Newsletter-ABO    

Die Qual der Wahl: Bezahlsysteme im Internet. Ob PayPal, ClickandBuy, T-Pay, Web.Cent oder giropay - im World Wide Web gibt es viele Möglichkeiten zu bezahlen.

MultiMediaAtlas auf saxxess.com  Finden Sie Ihre Dienstleister aus IT, Telekommunikation oder Medien! Neu: mit Umkreissuche und Routing.

Straftatbestand "Phishing"?

Internetnutzer sehen sich immer mehr und immer authentischer scheinenden "Phishing"-Attacken ausgesetzt. Die andauernde und steigende Gefahr findet in Deutschland aber bisher noch keine adäquate Entsprechung in Strafverfolgung und Rechtsprechung. Von Henning Croissant

Neben Handelsplattformen wie eBay sind vor allem Finanzdienstleister wie PayPal, Postbank, Volks- und Raiffeisenbanken und zuletzt die Deutsche Bank im Visier der "Phishing"-Angriffe.

"Phishing" - abgeleitet von den englischen Begriffen password und fishing - bezeichnet den Versuch, Nutzer zur Preisgabe persönlicher Zugangsdaten zu verleiten.
Gefälschte E-Mails oder Homepages, mehr oder weniger exakte Kopien von Finanz- oder Handelsunternehmen, erwecken dabei den Eindruck, der Nutzer müsse seine Zugangsdaten eingeben, um seinen Account zu aktualisieren oder sogar zu schützen.
Nach Eingabe werden diese Daten dem Initiator der "Phishing"-Mails oder -Homepages zugesandt.

Der Branchenverband BITKOM setzt sich deshalb vehement für eine Aufnahme von "Phishing" als eigenen Straftatbestand in das Strafgesetzbuch ein. Durch die zunehmende Anzahl und Professionalisierung der "Phishing"-E-Mails stiege "die Verunsicherung der Online-Nutzer, das wirtschaftliche Potenzial des elektronischen Handels könnte so gefährdet werden", so Dr. Peter Broß, Geschäftsführer des BITKOM.

Auch Vertreter der Opposition im Bundestag sehen dringenden Handlungsbedarf beim Gesetzgeber. Dr. Martina Krogmann, Internet-Beauftragte der CDU/CSU-Bundestagsfraktion, sieht ein wachsendes Bedrohungspotential im Internet, verbunden mit steigenden wirtschaftlichen Schäden als Folge von "Phishing". Um Polizei und Staatsanwalt ein frühes Eingreifen zu ermöglichen, muss "Phishing" in Deutschland explizit unter Strafe gestellt werden.

In Großbritannien ist bereits ein Gesetz gegen "Phishing" und andere technische Formen des Betruges in das Oberhaus eingebracht worden. Das britische Innenministeriums erhofft sich dadurch vor allem eine wirksamere und effektiver Verfolgung von Betrugsversuchen - bevor wirtschaftliche Schäden entstanden sind.
Der Vorschlag der kanadischen "Task Force on Spam" zielt in die selbe Richtung, und fordert von der kanadischen Regierung die Einführung klarer Gesetze gegen Internet-Betrügereien.

Die Diskussion, ob auch die Bundesrepublik Deutschland ein spezielles Gesetz braucht oder ob bereits jetzt genügend juristische Mittel gegen "Phishing" vorhanden sind, ist aber nicht abgeschlossen, sondern wird engagiert weitergeführt.
Dr. Thomas Frank, Mitarbeiter am Lehrstuhl für Strafrecht, Strafprozessrecht, Informationsrecht und Rechtsinformatik der Universität Würzburg, sieht "Phishing" durch den Betrugsparagraphen 263 im Strafgesetzbuch abgedeckt. Dieser stellt nicht erst die Aneignung fremden Vermögens unter Strafe, sondern explizit bereits den Versuch - mit bis zu fünf, in schweren Fällen bis zu zehn Jahren Gefängnis.
Der Branchenverband BITKOM sieht diese Möglichkeit der Strafverfolgung allerdings nicht gegeben, da es sich bei "Phishing"-Versuchen lediglich um "straflose Vorbereitungshandlungen" handelt. Fakt ist, bisher sind keine Fälle bekannt geworden, in denen "Phishing" strafrechtliche Konsequenzen nach sich gezogen hätte, so Dr. Volker Kitz, Bereichsleiter Telekommunikation und Medienpolitik des BITKOM. Deutliches Indiz dafür, dass die bestehende Gesetzeslage nicht ausreicht.

Der Umstand, dass die Urheber von "Phishing"-E-Mails nicht einfach zu ermitteln sind, erschwert die Strafverfolgung ebenso wie die Tatsache, dass diese zumeist nicht vom Gültigkeitsbereich des deutschen Strafgesetzbuches aus agieren. Stellenweise geringe deutsche Sprachkenntnisse und nur schlecht formulierte "Phishing"-E-Mails stützen die These, dass die Angriffe zumeist aus dem fremdsprachigen Ausland erfolgen. Auch wenn ein deutsches Gesetz gegen "Phishing" und andere Internet-Betrügereien durchgesetzt werden würde, bliebe die Schwierigkeit bestehen, mit deutschem Recht Betrüger im Ausland zu erreichen.

Eine mögliche Lösung wäre die Einführung international geltender Regelungen. Die Haltung der Europäischen Union bzw. der Europäischen Kommission bleibt aber unklar. Eine Stellungnahme einer Europäischen Instanz, ob und wie mit supranationalen Regelungen einem internationalen Problem begegnet werden kann, ist bisher nicht zu erhalten.

Die Einführung eines Anti-"Phishing"-Gesetzes lässt in Deutschland weiter auf sich warten. Der Entwurf eines "Anti-Spam"-Gesetzes wurde zurückgezogen, in Sachen "Phishing" sieht der Gesetzgeber keinen Bedarf. "Für mich unverständlich!", so Martina Krogmann.

Ohne juristische Handhabe gegen Betrugsversuche im Internet bleibt nur noch die Anpassung der technischen Voraussetzung und die umfassende Aufklärung der Nutzer.
Banken und Internetdienstleister weisen explizit daraufhin, dass Abfragen ihrerseits von sensiblen Kundendaten via E-Mail nicht durchgeführt werden, somit immer betrügerischer Natur sein müssen. Das umfassende Informationspapier von BITKOM klärt darüber auf, wie man sich vor "Phishing"-Attacken schützt, wie man "Phishing"-E-Mails erkennt, wie man auf diese E-Mails reagiert und was gegebenenfalls nach einem "Phishing"-Angriff zu tun bleibt.

Die Einführung eigenständiger und sicherer Verfahren wie beispielsweise biometrische Verifizierung oder digitale Signaturen würden Betrugsversuche in der bekannten Form wesentlich erschweren.
Solange Transaktionen im Internet aber noch von der Eingabe von Nutzer-Zugangsdaten abhängig sind, bleibt das Gefährdungspotential durch "Phishing" aber unverändert hoch. Gerade deshalb erfolgt die Warnung vor neuen "Phishing"-Versuchen auch im aktuellen Newsletter (Ausgabe vom 23.06.2005) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) - an erster Stelle.

Ob und wie das Problem "Phishing" endgültig gelöst wird, bleibt unbeantwortet offen. Das sich Betrug im Internet, der sich der Naivität oder einfach nur der Unwissenheit einzelner Nutzer bedient, ohne Reaktion hingenommen wird, dient nicht dem Vertrauen in das Internet - und dient auch nicht dem Vertrauen in die Politik.


Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) vertritt 1.300 Unternehmen mit rund 120 Milliarden Euro Umsatz und etwa 700.000 Beschäftigten. Hierzu zählen Produzenten von Endgeräten und Infrastruktursystemen sowie Anbieter von Software, Dienstleistungen, neuen Medien und Content. BITKOM setzt sich insbesondere für eine Verbesserung der ordnungsrechtlichen Rahmenbedingungen in Deutschland, für eine Modernisierung des Bildungssystems und für die Entwicklung der Informationsgesellschaft ein.