Phishing gehört zu den häufigsten Erscheinungsformen der Cyberkriminalität. Der Begriff bezeichnet Methoden, mit denen Täter versuchen, an sensible Zugangsdaten zu gelangen. Ziel sind meist Passwörter, Kreditkartendaten oder Online-Banking-Zugänge, die anschließend für betrügerische Transaktionen genutzt werden.
Typischerweise erfolgt Phishing über gefälschte E-Mails, SMS oder Webseiten, die den Eindruck erwecken, von einer Bank, einem Zahlungsdienstleister oder einem bekannten Online-Unternehmen zu stammen. Die Empfänger werden aufgefordert, ihre Zugangsdaten einzugeben oder eine vermeintliche Sicherheitsprüfung durchzuführen. Tatsächlich gelangen die eingegebenen Daten jedoch direkt zu den Tätern.
Phishing-Angriffe können erhebliche finanzielle Schäden verursachen und führen regelmäßig zu strafrechtlichen Ermittlungen wegen verschiedener Cybercrime-Delikte.
Welche Straftatbestände kommen beim Phishing in Betracht?
Phishing selbst ist kein eigener Straftatbestand. In der Praxis erfüllen solche Handlungen jedoch regelmäßig mehrere Straftatbestände des Strafgesetzbuchs.
Im Mittelpunkt steht häufig der Vorwurf des Computerbetrugs. Wenn gestohlene Zugangsdaten genutzt werden, um Online-Banking-Transaktionen auszuführen oder Einkäufe im Internet zu tätigen, kann dies als Computerbetrug verfolgt werden.
Darüber hinaus kommen je nach Fallgestaltung weitere Delikte in Betracht. Dazu gehören etwa das Ausspähen von Daten, wenn Zugangsdaten gezielt abgegriffen werden, oder das Vorbereiten von Ausspähdelikten, wenn entsprechende Phishing-Tools eingesetzt werden.
Auch der Besitz oder die Weitergabe von gestohlenen Zugangsdaten kann strafrechtlich relevant sein. Gerade im Zusammenhang mit internationalen Tätergruppen werden solche Daten häufig über Internetforen oder im Darknet gehandelt.
Typische Ermittlungsverfahren
Ermittlungsverfahren im Zusammenhang mit Phishing entstehen häufig nach Anzeigen von Banken oder geschädigten Kunden. Sobald ungewöhnliche Transaktionen festgestellt werden, beginnen Banken und Strafverfolgungsbehörden damit, die technischen Abläufe nachzuvollziehen.
Dabei werden unter anderem IP-Adressen, Log-Dateien von Servern, Zahlungsströme und Kontobewegungen ausgewertet. Häufig richtet sich der Verdacht zunächst gegen Personen, über deren Konten Gelder weitergeleitet wurden. Solche Konten werden im Cybercrime-Kontext häufig als sogenannte „Finanzagenten“ oder „Money Mules“ genutzt.
Gerade für diese Personen kann schnell der Vorwurf entstehen, an einer Betrugsstruktur beteiligt gewesen zu sein, obwohl sie die Hintergründe der Transaktionen möglicherweise nicht vollständig kannten.
Strafverteidigung bei Phishing-Vorwürfen
Die strafrechtliche Bewertung von Phishing-Fällen ist häufig komplex, weil mehrere Beteiligte und internationale Strukturen eine Rolle spielen können. In vielen Ermittlungsverfahren stellt sich zunächst die Frage, welche konkrete Rolle eine beschuldigte Person tatsächlich hatte.
Insbesondere bei sogenannten Finanzagenten ist zu prüfen, ob ein vorsätzliches Handeln vorliegt oder ob Betroffene selbst getäuscht wurden. Auch die Frage, ob eine Person tatsächlich an der technischen Durchführung eines Phishing-Angriffs beteiligt war, kann im Einzelfall schwierig zu klären sein.
Wer eine polizeiliche Vorladung oder eine Beschuldigtenanhörung wegen eines Cybercrime-Vorwurfs erhält, sollte daher keine Angaben zur Sache machen, bevor die Ermittlungsakte geprüft wurde. Eine frühzeitige anwaltliche Beratung kann helfen, die eigene rechtliche Situation realistisch einzuschätzen und eine geeignete Verteidigungsstrategie zu entwickeln.