28.04.2005


BITKOM auf Fischfang?

Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) sieht vor dem Hintergrund auch in Deutschland zunehmender sog. Phishing-mails strafrechtlichen Handlungsbedarf und fordert die Einführung eines speziellen Straftatbestandes. Unter Phishing versteht man die durch Täuschung verursachte Herausgabe (geheimer) meist personenbezogener Daten wie z.B. Benutzernamen, Passwörter, Kontodaten, u.s.w. Der Nutzer wird auf eine Website (sog. spoof-Seite) geschickt, die einem von ihm genutzten Dienst (z.B. Online-Banking) täuschend ähnlich sieht und unter Vorgabe der Aktualisierung der Nutzerdaten o.ä dazu veranlasst, seine Daten einem Dritten preiszugeben. Die so gewonnenen Daten werden dann meist für Straftaten wie Betrug bzw. Computerbetrug verwendet.
Das Phänomen ist nicht unbekannt –im „offline-Bereich“ kennt man es unter dem Namen social engineering. Ein Straftatbestand hierzu existiert nicht.
Die strafrechtliche Erfassung des „Identitätsklaus“ ist nach deutschem Recht nahezu unmöglich, da mangels Vermögensverfügung bzw. –schaden (noch) kein Betrug, § 263 StGB/ Computerbetrug, § 263a StGB, vorliegt. Das Ausspähen von Daten, § 202a StGB, scheitert am Datenbegriff und an der besonderen Sicherung.

Die BITKOM schlägt vor, den neu zu schaffenden Straftatbestand als abstraktes Gefährdungsdelikt auszugestalten, „um nicht im Einzelfall den Nachweis eines Erfolges notwendig zu machen“. Welcher Erfolg kann hier aber gemeint sein? Immerhin handelt es sich „lediglich“ um eine Vorbereitungshandlung zum (nach wie vor strafbaren) Betrug bzw. Computerbetrug. Eine Vorverlagerung der Strafbarkeit in so weitgehender Art muss jedoch besonders gerechtfertigt werden. Die bloße Angst, die Bürger würden verunsichert und das wirtschaftliche Potenzial von elektronischen Geschäftsanwendungen würde gefährdet, erscheint dafür zu gering.
Einerseits existiert eine Strafbarkeit für begangene Vermögensdelikte - allein der schwer zu führende Nachweis rechtfertigt die Vorverlagerung jedenfalls nicht. Andererseits existieren gerade im Zusammenhang mit der Nutzung des Internet technischen Möglichkeiten zur Prävention. Wer aus Bequemlichkeit die aufgerufene Seite nicht verifiziert bzw. wer den in solchen mails platzierten links bedenkenlos folgt, obwohl eine entsprechende Aufklärung auch durch die betroffenen Unternehmen regelmäßig stattfindet, erscheint nicht schützenswert.