10.03 Phishing

10 Digital Crimes

Unter dem Begriff Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Der Begriff ist ein englisches Kunstwort, das sich an fishing (Angeln, Fischen), bildlich das Angeln nach Passwörtern mit Ködern, anlehnt. Die Schreibweise mit Ph- entstammt dem Hacker-Jargon. Ein Beispiel von Phishing, das es auf Kunden von PostFinance abgehen hat, haben wir hier publiziert. Mit einem gefälschten E-Mail, das im Look von PostFinance daherkommt, fordern die Betrüger die Adressaten unter dem Vorwand, deren Kreditkarte sei gesperrt worden, für eine «Sicherheitsprozedur» die entsprechenden Kreditkarten-Daten zu übermitteln. Typischerweise wird in entsprechenden Phishing-Mails das Corporate Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet. Der Adressat wird in der Regel aufgefordert, Daten von Kreditkarten oder sogar E-Banking-Logis zu übermitteln, mittels derer sich die Betrüger in der Folge an das Vermögen der Adressaten machen. (Quelle: https://de.wikipedia.org/wiki/Phishing).

Prima Vista könnte man meinen, dass es sich beim Phishing um einen klassischen Betrug nach Art. 146 StGB handelt, da insbesondere das typische Tatbestandsmerkmal der arglistigen Täuschung offensichtlich erfüllt ist. Art. 146 StGB verlangt jedoch zusätzlich, dass der Betroffene sich basierend auf einem entsprechenden Irrtum selbst und unmittelbar am eigenen Vermögen schädigt. Dies ist beim Phishing, insbesondere auf dem Wege von E-Mails oder SMS gerade nicht gegeben, da ja der Täter die entsprechenden Folgehandlungen selber vornimmt.

Gemäss herrschender Lehre und Rechtsprechung wird das Phishing in der Regel als betrügerischer Missbrauch einer Datenverarbeitungsanlage taxiert und die entsprechenden Täter nach Art. 147 StGB verurteilt. Gemäss Art. 147 StGB wird bestraft, wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einem elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt.

10 Digital Crimes