Musterklausur Cyberstrafrecht: „Wenn der [Ph]isch erst einmal angebissen hat…“

Prof. Dr. Sascha Kische, LL.M., HSPV NRW

Musterklausur zum Download (PDF).

Viele der von den Kriminalämtern unter ‚Straftaten mit dem Tatmittel Internet‘ erfassten Delikte gehören zum Pflichtstoff im Polizeistudium in Bund und Ländern. Allein wegen der umfänglichen Fülle von Lehr- und Lerninhalten in den hochschulischen Curricula geraten die polizeipraktisch bedeutsamen und vor allem cyberstrafrechtlich einschlägigen Vorschriften zu kurz. Auch deshalb hat bspw. die Landesregierung NRW entschieden, für nordrhein-westfälische Polizeibeamtinnen und -beamte ein auf die Erfordernisse der Polizeipraxis zugeschnittenes, weiteres Bachelorstudium „Cyberkriminalistik“ (mit Abschluss B.Sc.) am Cyber Campus NRW einzurichten (Erlass seitens des Innenministeriums NRW vom 14.12.2022 – Az. 421-27.17). Mit dieser Musterklausur sollen eher methodische Einblicke in die strafrechtliche Begutachtung eines „Phishing“-Szenarios für Studierende, Lehrende und auch Praktiker gewährt werden. Zugunsten eines besseren Leseverständnisses wird auf Nachweise und Fußnotenapparat gänzlich verzichtet – bewusst in den Mittelpunkt gestellt werden die Gesetzesanwendung und die stets studentisch schwerfallende Subsumtion unter die Vorschriften.

Sachverhalt

Hacker H hat erfolgreich sein Studium der Informatik absolviert. Auf der Suche nach einer passenden Tätigkeit ist er weder von den derzeitigen Angeboten der freien Wirtschaft noch des öffentlichen Dienstes wirklich überzeugt. Sein Vorbild war lange Zeit der Nachbar N, der als Manager bei einem örtlich ansässigen Industrie-Unternehmen (U) in der Führungsebene tätig ist. Gespannt, aber auch mittlerweile genervt hört er von den wöchentlichen Flügen des N über die ganze Welt, die N stets selbst mit seiner Kreditkarte bucht und dann auch noch Flugmeilen für private Flüge mit der Familie sammelt. Überdies prahlt N immer damit, sämtliche private und berufliche Geschäfte mit Leichtigkeit nur noch über das Internet abzuwickeln – und zwar mithilfe des immer gleichen Benutzernamen und Kennwortes, denn so gerate nichts in Vergessenheit und mache keine Sorgen.

Um an diese Informationen zu gelangen und damit dem N die Schwächen seiner Vorgehensweisen aufzuzeigen, heckt H folgenden Plan aus und führt diesen folgendermaßen durch: Weil N, wie H weiß, stets beim gleichen Flugunternehmen Lufthansa bucht, gestaltet er mithilfe einer bereits zu Studienzwecken angeschafften speziellen Software eine E-Mail mit folgender Aufmachung:

 

Von: Miles & More

 Wichtig: Registrieren Sie sich jetzt für den neuen Sicherheitsstandard 3-D Secure für Online – Zahlungen

 Sehr geehrter Kunde,

Heute möchten wir Sie über eine bevorstehende Änderung bei Online-Zahlungen informieren:

Visa Secure und Mastercard® Identity Check TM sind eine Weiterentwicklung von Verified by Visa und Mastercard® SecureCode TM. Mit den Namen ändern sich auch die Logos. Am 05.01.2023 tritt die 2. Zahlungsdiensterichtlinie der Europäischen Union (Payment Service Directive 2 – PSD2) in Kraft. Stellen Sie sicher, dass Sie auch in Zukunft bequem online einkaufen können. Registrieren Sie sich jetzt in wenigen Schritten für die neuen Sicherheitsverfahren Visa Secure und Mastercard® Identity CheckTM.

 Mit freundlichen Grüßen

Miles and More Lufthansa KartenService

Diese E-Mail sendet H an die ihm bekannte Email-Adresse des N. Dieser denkt sich nach Erhalt nichts Schlimmes und gibt Benutzername und Passwort ein, worauf er nicht auf die Internetseiten des Flugunternehmens, sondern auf eine von H ebenfalls per Software gestaltete Webseite geleitet wird, auf der nach erfolgter Eingabe durch N lediglich mitgeteilt wird, dass der Bearbeitungsvorgang gestartet ist und eine Rückmeldung nach Fertigstellung erfolgt.

Nunmehr in Kenntnis von den Zugangsdaten weiß A auch, dass auf den Internetseiten von U ein Login-Bereich für die Mitarbeiter mit Zugriff auf das Firmenintranet vorgehalten ist. Nach Eingabe von Benutzername und Passwort kann H neben der Einsicht in das Email-Postfach auch auf verschiedenste persönliche Mitarbeiterinformationen, persönliche Daten von Führungspersonal sowie Nutzer- und Angestellten-Informationen zugreifen. Sein spezielles Augenmerk gilt jedoch den durch den Zugang des M als Führungsperson einsehbaren sensiblen Informationen von Kundendaten anderer Unternehmen weltweit. Diese Informationen lädt sich H herunter und speichert diese auf seinem USB-Stick ab. A überlegt noch, die Dateien auf Unternehmensseite zu sperren oder gar zu löschen, verwirft diesen Gedanken aber ganz schnell wieder, um keine Spur zu hinterlassen.

Einige Tage später kommt dem H angesichts der sensiblen Unternehmensdaten eine neue Idee: Aus studentischen Zeiten erinnert er sich an die vielfältigen Möglichkeiten des Darknets und der dortigen finanziellen Gewinnmöglichkeiten. So erstellt er eine auszugsweise Liste über die erbeuteten Daten und stellt diese anonym und unter wahrheitsgemäßer Darstellung der Herkunft ein verbunden mit einer zielgerichteten Nachricht an U, dass sämtliche gespeicherten Dateien für 1.000.000 € zum Kauf angeboten werden, wenn U nicht seinerseits 500.000 € in bar an einem speziell noch zu vereinbarenden Ort hinterlegt, um dem Verkauf zuvorzukommen.

Nach Kenntnis von der Nachricht weigert sich U und schaltet die Polizei ein, die im Verlaufe weniger Tage auf die Aktivitäten des H aufmerksam wird und diesen schließlich festnimmt.

Aufgabe

Prüfen Sie gutachterlich mögliche einschlägige Straftatbestände nach dem StGB.