- und verfahrensrechtlichen Regelungen der unterzeichnenden Staaten im Kampf
Internetkriminalität zu erreichen. Ergänzend zu den Vorschriften der Konventi-
on entstand das erste Zusatzprotokoll vom 28. Januar 2003 in Straßburg, das weitere Strafvor-
schriften im Bereich rassistischer und fremdenfeindlicher Inhalte im Internet enthält. Da eini-
ge Länder, in denen die verfassungsrechtlich garantierte Meinungs- und Kommunikations-
freiheit einen hohen Stellenwert besitzt, die Konvention nicht unterzeichnet hätten, sofern
dieser Teil auch Inhalt der Konvention gewesen wäre, wurde es notwendig, den Teil über ras-
sistische und fremdenfeindliche Inhalte auszugliedern und in einem Zusatzprotokoll zu veran-
kern. Dieser Entwurf eines multilateralen, völkerrechtlichen Vertrages wird erst nach Rati-
fizierung durch die Vertragsstaaten wirksam. Deutschland hat dieses Abkommen zwar
unterzeichnet, eine Ratifizierung erfolgte in Deutschland mit dem 41. Strafrechtsänderungsge-
setz zur Bekämpfung der Computerkriminalität vom 7. August 2007 jedoch nur teilweise.
Die Konvention selbst besteht aus 4 Kapiteln: der Einführung, den Änderungen in den jewei-
ligen nationalen Gesetzen, den Zusammenarbeitsvorschriften und den Endbestimmungen. Die
Vorschriften über die zu ändernden nationalen Vorschriften enthalten im strafrechtlichen Be-
reich Regelungen über den vorsätzlichen und unrechtmäßigen Zugriff auf Computersysteme
(Art. 2), das rechtswidrige Abfangen nicht öffentlicher Computerübertragungen (Art. 3), den
Eingriff in Daten (Art. 4), den Eingriff in die Funktionsweise eines Computersystems (Art. 5),
den Missbrauch von Vorrichtungen (Art. 6), das Herstellen computergestützter Fälschungen
(Art. 7), den computergestützten Betrug (Art. 8), Straftaten in Bezug zu Kinderpornographie
(Art. 9), sowie Straftaten in Verbindung mit Verletzungen des Urheberrechts (Art. 10). Au-
ßerdem enthält die Konvention noch Regelungen zur Verantwortlichkeit bei dem Versuch und
der Beteiligung an Straftaten (Art. 11) und zur Verantwortlichkeit juristischer Personen
(Art. 12).

Phishing, Pharming

Als Phishing wird der Versuch bezeichnet, mit Hilfe von Spam-E-Mails an persönliche Daten der Internetnutzer zu gelangen. Es handelt sich hierbei meist um Versuche Dritter, Bankkunden zur Preisgabe ihrer Zugangsdaten zu bewegen. Der Internetnutzer wird dabei durch eine gefälschte E-Mail aufgefordert, eine bestimmte Webseite aufzusuchen. Die mit diesem Link aufgerufene Seite sieht die der Bankseite täuschend ähnlich, sodass der Nutzer der Meinung ist, er befinde sich auf der tatsächlichen Seite des Institutes. Im weiteren Verlauf wird der Nutzer gebeten, bestimmte persönliche Daten, wie Passwörter, PIN- oder TAN-Nummern einzugeben. Diese Daten werden durch den Phisher abgezapft, der sie sodann selbst unbefugt benutzen kann.

Die Strafbarkeit des Phishings wurde auch durch das 41. Strafänderungsgesetz, welches am 11. August 2007 in Kraft getreten ist nicht hinreichend geregelt, sodass die Erfassung dieser neuen Begehungsweise durch das geltende Strafrecht nach wie vor im Einzelnen umstritten ist. In Betracht für eine Strafbarkeit kommen die Tatbestände des Betrugs nach § 263 StGB, des Vorbereitens eines Computerbetruges nach

§ 263a Abs. 3 StGB, des Ausspähens von Daten nach § 202a StGB, der Fälschung beweiserheblicher Daten nach § 269 StGB, sowie der Datenveränderung und der Computersabotage nach §§ 303a Abs. 1, 303b Abs. 1 Nr. 1 StGB.

Darüber hinaus sind auch die Tatbestände der §§ 143, 143a MarkenG und §§ 106 ff. UrhG für die strafrechtliche Beurteilung heranzuziehen.

Bei der Beurteilung der Strafbarkeit des Phishings sollte zunächst zwischen Datenbeschaffung
und der anschließenden Verwendung der erlangten Daten unterschieden werden. Durch das
Verschicken der Phishing-E-Mail macht sich der Täter zunächst einmal gem. § 269 StGB
wegen Fälschung beweiserheblicher Daten strafbar. Demnach liegt eine rechtlich relevante
und zum Beweis bestimmte Gedankenerklärung vor, da der Absender den Eindruck erweckt,
dass er den Empfänger zu einer vertragsmäßigen Mitwirkung auffordert. Eine andere Ansicht
bezweifelt, ob Phishing-E-Mails eine rechtserhebliche Aufforderung darstellen. Dem sind
jedoch die Beziehung zum Geldinstitut sowie angebliche Sicherheitsprobleme, die in der E-
Mail beschrieben werden, entgegenzuhalten, sodass es sich bei den Nachrichten durchaus um
beweiserhebliche Daten handelt. Auch das Erstellen der Phishing-Webseite fällt unter die
Strafbarkeitsvoraussetzung des § 269 StGB, da auch diese eine unechte Datenurkunde dar-
stellt, sowie eine beweiserhebliche Aufforderung an den Kunden enthält, Daten einzuge-
ben. Ferner macht sich der Phisher auch nach §§ 143, 143a MarkenG und §§ 106 ff. UrhG
strafbar, wenn er in der E-Mail bzw. auf der Webseite eingetragene Kennzeichen oder ge-
schäftliche Bezeichnungen verwendet, die markenrechtlich oder urheberrechtlich geschützt
sind. Eine Strafbarkeit nach §§ 303a und 303b StGB kann hingegen aus guten Gründen
abgelehnt werden, da durch das Versenden von Phishing-E-Mails bzw. das Bereitstellen der
Webseite keine geschützten Daten gelöscht, unbrauchbar gemacht oder verändert werden.
Weiterhin fehlt es auch an einer nach § 303b StGB erforderlichen Störung einer Datenverar-
beitung.
Bei der anschließenden Datenverwendung kommt zunächst eine Strafbarkeit nach § 202a
StGB in Betracht, sofern sich der Phisher durch die erlangten Daten Zugang zu den Konto-
und Depotinformationen verschafft. Zwar ist auch hier umstritten, ob überhaupt noch eine,
wie vom § 202a StGB geforderte besondere Zugangsbeschränkung vorliege. Dem ist jedoch
entgegenzuhalten, dass mit der vorgeschalteten Zugangsdatenabfrage eine Vorkehrung getrof-
fen wurde, die dazu bestimmt war, den Zugriff auf die Daten auszuschließen, sodass durchaus
eine besondere Sicherung i.S.d. § 202a StGB vorlag. Weiterhin macht sich der Phisher
durch die Verwendung der Daten für die Onlineüberweisung nach § 263a StGB und §§ 269,
270 StGB strafbar. Da die Banken PIN und TAN zum Zweck des Identitätsnachweises an ihre
Kunden vergeben, kommt die Datenverwendung durch den Phisher einer Identitätstäuschung
gleich und erfüllt somit das Tatbestandsmerkmal des unbefugten Verwendens von Daten gem.

§ 263a StGB. Eine Strafbarkeit nach §§ 269, 270 StGB ist deshalb zu bejahen, weil der
Phisher durch die Eingabe der Zugangsdaten im Rahmen einer Onlineüberweisung einen Da-
tensatz herstellt, den die Bank als Überweisungsauftrag speichert. Die Speicherung dieser
beweiserheblichen Daten stellt eine unechte Urkunde dar. Hierbei handelt es sich im Ergebnis
um eine nach § 270 StGB fälschliche Beeinflussung einer Datenverarbeitung, die einer Täu-
schung im Rechtsverkehr gleichsteht.
Der durch das 41. Strafänderungsgesetz neu eingeführte § 202c StGB greift zwar hinsichtlich
der Vorbereitungshandlungen für die Datenverwendung ein, ist jedoch gegenüber dem vom
Phisher verwirklichten § 202a StGB subsidiär.
Das BVerfG hat drei Verfassungsbeschwerden gegen den sog. Hackerparagraphen (§ 202c
StGB) als unzulässig abgewiesen. Mit dieser Entscheidung war das Gericht zwar nicht
gezwungen zu überprüfen, ob die gesetzliche Regelung im Einklang mit dem Grundgesetz
steht. Dennoch lässt sich anhand der Argumentation des BVerfG erkennen, dass sog. Dual-
Use-Tools, also Programme, die neben einer möglichen rechtswidrigen Verwendung auch zur
Systemwartung erforderlich sind, nicht unter den Tatbestand des Vorbereitens des Ausspä-
hens und Abfangens von Daten fallen, solange sie nicht in der Absicht entwickelt wurden, sie
zu diesem Zweck einzusetzen. Denn das BVerfG begründete seine Entscheidung damit, dass
die Beschwerdeführer, die beruflich mit Dual-Use-Tools arbeiten und deshalb befürchteten,
sich nach § 202c StGB strafbar zu machen, von der Strafvorschrift nicht unmittelbar betroffen
seien, weil für sie kein Risiko einer strafrechtlichen Verfolgung bestünde. Nur Programme,
die mit der Absicht entwickelt werden, sie später zur Ausspähung oder zum Abfangen von
Daten einzusetzen, seien vom Tatbestand umfasst. Diese Absicht müsse sich objektiv mani-
festieren, der Täter also Handlungen vorgenommen haben, anhand derer man eine Absicht zur
Begehung der Straftaten nach §§ 202a, b StGB erkennen kann. Dafür sei es nicht ausreichend,
wenn das Programm lediglich dazu geeignet sei, die benannten Computerstraftaten zu bege-
hen. Hinzukommen müsse ferner der Vorsatz, eine der genannten Straftaten zu begehen.
Nicht strafbar ist es daher, wenn die jeweiligen Programme mit Einverständnis der betroffe-
nen Person dazu verwendet werden, Angriffe auf das System zu simulieren, um beispielswei-
se Schwachstellen im Schutzsystem zu entdecken und zu entfernen.
In einer Weiterentwicklung des Phishings, dem Pharming wird innerhalb des Computers die
Zuordnung der IP-Adressen manipuliert, so dass der Internetnutzer zwar die richtige Adresse
in die Browserzeile eingibt, diese aber mit einer anderen als der gewollten Seite verknüpft ist,
welche wiederum die eigentlich gewollte Seite täuschend echt nachbildet. Hierbei werden
die geheimen Daten ohne „Mithilfe“ des Nutzers ausgespäht. Bei beiden Varianten handelt es
sich um einen Missbrauch der Umgebung des Internets.
Pharming dagegen ist als Computerbetrug gem. § 263a StGB strafbar, da direkt in den Da-
tenverarbeitungsvorgang des Computers eingegriffen wird, indem die Zuordnung der Domain mit der IP-Adresse vertauscht wird. Außerdem ist es als Datenveränderung zu qualifizieren und deshalb auch gem. § 303a StGB strafbar, wie auch als Computersabotage nach § 303b Abs. 1 Nr. 1 StGB.

Das Bereitstellen des eigenen Kontos zur Annahme des durch
Phishing- oder Pharming-Attacken transferierten Geldes stellt eine Beihilfe zu den oben genannten Delikten dar. Kommt diese Bereitstellung der Konten einer Privatperson aus-
schließlich durch Internet- oder E-Mail-Kontakte zu Stande, muss der Kontoinhaber davon
ausgehen, dass es sich um illegales Geld handelt, das aus Computerbetrügereien entstanden ist. Daher kommt für den Kontoinhaber eine Strafbarkeit wegen Geldwäsche in Betracht.
Von Nutzern des Online-Bankings wird mittlerweile erwartet, dass sie über geeignete Sicherheitseinrichtungen verfügen und diese, ebenso wie das Betriebssystem und die verwendete Software, regelmäßig aktualisieren um so eventuellem Missbrauch vorzubeugen. Ferner wird von ihnen ein gründlicher Umgang mit E-Mails insoweit gefordert, dass deutliche Hinweise auf gefälschte E-Mails erkannt werden müssen; Anhaltspunkte sind hier etwa sprachliche Fehler, abweichende Internetadressen sowie unverschlüsselte Verbindungen. Werden diese Vorkehrungen nicht getroffen, liegt Leichtfertigkeit beim Geschädigten vor.