JurPC Web-Dok. 137/2016 - DOI 10.7328/jurpcb2016319146

Stefan Hessel *

Soziale Netzwerke im Fokus von Phishing-Angriffen - Eine Analyse aus technischer und rechtlicher Sicht -

JurPC Web-Dok. 137/2016, Abs. 1 - 102


Inhaltsübersicht:

Abs. 1
I.) EinführungAbs. 2
II.) Die Methode des PhishingAbs. 3
III.) Neuere Entwicklungen bei Phishing-AngriffenAbs. 4
1.) SpearphishingAbs. 5
2.) Vishing und SmishingAbs. 6
3.) SkimmingAbs. 7
4.) PharmingAbs. 8
5.) Romance ScammingAbs. 9
IV.) Rechtliche Aspekte von PhishingAbs. 10
1.) Strafbarkeit des klassischen Phishing nach § 202a StGBAbs. 11
2.) Strafbarkeit nach § 202b StGBAbs. 12
3.) Strafbarkeit nach § 240 StGBAbs. 13
4.) Strafbarkeit nach § 263 StGBAbs. 14
5.) Strafbarkeit nach § 263a III StGBAbs. 15
6.) Strafbarkeit nach § 269 I StGBAbs. 16
a.) Zur Fälschung beweiserheblicher Daten bei einer Phishing-E-MailAbs. 17
b.)Zur Fälschung beweiserheblicher Daten bei einer Phishing-Website
7.) Strafbarkeit nach §§ 303a, b StGB
8.) §§ 143, 143a MarkenG und §§ 106 ff. UrhGAbs. 18
9.) § 44 I i.V.m § 43 II 1 BDSG
V.) Fazit und AusblickAbs. 19
VI.) Literaturverzeichnis Abs. 20

I.) Einführung

Abs. 21
Phishing, zu deutsch „Passwort-Fischen", ist eine Form des Social Engineering und wird von Angreifern verwendet, um an persönliche Daten von Internetnutzern zu gelangen und diese anschließend für einen Identitätsdiebstahl zu verwenden. In den vergangenen Jahren konzentrierten sich Angriffe mittels Phishing schwerpunktmäßig auf Online-Banking und Kreditkartendaten. Doch mittlerweile stehen neben diesem klassischen Gebiet auch verstärkt die Zugangsdaten zu sozialen Netzwerken im Fokus der Angreifer. So meldete beispielsweise das IT-Sicherheitsunternehmen Proofpoint, dass in der ersten Hälfte des Jahres 2016 Phishingangriffe mit Hilfe von Sozialen Netzwerken um 150% im Vergleich zum gleichen Zeitraum im Vorjahr gestiegen sind.[1] Diese Entwicklung wirft die Frage auf, ob und wenn ja inwieweit ein Phishing-Angriff, der auf die Zugangsdaten zu sozialen Netzwerken abzielt, strafbar ist. Dabei gilt es zu beachten, dass Phishing kein juristischer Begriff ist und auch aus informationstechnischer Sicht eher einen Oberbegriff als eine exakte Beschreibung der Vorgehensweise des Angreifers darstellt. Für eine juristische Beurteilung der Strafbarkeit von Phishing-Angriffen ist, wie bei anderen Computer-Straftaten, jedoch gerade die genaue Kenntnis der Vorgehensweise der Angreifer erforderlich, was eine genauere Untersuchung erforderlich macht.[2]Abs. 22

II.) Die Methode des Phishing

Abs. 23
Phishing-Angriffe sind von ihrer Grundausrichtung kein neues Phänomen, sondern basieren auf Vorgehensweisen und Überlegungen, die Kriminelle vermutlich seit Jahrtausenden verwenden und in deren Mittelpunkt eine Irreführung des Opfers steht. Beim Phishing erfolgt diese Irreführung durch die Verwendung von modernen technischen Mitteln und zielt teilweise nicht nur auf den Nutzer selbst, sondern auch auf seine EDV. Der Phishing-Angreifer benötigt im Normalfall eine E-Mailadresse[3] seines potentiellen Opfers, um einen "Köder" auszuwerfen. Um sich die E-Mailadressen potentieller Opfer zu beschaffen, hat der Angreifer verschiedene Beschaffungs­möglichkeiten, zu denen etwa das Kaufen von E-Mailadressen in Untergrundforen, das Ausspähen von E-Mailadressen mit Malware, aber auch das Sammeln von E-Mailadressen auf Internetseiten oder aus Mailinglisten gehören. Hat der Angreifer in einem ersten Schritt die Mailadresse seines Opfers erlangt, versucht er nun seinem Opfer eine E-Mail zu schicken, die aussieht, als habe sie eine andere Stelle (z.B. der Facebook-Support) verschickt. In der E-Mail fordert der Angreifer das Opfer dazu auf entweder persönliche Informationen direkt Preis zu geben und auf die E-Mail zu antworten, oder er schiebt dem Opfer einen Link zu einer gefälschten Webseite unter. Auf dieser gefälschten Webseite soll sich das Opfer mit seinen persönlichen Zugangsdaten anmelden, die dann durch den Angreifer gespeichert werden. Neben dem skizzierten Fall existieren aber auch Fälle, in denen der Angreifer lediglich eine ähnlich lautende Domain registriert und darauf setzt, dass sich sein Opfer beim Eintippen der URL in die Adresszeile des Browsers vertippt also z.B. "faceboook.de" anstatt "facebook.de" eintippt, den Fehler nicht bemerkt und dann auf der Webseite des Angreifer die Login-Daten preis gibt. Hat der Angreifer die Nutzerdaten nach einem erfolgreichen Angriff in seiner Hand, hat er zahlreiche Möglichkeiten, diese in seinem Sinne zu nutzen. Er kann sich z.B. Zugriff auf den Account des Opfers verschaffen, das Opfer für weitere Angebote registrieren, mit den Daten des Nutzers weitere Nutzer ausspähen oder die erlangten Informationen weiterverkaufen.Abs. 24

III.) Neuere Entwicklungen bei Phishing-Angriffen

Abs. 25
1.) Spearphishing
Abs. 26
Neben der immer noch verbreiteten Form des klassischen Phishing sind über die Jahre hinweg neue Formen von Angriffen entstanden, die sich zwar an der zugrundeliegenden Methode des Phishing orientieren, aber spezialisierter sind und teilweise auch neue Angriffsvektoren nutzen. Im Trend liegt dabei nach wie vor das sog. Spearphishing,[4] bei dem der Angreifer, im Gegensatz zum breit gestreuten, herkömmlichen Angriff, die Zielgruppe seines Angriffs stärker eingrenzt und versucht die Kontaktaufnahme persönlicher zu gestalten.[5] Zu diesem Zweck spricht der Angreifer sein potentielles Opfer mit Namen, Titel oder beruflicher Position an. Dadurch erreicht der Angreifer dann z.B. Nutzer, die entweder mit Internetsicherheit zu gut vertraut sind, um auf einen generischen Angriff hereinzufallen oder die schlicht keine Zeit haben, E-Mails zu lesen, die den Eindruck erwecken, dass sie an eine Vielzahl von Personen adressiert sind.[6]Abs. 27
2.) Vishing und Smishing
Abs. 28
Neben dem Spearphishing als individualisiertem Angriff sind Cyberkriminelle aber auch dazu übergegangen, andere Wege für die Kontaktaufnahme zu wählen. So kontaktiert der Angreifer beim sog. Vishing (Voice over IP Phishing) sein potentielles Opfer telefonisch und versucht auf diesem Weg, an persönliche Daten zu gelangen. Beim Smishing baut der Angreifer den Kontakt zum Opfer über eine gefälschte SMS auf.[7] Dabei kann sich der Angreifer verschiedener Dienste[8] bedienen, die die Nummer des Absenders fälschen oder einen beliebigen Text anstelle der Nummer versenden. Smishing-Angriffe sind im besonderem Maße gefährlich, da die Anzeigemöglichkeiten einer SMS auf vielen Mobiltelefonen im Vergleich zur E-Mail, wo sich die Kopfzeile, der sog. Header, wenigstens zur Anzeige detaillierter Informationen aufrufen lässt, deutlich beschränkt sind. In Zusammenhang mit sozialen Netzwerken kommen Angriffe sowohl per Telefon als auch per SMS in Betracht. Es könnte beispielsweise, wie in Fällen rund um Microsoft bereits geschehen,[9] eine Anfrage eines Support-Mitarbeiters vorgetäuscht und die Preisgabe persönlicher Daten verlangt werden.Abs. 29
3.) Skimming
Abs. 30
Ebenfalls verwandt mit Phishing sind sog. Skimming-Angriffe, die auf die Erlangung von Kreditkartendaten abzielen. Der Angreifer bringt dabei auf einem Kreditkarten- oder Bankautomaten technische Geräte an, die eine Kopie der Kredit- oder Bankkarte aufzeichnen.[10] Zusätzlich späht der Angreifer z.B. mit einer Kamera die PIN des Opfers aus. Die gewonnenen Karteninformationen überträgt der Angreifer auf einen Kartenrohling und hat dann zusammen mit der PIN Zugriff auf das Konto des Opfers.[11] Ein solcher Angriff ist bei sozialen Netzwerken nicht denkbar, da diese zumindest bisher keine Magnetkarten oder andere verwundbare Token verwenden. Vergleichbar mit dem Skimming von Bankdaten sind Angriffe mit Hilfe eines Hardware-Keyloggers. Dabei verwendet der Angreifer Hardware, die (versteckt) zwischen Computer und Tastatur gesteckt wird und alle Tastaturanschläge (also auch eingetippte Zugangsdaten) aufzeichnet.[12]Abs. 31
4.) Pharming
Abs. 32
Beim sog. Pharming, das ebenfalls als Weiterentwicklung des klassischen Phishing gilt,[13] versucht der Angreifer die Zuordnung zwischen der IP-Adresse einer Website und der dazugehörigen Domain zu vertauschen. Ziel des Angreifers ist es, das Opfer beim Aufruf einer Domain anstatt auf die eigentliche Zielseite auf die (identisch aussehende) Website des Angreifers umzuleiten.[14] Im Wesentlichen sind dabei drei Vorgehensweisen voneinander zu unterscheiden. Der Angreifer kann erstens mit Hilfe von Malware die lokale hosts-Datei auf dem Computer der Opfers manipulieren.[15] Zweitens kann der Angreifer mit Hilfe von Malware den Router seines Opfers manipulieren, der Angriff wird dann als Drive-by-Pharming bezeichnet.[16] In einer dritten Variante greift der Angreifer die Domain-Name-System-Server an und versucht dort mit verschiedenen Attacken, die Zuordnung von Domains und IP-Adressen zu vertauschen.[17]Abs. 33
5.) Romance Scamming
Abs. 34
Im Gegensatz zu Pharming kommt das sog. Romance Scamming, das zur Zeit verstärkt in den Medien präsent ist,[18] komplett ohne technische Hilfsmittel aus. Beim Romance Scamming versucht der Angreifer, über das Internet (z.B. Kontaktbörsen, Dating-Portale und insbesondere auch soziale Netzwerke) Kontakt zu seinem Opfer aufzunehmen, eine "romantische Beziehung" aufzubauen und sich gegenüber dem Opfer als unverzichtbaren Lebensbestandteil zu etablieren.[19] Während der Angreifer zunächst nicht über finanzielle Angelegenheiten redet, berichtet er im Verlauf des Kontakts irgendwann von einer Notsituation, in der er dringend die finanzielle Hilfe des Opfers benötigt.[20] Das Opfer soll dann einen Geldbetrag mit Diensten wie Western Union oder MoneyGram ins Ausland transferieren, wo das Geld schließlich verschwindet.Abs. 35

IV.) Rechtliche Aspekte von Phishing

Abs. 36
Wie bereits gezeigt, sind die Möglichkeiten, mit Hilfe von Phishing-Angriffen oder entsprechenden Abwandlungen an Zugangsdaten zu sozialen Netzwerken zu gelangen vorhanden und werden in der Praxis von Cyberkriminellen auch eingesetzt. Die rechtlichen Betrachtungen zum Thema Phishing gehen aber nahezu ausnahmslos davon aus, dass es der Angreifer auf das Online-Banking-Konto des Opfers abgesehen hat, so dass sich die Frage stellt, ob und inwieweit die von Rechtsprechung und Literatur erarbeiteten Grundsätze zur Strafbarkeit von Phishing beim Online-Banking auf soziale Netzwerke übertragbar sind. Dabei alle dargestellten Formen von Phishing-Angriffen abzudecken, ist im Rahmen dieser Untersuchung nicht leistbar. Aus diesem Grund soll an dieser Stelle die Frage im Mittelpunkt stehen, ob der Standardfall des Phishing (s.o. unter I.) strafbar ist, wenn der Angreifer die Zugangsdaten zu einem sozialen Netzwerk im Fokus hat.Abs. 37
1.) Strafbarkeit des klassischen Phishing nach § 202a StGB
Abs. 38
§ 202a StGB stellt das Ausspähen von Daten unter Strafe.[21] Schutzgegenstand der Norm sind Daten, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Fraglich ist, ob die Zugangsdaten zu einem sozialen Netzwerk ein taugliches Tatobjekt darstellen. Für Bankdaten (PIN und TAN), die an dieser Stelle aufgrund technischer Identität (Nutzerkennung und Passwort) mit den Zugangsdaten für ein sozialen Netzwerk vergleichbar sind wird dies teilweise mit der Begründung abgelehnt, dass bei der Eingabe von Zugangsdaten diese zwar nicht unmittelbar wahrnehmbar seien, jedoch das Vorhalten der Daten im Arbeitsspeicher keine Speicherung im Sinne von § 202a II Alt. 1 StGB sei.[22] Diese Ansicht vermag jedoch nicht zu überzeugen. Das Gesetz selbst trifft keine zeitliche Einschränkung bzgl. des Datenbegriffs, und es widerspricht dem Sinn und Zweck der Norm, bei einem kurzen Speichervorgang den Datenbegriff abzulehnen und dadurch eine Strafbarkeitslücke zu schaffen. Im Hinblick auf § 202a II Alt. 2 StGB wird teilweise schon bezweifelt, dass die gezielte Übermittlung der Zugangsdaten durch das Opfer an den Angreifer vom Begriff des Übermittelns erfasst ist.[23] Unabhängig von dieser Frage scheitert die Anwendung von § 202a II StGB insgesamt jedoch daran, dass das Opfer die Daten freiwillig an den Angreifer übermittelt und der Angreifer aus diesem Grund auch keine Zugangssicherung überwinden muss.[24]Abs. 39
2.) Strafbarkeit nach § 202b StGB
Abs. 40
Eine Strafbarkeit nach § 202b StGB scheitert daran, dass die Datenübermittlung beim Phishing von vornherein zwischen Angreifer und Opfer stattfindet und der Angreifer die Daten gerade nicht aus einer Kommunikation zwischen dem Opfer und einem Dritten abfangen muss.[25]Abs. 41
3.) Strafbarkeit nach § 240 StGB
Abs. 42
Eine Nötigung liegt nur dann vor, wenn dem Opfer im Rahmen des Phishing-Angriff ein empfindliches Übel angedroht wird. Ein Übel ist jede als nachteilig empfundene Veränderung der Außenwelt, die auch seelischer Art sein kann.[26] Das Übel ist empfindlich, wenn vom Opfer in seiner Lage nicht erwartet werden kann, dass es der Drohung "in besonnener Selbstbehauptung" standhält.[27] In Bezug zum Phishing bei Bankkonten liegt ein empfindliches Übel z.B. vor, wenn der Täter dem Opfer die angebliche Schließung des Bankkontos androht.[28] Fraglich ist, ob sich dies auf einen Täter, der mit der Schließung eines Benutzerkontos bei einem sozialen Netzwerk droht, übertragen lässt. Dagegen spricht, dass die Schließung des Accounts nicht vergleichbar mit der Schließung eines Bankkontos erscheint und die Eröffnung eines neuen Accounts ohne Weiteres möglich ist. Dies greift allerdings zu kurz, denn heutzutage stellen soziale Netzwerke nicht nur eine wichtige Möglichkeit zum sozialen Kontakt dar, sondern Nutzer investieren oft jahrelange Arbeit in den Ausbau bzw. die Vervollständigung ihrer Profile und den Aufbau von neuen "Freundschaften". Außerdem ist mit der Schließung des Benutzerkontos die gesamte Kommunikation, die eingestellten Fotos, u.v.m. für den Nutzer auf einen Schlag verloren. Aus den genannten Gründen ist es sachgerecht, die Androhung der Löschung eines solchen Benutzerkontos als empfindliches Übel i.S.d. § 240 StGB zu bewerten und einen Phishing-Angriff in diesem Rahmen strafrechtlich zu sanktionieren.Abs. 43
4.) Strafbarkeit nach § 263 StGB
Abs. 44
Im Rahmen der Betrugsstrafbarkeit von Phishing stellt sich die Frage, ob die Tatbestandsmerkmale "Vermögensverfügung" und "Vermögensschaden" erfüllt sind.[29] Nach der offenbar vorherrschenden Meinung haben Login-Daten für Bankkonten, mangels Verkehrsfähigkeit, keinen Vermögenswert.[30] Dem stimmt auch Weber[31] zu, wobei er darauf abstellt, dass für die Beurteilung das „Wissen um den Zugangscode" entscheidend ist. PIN und TAN haben nach Weber für den Angreifer nur in ihrem Zusammenhang einen Wert und auch nur dann, wenn sich dahinter ein Konto verbirgt, das weder überzogen noch gesperrt ist.[32] Folglich wäre für die Wertbeimessung der konkrete Kontostand des Opfers entscheidend, was Weber in der Praxis für untauglich und problematisch in Bezug auf den Bestimmtheitsgrundsatz hält und eine Wertzumessung daher verneint.[33] Da schon bei Zugangsdaten zu Bankkonten kein Vermögenswert vorliegt, lässt sich folgern, dass erst recht bei Zugangsdaten zu sozialen Netzwerken kein Vermögenswert vorliegen kann. Selbst wenn man aber einen Vermögenswert annehmen würde, scheitert eine Betrugsstrafbarkeit des Abfischens bei Bankdaten an der Unmittelbarkeit zwischen der Vermögensverfügung und dem Vermögensschaden.[34] Bei sozialen Netzwerken stellt sich die Frage, ob der Angreifer mit den Zugangsdaten überhaupt unmittelbar in der Lage ist, das Vermögen des Opfers zu beeinträchtigen oder, ob dafür nicht noch weitere Schritte des Angreifers, wie z.B. das Aushorchen des "Freundeskreises" erforderlich sind. Beim sozialen Netzwerk Facebook besteht aber beispielsweise die Möglichkeit, zum einen Guthaben bei der Plattform zu erwerben oder, zum anderen, wenn der Nutzer eine Zahlungsmethode z.B. Kreditkarte, Zahlung per Handyrechnung oder PayPal bei Facebook hinterlegt hat, eine Zahlung direkt über Facebook abzuwickeln.[35] Dabei sind die Daten zwar nach einem Einbruch auf das Konto nicht unmittelbar abrufbar, es ist jedoch ohne weiteres möglich, damit Zahlungen durchzuführen. Somit bietet Facebook zwar die Möglichkeit einen Vermögensschaden beim Opfer herbeizuführen, es fehlt aber ebenfalls an der Unmittelbarkeit, da der Angreifer eine weitere deliktische Handlung, etwa den Kauf einer App innerhalb des erbeuteten Nutzerkontos, vornehmen muss. Die Erlangung von Zugangsdaten zu sozialen Netzwerken in Rahmen des klassischen Phishing ist daher nicht nach § 263 StGB strafbar.Abs. 45
5.) Strafbarkeit nach § 263a III StGB
Abs. 46
Phishing könnte als Vorbereitungshandlung zum Computerbetrug gemäß § 263a III StGB strafbar sein. Zentrale Frage ist dabei, ob die E-Mail bzw. die Website des Phishing-Angreifers als Computerprogramm nach § 263a III StGB eingestuft werden kann. Computerprogramme im Sinne dieser Vorschrift sind nur lauffähige Anwendungen, so dass eine E-Mail von vorneherein nicht erfasst ist.[36] Im Fall einer gefälschten Website könnte man aufgrund der Tatsache, dass beim Aufruf einer Webseite je nach verwendeter Technik z.B. mittels php Programmcode ausgeführt wird, darüber nachdenken, ob ein Computerprogramm vorliegt. Die Strafbarkeit scheitert aber ohnehin daran, dass die Website an sich nicht unmittelbar zur Durchführung einer Straftat nach § 263a III StGB dient.[37]Abs. 47
6.) Strafbarkeit nach § 269 I StGB
Abs. 48
In Betracht kommt weiterhin eine Strafbarkeit nach § 269 I StGB, der die Fälschung beweiserheblicher Daten unter Strafe stellt. Auch in diesem Fall bietet sich eine Unterscheidung zwischen einer Phishing-E-Mail und einer Phishing-Website an:[38]Abs. 49
a.) Zur Fälschung beweiserheblicher Daten bei einer Phishing-E-MailAbs. 50
Fraglich ist zunächst, ob eine Phishing-Mail, die unter den Datenbegriff fällt,[39] auch rechts- und beweiserheblich ist. Entscheidend ist dabei, in Anlehnung an § 267 StGB, ob die Erklärung zur Beweiserbringung in einem Rechtsverfahren geeignet ist.[40] Eine Ansicht lehnt dies mit der Begründung ab, dass Phishing-Mails üblicherweise millionenfach versendet werden und in zahlreichen Fällen Phantasie-Unternehmen, wie z.B. "Facebook Ireland GmbH", als Absender erscheinen.[41] Dies soll auch dann gelten, wenn als Absender z.B. "facebook.com" ohne weitere Angaben erscheint.[42] Dem wird entgegen gehalten, dass sehr wohl ein konkreter Aussteller der E-Mail vorliegt, wenn in der Nachricht der Name einer anderen Stelle erscheint bzw. entsprechende Logos verwendet werden.[43] Die E-Mail versuche den Eindruck zu erwecken, dass das Opfer zu einer vertragsgemäßen Handlung aufgefordert werde.[44] Eine Ausnahme gilt lediglich dann, wenn der Aussteller nicht existiert und dies für den Empfänger offensichtlich ist, was bei einem falschen Unternehmenszusatz richtigerweise verneint wird.[45] Bedenken bestehen ferner bezüglich der einfachen Manipulationsmöglichkeiten von E-Mails ohne elektronische Signatur.[46] Grundsätzlich kommt einer E-Mail deshalb keine Beweiskraft zu.[47] Im Zivilprozess können E-Mails allerdings im Rahmen der freien richterlichen Beweiswürdigung berücksichtigt werden.[48] In Analogie zu § 267 StGB geht die h.M. davon aus, dass die Gedankenerklärung nicht geeignet sein muss einen Vollbeweis zu erbringen, sondern eine Indizwirkung ausreichend ist.[49] Phishing-Mails stellen folglich rechts- und beweiserhebliche Daten i.S.d. § 269 I StGB dar. Nach § 269 I StGB ist weiter erforderlich, dass die Daten bei ihrer Perpetuierung und visuellen Wahrnehmbarkeit den Tatbestand der Urkundenfälschung erfüllen würden.[50] Dafür muss zunächst eine Gedankenerklärung vorliegen.[51] Der Phishing-Angreifer äußert sich mit den, in den E-Mails enthaltenen, Aufforderungen zur Preisgabe von Login-Daten willentlich.[52] Die E-Mails enthalten auch zur Nachrichtenübermittlung geeignete und bestimmte Zeichen.[53] Das Vorliegen einer Gedankenerklärung wird teilweise verneint, wenn eine E-Mail den Eindruck erweckt, dass sie eine rein technische Aufzeichnung sei.[54] Eine E-Mail, die den Eindruck erweckt, dass sie nicht individuell, sondern automatisiert versendet wurde, stellt aber unstreitig keine rein technische Aufzeichnung dar.[55] Teilweise wird die Auffassung vertreten, dass neben der Rechts- und Beweiserheblichkeit auch eine Beweisbestimmung durch den Angreifer erfolgen muss.[56] Diese soll bereits dann erfüllt sein, wenn der Angreifer zwar die Hoffnung hat, dass die Daten niemals als Beweismittel verwendet werden, jedoch der äußere Anschein den Eindruck erweckt, er sei sich bewusst darüber ein mögliches Beweismittel zu schaffen.[57] Dieses Merkmal ist beim Versenden von Phishing-Mails unproblematisch erfüllt, dem Angreifer kommt es gerade darauf an eine authentische E-Mail mit einem solchen Eindruck zu verschicken. Bei ihrer (hypothetischen) Wahrnehmung lässt eine Phishing-E-Mail auch den Aussteller erkennen und entspricht einer unechten Urkunde.[58] Der Angreifer muss die beweiserheblichen Daten zusätzlich speichern, verändern oder von unechten Daten Gebrauch machen.[59] Das bloße Erstellen einer falschen, d.h. unter Verwendung fehlerhafter personenbezogener Daten angelegten, E-Mailadresse ist nicht strafbar.[60] Speichern ist die Erfassung, Aufnahme oder Aufbewahrung auf einem Datenträger zum Zwecke der weiteren Verwendung.[61] Beim Versand einer E-Mail liegen im Idealfall vier Speicherungen vor. Zunächst wird die E-Mail beim Absender, also dem Phishing-Angreifer gespeichert, dann beim E-Mail-Anbieter des Angreifers, im Anschluss daran beim Anbieter des Opfer-E-Mail-Kontos und schließlich lokal beim Opfer selbst. Sofern der Angreifer zum Zeitpunkt der Erstellung der E-Mail schon mit Vorsatz zur Verwendung handeln würde, wäre schon die erste Speicherung der Nachricht durch § 269 I StGB erfasst.[62] Jedoch wird es dort regelmäßig an einem Handeln zur Täuschung im Rechtsverkehr fehlen.[63] Spätestens mit der Speicherung der E-Mail beim Anbieter des Opfer-E-Mail-Kontos liegt jedoch ein Speichern i.S.d. § 269 I StGB vor.[64] Ferner liegt ein "Gebrauchen" der Daten i.S.d. § 269 I StGB vor, dem aber keine eigenständige Bedeutung zukommt.[65] Subjektiv muss der Angreifer neben dem Vorsatz (dolus eventualis[66]) bezüglich des objektiven Tatbestands in überschießender Innentendenz auch einen Vorsatz zur Täuschung im Rechtsverkehr haben.[67] Im Rechtsverkehr täuscht, wer den Empfänger mittels der Täuschung über die Echtheit der Datenurkunde zu einem rechtserheblichen Verhalten veranlassen will.[68] Dafür ist es ausreichend, dass der Angreifer lediglich die fälschliche Beeinflussung einer Datenverarbeitung im Rechtsverkehr bewirken will.[69] Rückschlüsse von der Vorgehensweise des Angreifers auf das Vorliegen des subjektiven Tatbestandes sind dabei zulässig.[70] Im Fall des Phishing will der Angreifer sein Opfer über die Echtheit der Erklärung täuschen und den Nutzer dadurch zur Preisgabe von sensiblen Informationen veranlassen. Der Streit, ob hinsichtlich des rechtserheblichen Verhaltens direkter Vorsatz (dolus directus 1. Grades) oder Eventualvorsatz notwendig ist, kann dahinstehen.[71] Im Regelfall handelt der Angreifer vorsätzlich (dolus directus 1. Grades) bzgl. des objektiven Tatbestands und vorsätzlich (dolus directus 1. Grades) zur Täuschung im Rechtsverkehr. Im Ergebnis lässt sich also festhalten, dass das Versenden von Phishing-E-Mails mit dem Ziel, Login-Daten zu einem Facebook-Account zu erlangen, gemäß § 269 I StGB als Fälschen beweiserheblicher Daten strafbar ist.Abs. 51
b.) Zur Fälschung beweiserheblicher Daten bei einer Phishing-WebsiteAbs. 52
Fraglich ist, ob das Erstellen einer Phishing-Website ebenfalls den Straftatbestand des § 269 I StGB erfüllt. Im Wesentlichen sind die Ausführung zur Strafbarkeit einer Phishing-E-Mail übertragbar.[72] Zweifelhaft ist, ob der Angreifer bei der Erstellung der Website, die bei ihrer Wahrnehmbarkeit eine Gedankenerklärung wäre,[73] auch über den Aussteller täuscht. Teilweise wird vertreten, dass allein die IP-Adresse einer Website eine eindeutige Zuordnung des Ausstellers zulasse.[74] Folgt man dieser Ansicht, liegt keine Täuschung über den Aussteller der Website vor und eine Strafbarkeit nach § 269 I StGB scheidet aus. Dem lässt sich entgegenhalten, dass diese Ansicht zwar technisch richtig ist, es für eine Täuschung über den Aussteller aber darauf ankommen muss, ob für einen durchschnittlichen Empfänger in ausreichendem Maße eine falsche Herkunft vorgespielt wird.[75] Die Website, die der Phishing-Angreifer erstellt, ist in der Regel dem Original sehr ähnlich bzw. identisch. Es werden Logos, Namen und Layout der tatsächlichen Website so kopiert, dass es selbst einem geübten Internetnutzer teilweise schwer fällt, ohne weitere Analysen die Fälschung vom Original zu unterscheiden. Eine Täuschung über den Aussteller liegt deshalb, genau wie "Speichern" i.S.d. § 269 I StGB und eine Beweiserheblichkeit ebenfalls vor.[76] Auf der subjektiven Seite des Tatbestands bestehen keine Unterschiede zur Phishing-E-Mail. Die Fälschung beweiserheblicher Daten ist bereits vollendet, wenn bei einem hypothetischen Vergleich eine unechte oder verfälschte Urkunde vorliegen würde,[77] so dass bereits das Erstellen einer Phishing-Website nach § 269 I StGB strafbar ist.Abs. 53
7.) Strafbarkeit nach §§ 303a, b StGB
Abs. 54
Eine Strafbarkeit nach § 303a StGB scheitert daran, dass der Angreifer weder mit den E-Mails noch mit der Website Daten, die durch § 303a StGB geschützt sind löscht, unterdrückt, unbrauchbar macht oder verändert.[78] Eine Strafbarkeit nach § 303b StGB scheidet aus, da keine Störung einer Datenverarbeitung vorliegt.[79]Abs. 55
8.) §§ 143, 143a MarkenG und §§ 106 ff. UrhG
Abs. 56
Verwendet der Phishing-Angreifer in seiner E-Mail oder auf seiner Website eingetragene Kennzeichen (z.B. Logos von Facebook), geschäftliche Bezeichnungen (z.B. „Facebook") oder sonstiges marken- oder urheberrechtlich geschütztes Material, macht er sich nach §§ 143, 143a MarkenG und §§ 106 ff. UrhG strafbar.[80]Abs. 57
9.) § 44 I i.V.m § 43 II 1 BDSG
Abs. 58
Des Weiteren kommt eine Strafbarkeit nach § 44 I i.V.m. § 43 II Nr. 1 BDSG in Betracht, wenn der Angreifer tatsächlich Zugangsdaten erhält. Dafür müssten die Zugangsdaten personenbezogene Daten i.S.d. § 3 I BDSG sein. § 3 I BSDG umfasst dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person.[81] Die Bestimmbarkeit ist dabei weit auszulegen.[82] E-Mailadressen sind für den Angreifer keine personenbezogene Daten i.S.d. BDSG, soweit sie pseudonymisiert sind und der Angreifer kein weiteres Zusatzwissen hat oder sich dieses auf einfachem Wege beschaffen kann.[83] Enthält die E-Mailadresse oder das Passwort beispielsweise den Namen oder das Geburtsdatum des Opfers handelt es sich um personenbezogene Daten. Eine wirksame Einwilligung des Betroffenen in die Erhebung der Daten wird regelmäßig nicht vorliegen, da eine Einwilligung gemäß §§ 4 I, 4a BDSG voraussetzt, dass der Betroffene auf den Zweck der Erhebung hingewiesen wurde.[84] Folglich macht sich der Angreifer nach § 44 I i.V.m. § 43 II Nr. 1 BDSG strafbar, wenn die E-Mail-Adresse oder das Passwort personenbezogene Daten enthalten. Des Weiteren kommt eine Strafbarkeit nach §§ 44 I, 43 II Nr. 4 BDSG in Betracht, wenn sich der Angreifer eine Datenübermittlung erschlichen hätte. Eine Übermittlung setzt nach § 3 IV Nr. 3 BDSG eine vorherige Erhebung der Daten voraus. Da sich die Login-Daten aber in der Hand des Opfers befinden, kann man nicht von einer vorherigen Erhebung ausgehen.[85] Eine Strafbarkeit nach §§ 44 I, 43 II Nr. 4 BDSG scheidet aus.Abs. 59

V.) Fazit und Ausblick

Abs. 60
Aus Sicht eines Angreifer gibt es mehrere Möglichkeiten, mit Hilfe von Phishing oder verwandten Angriffen Zugangsdaten zu sozialen Netzwerken zu erlangen. Es ist davon auszugehen, dass die Angriffe mit der steigenden Bedeutung von sozialen Netzwerken ebenfalls zunehmen werden. Dem steht eine Gesetzeslage gegenüber, die rechtswissenschaftlich noch nicht ausreichend erforscht ist, um im Einzelfall einschätzen zu können, ob und inwieweit der bestehende Rechtsrahmen zur Bestrafung der Angreifer ausreicht. Insbesondere das Erfordernis einer Einzelfallentscheidung macht es aber gerade notwendig, die bestehenden Angriffsmöglichkeiten juristisch zu durchdringen und zu bewerten. Für den Fall eines klassischen Phishing-Angriffs auf ein soziales Netzwerk gelten viele der für Bankdaten erarbeiteten Grundsätze – z.B. die Feststellung, dass PIN und TAN personenbezogene Daten sind nicht –. Ferner scheint in Fällen, in denen das Vermögen des Opfers und nicht die soziale und virtuelle Identität des Opfers im Ziel der Angreifer steht, ein besserer strafrechtlicher Schutz zu bestehen, wenn es um die Strafbarkeit von Vorbereitungshandlungen geht. Dennoch macht sich der Phishing-Angreifer in aller Regel sowohl bei der Versendung von E-Mails, als auch beim Erstellen einer Website wegen der Fälschung beweiserheblicher Daten nach § 269 I StGB strafbar. Klar ist jedoch auch, dass Phishing-Angriffe nur teilweise mit Hilfe des deutschen Strafrechts zu bewältigen sind. Da die Attacken häufig am schwächsten Glied in der Sicherheitskette, dem Nutzer, ansetzen, ist auch eine Abwehr auf rein technischer Ebene nicht zu leisten. Folglich muss bei den Nutzern der sozialen Netzwerke angesetzt und präventiv über mögliche Gefahren aufgeklärt werden.Abs. 61

VI.) Literaturverzeichnis

Abs. 62
• Arbeitsgruppe Identitätsschutz im Internet e.V. (a-i3), „Pharming", abrufbar unter: https://www.a-i3.org/content/view/933/204/ - zuletzt geöffnet am 12. Juli 2016.Abs. 63
• Banday: Effectiveness and limitations of E-Mail securityprotocols, International Journal of Distributed and Parallel Systems (IJDPS) Vol.2, No.3, May 2011 – abrufbar unter: http://airccse.org/journal/ijdps/papers/0511ijdps04.pdf – zuletzt geöffnet am 12. Juli 2016.Abs. 64
• Bär: Handbuch Wirtschafts- und Steuerstrafrecht, 4. Auflage 2014.Abs. 65
• Beck'scher Online-Kommentar – StGB, 23. Edition, Stand: 22.7.2013, München.Abs. 66
• Beck/Dornis: Phishing im Marken(straf)recht. Wie Tathandlungen des "Phishing" markenstrafrechtlich geahndet werden können, CR 10/2007, 642.Abs. 67
• Brand: Die strafrechtliche Bedeutung der Nutzung fremder Packstationsdaten zu kriminellen Zwecken, NStZ 1/2013, 7.Abs. 68
• Buggisch: Fälschung beweiserheblicher Daten durch Verwendung einer falschen E-Mail-Adresse?, NJW 49/2004, 3519.Abs. 69
• Czeguhn: Beweiswert und Beweiskraft digitaler Dokumente im Zivilprozess", JuS 2/2004, 124.Abs. 70
• Eckhardt: Anmerkung zu LG Berlin, U. v. 06.09.2007 - 23 S 3/07 - (Vorratsspeicherung von personenbezogenen Daten unzulässig II) Aktenzeichen: 23 S 3/07, K&R 11/2007, 602.Abs. 71
• Feichtner: Gefährdungspotential durch manipulierte USB-Geräte, Zentrum für sichere Informationstechnologie – Austria, 2014, abrufbar unter: https://demo.a-sit.at/wp-content/uploads/2014/11/USB-Studie.pdf – zuletzt geöffnet am 12. Juli 2016.Abs. 72
• Gercke: Die Strafbarkeit von "Phishing" und Identitätsdiebstahl. Eine Analyse der Reichweite des geltenden Strafrechts, CR 8/2005, 606.Abs. 73
• Goeckenjan: Auswirkungen des 41. Strafrechtsänderungsgesetzes auf die Strafbarkeit des "Phishing", wistra 2/2009, 47.Abs. 74
• Goeckenjan: Phishing von Zugangsdaten für Online-Bankdienste und deren Verwertung, wistra 4/2008, 128.Abs. 75
• Gola/Schomerus, BDSG, 11. Auflage, München, 2012.Abs. 76
• Graf: Phishing derzeit nicht generell strafbar!, NStZ 3/2007, 129 (130).Abs. 77
• Heghmans: Strafbarkeit des "Phishing" von Bankkontendaten und ihrer Verwertung", wistra 5/2007, 167 (169, Fn. 25).Abs. 78
• Hoeren/Sieber/Holznagel, Multimedia-Recht, Teil 13.2, 42. Ergänzungslieferung, 2015.Abs. 79
• Kilian/Heussen, Computerrechts-Handbuch, 32. Ergänzungslieferung, München, August 2013.Abs. 80
• Kindhäuser/Neumann/Paeffgen, Kommentar zum Strafgesetzbuch, 4. Auflage, Baden-Baden, 2013.Abs. 81
• Leupold/Glossner, Münchner Anwaltshandbuch IT-Recht, Teil 10, 3. Auflage, München, 2013.Abs. 82
• Möllers/Vogelgesang, Smart-Home-Systeme in Zeiten digitaler Kriminalität, DuD, 8/2016, 497.Abs. 83
• Mühlenbrock/Sesing: Anmerkung zu LG Mannheim, U. v. 16.05.2008 - 1 S 189/07 - (Anscheinsbeweis bei Phishing-Attacken) Aktenzeichen: 1 S 189/07, MMR 2008, 765.Abs. 84
• Müller-Glöge/Preis/Schmidt, Erfurter Kommentar zum Arbeitsrecht, 14. Auflage, München, 2014.Abs. 85
• Ollmann: The Pharming Guide, Juli 2006, abrufbar unter: http://www.windowsecurity.com/uplarticle/WebSecurity/ThePharmingGuide.pdf – zuletzt geöffnet am 12. Juli 2016.Abs. 86
• Polizeiliche Kriminalprävention der Länder und des Bundes, "Romance- oder Love-Scamming", abrufbar unter: http://www.polizei-beratung.de/themen-und-tipps/betrug/scamming/romance-scamming.html – zuletzt geöffnet am 12. Juli 2016.Abs. 87
• Popp: Phishing, "Pharming" und das Strafrecht, MMR 2/2006, 84.Abs. 88
• Proofpoint: Quarterly Threat Summary, Apr-Jun 2016, abrufbar unter: https://www.proofpoint.com/sites/default/files/quarterly_threat_summary_apr-jun_2016.pdf - zuletzt geöffnet am 12. Juli 2016.Abs. 89
• Rudolphi/Wolters, Systematischer Kommentar zum Strafgesetzbuch, 8. Auflage, Köln, 2013.Abs. 90
• Schipke: The Language of Phishing, Pharming, and Other Internet Fraud-Metaphorically Speaking, IEEE International Symposium on Technology and Society, 2006, abrufbar unter http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=4375897 - zuletzt geöffnet am 12. Juli 2016.Abs. 91
• Schönke/Schröder, Strafgesetzbuch – Kommentar, 29. Auflage, München, 2014.Abs. 92
• Seidl/Fuchs: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes, HRRS 2/2010, 85.Abs. 93
• Siciliano: Protect Yourself from SmiShing, 22.02.2012, abrufbar unter: http://blogs.mcafee.com/consumer/protect-yourself-from-smishing - zuletzt geöffnet am 12. Juli 2016.Abs. 94
• Spindler/Schuster, Recht der elektronischen Medien, 2. Auflage, München, 2011.Abs. 95
• Stamm/Ramzan/Jakobsson: Drive-By Pharming, 13.12.2006, abrufbar unter: https://www.symantec.com/avcenter/reference/Driveby_Pharming.pdf – zuletzt geöffnet am 12. Juli 2016.Abs. 96
• Stuckenberg: Zur Strafbarkeit von "Phishing", ZStW 4/2006, 878.Abs. 97
• Symantec, Internet Security Threat Report 2016, abrufbar unter: https://www.symantec.com/security-center/threat-report – zuletzt geöffnet am 12. Juli 2016.Abs. 98
• Tyszkiewicz: Skimming als Ausspähen von Daten gemäß § 202a StGB?, HRRS 2010/207.Abs. 99
• United Kingdom's Centre for the Protection of National Infrastructure (CPNI): Spear Phishing - Understanding the Threat, September 2013, abrufbar unter http://www.cpni.gov.uk/documents/publications/2013/2013053-spear-phishing-understanding-the-threat.pdf?epslanguage=en-gb - zuletzt geöffnet am 12. Juli 2016.Abs. 100
• Weber: Phishing: Brauchen wir einen Sondertatbestand zur Verfolgung des Internetphishings?, HRRS 12/2004, 406.Abs. 101
• Whitty/Buchanan: The Online Romance Scam: A Serious Cybercrime, 2012 abrufbar unter: http://www.onlinepersonalswatch.com/files/online-romance-scam-a-serious-cybercrime.pdf - zuletzt geöffnet am 12. Juli 2016.Abs. 102
 

Fußnoten:

* Stefan Hessel ist studentischer Mitarbeiter der juris-Stiftungsprofessur für Rechtsinformatik an der Universität des Saarlandes (Prof. Dr. C. Sorge) und CISPA.
 
[1]Proofpoint: Quarterly Threat Summary, Apr-Jun 2016, S. 7, abrufbar unter: https://www.proofpoint.com/sites/default/files/quarterly_threat_summary_apr-jun_2016.pdf - zuletzt geöffnet am 12. Juli 2016.
[2]Möllers/Vogelgesang, Smart-Home-Systeme in Zeiten digitaler Kriminalität, DuD, 8/2016, 497 (501 Fn. 34).
[3]In sozialen Netzwerken kommt neben der Kontaktaufnahme über E-Mail auch die Kontaktaufnahme über die Nachrichtenfunktion des Netzwerks selbst in Betracht, vgl. dazu: https://blog.malwarebytes.com/cybercrime/2016/03/copyright-violation-facebook-phish/ - zuletzt geöffnet am 12. Juli 2016.
[4]Laut dem Internet Security Threat Report 2016 des IT-Sicherheitsunternehmens Symantec steigerte sich die Anzahl der Spearphishing-Angriffe um 55%. Zugleich wurden innerhalb der Kampagnen weniger E-Mails verschickt als in den letzten Jahren, was darauf schließen lässt, dass die Täter noch zielgerichteter vorgehen. Der Security Threat Report 2016 von Symantec ist abrufbar unter: https://www.symantec.com/security-center/threat-report – zuletzt geöffnet am 12. Juli 2016.
[5]United Kingdom's Centre for the Protection of National Infrastructure (CPNI): Spear Phishing - Understanding the Threat, September 2013, abrufbar unter http://www.cpni.gov.uk/documents/publications/2013/2013053-spear-phishing-understanding-the-threat.pdf?epslanguage=en-gb - zuletzt geöffnet am 12. Juli 2016.
[6]Ebd.
[7]Siciliano: Protect Yourself from SmiShing, 22. Februar 2012, abrufbar unter: http://blogs.mcafee.com/consumer/protect-yourself-from-smishing - zuletzt geöffnet am 12. Juli 2016.
[8]z.B. http://www.smsgang.com - zuletzt geöffnet am 12. Juli 2016.
[9]Bernstein: Falsche Microsoft-Mitarbeiter kapern Computer, Süddeutsche Zeitung, 26. Februar 2016, abrufbar unter: http://www.sueddeutsche.de/muenchen/cyberkriminalitaet-falsche-microsoft-mitarbeiter-kapern-computer-1.2880573 – zuletzt geöffnet am 12. Juli 2016.
[10]Bär: Handbuch Wirtschafts- und Steuerstrafrecht, 4. Auflage 2014, 14. Kapitel, Rn. 32-33.
[11]Tyszkiewicz: Skimming als Ausspähen von Daten gemäß § 202a StGB?, HRRS 2010/207 (208).
[12]Feichtner: Gefährdungspotential durch manipulierte USB-Geräte, Zentrum für sichere Informationstechnologie – Austria, 2014, S. 5, abrufbar unter: https://demo.a-sit.at/wp-content/uploads/2014/11/USB-Studie.pdf – zuletzt geöffnet am 12. Juli 2016.
[13]Schipke: The Language of Phishing, Pharming, and Other Internet Fraud-Metaphorically Speaking, IEEE International Symposium on Technology and Society, 2006, S. 1-6, abrufbar unter http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=4375897 - zuletzt geöffnet am 12. Juli 2016.
[14]Mühlenbrock/Sesing: Anmerkung zu LG Mannheim, U. v. 16.05.2008 - 1 S 189/07 - (Anscheinsbeweis bei Phishing-Attacken) Aktenzeichen: 1 S 189/07, MMR 2008, 765 (767).
[15]Arbeitsgruppe Identitätsschutz im Internet e.V. (a-i3), „Pharming", abrufbar unter: https://www.a-i3.org/content/view/933/204/ - zuletzt geöffnet am 12. Juli 2016.
[16]Stamm/Ramzan/Jakobsson: Drive-By Pharming, 13.12.2006, abrufbar unter: https://www.symantec.com/avcenter/reference/Driveby_Pharming.pdf – zuletzt geöffnet am 12. Juli 2016.
[17]Ollmann: The Pharming Guide, Juli 2006, abrufbar unter: http://www.windowsecurity.com/uplarticle/WebSecurity/ThePharmingGuide.pdf – zuletzt geöffnet am 12. Juli 2016.
[18]Vgl. etwa: Augsburger Allgemeine Zeitung: Vermeintliche Liebe und ein Koffer voller Geld und Gold, 01. Juli 2016, abrufbar unter: http://www.augsburger-allgemeine.de/noerdlingen/Vermeintliche-Liebe-und-ein-Koffer-voller-Geld-und-Gold-id38316867.html oder Stuttgarter Nachrichten: Falsche Liebe im Internet, 06. Juli 2015, abrufbar unter: http://www.stuttgarter-nachrichten.de/inhalt.romance-scamming-falsche-liebe-im-internet.120619da-5598-49d6-8a8e-04b19e995cb4.html – zuletzt geöffnet am 12. Juli 2016.
[19]Polizeiliche Kriminalprävention der Länder und des Bundes, "Romance- oder Love-Scamming", abrufbar unter: http://www.polizei-beratung.de/themen-und-tipps/betrug/scamming/romance-scamming.html – zuletzt geöffnet am 12. Juli 2016.
[20]Whitty/Buchanan: The Online Romance Scam: A Serious Cybercrime, 2012 abrufbar unter: http://www.onlinepersonalswatch.com/files/online-romance-scam-a-serious-cybercrime.pdf - zuletzt geöffnet am 12. Juli 2016.
[21]Seidl/Fuchs: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes, HRRS 2/2010, 85 (86).
[22]Popp: Phishing, "Pharming" und das Strafrecht, MMR 2/2006, 84 (85).
[23]Stuckenberg: Zur Strafbarkeit von "Phishing", ZStW 4/2006, 878 (884).
[24]Popp: Phishing, "Pharming" und das Strafrecht, MMR 2/2006, 84 (85).
[25]Goeckenjan: Auswirkungen des 41. Strafrechtsänderungsgesetzes auf die Strafbarkeit des "Phishing", wistra 2/2009, 47 (51).
[26]Toepel in: Kindhäuser/Neumann/Paeffgen, Kommentar zum Strafgesetzbuch, 4. Auflage, Baden-Baden, 2013, § 240 StGB, Rn. 103.
[27]Ebd., Rn.104.
[28]Stuckenberg: Zur Strafbarkeit von "Phishing", ZStW 4/2006, 878 (905).
[29]Seidl/Fuchs: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes, HRRS 2/2010, 85 (86).
[30]Goeckenjan: Phishing von Zugangsdaten für Online-Bankdienste und deren Verwertung, wistra 4/2008, 128 (130), Graf: Phishing derzeit nicht generell strafbar!, NStZ 3/2007, 129 (130).
[31]Weber: Phishing: Brauchen wir einen Sondertatbestand zur Verfolgung des Internetphishings?, HRRS 12/2004, 406 (408).
[32]Ebd.
[33]Ebd.
[34]Stuckenberg: Zur Strafbarkeit von "Phishing", ZStW 4/2006, 878 (899).
[35]Facebook- Hilfebereich, "Zahlungen für Facebook-Spiele ", abrufbar unter: https://www.facebook.com/help/414383411931263 – zuletzt geöffnet am 12. Juli 2016.
[36]Seidl/Fuchs: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes, HRRS 2/2010, 85 (86).
[37]Gercke: Die Strafbarkeit von "Phishing" und Identitätsdiebstahl. Eine Analyse der Reichweite des geltenden Strafrechts, CR 8/2005, 606 (608.).
[38]Seidl/Fuchs: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes, HRRS 2/2010, 85 (86-87).
[39]Buggisch: Fälschung beweiserheblicher Daten durch Verwendung einer falschen E-Mail-Adresse?, NJW 49/2004, 3519 (3520).
[40]Gercke: Die Strafbarkeit von "Phishing" und Identitätsdiebstahl. Eine Analyse der Reichweite des geltenden Strafrechts, CR 8/2005, 606 (609).
[41]Seidl/Fuchs: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes, HRRS 2/2010, 85 (86-87).
[42]Ebd.
[43]Ebd.
[44]Ebd.
[45]OLG Koblenz NStZ-RR 2008, 120.
[46]Vgl. Banday: Effectiveness and limitations of E-Mail securityprotocols, International Journal of Distributed and Parallel Systems (IJDPS) Vol.2, No.3, May 2011 – abrufbar unter: http://airccse.org/journal/ijdps/papers/0511ijdps04.pdf – zuletzt geöffnet am 12. Juli 2016.
[47]Ortner in: Hoeren/Sieber/Holznagel, Multimedia-Recht, Teil 13.2, 42. Ergänzungslieferung, 2015, Rn. 15-20.
[48]Czeguhn: Beweiswert und Beweiskraft digitaler Dokumente im Zivilprozess", JuS 2/2004, 124 (124).
[49]Brand: Die strafrechtliche Bedeutung der Nutzung fremder Packstationsdaten zu kriminellen Zwecken, NStZ 1/2013, 7 (8); Heine/Schuster in: Schönke/Schröder, Strafgesetzbuch – Kommentar, 29. Auflage, 2014, § 269, Rn. 9-13; Hoyer in: Rudolphi/Wolters, Systematischer Kommentar zum Strafgesetzbuch, 8. Auflage, Köln, 2013, § 267 StGB, Rn. 30.
[50]Hoyer in: Rudolphi/Wolters, Systematischer Kommentar zum Strafgesetzbuch, 8. Auflage, Köln, 2013, § 269 I StGB, Rn. 13.
[51]Ebd, Rn. 14.
[52]Gercke: Die Strafbarkeit von "Phishing" und Identitätsdiebstahl. Eine Analyse der Reichweite des geltenden Strafrechts, CR 8/2005, 606 (609).
[53]Ebd.
[54]Hoyer in: Rudolphi/Wolters, Systematischer Kommentar zum Strafgesetzbuch, 8. Auflage, Köln, 2013, § 269 I StGB, Rn. 14.
[55]Gercke: Die Strafbarkeit von "Phishing" und Identitätsdiebstahl. Eine Analyse der Reichweite des geltenden Strafrechts, CR 8/2005, 606 (609).
[56]Hoyer in: Rudolphi/Wolters, Systematischer Kommentar zum Strafgesetzbuch, 8. Auflage, Köln, 2013, § 269 I StGB, Rn. 20.
[57]Ebd.
[58]Gercke: Die Strafbarkeit von "Phishing" und Identitätsdiebstahl. Eine Analyse der Reichweite des geltenden Strafrechts, CR 8/2005, 606 (609).
[59]Heine/Schuster in: Schönke/Schröder, Strafgesetzbuch – Kommentar, 29. Auflage, 2014, § 269, Rn. 45; Hoyer in: Rudolphi/Wolters, Systematischer Kommentar zum Strafgesetzbuch, 8. Auflage, Köln, 2013, § 269 I StGB, Rn. 15.
[60]Buggisch: Fälschung beweiserheblicher Daten durch Verwendung einer falschen E-Mail-Adresse?, NJW 49/2004, 3519 (3519).
[61]Cornelius in: Leupold/Glossner, Münchner Anwaltshandbuch IT-Recht, Teil 10, 3. Auflage, München, 2013, Rn. 214; Weidemann in: Von Heintschel-Heinegg, Beck'scher Online-Kommentar – StGB, 23. Edition, Stand: 22.7.2013, München, § 269 I StGB, Rn. 9.
[62]Gercke: Die Strafbarkeit von "Phishing" und Identitätsdiebstahl. Eine Analyse der Reichweite des geltenden Strafrechts, CR 8/2005, 606 (610).
[63]Gercke: Die Strafbarkeit von "Phishing" und Identitätsdiebstahl. Eine Analyse der Reichweite des geltenden Strafrechts, CR 8/2005, 606 (610, Fußnote 55).
[64]Gercke: Die Strafbarkeit von "Phishing" und Identitätsdiebstahl. Eine Analyse der Reichweite des geltenden Strafrechts, CR 8/2005, 606 (610).
[65]Ebd.
[66]Cornelius in: Kilian/Heussen, Computerrechts-Handbuch, 32. Ergänzungslieferung, München, August 2013, Teil 10, Besonderer Teil des Strafgesetzbuches, Rn. 169.
[67]Weidemann in: Von Heintschel-Heinegg, Beck'scher Online-Kommentar – StGB, 23. Edition, Stand: 22.7.2013, München, §269 StGB, Rn. 12.
[68]Heine/Schuster in: Schönke/Schröder, Strafgesetzbuch – Kommentar, 29. Auflage, 2014, § 269, Rn. 22; Buggisch: Fälschung beweiserheblicher Daten durch Verwendung einer falschen E-Mail-Adresse?, NJW 49/2004, 3519 (3519).
[69]Heine/Schuster in: Schönke/Schröder, Strafgesetzbuch – Kommentar, 29. Auflage, 2014, § 269, Rn. 22.
[70]Weidemann in: Beck'scher Online-Kommentar – StGB, 23. Edition, Stand: 22.7.2013, München, §269 StGB, Rn. 12.
[71]Gercke in: Spindler/Schuster, Recht der elektronischen Medien, 2. Auflage, München, 2011, § 269, Rn. 6.
[72]Gercke: Die Strafbarkeit von "Phishing" und Identitätsdiebstahl. Eine Analyse der Reichweite des geltenden Strafrechts, CR 8/2005, 606 (610).
[73]Popp: Phishing, "Pharming" und das Strafrecht, MMR 2/2006, 84 (84).
[74]Ebd.
[75]Seidl/Fuchs: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes, HRRS 2/2010, 85 (87).
[76]Gercke: Die Strafbarkeit von "Phishing" und Identitätsdiebstahl. Eine Analyse der Reichweite des geltenden Strafrechts, CR 8/2005, 606 (610).
[77]Heine/Schuster in: Schönke/Schröder, Strafgesetzbuch – Kommentar, 29. Auflage, 2014, § 269, Rn. 23.
[78]Seidl/Fuchs: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes, HRRS 2/2010, 85 (87).
[79]Goeckenjan: Auswirkungen des 41. Strafrechtsänderungsgesetzes auf die Strafbarkeit des "Phishing", wistra 2/2009, 47 (52).
[80]Seidl/Fuchs: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes, HRRS 2/2010, 85 (87); Goeckenjan: Phishing von Zugangsdaten für Online-Bankdienste und deren Verwertung, wistra 4/2008, 128 (130); Beck/Dornis: Phishing im Marken(straf)recht. Wie Tathandlungen des "Phishing" markenstrafrechtlich geahndet werden können, CR 10/2007, 642 (644).
[81]Franzen in: Müller-Glöge/Preis/Schmidt, Erfurter Kommentar zum Arbeitsrecht, 14. Auflage, München, 2014, § 3 BDSG, Rn. 2.
[82]Polenz in: Kilian/Heussen, Computerrechts-Handbuch, 32. Ergänzungslieferung, München, August 2013, Computerrecht, Teil 13, Rechtsquellen und Grundbegriffe des allgemeinen Datenschutzes, Rn. 68.
[83]Eckhardt: Anmerkung zu LG Berlin, U. v. 06.09.2007 - 23 S 3/07 - (Vorratsspeicherung von personenbezogenen Daten unzulässig II) Aktenzeichen: 23 S 3/07, K&R 11/2007, 602 (602); Gola/Schomerus in: „BDSG", 11. Auflage, München, 2012, § 3 BDSG, Rn. 10a.
[84]Seidl/Fuchs: Die Strafbarkeit des Phishing nach Inkrafttreten des 41. Strafrechtsänderungsgesetzes, HRRS 2/2010, 85 (87); Goeckenjan: Phishing von Zugangsdaten für Online-Bankdienste und deren Verwertung, wistra 4/2008, 128 (130).
[85]Heghmans: Strafbarkeit des "Phishing" von Bankkontendaten und ihrer Verwertung", wistra 5/2007, 167 (169, Fn. 25).
 

 
(online seit: 27.09.2016)
 
Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs.
 
Zitiervorschlag: Hessel, Stefan, Soziale Netzwerke im Fokus von Phishing-Angriffen - Eine Analyse aus technischer und rechtlicher Sicht - - JurPC-Web-Dok. 0137/2016