Phishing ist in

Die Zahl der Phishing-E-Mails nimmt beständig zu. Das Phänomen wird weltweit zum Problem. Die Schäden sind so enorm, dass die Politik in aller Welt beginnt, sich mit Phishing zu beschäftigen; leider nicht koordiniert.

Doch wird Phishing inzwischen auch zum Politikum. So fordert Martina Krogmann (CDU) nun, das wer Phishing-Mails aussendet, selbst strafbar ist, weil erst der Vermögensschaden zu einer Strafbarkeit führe. Der Satz "Diese hinterlistige Abzocke im Internet ist hochkriminell und muss sofort aufhören" lässt allerdings schon die Ungegorenheit der Forderung erkennen. Insbesondere verkennt Frau Krogmann die internationale Dimension des Phishing, die sich nicht mit solchen Parolen bekämpfen lässt.

Die Bundesnotarkammer schlägt vor, den Geschäftspartner zu identifizieren und dazu die qualifizierte elektronische Signatur breit anzuwenden. Wenn Online-Banking aber von der qualifizierten elektronischen Signatur abhängig wäre, dann hätten wir noch kein Online-Banking, weil die Technologie nicht im Browser implementiert ist. Darüber hinaus bietet die qualifizierte elektronische Signatur im Falle des Phishing keinen über SSL hinausgehenden Schutz, denn auch SSL verifiziert (auch basierend auf X.509v3), ob die Daten tatsächlich von dem Rechner kommen, der als der Bank-Rechner bezeichnet wird. Der Irrtum des Phishing-Opfer ist also auch mittels SSL aufzulösen. Das Problem ist vielmehr, dass das Phishing-Opfer gerade dies nicht tut.

Carola Ernesti meint, § 202a StGB reiche aus. Es gehe nur noch darum, dass der Versuch in § 202a StGB nicht strafbar sei. Der Wortlaut ist zwar passend, aber das Kriterium einer Überwindung eines Zugangshindernisses greift nicht, denn das Phishing-Opfer gibt ja die Daten freiwillig ein. Es findet gerade kein Bruch von Gewahrsam statt.

Rolf Jürgen Franke versucht es mit den §§ 269, 270 StGB, denn der Versuch ist strafbar. Dies hat viel für sich, denn der Phisher benutzt die abgefangen Credentials (Pin/Tan) um sie an eine neue Erklärung anzuhängen. Die §§ 269, 270 StGB sind parallel zum Urkundenbegriff ausgestaltet. Die durch das Credential gesicherte Erklärung kommt gerade nicht vom Empfänger. Aber auch hier gilt, dass die Zusendung der Phishing-E-Mail eine reine Vorbereitungshandlung ist.

Ich bin der Meinung, dass es sich letztlich um einen Betrug und/oder Computerbetrug (§§ 263, 263a StGB) handelt. Hier allerdings fehlt es an der Unmittelbarkeit zwischen Täuschungshandlung und Vermögensverfügung, da die Tat des § 269 StGB dazwischen liegt. Die Unmittelbarkeit wurde aber eingeführt, um den Tatbestand des versuchten Betruges nicht uferlos werden zu lassen. Das Kriterium der Unmittelbarkeit könnte man für anachronistisch halten, denn es bewirkt letztlich, dass aberwitzige Betrügereien mit vielen Zwischenhandlungen und einem grossen Vertrauen auf die Dummheit der Menschen (® Einstein) nicht erfasst werden können. Lässt man also …