Computerbetrug, § 263a StGB

Bundesweite Strafverteidigung bei Computerbetrug

Was ist Computerbetrug?

Computerbetrug ist eine Manipulation an einem Computer die zu einer Vermögensschädigung führt. Hierbei wird also kein menschliches Opfer getäuscht (wie bei Betrug nach § 263 StGB) sondern ein Computer manipuliert, um einen Vermögenszufluss zu erreichen.

Wann mache ich mich wegen Computerbetrug strafbar?

Wenn ich auf ein Datenverarbeitungsprogramm einwirke und dadurch eine Vermögensverfügung herbeiführe.

Das Einwirken auf das Datenverarbeitungsprogramm kann durch vier Täuschungsmodalitäten erfolgen: Unrichtige Gestaltung des Programms; Verwendung unrichtiger oder unvollständiger Daten; unbefugte Verwendung von Daten; sonst durch unbefugte Einwirkung auf den Ablauf. Alle vier Varianten setzen also voraus, dass unbefugt auf den Ablauf eines Datenverarbeitungsablaufs eingewirkt wird.

Was habe ich für eine Strafe zu erwarten?

Der Computerbetrug nach § 263 a Strafgesetzbuch wird mit Geldstrafe oder mit Freiheitsstrafe bis zu fünf Jahren bestraft. In besonders schweren Fällen, bspw. bei einem gewerbsmäßigen Computerbetrug (also dem Handeln in der Absicht, sich durch wiederholte Begehung von Computerbetrug eine nicht nur vorübergehende Einkommensquelle zu verschaffen) oder bei der Begehung in Form einer Bande (der Zusammenschluss von mindestens drei Personen, die sich mit dem Willen verbunden haben, künftig für eine gewisse Dauer mehrere selbständige, im Einzelnen noch ungewisse Straftaten zu begehen), sieht das Gesetz Freiheitsstrafen von sechs Monaten bis zu zehn Jahren vor.

Der Versuch ist ebenfalls unter Strafe gestellt.

Praxisrelevante Fälle

Geldabhebungen mit manipulierten, gefälschten oder entwendeten Bankkarten. Verwendung der Onlinebankingdaten ohne jegliches Einverständnis des Betroffenen.

Im Zuge der wachsenden Internetkriminalität hat der Computerbetrug an Aktualität gewonnen.

Wir erhalten sie alle fast täglich in unseren Emailpostfächern. Emails die den vermeintlichen Aussteller (oft) täuschend echt imitieren. Der Absender kann die eigene Hausbank sein, ein Onlinekaufhaus oder ein Online Bezahlsystem. Der Absender der Email fordert den Empfänger beispielsweise auf, sich unter einem in der Email aufgeführten Link einzuloggen und dort seine Personalien zu aktualisieren und seine Daten für das Onlinebanking einzugeben. Diese Daten werden sodann abgefischt und gespeichert. Der Absender erhält auf diesem Wege alle Daten die er benötigt um auf das Konto des Geschädigten zuzugreifen. Ziel des Phising ist es, an die Kontodaten, Kreditkartendaten und die dazugehörigen Passwörter zu gelangen.

Auch Kontodaten und PINs die über das sogenannte Skimming (die Täter installieren am Einschubschacht des Kartenlesegeräts am Bankautomat einen vorgeschaltetes Kartenlesegerät, bei dem die Kontoverbindungsdaten samt PIN gespeichert werden) ausgeforscht werden und dann später unberechtigt verwendet werden, um an Geldmittel zu gelangen, dienen der Vorbereitung eines Computerbetruges.

In der Praxis werden diese unrechtmäßig erlangten Daten häufig dazu verwandt, um damit Onlinebestellungen vorzunehmen. Aber auch der Berechtigte selbst macht sich unter Umständen des Computerbetruges strafbar, wenn er online Leistungen bestellt, zu deren Zahlung er nicht in der Lage oder nicht willens ist. Das ist regelmäßig dann der Fall, wenn die Bonitätsabfrage des Onlineversenders durch ein Computerprogramm vorgenommen wird und nicht durch einen Mitarbeiter vorgenommen wird.

Was ist Internet- und Kommunikationskriminalität (Cybercrime)?

45.000 Fälle auf dem Gebiet der Internetkriminalität hat das Bundeskriminalamt (BKA) für 2015 vermeldet. Die Tendenz ist steigend. Die Kriminalbehörden arbeiten längst mit IT-Spezialisten zusammen, um der wachsenden Bedrohung aus dem Internet und dem sog. Darknet auf Augenhöhe begegnen zu können. Die Ermittlungsbehörden haben hier entsprechend aufgerüstet.

Zum Cybercrime im engeren Sinne gehören die Delikte wie Computerbetrug, Ausspähen / Abfangen von Daten, Datenveränderung, Datenhehlerei, Computersabotage, Betrug mit Zugangsberechtigung zu Kommunikationsdiensten.

Moderne Kommunikationsmittel, seien es Handys, Smartphones, Tablets oder PCS haben Einfluss auf konventionelle Straftaten. Erpressungen über Messangerprogramme oder soziale Netzwerke sind – besonders bei Jugendlichen und Heranwachsenden – überhaupt keine Seltenheit. Aber auch Beleidigung, Nachstellung und Betrug aufgrund internetbasierter Kommunikation bestimmen heute das Bild der täglich vorkommenden Delikte. Eine Beleidigung (auf sexueller Grundlage) ist schnell an die Ex-Freundin per Messangerprogramm über das Smartphone abgesetzt.

Haben Täter (meist Tätergruppen) mittel rechtswidrig erlangter Zugangsdaten Geld erlangt, muss es Ihnen auf irgendwie zufließen. Eine Überweisung auf das eigene Konto kommt (natürlich) nicht in Betracht. Sogenannte Finanzagenten (meist ahnungslos über Anzeigen angeworben) stellen meist organisierten Banden ihr Konto zu Verfügung, damit diese unrechtmäßig erlangte Gelder über die Konten der Finanzagenten weiterverschieben können. Die Finanzagenten erhalten dann für das zur Verfügung stellen ihres Kontos eine Provision. Die Hintermänner bleiben in den meisten Fällen im Verborgenen und treten mit den Finanzagenten nur via Email in Kontakt. Während die sogenannten Finanzagenten sich oft wegen Beihilfe zum Betrug /Erpressung und oder der (fahrlässigen) Geldwäsche zu verantworte haben, bleiben die Hintermänner in den meisten Fällen unbekannt.

Zur klassischen Internetkriminalität gehören aber auch sogenannte Botnetz Angriffe auf bspw. Online-Shops oder populäre Internetseiten. Die Täter drohen meist mit einem DDos Angriff oder Cyber-Angriff durch Ransomware in einer Erpressermail und fordern die Firmen zur Zahlung auf, um einen solchen Angriff auf die eigene Homepage zu verhindern. Der Betroffene kann dann durch Lösegeldzahlung seinen entführten Rechner / Server wieder freikaufen. In der Praxis wird ein Großteil dieser Art von Erpressung, aber auch ein Großteil tatsächlich durchgeführter Botnetz Angriffe nicht zur Anzeige gebracht. Für die betroffenen Firmen geht eine Anzeige sehr oft mit einem Imageverlust einher und fördert nicht das Vertrauen der Kunden in einen sicheren Zahlungsverkehr.

Cyber-Angriffe

Cyber-Angriffe sind vielfältiger Natur. Sie lassen sich mit Blick auf die Zielrichtung des jeweiligen Angriffs wie folgt unterscheiden:

Reine Schädigung: Z.B. durch Viren, Würmer, DoS- oder DDoS-Attacken wird die Betriebsfähigkeit des Angegriffenen beeinträchtigtDigitale Erpressungen: Es wird eine Gegenleistung dafür gefordert, dass ein Cyber-Angriff unterlassen oder beendet wird. Dabei werden insbesondere gezielte DoS- oder DDoS-Attacken oder Ransomware eingesetzt

Unternehmensspionage: Hier wird gezielt auf die Datenbestände des betroffenen Unternehmens zugegriffen, um so Betriebs- und Geschäftsgeheimnisse für Zwecke des Wettbewerbs zu erlangen

Verschaffung und Einsatz von Zugangsdaten zu eigenen Zwecken: Z.B. im Wege des Phishing oder Pharming wird Zugriff auf Benutzernamen, Passwörter oder Kreditkarteninformationen genommen, um diese für eigene Zwecke zu verwenden.

Ransomware

Dabei handelt es sich um Schadsoftware, die Daten verschlüsselt oder die Nutzung von Computern bzw. mobilen Geräten verhindert. Für die Wiedererlangung der Herrschaft über das infizierte Gerät wird regelmäßig die Zahlung eines Lösegeldes – zumeist in Form anonymer Zahlungsmittel wie Bitcoins – verlangt.

Wird das Lösegeld gezahlt, liegt in rechtlicher Hinsicht eine vollendete Erpressung im Sinne des § 253 StGB vor, andernfalls eine versuchte Erpressung. Beabsichtigt der Täter von Vornherein nicht, trotz Zahlung des geforderten Lösegeldes die verschlüsselten Daten des Opfers wiederherzustellen, liegt darin eine Betrugshandlung im Sinne des § 263 StGB. Weiterhin sind regelmäßig §§ 303a, 303b StGB gegeben.

Was die rechtliche Bewertung der Zahlung angeht, so kann der Tatbestand des § 129 StGB erfüllt sein, wenn ein Lösegeld an eine kriminelle Vereinigung gezahlt wird. Der vorliegende Nötigungsnotstand führt regelmäßig nicht zu einer Entschuldigung gemäß § 35 StGB. Allerdings sind die Voraussetzungen der sog. Mitläufer-Klausel (§ 129 Abs. 5 StGB) in Ransomware-Fällen regelmäßig gegeben, da die finanzielle Unterstützung ebenso wie die Schuld durch die Drucksituation vergleichsweise gering ist. Wenn ein Geschädigter die Strafverfolgungsbehörden einbindet und zum Beispiel die infizierte E-Mail oder Webseite, über die die Schadsoftware auf das jeweilige System geladen wurde, weitergibt, um ein weiteres Verbreiten und damit weitere Straftaten der kriminellen Vereinigung zu vereiteln, können überdies die Voraussetzungen des § 129 Abs. 6, 1. Hs. Nr. 2 StGB vorliegen.

Botnetz

Das ist der Name für eine Sammlung kompromittierter PCs, die ein Angreifer aus der Ferne kontrollieren kann. Dabei nutzen die Täter ein Schadprogramm, um möglichst viele Computer zu infizieren. Die einzelnen PCs eines Botnetzes werden meist „Bots“ oder „Zombies“ genannt.

Wird das Botnetz genutzt, um Daten wie Passwörter, Kreditkartennummern oder sonstige Daten abzufangen, erfüllt dies den Tatbestand des § 202b StGB. Bei Einsatz der Botnetze zur gezielten Wirtschaftsspionage sind zusätzlich die Normen des UWG heranzuziehen. Ferner kann eine Strafbarkeit nach § 303b StGB bejaht werden, wenn das Botnetz für DDoS-Attacken genutzt werden sollte. Hinzu kommt eine mögliche Strafbarkeit aus § 303a StGB, wenn der Täter das Botnetz einsetzt, um Daten auf fremden Systemen zu löschen oder unbrauchbar zu machen.

DDoS-Angriff

Ein DDoS-Angriff ist eine spezielle Art der Cyber-Kriminalität. Der Distributed-Denial-of-Service (DDoS) ist ein „verteilter“ Denial-of-Service (DoS), der wiederum eine Dienstblockade darstellt. Diese liegt vor, wenn ein angefragter Dienst nicht mehr bzw. nur noch stark eingeschränkt verfügbar ist.

Bitcoins

Bitcoins fungieren seit 2009 als elektronische Währung, deren wichtigstes Merkmal die Freiheit von einer zentralen Kontrollinstanz oder Ausgabestelle ist. Die Wahrung der Pseudonymität der Nutzer ist dabei entscheidender Faktor. Eine Besonderheit des Bitcoin-Systems im Vergleich zu klassischen Währungen ist die Begrenzung der Gesamtmenge aller Bitcoins auf 21 Mio. Stück. Allerdings ist der Bitcoin-Kurs großen Schwankungen unterworfen. Selbst wenn die Höchstzahl an Bitcoins erreicht wird, wird der Handel mit Bitcoins weiterhin möglich sein, da Bitcoins teilbar sind.

Bitcoin-Transaktionen ähneln, einfach gesagt, Banküberweisungen. Bei einer Transaktion werden aus dem elektronischen Portemonnaie des Absenders Bitcoins in die elektronische Geldbörse des Empfängers transferiert. Im Unterschied zu einer Banküberweisung erfolgt die Transaktion aber peer-to-peer, also ohne den Umweg über eine zentrale Instanz. Die Nachverfolgbarkeit und Autorisierung des Zahlungsvorgangs werden durch den Einsatz zweier kryptografischer Schlüssel sichergestellt.

Die Geheimhaltung der eigenen Identität ist bei der Nutzung des Bitcoin-Systems weitgehend möglich, weshalb Bitcoins als Zahlungsmöglichkeit bei illegalen Geschäften besonders beliebt sind.

Bitcoins können dem Verfall nach § 73 StGB bzw. dem Verfall von Wertersatz von Wertersatz nach § 73a S. 1, 1. Var. StGB (str.) unterfallen. Auch wird eine Sicherstellung von Bitcoins im Ermittlungsverfahren durch Beschlagnahme gemäß §§ 111b Abs. 1 S. 1, 111c Abs. 3 S. 1 StPO bzw. dinglichen Arrest gemäß § 111d StPO (str.) befürwortet; bzgl. letzterem sollen die Vorschriften über die Sachpfändung nach §§ 808 ff. ZPO analog angewendet werden. Hierbei wird vorgeschlagen, dass die privaten Schlüssel gepfändet werden (d.h. auf einen behördeneigenen Datenträger kopiert werden und die Kopien beim Betroffenen gelöscht werden oder der Datenträger des Betroffenen selbst in Gewahrsam genommen wird) und die Bitcoins anschließend auf einen behördeneigenen öffentlichen Schlüssel überwiesen werden.

Skimming

Skimming (engl. für „Abschöpfen“) ist ein englischer Begriff für einen Man-in-the-Middle-Angriff, der illegal die Daten von Kreditkarten oder Bankkarten zum Kreditkartenbetrug ausspäht. „Beim Skimming werden illegal Kartendaten erlangt, indem Daten von Magnetstreifen ausgelesen und auf gefälschte Karten kopiert werden. Mit der gefälschten Karte erfolgt dann eine Abhebung bzw. Bezahlung zulasten des rechtmäßigen Karteninhabers.

Der BGH hat entschieden, dass zu der Fälschung von Zahlungskarten mit Garantiefunktion bei Erlangung der Kartendaten mittels Skimming durch das Auswerten und Systematisieren der Videoaufzeichnungen der PIN-Eingaben sowie dem Erfassen der ausgelesenen Kartendaten der Kunden auf einem Datenträger noch nicht unmittelbar zur Tat angesetzt wird.

Phishing

Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Es handelt sich meist um kriminelle Handlungen, die Techniken des Social Engineering verwenden. Phisher geben sich als vertrauenswürdige Personen aus und versuchen, durch gefälschte elektronische Nachrichten an sensible Daten wie Benutzernamen und Passwörter für Online-Banking oder Kreditkarteninformationen zu gelangen. Phishing-Nachrichten werden meist per E-Mail oder Instant-Messaging versandt und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben.

Pharming

Pharming ist eine Betrugsmethode, die durch das Internet verbreitet wird. Sie basiert auf einer Manipulation der DNS-Anfragen von Webbrowsern (beispielsweise durch DNS-Spoofing), um den Benutzer auf gefälschte Webseiten umzuleiten. Es ist eine Weiterentwicklung des klassischen Phishings.

Eine Methode dabei ist die lokale Manipulation der Host-Datei. Dabei wird unter Zuhilfenahme eines Trojanischen Pferdes oder eines Virus eine gezielte Manipulation des Systems vorgenommen mit der Konsequenz, dass von diesem System gezielt gefälschte Websites angezeigt werden, obwohl die Adresse korrekt eingegeben wurde. Benutzer können so beispielsweise auf täuschend echt nachgebildete Seiten einer Bank geleitet werden.

Ping-Anrufe

Ping-Anrufe sind Anrufe, bei denen Verbindungen in der Regel zu Handyanschlüssen hergestellt werden, die nach einem einmaligen Läuten gezielt abgebrochen werden. Das einmalige Anklingeln ist jedoch ausreichend, um eine Rückrufnummer (zu einem hochpreisigen Mehrwertdienst) mit zu übertragen; diese wird im Handydisplay unter entgangene Anrufe angezeigt. Aus Höflichkeit oder Neugierde fühlt sich der derart Angeklingelte oft dazu verleitet, den vermeintlichen Anrufer zurückzurufen, und tätigt damit ein kostenintensives Telefongespräch.

Ping-Anrufe stellen somit eine Täuschung des Angerufenen über einen tatsächlich nicht bestehenden Kommunikationswusch des Anrufers im Sinne des § 263 StGB dar. Außerdem liegt darin eine Täuschung wegen der zugleich konkludent vorgespiegelten Möglichkeit, einen Rückruf zu dem jeweils mit dem Netzbetreiber vereinbarten Tarif ohne darüber hinausgehende Kosten durchführen zu können.

TOR

TOR, als Akronym für The Onion Router, ist der Name eines Netzwerkes aus ca. 5000 Servern, das über eine frei im Internet erhältliche Software angesteuert werden kann und dessen einzige Funktion es ist, die Identität desjenigen zu verschleiern, der Datenpakete mit einem Zielserver austauscht.

Die TOR-Software sucht sich aus einem Verzeichnis zufällig drei der weltweit betriebenen TOR-Server aus, welche die Weiterleitung der Datenpakete übernehmen. Der erste Server schafft den Zugang zum Netzwerk. Der zweite Server leitet die Pakete weiter. Der dritte Server greift auf die Zielseite zu. Da die Verbindung des Nutzers zum ersten Server sowie die der TOR-Server untereinander mit dem sog. TLS-Protokoll verschlüsselt sind, können keine Bezüge zwischen den einzelnen Kommunikationsvorgängen hergestellt werden. Die vollständige Route der Datenpakete kann also nicht zurückverfolgt werden.

Rücküberweisungs-Trojaner

Hierbei wird dem Zahler nach dessen Anmeldung zum Online-Banking mithilfe einer Schadsoftware ein Zahlungseingang als angebliche Fehlüberweisung in der digitalen Kontoübersicht vorgespiegelt, den es real nicht gibt. Der Zahler wird, vermeintlich vom Zahlungsdienstleister, aufgefordert, diese Zahlung an den vermeintlich Berechtigten oder an eine andere Person zu retournieren.