(openPR) Die Rechtsanwälte der Anwaltskanzlei Dr. Thomas Schulte vertreten bereits seit Jahren Geschädigte, denen durch das Abfangen von Kontozugangsdaten (Phishing) ein Vermögensschaden entstanden ist. Derartige Fälle sind inzwischen Legion und mehrfach durften wir auf dieser Internetseite bereits über diese Form der Kriminalität berichten. Das Bundeskriminalamt in Wiesbaden hat am 20.11.2007 in einer Pressemitteilung verlauten lassen, dass der Schaden aller mit der Computerkriminalität erfassten Delikte im Jahr 2006 bei rund 36 Mill. Euro lag.
Das Abfischen von Kontozugangsdaten, welches in der Kriminalstatistik nicht gesondert ausgewiesen wird, bildet dabei einen Brennpunkt. Von 29.155 Fälle entfallen allein 2.990 Fälle auf das Ausspähen von Daten. Dem entspricht eine Zunahme von 26,4 %. Wie das Ausspähen von Daten in beispielhaft herausgegriffenen Varianten funktioniert, erläutern wir Ihnen nachstehend. Die Vielzahl der von uns in den unterschiedlichsten Varianten betreuten Fälle, ermöglicht es, auch über die sich immer wieder wandelnden Modeerscheinungen auf dem Markt der Internet-Kriminalität zu berichten und vor Gefahren zu warnen. Erfahrungsgemäß wird es für die Täter schwieriger, je mehr ihre Handlungen einer breiten Öffentlichkeit bekannt werden. Wie in einigen beispielhaft herausgegriffenen Varianten entweder Geld vom Konto abgeräumt, ein Schaden im Aktiendepot angerichtet oder in sonstiger Weise auf ein beliebiges Kundenkonto im Versandhandel oder bei Internet-Auktionshäusern zugegriffen wird, erläutern wir Ihnen nachstehend.
Die ältere »klassische« Variante
Interessant ist, dass die verschiedensten Variationen beim Abräumen von Konten offenbar wellenartig auftreten und ebenso wellenartig wieder verschwinden. Haben die Täter mit der einen Variante Erfolg, wird diese über die Presse schnell publik. Zumindest diejenigen Banken, die in ein sicheres Online-Banking investieren, reagieren mit neuen Sicherheitsmerkmalen, um ähnliche Schadensfälle zumindest zukünftig zu vermeiden. Zugleich wird die Öffentlichkeit sensibilisiert, so dass die Kriminalität darauf angewiesen ist, sich neue Tricks und Kniffe auszudenken, um an das Vermögen ihrer Opfer zu gelangen. Demgegenüber stehen Banken, die auch nach den hundertsten Schadensfall immer noch mit veralteten Systemen arbeiten.
Nach der heute nicht mehr so häufig anzutreffenden »klassischen« Variante, wurden Bankkunden per e-Mail aufgefordert, sich wegen einer angeblichen Sicherheitsüberprüfung auf der vermeintlichen Internetseite der eigenen Hausbank ins Online-Banking einzuloggen und dabei auch eine oder mehrere unverbrauchte TAN einzugeben. In Wirklichkeit wurde der Kunde stets nur auf eine gefälschte Internetseite geleitet, die derjenigen der eigenen Hausbank täuschend echt ähnlich sah. Die angebliche Sicherheitsüberprüfung entpuppte sich als ein bloßes Mittel, um vom Geschädigten die nötigen Zugangsdaten zu entlocken. Für die Tätern ist es dann ein leichtes, sich unter dem Namen des Kunden einzuloggen und das Konto abzuräumen.
Diese Variante funktioniert nur über Massen-e-Mails. Die Täter hoffen, etwa beim Versenden einer gefälschte e-Mail der C-Bank, dass sich unter den derart angeschriebenen zumindest eine ansehnliche Anzahl an Kunden der C-Bank finden lässt. Angesicht einer überschaubaren Zahl an Banken in Deutschland, dürfte bei jeder Massen-e-Mail eine durchaus ansehnliche Zahl potentieller Opfer sein. Darunter wird es immer eine gewisse Quote geben, die sich täuschen lässt. Einige Banken machen es den Tätern sogar noch in der Gegenwart besonders einfach, indem sie ihren Kunden veraltete Sicherheitsstandards anbieten. In diesen Fällen erfolgt die Legitimation des Kunden bei Überweisungen im Online-Banking durch ein veraltetes TAN-Verfahren oder es fehlt bereits an einer standardmäßigen Begrenzung des Verfügungsrahmen (Tageslimit). Haben sich die Täter einmal ins Online-Banking des Geschädigten eingeloggt, lässt sich für die Täter häufig auch der abrufbare Verfügungsrahmen einsehen. Dies ermöglicht es den Tätern das Konto durch eine einzige Überweisung exakt bis zum Limit abzuräumen. Nicht selten wird dabei über den Dispositionskredit gleich mit verfügt, so dass sich die Geschädigten von Seiten ihres Kreditinstitutes auch noch mit Kreditzinsen belastet sehen.
Die neuere Variante mittels »Trojaner«
Wer glaubt, auf solche gefälschten e-Mails werde er nicht hereinfallen, kennt möglicherweise noch nicht die neuere Variante, bei der gar keine Notwendigkeit mehr besteht, den Kunden mittels gefälschter e-Mails zu leimen. Bereits in dem Strafurteil des Amtsgerichtes Hamm vom 05.09.2005 (Az. 10 Ds 101 Js 244/05) wurde detailliert beschrieben, wie dies auch anders funktioniert: zunächst wird ein Trojanern auf dem Computer des Geschädigten installiert, den sich der Nutzer beim surfen im Internet oder durch eine e-Mail gefangen hat. Dieser Trojaner beobachtet unerkannt das Nutzerverhalten und greift sämtliche Zugangsdaten zum Online-Banking einschließlich TAN ab, sobald der Geschädigte eine Internetverbindung mit seiner Bank herstellt.
Keine absolute Sicherheit durch Viren- und Trojanerschutzprogramme
Ein regelmäßig aktualisiertes Viren- und Trojanerschutzprogramm bietet zwar einen begrenzten Schutz. Das dieser Schutz niemals 100% erreichen wird, erkennt man schon daran, dass jedes Schutzprogramm erst mit den Informationen gefüttert werden muss, um die aktuellsten und neusten Trojaner überhaupt erkennen zu können. Deshalb existieren Fälle, bei denen der Geschädigte zwar über ein ständig aktualisiertes Schutzprogramm verfügte; das Konto aber trotzdem abgeräumt werden konnte, weil der Trojaner erst im Nachhinein, nach einer weiteren Aktualisierung des Schutzprogramms entdeckt und in den Quarantäneordner verschoben werden konnte.
Welche Rolle kommt dem »Geldboten« zu?
Ist ein Schaden eingetreten, bringt die fachkundige Untersuchung des Computers zwar Aufschluss darüber, ob die Tat mittels Trojaner begangen wurde oder nicht; eine Frage die für die zivilrechtliche Haftung der Bank unter Umständen eine Bedeutung erlangen kann. Selbst wenn man den Trojaner im Nachhinein entdeckt, verrät dieser aber nicht seine Herkunft und damit nicht die Herkunft der Täter. Auch die im Rahmen einer Internetverbindung auf dem Server der Bank hinterlassene IP-Adresse dürfte im Regelfall gefälscht sein.
Allerdings kann ein Konto im Online-Banking nur durch eine Überweisung auf ein anderes Konto abgeräumt werden, dessen Inhaber sich mit Hilfe der Strafverfolgungsorgane fast immer ermitteln lässt. Ein Dritter muss deshalb für die Täter die Rolle des »Geldboten« übernehmen, wobei es für die Täter von Bedeutung ist, dass sie über den »Geldboten« nicht entdeckt werden. Deshalb suchen sich die Täter ihren »Geldboten«, dem meist eine saftige Provision versprochen wird, gerne anonym über das Internet. Der »Geldboten« erhält den Auftrag das auf seinem Konto empfange Geld sofort abzubuchen und mit Hilfe von Western Union ins Ausland zu transferieren. In nicht wenigen Fällen verliert sich die Spur der Täter daraufhin ins osteuropäische Ausland, wo offenbar organisierte Strukturen zum Abfangen von Kontozugangsdaten existieren.
Der »Geldboten« geht übrigens ein hohes strafrechtliches Risiko ein, wenn er sich darauf einlässt für Dritte Geld zu empfangen und gegen Provision weiterzuleiten. Ist der zuständige Staatsanwalt noch unerfahren, wird er den »Geldboten« möglicherweise wegen Beihilfe zum Computerbetrug anklagen. Eine Verurteilung setzt in diesem Fall voraus, dass die Staatsanwaltschaft dem »Geldboten« auch die Kenntnis und Förderung des Haupttat nachweist. Diese Nachweisführung dürfte häufig ins Leere gehen, bedenkt man, dass die Haupttäter häufig im Ausland sitzen und selten ermittelt werden. Wird der angeklagte »Geldboten« von einem erfahrenen Strafverteidiger vertreten, wird er einfach die Aussage verweigern. Gefährlich wird es für den »Geldboten« aber dann, wenn die Staatsanwaltschaft bemerkt, dass noch andere Straftatbestände im Raum stehen: so stellt sich die Geldbotenfunktion häufig als eine Finanzdienstleistung dar. Dazu benötigt man in Deutschland eine Erlaubnis. Da der »Geldbote« darüber regelmäßig nicht verfügt, kommen Straftatbestände nach dem KWG in Betracht. Darüber hinaus ist an Geldwäsche zu denken.
Die neueste Variante: Manipulation von Aktienkursen
Die Problematik mit dem »Geldboten«, der unter Umständen eine Brücke zu den Tätern bildet, ist in der neusten Variante des Abfangens von Zugangsdaten ausgeschaltet. Diese Variante richtet sich gezielt gegen die Inhaber von Online-Depots. Wie schon zuvor nutzen die Täter Trojaner, um die Zugangsdaten zum Depot und mindestens eine unverbrauchte TAN abzufangen. Mit diesen Daten können die Täter dann Order im Namen des Depotkunden erteilen. Beliebt ist es, der Depotbank Order zum Kauf von hochriskanten, meist völlig unbekannten Aktien irgendwo im Ausland zu erteilen, die diese dann in der Annahme ausführt, die Order sei vom eigenen Kunden erteilt worden. Grenzen werden den Täter allenfalls durch den Verfügungsrahmen des Kunden gesetzt.
Wer sich jetzt fragt, welche Interessen Straftäter eigentlich daran haben, im Namen eines völlig unbekannten Depotkunden Order zum Kauf von Aktien ausschließlich für das Depot des Kunden zu erteilen, muss etwas tiefer in die Details gehen, um des Rätsels Lösung aufzuspüren. Nur beim ersten Anschein wird man darauf stoßen, dass die Täter doch eigentlich gar nichts davon haben, in fremden Namen Aktien zu ordern; denn schließlich befinden sich die Aktien nach wie vor im Depot des Kunden, der sie jederzeit auch wieder verkaufen kann. Rein destruktives Verhalten bildet aber dennoch nicht die Motivation der Täter.
Wer sich mit den Details beschäftigt, wird darauf stoßen, dass der Aktienkurs bereits unmittelbar nach dem Kauf wieder deutlich sinkt. Auf diese Weise entsteht auch der Vermögensschaden, denn der Geschädigte kann seine unfreiwillig im Depot gehaltenen Aktien nur noch unter Wert loswerden. Des Rätsels Lösung bildet folgende hypothetische Annahme: Die Täter kaufen offenbar bereits vor der Tat im eigenen Namen oder über einen Mittelsmann in großer Zahl die gleichen Aktien; bevorzugt an einem Börsenplatz im Ausland, um den Ermittlungsbehörden die Aufklärung zu erschweren. Zu diesem Zeitpunkt ist der Kurswert noch niedrig. Das Ausforschen von Zugangsdaten und die anschließende Order zum illegalen Kauf der gleichen Aktien dient offensichtlich nur dem Zweck, den Aktienkurs durch eine große Zahl weiterer Kauforder künstlich in die Höhe zu treiben. Sobald der Kurs durch diese Form der Manipulation gestiegen ist, verkaufen die Täter ihre eigenen Aktien zum hohen Kurswert und streichen den Gewinn ein. Bis der Geschädigte davon etwas bemerkt, ist der Kurs schon wieder im Keller, so dass er auf dem Schaden sitzen bleibt.
Was ist noch alles denkbar?
Die Möglichkeiten des Zugriffs durch die Täter sind nicht auf das Online-Banking oder auf den Zugriff in das Online-Depot beschränkt. Vielmehr kann man auf die gleiche Art und Weise auch alle anderen Internet-Zugangsdaten abgreifen, sei es die Daten für den Zugang in ein beliebiges Internet-Versandhandelskonto oder für den Zugang ins eigene Internet-Auktionshaus etc. Dies ist sogar noch wesentlich einfacher, da Internet-Auktionshäuser und Internet-Versandunternehmen häufig nicht über Sicherheitsmerkmale wie TAN verfügen, die derzeit oft nur von den Banken benutzt werden. Hier müssen die Täter lediglich die PIN abgreifen, um Schaden anzurichten.
Vor dem Hintergrund des jährlichen Schadens sind die beteiligten Unternehmen aufgefordert, bessere und sicherere Zahlsysteme zu entwickeln und den Nutzern zur Verfügung zu stellen.
Auch der Gesetzgeber könnte für mehr Klarheit in Bezug auf die Haftungsfrage im Schadensfall beitragen, indem er beispielsweise die von den Unternehmen bereitgehaltenen Systeme zertifiziert. Den Gerichten wird dann eine Entscheidungshilfe an die Hand gegeben, ob bestimmte Systeme dem Stand der Technik entsprechen oder eher veraltete Sicherheitsmerkmale aufweisen.
Berlin, 08.12.2007
Ulrich W. Schulte, Rechtsanwalt
----
Der Verfasser ist für den Inhalt verantwortlich.
