Schutz des Vermögens

Ausweislich der polizeilichen Kriminalstatistik ist Internetkriminalität im Wesentlichen Vermögenskriminalität: Die verschiedenen Erscheinungsformen des Betruges machen allein 82% der erfassten Straftaten mit dem Tatmittel Internet aus (Bundeskriminalamt, 2010, S. 243). Cyberkriminalität ist aber auch bei nicht oder nicht über das Internet vernetzten informationstechnischen Systemen festzustellen. Besondere Schwierigkeiten bereitet dabei das Phänomen desSkimming, des Auslesens von Bankkarten und späteren Missbrauchs derselben. Schließlich ist noch auf weitere vermögensrelevante Tatbestände hinzuweisen, namentlich die Erpressung – begangen etwa durch sogenannteScareware–, unerlaubtes Glücksspiel und das Erschleichen von Leistungen.

Betrug und Computerbetrug

Betrug (§ 263 Abs. 1 StGB) Betrug im Sinne des Strafrechts (§ 263 Abs. 1 StGB) ist die vorsätzliche Täuschung über eine Tatsache, die dazu führt, dass sich ein Opfer irrt und daher über Vermögen verfügt. Dies muss zu einem Vermögensschaden auf Seiten des Opfers führen, und der Täter muss hierdurch seine eigene Bereicherung beabsichti-gen. Aus Sicht der Cyberkriminalität ist hierfür entscheidend, dass nur einunmittelbar menschlicher Irrtum erfasst wird, nicht hingegen etwa eine fehlerhafte Entscheidung eines Computerprogramms. In solchen Fällen kann nur ein Computerbetrug, § 263a Abs. 1 StGB vorliegen.

Seitdem das Internet wohl zu dem zentralen Medium für das wirtschaftliche Handel-treiben geworden ist, haben sich die altbekannten Betrugskonstellationen auch dorthin verlagert. Da bei Verträgen, die über das Internet abgeschlossen werden, in aller Regel Leistung und Gegenleistung nicht zeitgleich erfolgen, ist diesen ein Insolvenz-, Leistungs-und Zahlungsrisiko inhärent. Dieser wirtschaftliche Nachteil wird allerdings erstens durch den weitaus größeren Markt aufgewogen. Zweitens ist die Diebstahlskriminalität – im Handel vor allem im Rahmen des Ladendiebstahls ein erhebliches Problem – bei

der Internetkriminalität nahezu ausgeschlossen, da sämtlicher Warenversand durch den Verkäufer oder dessen Computersysteme erfolgt.

Juristisch bereitet es keine größeren Schwierigkeiten, die klassischen Formen des Wa-renkreditbetruges oder Leistungskreditbetruges – also Täuschungen über die Zahlungs-fähigkeit oder den Zahlungswillen – und des Waren- oder Leistungsbetruges – also Täuschungen über die Fähigkeit und den Willen, eine Ware zu liefern oder eine Leistung zu erbringen – auch bei Internetsachverhalten unter § 263 StGB zu subsumieren (s. etwa M. Gercke & Brunst, 2009, Rdn. 200 ff.; vgl. ferner Hilgendorf, 2006). Dies gilt auch für Dreieckskonstellationen, wenn ein Täter etwa fremde Kreditkartendaten zur Bezahlung einer Ware oder Dienstleistung verwendet. Lediglich die gesteigerten Anforderungen der Rechtsprechung an die Spezifikation eines Gefährdungsschadens (BGHSt 53, 199) bedürfen kritischer Beobachtung auch durch die Legislative.

Zurückhaltung ist aber geboten, wenn ein Täter eine Ware bestellt und diese plangemäß später unter Berufung auf sein zivilrechtliches Widerrufsrecht zurücksendet, dadurch für eine gewisse Zeit – i.d.R. bis zu zwei Wochen – diese Ware nutzen kann und regelmäßig hierfür keine Kosten tragen muss. Hier ist ein Betrug wohl nur bei »hinreichenden Anhaltspunkte[n] für einen eindeutigen Missbrauch« (Rettenmaier & Kopf, 2007, S. 231) anzunehmen.

Computerbetrug (§ 263a Abs. 1 StGB) Soweit es durch die zunehmende Verwen-dung von informationstechnischen Systemen zu einer Automatisierung von Entschei-dungsprozessen kommt, entfällt mit demmenschlichen Irrtumauch ein Tatbestandsmerk-mal des Betruges. Diese Strafbarkeitslücke wurde bereits frühzeitig und umfassend durch den Tatbestand des Computerbetruges (§ 263a Abs. 1 StGB) geschlossen (Lenckner &

Winkelbauer, 1986; Möhrenschlager, 1986; Tiedemann, 1986), dessen Bedeutung zur Verfolgung von Cyberkriminalität nicht unterschätzt werden kann.

Die Merkmale der Täuschungshandlung und des durch diese Täuschungshandlung her-vorgerufenen Irrtums sind beim Computerbetrug ersetzt durch die Einleitung oder Beein-flussung eines Datenverarbeitungsvorgangs, diese wiederum begangen durch eine von vier Tathandlungen:

• Die praktisch wichtigste Variante davon ist die unbefugte Verwendung von Daten.

Nach in Rechtsprechung und Literatur vorherrschender Auffassung ist die Verwen-dung unbefugt, wenn ein Mensch – an die Stelle der Datenverarbeitungsanlage gedacht – unter Zugrundelegung der durch die Daten vermittelten Informationen getäuscht würde (betrugsspezifische Auslegung).

• Ebenfalls erfasst ist aber auch die unrichtige Gestaltung eines Programms, wobei es umstritten ist, ob es auf den Willen des Verfügungsberechtigten oder aber auf den objektiven Zweck eines Programms ankomme,

• die Verwendung unrichtiger – d.h. nicht mit der Wirklichkeit übereinstimmender – oder unvollständiger Daten, sowie schließlich

• die unbefugte Einwirkung auf den Ablauf, etwa durch Hardware-Manipulationen.

Zum ebenfalls in § 263a StGB geregelten Vorbereitungsdelikt (Abs. 3) siehe sogleich und auch noch unten 7.3.6., S. 117.

Phishing, Skimming und Abofallen als aktuelle Kriminalitätsphänomene Mit Phis-hing bezeichnet man es, wenn Bankkunden durch Täuschungen, etwa durch gefälschte E-Mails oder gefälschte Internetseiten, zur Preisgabe von Zugangs- oder Kreditkartenda-ten verleitet werden und Täter sodann diese Informationen nutzen, um Überweisungen oder Kreditkartenzahlungen zu Lasten des Kunden vorzunehmen. Bei der strafrechtlichen Erfassung dieser Kriminalitätsform sind verschiedenen Stadien zu unterscheiden (zutr.

Seidl & Fuchs, 2010):

1. Der Versand von täuschenden E-Mails oder die Veröffentlichung einer täuschenden Internetseite unterfallen allenfalls den urheber- und markenrechtlichen Strafbe-stimmungen und, nach nicht unumstrittener Auffassung und je nach konkreter Tatsituation, auch der Fälschung beweiserheblicher Daten gemäß § 269 Abs. 1 StGB (Graf, 2007; Heghmanns, 2007; Seidl & Fuchs, 2010, S. 85 ff.).

2. Die Eingabe von Zugangs-, nicht jedoch von Kreditkartendaten durch die Opfer auf der gefälschten Internetseite oder als Antwort auf die gefälschte E-Mail und deren Verarbeitung oder Kenntnisnahme durch den Täter begründet sodann eine Strafbarkeit gemäß § 202c Abs. 1 Nr. 1 StGB, unter Umständen auch nach da-tenschutzrechtlichen Bestimmungen (Seidl & Fuchs, 2010). Eine Gefährdung des Opfervermögens ist nicht hinreichend konkretisiert, um bereits in diesem Stadium einen Betrug bejahen zu können (Popp, 2004; Stuckenberg, 2006).

3. Die missbräuchliche Nutzung der Kreditkarten- oder Bankdaten erfüllt ohne Weite-res den Straftatbestand des Computerbetruges gem. § 263a Abs. 1 StGB (Hegh-manns, 2007; Popp, 2004; Seidl & Fuchs, 2010). Soweit durch die Eingabe dieser Zugangsdaten der Täter zudem Möglichkeiten zur Kenntnisnahme weiterer ge-schützter Daten hat – etwa den aktuellen Kontostand – ist zugleich § 202a Abs. 1 StGB verwirklicht (Heghmanns, 2007; Seidl & Fuchs, 2010).

4. Sodann erfolgt typischerweise eine Weiterleitung der so erlangten Gelder durch – zum Teil gutgläubige – »Finanzagenten« unter Zuhilfenahme von

Sofortüber-weisungen und anonymen Zahlungsdiensten. Hierdurch machen sich diese Finanz-agenten regelmäßig wegen leichtfertiger Geldwäsche (§ 261 Abs. 1 Var. 4, Abs. 2 Nr. 2, Abs. 5 StGB), ggf. auch wegen kreditwirtschaftlicher Verstöße, strafbar (Neuheuser, 2008; Seidl & Fuchs, 2010, S. 90 f.).

Die Strafbarkeitslücken sind daher – entgegen Graf, 2007 – zwar nur als gering zu bewerten (Goeckenjan, 2008). Dennoch befriedigt der Rückgriff auf das Urheber- und Markenrecht und die unvollständige Erfassung aller Phishing-Mails und -Internetseiten nicht. Auch aus Klarstellungsgründen ist daher eine Erweiterung des § 263a Abs. 3 StGB zu erwägen, der sinnvollerweise (zutr. Heger, 2008) in einen eigenständigen Paragraphen verschoben und dabei an § 202c Abs. 1 StGB angepasst werden sollte (Änderung in kursiv):

§ 263b Vorbereiten des Computerbetrugs

(1) Wer eine Straftat nach § 263a Absatz 1 vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes für Zahlungskarten oder Zahlungsdienste, oder

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt,verkauft, sich oder einem anderen verschafft,verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.Absatz 1 ist nicht anzuwenden, wenn die Handlung der Wissenschaft, der Forschung oder der Lehre oder der Erfüllung rechtmäßiger beruflicher oder dienstlicher Pflichten dient.

Durch diese Erweiterung des § 263a Abs. 3 StGB könnte auch auf die neuere Rechtspre-chung reagiert werden, welche das Auslesen von Bankkarten durch Manipulation von Bankautomaten oder Türöffnern (Skimming) als nicht gemäß § 202a Abs. 1 StGB straf-bar erachtet: Im Gegensatz zu chip-basierten Lösungen lassen sich die Magnetstreifen solcher Bank- und Kreditkarten ohne Überwindung einer Zugangssicherung auslesen (BGH NStZ 2010, 275; BGH NStZ 2010, 509; BGH JR 2010, 497; Gräfin Tyszkiewicz, 2010, Schiemann, 2010; anders noch BGH NStZ 2005, 566). Das spätere Aufspielen dieser ausgelesenen Daten auf Blanko-Magnetkarten kann allerdings ohne Weiteres als Fälschung von Zahlungskarten (§ 152b StGB; s. hierzu BGH, Beschl. v. 14.9.2010 – 5 StR 336/10 –), deren Verwendung sodann als Computerbetrug (§ 263a StGB) strafrecht-lich geahndet werden. Wegen der Mögstrafrecht-lichkeit, mithilfe dieser Magnetkarten sich etwa auch den Kontostand anzeigen zu lassen, kann man mit gewissen Bedenken bereits im Auslesen der Bankkarten eine Vorbereitungsstraftat nach § 202c Abs. 1 Nr. 1 StGB sehen.

Erneut sprechen aber die besseren Gründe für eine entsprechende Erweiterung des § 263a Abs. 3 StGB.

Als Abofallen oder Kostenfallen werden Internetangebote bezeichnet, bei denen Kunden über die Kostenpflichtigkeit des Angebots getäuscht werden. Zumeist handelt es sich dabei

um anderswo im Internet kostenlos verfügbare Leistungen; die Preisangaben finden sich zumeist an nur versteckter Stelle. Wie Eisele (2010) überzeugend darlegt, verwirklichen die Akteure – übrigens auch Rechtsanwälte, die sich in Kenntnis der Umstände an diesen Machenschaften beteiligen – regelmäßig einen (versuchten) Betrug i.S.d. § 263 Abs. 1 StGB. Daher ist zu begrüßen, dass in einem solchen Fall nunmehr das OLG Frankfurt am Main die Anklage zugelassen hat (Beschl. v. 17.12.2010 – 1 Ws 29/09 –); dies zeigt auch, dass insoweit den Strafverfolgungsakteuren ein ausreichendes Instrumentarium zur Verfügung steht.

Nur noch geringe praktische Relevanz haben schließlich so genannte Dialer, also Schad-programme, die kostenpflichtige, teure Wählverbindungen herstellen und so zu erhebli-chen Vermögensverschiebungen zwiserhebli-chen Opfer und Täter führen. Daher kann diesbe-züglich auf die Aufarbeitung in der juristischen Literatur verwiesen werden (M. Gercke

& Brunst, 2009, Rdn. 209 ff. m.w.N.).

Erpressung; Unerlaubtes Glücksspiel; Erschleichen von Leistungen

Auch Erpressungen (§ 253 Abs. 1, Abs. 2 StGB) machen vor dem Internet nicht halt: So existiert beispielsweise Schadsoftware, die den Benutzer zur Zahlung eines Geldbetrages auffordert. Andernfalls werden Daten des Benutzers unwiderruflich gelöscht. Die Ver-breitung solcherScarewarelässt sich ohne Weiteres strafrechtlich als Erpressung ahnden, da insoweit mit einem empfindlichen Übel – dem Löschen wichtiger Daten – gedroht und hierdurch der Betroffene zu einem Vermögensopfer genötigt wird.

Ein schwieriges Feld ist hingegen die strafrechtliche Erfassung des unerlaubten Glücks-spiels. Dies liegt weniger an den Straftatbeständen der §§ 284 ff. StGB denn an der europarechtlichen Überformung des Glücksspielrechts, welche zu einer unklaren Geset-zeslage über die Legalität und Illegalität von Glücksspielangeboten, auch im Internet, geführt hat (vgl. u.a. EuGH NJW 2009, 3221; EuGH MMR 2010, 838; EuGH MMR 2010, 840; EuGH MMR 2010, 844; EuGH MMR 2010, 854; EuGH EuZW 2010, 668;

EuGH EuZW 2010, 947; Dederer, 2010; Lober & Neumüller, 2010; Spindler, 2010). Dies ist eine im Wesentlichen ordnungsrechtliche Vorfrage, die hier nicht vertieft behandelt werden kann.

Zuletzt sei noch auf den Straftatbestand des Erschleichens von Leistungen (§ 265a Abs. 1 StGB) hingewiesen, der eine weitere Lücke der Betrugsstrafbarkeit auch bei Cyberkriminalität schließt. Tatobjekte sind – neben dem archetypischen Schwarzfahren – auch öffentlichen Zwecken dienende Telekommunikationsnetze, was weit ausgelegt wird und daher auch DSL-Anschlüsse, WLAN-Router usw. erfasst (M. Gercke & Brunst, 2009, Rdn. 218). Zusätzliches Erfordernis ist die Entgeltlichkeit der konkret erschlichenen Leistung. Hieran fehlt es bei Zugriffen auf unzureichend gesicherte private WLAN-Netzwerke, so dass insoweit eine Strafbarkeit ausscheidet. Schließlich aber ist noch ungewiss, ob es für die Tathandlung des Erschleichens auch hier ausreicht, ob sich

der Täter mit dem Anschein der Ordnungsgemäßheit seines Verhaltens umgibt (vgl.

BGH NJW 2009, 1091, 1092 zum Schwarzfahren). Festzuhalten ist aber, dass die – zivilrechtlich unzulässige – Nutzung eines fremden, ungesicherten und nicht gegen Entgelt angebotenen WLAN-Netzwerks (»Schwarz-Surfen«) unter keinem rechtlichen Gesichtspunkt strafbar (und im Übrigen auch nicht strafwürdig) ist (LG Wuppertal K&R 2010, 838; Ernst & Spoenle, 2008; Gramespacher & Wichering, 2010; a.A. noch AG Wuppertal NStZ 2008, 161).

7.3.5. Schutz des geistigen Eigentums