Begriff und Definition von Phishing
Phishing bezeichnet eine Variante des Cyberbetrugs, bei der Täter versuchen, über gefälschte Nachrichten – meist E-Mails, seltener auch via Telefonanrufe, Kurznachrichten (SMS) oder über gefälschte Webseiten – vertrauliche Informationen von Betroffenen zu erlangen. Typische Ziele solcher Angriffe sind die Preisgabe von Zugangsdaten, Passwörtern, Kreditkarteninformationen oder weiteren personenbezogenen Daten. Der Begriff setzt sich aus den englischen Wörtern „Password Harvesting“ und „Fishing“ (Angeln) zusammen und verweist darauf, dass Täter durch ausgeklügelte Methoden sensible Informationen „angeln“ wollen.
Erscheinungsformen des Phishing
E-Mail-Phishing
Die häufigste Phishing-Methode erfolgt per E-Mail. Die Täter geben sich beispielsweise als Banken, Zahlungsdienstleister oder bekannte Unternehmen aus und versuchen durch täuschend echt gestaltete Nachrichten, die Empfänger auf gefälschte Webseiten umzuleiten oder zum Download von Schadsoftware zu bewegen.
Spear-Phishing und Whaling
Anders als beim Massen-Phishing sind beim Spear-Phishing gezielte Einzelpersonen oder Unternehmen das Ziel. Die Angreifer verfügen oftmals bereits über spezifische Vorinformationen und personalisieren ihre Nachrichten. Beim sogenannten Whaling werden leitende Angestellte oder Entscheidungsträger in Unternehmen ins Visier genommen.
Pharming
Eine weitere Variante besteht im sogenannten Pharming. Hierbei manipulieren Täter die Namensauflösung im Internet (DNS), sodass Opfer trotz Eingabe der korrekten Adresse auf eine gefälschte Website geleitet werden.
Rechtliche Einordnung und strafrechtliche Bewertung
Betrug und Täuschung nach § 263 StGB
Phishing wird rechtlich in Deutschland in erster Linie als Betrug gemäß § 263 des Strafgesetzbuches (StGB) erfasst. Der Täter täuscht eine andere Person, um dadurch einen rechtswidrigen Vermögensvorteil zu erlangen. Dabei kann die Täuschung nicht nur über Tatsachen erfolgen, sondern auch über die Identität des Täters, insbesondere wenn beispielsweise eine E-Mail im Namen einer Bank versendet wird.
Computerbetrug gemäß § 263a StGB
Besonders relevant ist auch der Straftatbestand des Computerbetrugs nach § 263a StGB. Täter, die mittels technischer Manipulation – etwa durch gefälschte Webseiten oder Schadprogramme – auf das Opfer einwirken und so unbefugten Zugriff auf Daten oder Konten erhalten, erfüllen regelmäßig die Tatbestandsmerkmale dieses Delikts.
Ausspähen und Abfangen von Daten
Neben dem Betrug spielen auch die Vorschriften zum Ausspähen und Abfangen von Daten eine entscheidende Rolle (§§ 202a, 202b, 202c StGB). Die unbefugte Beschaffung von Daten, etwa Zugangsdaten oder Passwörtern, ist bereits unabhängig von der weiteren Verwendung strafbar.
Identitätsdiebstahl und Fälschung beweiserheblicher Daten
Häufig benutzen Täter beim Phishing gestohlene Identitäten, was strafrechtlich auch den Tatbestand der Fälschung beweiserheblicher Daten (§ 269 StGB) sowie Identitätsmissbrauch (§ 281 StGB) berühren kann.
Phishing im Zusammenhang mit Datenschutz und Zivilrecht
Verletzung datenschutzrechtlicher Bestimmungen
Phishing verstößt gegen diverse datenschutzrechtliche Vorgaben, insbesondere aus der Datenschutz-Grundverordnung (DSGVO). Die unrechtmäßige Erhebung, Verarbeitung oder Weitergabe persönlicher Daten kann auch zivilrechtliche Ansprüche nach sich ziehen, etwa aus dem Recht auf Schadensersatz gemäß Art. 82 DSGVO.
Zivilrechtliche Ansprüche der Betroffenen
Geschädigte haben gegen Täter Ansprüche auf Schadensersatz, Herausgabe unrechtmäßig erlangter Daten und Unterlassung weiterer Eingriffe. Banken und Zahlungsdienstleister sind gemäß § 675u BGB (Bürgerliches Gesetzbuch) verpflichtet, ihre Kunden bei unautorisierten Zahlungsvorgängen zu unterstützen und ggf. eine Haftung für entstandene Schäden zu übernehmen, sofern den Kunden kein Mitverschulden trifft.
Tatmittel, Beweissicherung und Strafverfolgung
Tatmittel und Durchführung
Zur Durchführung von Phishing nutzen Täter häufig gefälschte Webseiten, täuschend echte E-Mails sowie Social-Engineering-Techniken. Zur Verbesserung der Authentizität werden teilweise Logos, Designs und Kommunikationsmuster der Original-Absender nachgeahmt.
Beweissicherung
Für eine erfolgreiche Strafverfolgung ist die schnelle und sorgfältige Sicherung elektronischer Spuren entscheidend. Hierzu zählt insbesondere die Archivierung und Dokumentation verdächtiger E-Mails, Header-Informationen, Webseiten sowie Übertragungsprotokolle.
Internationale Zusammenarbeit bei der Strafverfolgung
Da Phishing-Angriffe häufig grenzüberschreitend erfolgen, ist die Zusammenarbeit zwischen internationalen Strafverfolgungsbehörden zentral. Das Übereinkommen über Computerkriminalität des Europarats (Budapester Übereinkommen) bildet einen wichtigen Rechtsrahmen für die Verfolgung von Tätern im internationalen Kontext.
Prävention und Pflichten von Unternehmen
Technische Schutzmaßnahmen
Unternehmen und Organisationen sind dazu verpflichtet, angemessene technische und organisatorische Maßnahmen zu implementieren, um Phishing-Angriffe abzuwehren. Hierzu zählen Firewall- und Antiviren-Software, mehrstufige Authentifizierungsverfahren sowie die regelmäßige Unterrichtung der Mitarbeitenden über aktuelle Betrugsmaschen.
Schulung und Sensibilisierung
Ein bedeutsamer Teil der Prävention ist die kontinuierliche Schulung der Mitarbeitenden im Umgang mit verdächtigen Nachrichten und das Bewusstsein für typische Anzeichen von Phishing-Attacken.
Haftung bei Organisationsverschulden
Wenn Unternehmen oder Dienstleister ihrer Sorgfaltspflicht nicht nachkommen und es dadurch zu einem Schaden kommt, können sie zivilrechtlich auf Schadenersatz haftbar gemacht werden. Dies leitet sich insbesondere aus den allgemeinen Grundsätzen der Verkehrssicherungspflicht sowie spezialgesetzlichen Regelungen im Zahlungsdiensterecht ab.
Übersicht zu den wichtigsten Normen im Phishing-Kontext
- § 263 StGB – Betrug
- § 263a StGB – Computerbetrug
- § 202a StGB – Ausspähen von Daten
- § 202b StGB – Abfangen von Daten
- § 269 StGB – Fälschung beweiserheblicher Daten
- Art. 6, 32, 82 DSGVO – Datenschutz, Sicherheit der Verarbeitung, Schadensersatz
- § 675u BGB – Erstattungsanspruch des Bankkunden bei unautorisierten Zahlungen
Fazit
Phishing stellt eine komplexe Form der Internetkriminalität dar, die sowohl strafrechtliche, zivilrechtliche als auch datenschutzrechtliche Konsequenzen nach sich zieht. Die rechtliche Bewertung umfasst verschiedene Tatbestände – vom Betrug über Computerkriminalität bis hin zu Datenschutzverletzungen und zivilrechtlichen Ausgleichspflichten. Eine kompakte Zusammenfassung wesentlicher Normen und Pflichten gibt sowohl betroffenen Privatpersonen als auch Organisationen einen rechtlichen Überblick und fördert die Sensibilisierung für diese Gefahrenlage in der digitalen Welt.
Häufig gestellte Fragen
Wer haftet rechtlich, wenn durch Phishing ein finanzieller Schaden entsteht?
Im Falle eines finanziellen Schadens durch Phishing stellt sich die Frage nach der Haftung. Grundsätzlich haften Banken und Zahlungsdienstleister nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) und § 675u BGB für nicht autorisierte Zahlungsvorgänge. Wenn der Kunde jedoch grob fahrlässig gehandelt hat, z.B. durch unachtsames Offenbaren von Zugangsdaten oder TANs, kann eine Eigenhaftung des Kontoinhabers greifen (§ 675v Abs. 3 BGB). Eine entscheidende Rolle spielt dabei das nachweisbare Verhalten des Kunden im Einzelfall. Die Beweislast liegt bei der Bank, wenn es um die Autorisierung der Zahlung geht, jedoch verschiebt sich die Haftung bei grober Fahrlässigkeit auf den Kunden. Zusätzlich können etwaige Schadensersatzansprüche wegen Verletzung der Sorgfaltspflichten auch zwischen Unternehmen und ihren Mitarbeitern bestehen.
Können Phishing-Angriffe strafrechtlich verfolgt werden und wenn ja, welche Straftatbestände kommen infrage?
Phishing-Angriffe sind strafrechtlich relevant und können verschiedene Straftatbestände erfüllen. Häufig greifen §§ 263 StGB (Betrug), 202a StGB (Ausspähen von Daten), 269 StGB (Fälschung beweiserheblicher Daten), § 303a StGB (Datenveränderung) und ggf. § 202b StGB (Abfangen von Daten). Zudem können je nach Ausgestaltung weitere nationale oder internationale Vorschriften greifen, insbesondere dann, wenn Phishing zum Zwecke der Geldwäsche erfolgt. Strafbar macht sich in der Regel nicht nur der Angreifer selbst, sondern auch Gehilfen, sofern ein Vorsatz vorliegt (§ 27 StGB).
Welche rechtlichen Pflichten zur Schadensvermeidung und -begrenzung treffen Unternehmen im Zusammenhang mit Phishing?
Unternehmen sind aus arbeits- und datenschutzrechtlicher Sicht dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um Phishing-Angriffe bestmöglich zu verhindern (§ 32 DSGVO, § 26 BDSG, IT-Sicherheitsgesetz). Dazu zählen auch Sensibilisierung und Schulungen der Belegschaft sowie die zeitnahe Information über auftretende Gefährdungen. Kommt ein Unternehmen diesen Pflichten nicht nach und es entstehen Schäden, können sich daraus zivilrechtliche Schadenersatz- und möglicherweise Bußgeldansprüche ergeben. Versicherungen (z.B. Cyber-Versicherung) fordern zudem oftmals den Nachweis entsprechender Präventionsmaßnahmen.
Besteht eine Meldepflicht nach einem erfolgreichen Phishing-Angriff?
Wird durch einen Phishing-Angriff personenbezogene Daten kompromittiert, besteht nach Art. 33 und 34 DSGVO eine Meldepflicht an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden sowie gegebenenfalls an die betroffenen Personen. Darüber hinaus sehen nationale Vorschriften wie das IT-Sicherheitsgesetz für Betreiber kritischer Infrastrukturen eine Meldepflicht an das BSI vor. Kommen Unternehmen dieser Pflicht nicht nach, drohen empfindliche Bußgelder und weitere rechtliche Konsequenzen.
Können Opfer von Phishing Ansprüche gegen Dritte, z.B. Telekommunikationsunternehmen oder Betreiber von Plattformen, geltend machen?
Opfer von Phishing können unter bestimmten Umständen Ansprüche gegen Dritte geltend machen, etwa wenn ein Plattformbetreiber oder Provider zumutbare Prüf- und Sicherungspflichten verletzt hat, die zur Verhinderung des Angriffs geeignet gewesen wären. Derartige Haftungsfragen werden nach allgemeinen deliktischen Grundsätzen (§ 823 BGB) unter Berücksichtigung der Zumutbarkeit und Vorhersehbarkeit geprüft. Zudem besteht eine sekundäre Darlegungslast des jeweiligen Unternehmens, mögliche Schutzmaßnahmen und deren Umsetzung darzustellen.
Welche Rolle spielt die Einwilligung des Geschädigten aus rechtlicher Sicht bei Phishing-Transaktionen?
Wenn der Geschädigte einer Transaktion infolge einer Täuschung im Sinne eines Phishing-Angriffs „zustimmt“, wird diese Zustimmung rechtlich als nicht wirksam bewertet, da sie durch arglistige Täuschung oder unter Zwang zustande gekommen ist (§ 119 BGB, § 123 BGB). Das bedeutet, solche Willenserklärungen sind anfechtbar und die daraus resultierenden Handlungen gelten als nicht autorisiert. Dies ist insbesondere für die Rückabwicklung von Zahlungen oder Transaktionen von zentraler Bedeutung.
Welche rechtlichen Maßnahmen können zur Prävention und Bekämpfung von Phishing in Unternehmen implementiert werden?
Neben organisatorischen und technischen Maßnahmen empfiehlt es sich, verbindliche IT-Nutzungsrichtlinien und klare Meldewege für Sicherheitsvorfälle zu implementieren. Mitarbeiter sollten unterwiesen und regelmäßig nachweislich geschult werden. Verträge mit externen Dienstleistern sollten angemessene Regelungen zur IT-Sicherheit enthalten. Zudem ist es ratsam, einen Notfallplan für Datenschutzverletzungen vorzuhalten. Rechtlich vorgeschrieben sind diese Maßnahmen zum Teil durch die DSGVO, das BSI-Gesetz sowie branchenspezifische Compliance-Anforderungen.
