Rechtslage und Statistiken zu Identitätsdiebstahl

Betrug ist ein Straftatbestand nach § 263 StGB. Der § 263a StGB Computerbetrug, der nachfolgend zitiert ist, erweitert § 263 StGB um die Bereiche Internetkriminalität und Computerbetrug, siehe [Fisc09, § 263a]:

(1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Ver-mögensvorteil zu verschaffen, das Vermögen eines anderen dadurch be-schädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst, wird mit Freiheits-strafe bis zu fünf Jahren oder mit GeldFreiheits-strafe bestraft.

(2) § 263 Abs. 2 bis 7 gilt entsprechend.

(3) Wer eine Straftat nach Absatz 1 vorbereitet, indem er Computerpro-gramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen über-lässt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe be-straft.

(4) In den Fällen des Absatzes 3 gilt § 149 Abs. 2 und 3 entsprechend.

In der Randnummer 11a zum § 263a StGB ist die Anwendung von § 263a Absatz 3 für die in dieser Arbeit diskutierten Betrugsart der Verwendung von Zugangscodes für den Kon-tenzugriff beim Online-Banking gegen den (erkennbaren) Willen des Berechtigten ausge-führt, siehe [Fisc09, § 263a Rdnr. 11a]. Für das Erreichen des Ziels, das vorangehende Abfangen bzw. das Vorbereiten zum Ausspähen von fremden Daten ebenfalls unter Stra-fe stellen zu können, wurden im Jahr 2007 zusätzlich zum bereits bestehenden § 202a StGB die §§ 202b und 202c StGB neu in das Strafgesetzbuch eingefügt [Fisc08, Vorwort zur 55. Auflage]. Aus den §§ 202a, 202b und 202c StGB ist ersichtlich, dass allein das Ausspähen und Abfangen der geheimen Daten von Bankkunden bzw. dessen Vorberei-tung mit Freiheitsstrafen von bis zu einem, zwei oder drei Jahren bestraft werden kann.

Auch die Mittelsmänner, die das erbeutete Geld z.B. ins Ausland weiterleiten, gehen nicht straffrei aus. Diese Personen gelten aufgrund mangels hinreichend konkretisiertem

Vor-satzes nicht als Gehilfen im Sinne des § 263a StGB [Fisc09, § 263a Rdnr. 25], aber wie ein Urteil des Amtsgerichts Neunkirchen vom 13.03.2007 zeigt, werden diese Mittelsmän-ner auch bestraft. In diesem konkreten Fall wurde ein Ehepaar wegen gemeinschaftlicher Geldwäsche in Tateinheit mit gemeinschaftlicher fahrlässiger Erbringung von Finanz-dienstleistungen ohne Erlaubnis zu einer Geldstrafe verurteilt, siehe [Arbe07].

Die zivilrechtliche Haftung nach einer illegalen Kontoplünderung durch einen erfolgreichen Identitätsdiebstahl ist wie folgt geregelt: Bei jeder Online-Überweisung erwirbt die Bank einen vertraglichen Erstattungsanspruch gegenüber dem Kunden in Höhe des Transakti-onsbetrags. Dieser Erstattungsanspruch entsteht nur bei einer rechtmäßigen Überwei-sung, die aber bei einer Transaktion durch einen unberechtigten Dritten nicht zustande kommt. Um diesen Erstattungsanspruch dennoch geltend machen zu können, muss die Bank nachweisen, dass der Kunde den Missbrauch schuldhaft zu vertreten hat, indem er seine Sorgfaltspflicht verletzt hat. Die Kreditinstitute haben in der Regel Schwierigkeiten, diesen Beweis gegenüber ihren betrogenen Kunden zu führen. Die Bank hat in einem solchen Fall lediglich einen Erstattungsanspruch gegen den Betrüger, falls dieser ausfin-dig gemacht werden kann. Ist dies nicht der Fall, trägt das betroffene Kreditinstitut den Schaden. Allerdings muss der Kunde vor der Rückzahlung durch das Kreditinstitut Anzei-ge bei der Polizei Anzei-geAnzei-gen den BetrüAnzei-ger bzw. AnzeiAnzei-ge Anzei-geAnzei-gen Unbekannt erstatten. [Spei07, S. 304 - 307]

Hierzu existiert ein Urteil des Amtsgerichts Wiesloch vom 20.06.2008, wonach die Bank für den Schaden nach einer geglückten Phishingattacke voll haftet, siehe [Arbe08].

Darüber hinaus entstehen Banken Bearbeitungskosten aufgrund auftretender Betrugs-transaktionen und nicht zuletzt schaden erfolgreiche Identitätsdiebstähle ebenfalls der Reputation der Kreditinstitute [Reol07, S. 5; Nie05, S. 1] sowie dem Vertrauen der Kunden in die Bankenbranche und Internetgeschäften [Bign06, S. 7; Pate07, S. 3].

Trotz der oben genannten Gesetze gegen Identitätsdiebstahl steigt die Zahl der in diesem Umfeld durchgeführten Betrugsdelikte. Statistiken des Bundesverbands Informationswirt-schaft Telekommunikation und neue Medien zeigen eine bedrohliche Entwicklung in die-sem Bereich. Die Zahlen stammen aus dem Jahr 2007 und spiegeln damit den Zeitraum des Beginns dieser Arbeit wieder, siehe [Bitk08]:

• Im Jahr 2007 gab es in Deutschland 4.100 erfolgreiche Phishingfälle mit einem Schaden von insgesamt 19 Mio. Euro.

• Der durchschnittliche Schaden bei einer illegalen Überweisung lag in Deutschland

• Die Gesamtschadenssumme in Deutschland ist im Jahr 2007 um 25% im Ver-gleich zum Jahr 2006 gestiegen.

• Im Jahr 2007 wurden in Deutschland 25.000 Phishingversuche registriert, wobei die Betrüger dabei eine ebenso hohe Zahl an gefälschten Websites unterhielten.

Die folgenden Zahlen aus der Polizeilichen Kriminalstatistik für 2007 untermauern diesen Trend, siehe [Bund08]:

• Kontoeröffnungs- und Überweisungsbetrug stieg in Deutschland im Vergleich der Jahre 2006 zu 2007 um 36,2% von 13.297 auf 18.116 Fälle. Die Aufklärungsquote verschlechterte sich von 74,8% auf 72,5%.

• Das Ausspähen von Daten nach den §§ 202a, 202b und 202c StGB stieg in Deutschland im Vergleich der Jahre 2006 zu 2007 um 61,5% von 2.990 auf 4.829 Fälle. Die Aufklärungsquote verschlechterte sich von 43,8% auf 32,8%.

• Computerbetrug nach § 263a StGB stieg in Deutschland im Vergleich der Jahre 2006 zu 2007 um 0,4% von 16.211 auf 16.274 Fälle. Die Aufklärungsquote ver-schlechterte sich von 48,9% auf 37,2%.

• Insgesamt stieg die Computerkriminalität in Deutschland im Vergleich der Jahre 2006 zu 2007 um 6,4% von 59.149 auf 62.944 Fälle. Die Aufklärungsquote ver-schlechterte sich von 47,1% auf 42,3%.

Im Jahr 2008 hat sich die Lage noch verschärft, wie die nachfolgenden Zahlen aus der Polizeilichen Kriminalstatistik 2008 belegen, siehe [Bund09]:

• Kontoeröffnungs- und Überweisungsbetrug sank in Deutschland im Vergleich der Jahre 2007 zu 2008 um 11,5% von 18.116 auf 16.039 Fälle. Die Aufklärungsquote verschlechterte sich von 72,5% auf 69,2%.

• Das Ausspähen von Daten nach den §§ 202a, 202b und 202c StGB stieg in Deutschland im Vergleich der Jahre 2007 zu 2008 um 60,0% von 4.829 auf 7.727 Fälle. Die Aufklärungsquote verschlechterte sich von 32,8% auf 29,0%.

• Computerbetrug nach § 263a StGB stieg in Deutschland im Vergleich der Jahre 2007 zu 2008 um 4,5% von 16.274 auf 17.006 Fälle. Die Aufklärungsquote ver-schlechterte sich von 37,2% auf 37,1%.

• Insgesamt stieg die Computerkriminalität in Deutschland im Vergleich der Jahre 2007 zu 2008 um 1,1% von 62.944 auf 63.642 Fälle. Die Aufklärungsquote ver-schlechterte sich von 42,3% auf 40,3%.

Aber nicht nur Deutschland, auch das Ausland hat Probleme mit Identitätsbetrug, wie die nachfolgenden Zahlen zeigen, siehe [Idth08]:

• Eine von zehn Personen in Großbritannien wurde bereits Opfer von Identitätsdieb-stahl.

• Identitätsdiebstahl wuchs um 500% seit dem Jahr 2000 in Großbritannien.

• Identitätsdiebstahl kostet der Wirtschaft Großbritanniens jährlich 1,7 Mrd. Pfund.

• Identitätsdiebstahl kostet der Wirtschaft und den Banken der USA jährlich 56 Mrd.

Dollar.

• In Australien wurden bereits 1,1 Mio. Menschen Opfer von Identitätsdiebstahl.

• In den USA werden jedes Jahr 10 Mio. Menschen Opfer von Identitätsdiebstahl.

In Deutschland wurde im Jahr 2006 bei 1.817,97 Mio. Online-Überweisungen insgesamt ein Betrag von 1.685,58 Mrd. Euro via Online-Banking durch Nichtbanken transferiert [Deut08a]. In diesem Zusammenhang nutzten im Jahr 2008 ca. 22 Mio. Bankkunden das Online-Banking Angebot bei 35 Mio. online geführten Konten, wobei 52,0% der Kunden die bestehenden Sicherheitsvorrichtungen nicht für ausreichend halten [Hamb08;

Bank08]. Trotz dieses hohen Anteils an Personen mit Sicherheitsbedenken zeigt sich eine wachsende Beliebtheit von Online-Banking, da im Jahr 2007 insgesamt 2.476,3 Mio.

Überweisungen in Deutschland via Online-Banking durch Nichtbanken getätigt wurden [Deut08b], dagegen waren es im Jahr 2002 lediglich 767,65 Mio. Transaktionen [Deut08a].

Nach einer Studie von TNS Infratest Shared Services und dem Anbieter für Bankrechenzentrumsdienstleistungen Fiducia IT AG ist von 1.000 befragten Nutzern von Online-Banking insgesamt einem Anteil von 96,7% der Frauen und 92,0% der Män-ner die Sicherheit der wichtigste Faktor beim Durchführen von Online-Überweisungen. Auf der anderen Seite nutzen von den Befragten lediglich 38,9% die als sicher geltenden iTAN- und mTAN-Verfahren und 5,6% das HBCI-Verfahren (siehe Unterabschnitt 2.4.1).

[Fidu08]

Aufgrund dieser genannten Betrugszahlen ist die Notwendigkeit zur Durchführung dieser Arbeit gegeben um auch von Seiten der Wissenschaft einen Beitrag zu leisten, diese alarmierenden Betrugszahlen zu verringern und somit die Situation zu verbessern.