Zum Hauptinhalt springen

Moderner Verbrecher mit Maus und Tastatur

Von Oliver Plöckinger

Wirtschaft

Bankkunden im Visier der Betrüger. | Sind Österreichs Gerichte zuständig? | Wien. So praktisch es auch sein mag seine Bankgeschäfte rund um die Uhr vom eigenen PC aus zu tätigen, so birgt das moderne Online Banking dennoch zahlreiche Gefahren in sich. In den vergangenen Wochen mehrten sich etwa Hinweise darauf, dass organisierte Banden versucht haben sollen, mittels getürkter e-mails sowohl an Zugangscodes (PINs) als auch an die für die einzelnen Transaktionen erforderlichen TANs gutgläubiger Onlinebanking Kunden heranzukommen.


Hinweis: Der Inhalt dieser Seite wurde vor 17 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.

Die Vorgehensweise ist dabei stets die gleiche: Die Opfer werden mittels einer meist recht persönlich gehaltenen, offiziell anmutenden e-mail auf angebliche Sicherheitsmängel beim Onlinebanking hingewiesen und zugleich aufgefordert, eine bestimmte in der e-mail angegebene Website zu besuchen. Auf dieser, der Originalwebsite des Bankinstituts täuschend echt nachgebildeten Phishing-Homepage wird das Opfer aufgefordert, die entsprechenden Daten preiszugeben, die in weiterer Folge unmittelbar in die Hände der Täter gelangen.

Wer ist zuständig?

Für den Strafrechtler stellen sich bei dieser neuen Form von Internetkriminalität mehrere spannende Fragen: Vermag die Tatsache, dass Phishing-Angriffe regelmäßig vom Ausland her gesetzt werden die Zuständigkeit österreichischer Strafgerichte auszuschließen und wenn nein, ist das österreichische StGB bzw. das Nebenstrafrecht überhaupt in der Lage angemessen auf dieses moderne Kriminalitätsphänomen zu reagieren? Die Begründung österreichischer Strafgerichtsbarkeit setzt unter anderem voraus, dass der Täter entweder in Österreich gehandelt hat oder ein entsprechender Erfolg auf österreichischem Staatsgebiet eingetreten ist (§ 67 Abs 2 StGB).

Werden Phishing-mails gezielt und kontrolliert auf einen in Österreich befindlichen Server übermittelt, so ist nach überwiegender Lehrmeinung davon auszugehen, dass der Ort der Tathandlung in Österreich liegt und sich daher österreichische Gerichte mit den Phishing-Attacken zu beschäftigen haben. Dies gilt umso mehr für jene Fälle, in denen das Opfer tatsächlich seine TANs und PIN preisgibt und der Täter mit Hilfe der ausspionierten Daten das Konto plündert. Bei dieser Variante ist der Vermögensschaden auf österreichischem Staatsgebiet eingetreten, so dass der zuständigkeitsbegründende Erfolgsort in Österreich liegt.

Hinsichtlich der strafrechtlichen Würdigung der Phishing-Attacken ist zwischen dem Auskundschaften der Zugangsdaten und/oder TANs (=eigentliches Phishing) sowie dem späteren Benutzen dieser Daten - etwa um Zugriff auf das fremde Konto zu erlangen - zu differenzieren. Das eigentliche Phishen wird vom Tatbestand des § 126c StGB (Missbrauch von Computerprogrammen oder Zugangsdaten) in ausreichendem Maße erfasst. Demnach macht sich strafbar, wer sich einen Zugangscode mit dem Vorsatz verschafft, dass dieser zur Begehung eines betrügerischen Datenverarbeitungsmissbrauchs (§ 148a StGB) gebraucht werde.

Auf welche Art und Weise sich der Täter den Code verschafft ist ohne Belang. Dies kann mittels getürkter e-mails und exakt nachgebildeter Homepages geschehen, es ist aber ebenso gut möglich, dass sich der Täter mittels persönlich adressierter und auf postalischem Weg übermittelter Schreiben an das Opfer wendet. Entscheidend ist einzig und allein, dass der Täter mit dem Vorsatz handelt, die Daten später gewinnbringend zu verwerten. Ist der Täter mit seiner Phishing-Attacke erfolgreich unterfällt jede unbefugte Abbuchung im Namen des Opfers unter den bereits erwähnten Tatbestand des § 148a StGB. In Lehre und Rechtsprechung ist das nicht ganz unbestritten, wurde doch bislang die insoweit vergleichbare unbefugte Geldbehebung vom Bankomaten mittels Eingabe des richtigen Codes vom Obersten Gerichtshof (OGH) als Diebstahl qualifiziert (§ 127 StGB).

Urheberrecht verletzt

Ob das Höchstgericht seine Rechtsprechungslinie im Fall des Phishing fortsetzen wird, erscheint jedoch mehr als fraglich. Denn die Vorbereitung eines Diebstahls wird von § 126c StGB ex lege nicht erfasst, so dass diesbezüglich eine Strafbarkeitslücke entstehen könnte.

Neben den kernstrafrechtlichen Bestimmungen der §§ 126c und 148a StGB verdient noch eine Bestimmung des Nebenstrafrechts besondere Beachtung. Es ist dies § 91 UrhG, mit dessen Hilfe die von den Phishern oftmals praktizierte Nachbildung der Bankenhomepages urheberstrafrechtlich geahndet werden kann. Voraussetzung ist allerdings, dass sich das Layout der kopierten Website als Ergebnis einer gestalterischen Tätigkeit darstellt und sich nicht bloß im Rahmen des Alltäglichen und Üblichen bewegt, kurz gesagt, dass der Homepage auch tatsächlich Werkqualität (§ 3 Abs 1 UrhG) zuerkannt werden kann.

Oliver Plöckinger ist Privatdozent am Institut für Strafrechtswissenschaften der Universität Linz.