Home | Anwaltsuche | Fachartikel | Autoren | Für Anwälte | Jura | Kontakt
 
 
Navigation
»Arbeitsrecht
»Baurecht und Architektenrecht
»Erbrecht
»Familienrecht
»Handels- und Gesellschaftsrecht
»Insolvenzrecht
»Internetrecht - Onlinerecht - Ebay
»Medizinrecht
»Mietrecht und Pachtrecht
»Sozialrecht
»Steuerrecht
»Strafrecht
»Transport- und Speditionsrecht
»Urheber- und Medienrecht
»Verkehrsrecht
»Versicherungsrecht
»Verwaltungsrecht

»Abfallrecht
»Agrarrecht
»Aktienrecht
»Architekten- und Ingenieurrecht
»Arzt- und Kassenrecht
»Arzthaftungsrecht - Arzthaftung
»Bank- und Börsenrecht
»Baurecht, privates
»Binnenschifffahrtsrecht
»Datenschutzrecht
»Deutsch-spanisches Recht
»Energiewirtschaftsrecht
»Familienrecht, internationales
»Forderungseinzug
»Gewerberecht
»GmbH-Recht
»Haftungsrecht, freie Berufe
»Haftungsrecht, Steuerberater
»Handels- und Wirtschaftsrecht
»Immobilienrecht
»Internationales Privatrecht
»Internationales Recht
»Jagd- und Waffenrecht
»Jugendstrafrecht
»Kapitalanlagenrecht
»Kapitalstrafrecht
»Kaufrecht
»Leasingrecht
»Maklerrecht
»Marken- und Domainrecht
»Medienrecht
»Nachbarrecht
»Opferschutzrecht
»Pferderecht
»Presserecht
»Printmedienrecht
»Produkthaftungsrecht
»Recht des öffentlichen Dienstes
»Reiserecht
»Rentenrecht
»Schadenersatzrecht
»Schuldrecht
»Sportrecht
»Steuerstrafrecht
»Strafverfahrensrecht
»Strafvollzugsrecht
»Telekommunikationsrecht
»Verbraucherinsolvenz
»Vereins- und Verbandsrecht
»Vergaberecht
»Verkehrsstrafrecht
»Verkehrsverwaltungsrecht
»Vermögensrecht
»Vertragsrecht
»Wehrrecht
»Wettbewerbsrecht - Werberecht
»Wirtschaftsrecht
»Wirtschaftsstrafrecht
»Wohnungseigentumsrecht
»Zivilrecht, allgemein
»Zwangsvollstreckungs-Recht
 
Sie befinden sich hier: Startseite / Fachartikel / Internetrecht - Onlinerecht - Ebay / Kriminalität im Internet -
   Internetrecht - Onlinerecht - Ebay
Kriminalität im Internet -
 
Autor: Dr. iur. Thomas Schulte
Kanzlei: Dr. Schulte und Partner - Rechtsanwälte
Ort: 10717 Berlin
erstellt am: 26.10.07
 
Profil anzeigen
mehr Fachartikel dieses Autors
mehr Internetrecht - Onlinerecht - Ebay
Artikel drucken
     

Kriminalität im Internet -
Abfischen (Phishing) von (Konto-) Zugangsdaten, Kreditkarteninformationen und andere kriminelle Erscheinungsformen des Internets in der Rechtspraxis

Heute scheinen die Zeiten vorbei zu sein, als das Gaunertum noch als Kriminalitätsfeld von umherstreichenden Landstreichergruppen galt, wie sie etwa im dem posthum erschienenen Werk „Geschichte des Verbrechens“ des berühmten Juristen Gustav Radbruch (1878-1949) in einem eigenen Kapitel beschrieben wird. Der Kriminelle von heute macht sich nicht mehr die Finger schmutzig, sondern allenfalls die Tasten an seinem Computer. Täter und Opfer bekommen sich dank der Anonymität des Internets selten zu Gesicht und der Täter setzt gezielt die Möglichkeiten von Massenkommunikationsmitteln ein. Interessant ist jedoch, dass alle diese neuen Kriminalitätsentwicklungen im Bereich des Internets wie Wellen von begrenzter Dauer daherkommen, nach wenigen Jahren wieder verschwinden, sobald ein gewisser Grad an Sensibilisierung vorhanden ist und später, in einer nur leicht veränderter Variante, erneut hervorbrechen. Dahinter steckt das zeitlos gültige Phänomen, dass Kriminalität sich stets andere Erscheinungsformen sucht. Hinter jeder vorbeigerauschten Welle wird meist schon die nächste sichtbar.
Als alles begann?

Viele erfahrene Internetnutzer erinnern sich noch an die ominösen e-Mails der sogenannten „Nigeria-Connection“, die ab den 1990iger Jahren als Kriminalitätswelle auch Deutschland erreicht hat und den Empfängern der e-Mails große Summen Geldes (Provisionen) versprach, wenn sie vermeintlichen afrikanischen Geschäftsleuten behilflich seien, riesige Dollarbeträge außer Landes zu schaffen. Allerdings wurde zur Geschäftsabwicklung erst einmal ein kleiner Vorschuss erbeten und sobald der eingezahlt war, hörte man nie wieder etwas von den Absendern. Die Geschichten, die in diesen e-Mails erzählt wurden, waren nicht nur stets abenteuerlich, sondern auch in einem radebrechenden deutsch verfasst. Wohl aus diesem Grund dienen die e-Mails der „Nigeria-Connection“ heute im wesentlichen zur Erheiterung der Leserschaft in diversen Internet-Foren.

Die klassische Variante des Abfischens sensibler Daten
Doch die Internet-Kriminalität beschränkt sich schon lange nicht mehr auf die Fälle, die eher als gewollt, aber nicht als gekonnt einzustufen sind. Als abfischen bezeichnet man die vielfältigen Versuche, an die Passwörter und Zugangsdaten für das Online-Banking zu gelangen, um auf diese Weise das Bankkonto eines Internetnutzers leerzuräumen. Im englischen wurde für dieses Phänomen ein eigener Begriff geschaffen: „Phishing“, ein Wortspiel, welches sich aus „password fishing“ (Passwörter fischen) zusammensetzt.

Diese nicht mehr ganz so neue Kriminalitätswelle zeichnet sich dadurch aus, den Nutzer auf eine vertrauenswürdige Internetseite zu locken. Dazu wurden und werden Massen-e-Mails generiert und in ihnen ein Link eingebaut, der auf eine gefälschte und präparierte Internetseite verweist. Der Inhalt dieser Massen-e-Mails unterscheidet sich im Tenor nur unwesentlich: „Sehr geehrter Herr XY, aufgrund von aktuellen Sicherheitsproblemen bitten wir Sie, sich in das Online-System Ihrer Hausbank einzuloggen. Folgen Sie dazu einfach unserem Link unter (…)“. Fällt der Internetnutzer auf diesen Link herein, öffnet sich eine neue Seite, die rein äußerlich eine Kopie der Internetseite der eigenen Hausbank abbildet. Dort soll der Internetnutzer seine Zugangsdaten und möglichst auch eine oder gleich mehrere unverbrauchte TAN-Nummern preisgeben. Das Eingeben der Zugangsdaten ist dabei nichts ungewöhnliches, weil es der Normalvorgang vor jeder Online-Überweisung ist. Ungewöhnlich ist nur, dass bereits auf der Startseite nach einer unverbrauchten TAN-Nummer gefragt wird. Im Anschluss wird dann das Konto des Bankkunden abgeräumt. Damit der Nutzer keinen Verdacht schöpft, ist der Betrüger darauf angewiesen Vertrauen zu schaffen. Dies geschieht mit Methoden, die sich zwar inhaltlich, aber nicht wesentlich von den Methoden eines Hauptmann von Köpenick aus dem vergangenen Jahrhundert unterscheiden.

Daten ausspähen durch Vertrauen schaffen
Ausgerechnet am Amtsgericht Berlin-Neukölln, in dessen Gerichtsbezirk auch der historische Hauptmann von Köpenick lebte, verhandelten die Rechtsanwälte der auf das Internet- und Bankrecht spezialisierten Kanzlei Dr. Thomas Schulte zuletzt im Oktober 2007 einen ihrer jüngsten Phishing-Fälle, über den gegenwärtig noch nicht abschließend entschieden wurde (Az. 18 C 292/07).

Während Kommunikations- und Sozialwissenschaftler für dieses Betrugs-Phänomen nach neuen Begrifflichkeiten suchen und von einem „social engineering“ reden, sprechen die Rechtsanwälte von „uraltem, aber gefährlichem Käse“, dessen Muster und Methoden man bereits aus Carl Zuckmayers Tragikomödie entnehmen kann. Der historische Friedrich Wilhelm Voigt, besser bekannt als Hauptmann von Köpenick, schuf im Kaiserreich des Jahres 1906 vertrauen, indem er sich eine Militäruniform anzog. Heute wird Vertrauen durch ein geradezu perfektes Design geschaffen. Die gefälschten e-Mails enthalten nicht nur das markengeschützte Logo der kontoführenden Bank und sind sprachlich in perfektem deutsch gehalten. Häufig weisen die e-Mails auch die Leitfarbe der jeweiligen Bank auf (rot für die Sparkasse, blau für die Deutsche Bank oder die Citibank etc.). Die Täter nutzen dabei die Möglichkeiten des Massenversandes von e-Mails. Im Idealfall generiert der Computer in der Anredezeile sogar den Familiennamen des Empfängers, sofern dieser aus der e-Mail-Adresse hervorgeht. Eine persönliche Anrede schafft Vertrauen und so wundert es nicht, dass unter den derart geprellten fast alle Bevölkerungskreise zu finden sind, Akademiker wie Nichtakademiker.

Natürlich weiß der Täter zunächst nicht, bei welcher Bank der Empfänger sein Konto führt. Das ist bei Massen-e-Mails aber auch nicht wesentlich. Da fast jeder Bürger ein oder mehrere Konten besitzt und die Anzahl der Banken und Bankgruppen überschaubar sind, ist es nur eine Frage der Wahrscheinlichkeit unter 10.000 angeschriebenen Empfängern einer perfekt nachgestalteten Massen-e-Mail, eine beachtliche Anzahl an Treffern zu landen.

Neuere Kriminalitätsentwicklung
Die klassische Welle des Abfischens von Kontodaten mittels e-Mails und gefälschter Internetseiten ist aber inzwischen schon fast wieder vorüber, da die meisten Banken inzwischen mit neuen Sicherheitsmerkmalen im Online-Banking (i-TAN-Verfahren) reagiert haben und es Betrügern zumindest nicht mehr ganz so einfach mache

Neue Gefährdungen, durch die selbst das moderne i-TAN-Verfahren wirkungslos ist, lauern dann, wenn der Täter es schafft, sich zwischen die Kommunikationspartner Bank und Kunde, etwa im Rahmen eines Rechennetzes einzuschalten. Dann kann der Täter die Kontrolle über den Datenverkehr übernehmen und durch diese Zwischenschaltung dem Kunden das Vorhandensein seiner Bank als Kommunikationspartner vortäuschen und so Daten abgreifen.

Eine andere hochaktuelle Kriminalitätswelle besteht darin, nicht bloß Zugangsdaten im Online-Banking, sondern auch andere Zugangsdaten abzugreifen, etwa den Zugang zu Online-Versandhäusern, Internet-Auktionshäusern oder webbasierter Onlineberatung. Die meisten dieser Systeme bieten den Vorteil ihrer Anfälligkeit, weil sie häufig noch nicht einmal die Sicherheitsmerkmale eines i-TAN-Systems aufweisen, wie es im Online-Banking praktiziert wird. Auch ist es häufig nicht erforderlich, den Betrogenen durch eine geschickt gestaltete e-Mail zur Preisgabe seiner Zugangsdaten zu bewegen. Das schaffen Trojaner, kleine Computerprogramme, die im Hintergrund agieren.

Zivilrechtliche Möglichkeiten
Die zivilrechtlichen Möglichkeiten der unmittelbaren Inanspruchnahme des oder der Täter scheitern in der Rechtspraxis häufig daran, dass es dem Opfer an Informationen fehlt. Regelmäßig dauert es Wochen, wenn nicht sogar Monate bis er erfährt oder diese Information auf dem Rechtsweg durchgesetzt hat, auf wessen Konto sein Geld geflossen ist. Solange das Opfer nicht weiß, wohin sein Geld geflossen ist, kann er auch keinen Beklagten benennen und ihm eine Klage zustellen lassen. Ein weiteres praktisches Problem ergibt sich daraus, dass die Täter häufig „Strohmänner“ zwischenschalten, die nicht selten im Internet oder auf der Straße angesprochen und gefunden werden, manchmal ahnungslos, häufig aber vermögenslos sind.

In diesem Fall verbleibt nur der Weg, eine Anspruchsgrundlage gegenüber dem Plattformbetreiber, sei es die kontoführende Bank oder das Internet-Auktionshaus etc. zu prüfen. Die Erfolgsaussichten hängen stark vom Einzelfall ab; insbesondere davon, ob dem Plattformbetreiber eine Obliegenheitsverletzung anzulasten ist, etwa indem er ein technisch nicht ausgereiftes und veraltetes Sicherheitssystem angeboten hat. Natürlich spielt auch ein etwaiges Verschulden des Kunden im Umgang mit seinen Daten eine Rolle. Auch weisen die meisten Fälle des Abfischens sensibler Daten noch ein vergleichsweise junges Datum auf, so dass sich noch keine gefestigte Rechtsprechung der Obergerichte herausgebildet hat. Erfolglos muss die Inanspruchnahme keinesfalls sein; sie ist aber einzelfallabhängig.

Auch besitzt die kontoführende Bank, die fast immer über die Information verfügt, wohin das Geld vom abgeräumten Konto floss, durchaus eine rechtliche Handhabe, sich selbst an einem bloßen „Strohmann“, schadlos zu halten. Das Landgericht und das Oberlandesgericht der Freien und Hansestadt Hamburg haben einer Bank übereinstimmend einen Anspruch gegen denjenigen zugebilligt, auf dessen Konto ein Geldbetrag im Rahmen einer illegalen Geldtransaktion zugeflossen war, welches der derart Begünstigte wiederum an Dritte ausgekehrt hatte (LG Hamburg, Urt. v. 18.05.2006 – 334 O 10/06; OLG Hamburg, Beschl. v. 02.08.2006 – 1 U 75/06). Dabei sei es unerheblich, ob der „Strohmann“ von den illegalen Aktivitäten der Täter Kenntnis hatte oder nicht.

Mangelnde Strafverfolgung des Staates
Fehlen dem betrogenen Internetnutzer die dringend benötigten Nachweise, um auf zivilrechtlichem Weg, Haftung und Schadensersatz durchzusetzen, ist er auf die Hilfe des Staates im Rahmen der ihm obliegenden Strafverfolgung angewiesen.

Ein Berliner Opfer, welches im Januar 2007 durch das Abfischen sensibler Daten im Internet betrogen wurde und dem dadurch ein nicht unerheblicher Schaden im vierstelligen Bereich entstanden war, hat nach einer umgehend gestellten Strafanzeige auch nach Ablauf von über zehn Monaten nicht mehr als eine Eingangsbestätigung des Berliner Polizeipräsidenten erhalten. Die Erfahrung des unterzeichnenden Rechtsanwaltes geht dahin, dass Strafverfolgungsbehörden gegenüber Tätern nicht in jedem Fall angemessen reagiert haben, da zwischen Strafanzeige und Anklage häufig zu viel Zeit verging, wenn es überhaupt zur Anklage kam.

Doch wie schrieb schon der große Gustav Radbruch zu den Räuberbanden vergangener Jahrhunderte, um noch ein letztes mal den historischen Vergleich zu bemühen: „Dass man dieses Räubertums schließlich doch noch Herr wurde, ist wie beim Gaunertum nicht so sehr auf die Tatkraft der Polizei und der Justiz zurückzuführen als auch hier wieder auf die großen geschichtlichen Ereignisse und wirtschaftlichen Veränderungen“.

Autor (ViSdP): Dr. iur. Thomas Schulte, Dr. Schulte und Partner - Rechtsanwälte, 10717 Berlin


Das Datum, an dem dieser Artikel eingestellt wurde, entspricht nicht zwingend dem Tag der Erstellung dieses Artikels. Bitte informieren Sie sich im Zweifel beim Autor oder einem anderen Fachmann über die Aktualität und Richtigkeit der Inhalte.


Anzeige:

 
SeitenanfangSeitenanfang
 

Anwaltzentrale.de – Ein Service der cemore GmbH
Lindenstraße 102a | 49393 Lohne | Deutschland
Tel.: +49 4442/8027-0 | Fax.: +49 4442/8027-29 | E-Mail: info@cemore.de

Impressum | Anwaltsuche | Fachartikel | Autoren | Für Anwälte | Über uns | Kontakt | Fachartikel Sitemap

Anwaltzentrale.de führt keine Rechtsberatung durch.
Alle verwendeten Markennamen und Bezeichnungen sind eingetragene Warenzeichen und Marken der jeweiligen Eigentümer.