Der Identitätsdiebstahl (1) besteht darin, fremde Personendaten zu missbrauchen (2). So allgemein betrachtet sind auch das Bezahlen mit einer gestohlenen Zahlungskarte [Computerbetrug (3)] oder die Einrichtung eines Bankkontos unter falschen Personalien (4) und mit gefälschten Personalpapieren (5) Formen des Identitätsdiebstahls. Ebenso das Phishing (6) und das Skimming.

Im Zusammenhang mit Onlinegeschäften sind zunächst zwei Varianten bekannt geworden: Der Täter hat entweder unter falschen Personalien ein Konto - zum Beispiel bei eBay - eingerichtet, um damit betrügerische Geschäfte abzuwickeln (7). Oder er schafft es, das Konto eines lauteren Mitmenschen zu übernehmen und dann für die eigenen Zwecke zu missbrauchen. eBay (8) ist deshalb ein gutes Beispiel, weil diese Auslobungs-Plattform über ein einfaches und beliebtes Bewertungssystem verfügt (9), bei dem sich Käufer und Verkäufer gegenseitig bewerten (10).
 

 
Mit der zunehmenden Verbreitung von Botnetzen und Malware zum Ausspähen von Kontodaten geraten nicht nur die Homebanking-Daten der Opfer in das Interesse der Täter, sondern auch andere persönliche Daten, die sich verkaufen oder anderweitig missbrauchen lassen. Das Bundeskriminalamt fasst diese Missbräuche unter dem Begriff Carding zusammen, womit zunächst die umfassende Verwertung von EC- und Kreditkartendaten gemeint ist   – vom Ausspähen der Kartennummern und Sicherheitsschlüssel über deren Vermarktung im Web bis zur Produktion gefälschter Kartenkopien. (11)

Der Missbrauch ausgespähter Daten kann aber noch weiter gehen, wenn auch die persönlichen Daten für andere Onlinegeschäfte betrachtet werden.

Auf zwei Beispiele will ich näher eingehen.
 

Das Schaubild links ( Großansicht) zeigt das vollständige Vorgehen. Zunächst werden von einer Malware die persönlichen Daten des Opfers ausgespäht, protokolliert und in einer Drop Zone wahllos abgelegt. "Interessenten" können dann mit einer einfachen Software den Datenbestand sichten, auswerten und die sie interessierenden Daten erwerben (12).

Mit diesen Daten sucht der Täter das vom Opfer genutzte Online-Warenhaus auf und ändert zunächst das Kennwort, womit er den rechtmäßigen Inhaber des Kontos von der weiteren Nutzung ausschließt. Sodann ändert der Täter die Lieferadresse. Die neue Lieferadresse wird meistens sein:

	Anschrift eines Agenten, der den Weiterversand durchführt (13). Wie dem Finanzagenten droht diesem Annahmeagenten die Identifikation und Strafverfolgung (14).
	Scheinadresse, z.B. eine leer stehende Wohnung in einem Mehrfamilienhaus. Am Klingelschild und am Briefkasten müssen nur passende Namen angebracht werden. Für die Kontrolle des Briefkastens und die Entnahme von Zustellbenachrichtigungen empfiehlt sich ein freundlicher Hausbewohner.

 

	Gemietetes Paketfach in einer Packstation. Die Abholung erfolgt dann anonym und außerhalb der Geschäftszeit.
	Variante: Die Lieferung an eine Packstation lässt sich auch mit einem Nachsendeantrag koppeln. Das verhindert, dass das Warenhaus misstrauisch wird.
	Lieferung ins Ausland. Die europa- und weltweit operierenden Paketdienste machen es möglich. Nur das Warenhaus wird das wahrscheinlich nicht mitmachen.

Sobald die Kontodaten abgeändert sind, kann der Täter bestellen. Das Nachsehen hat das Opfer, dessen Daten missbraucht werden. Seinem Konto werden die Kosten belastet und es hat den Ärger am Hals.
 

 
Für die Aktienkursmanipulation muss der Täter aufwändig handeln. Das ermöglicht ihm jedoch eine optimale Beutesicherung.

Zunächst investiert der Täter, indem er ein Aktienpaket mit Penny-Stocks erwirbt und vom Ausland aus in ein Aktiendepot in Deutschland stellt (Grafik rechts, blau unterlegt). Danach startet er eine groß angelegte Aktion in den USA, bei der er die Aktiendepots von Bankkunden missbraucht. Die einlagernden Wertpapiere verkauft der Täter und erwirbt dafür genau die Penny-Stocks, die er vorher selber eingekauft hat (Grafik links, hellgrün unterlegt).

Je mehr Depots er auf diese Weise missbraucht, desto höher steigt der Kurs der Aktien und damit auch der Kurswert seines Depots. Sobald der Einkauf der Aktien den Grad der Marktsättigung erreicht und der Kurs den höchstmöglichen Stand erreicht hat, verkauft der Täter seinen eigenen Wertpapierbestand - an eines der von ihm missbrauchten USA-Depots und mit höchsten Gewinn. Diesen streicht er ein, indem er das eigene Depot in Deutschland auflöst. In den USA verlieren die manipulierten Depots darauf ganz erheblich an Wert. Die meisten dürften dann auf fast Null gefahren sein (insbesondere dann, wenn der Täter im Aktienhandel auch aus den Depots mit großen Beständen, die er zu Beginn seiner Aktion angelegt hat, Verkäufe zulässt).

Dieses Beispiel zeigt die fatale Folge davon, dass im Bereich der Cybercrime die Täter zwar international agieren, die Rechtsordnungen jedoch an den nationalstaatlichen Grenzen enden.
 

 
Selbst wenn man auf das Beispiel vollständig das deutsche Strafrecht anwenden könnte, wären die Einrichtung, der Betrieb und die Auflösung des Aktiendepots in Deutschland - für sich allein betrachtet - nicht strafbar.

Die Manipulationen in den USA wären nach deutschem Recht als Computerbetrug ( § 263a StGB) und Fälschung beweiserheblicher Daten ( § 269 StGB) strafbar. Der Handlungsort und alle anderen eine örtliche Zuständigkeit begründenden Umstände sind im Ausland angesiedelt, so dass die Strafverfolgung in Deutschland nicht zulässig ist.

Die Wertsteigerung des Aktiendepots in Deutschlang begründet keinen Erfolgsort im Sinne von § 7 Abs. 1 StPO. Das liegt daran, dass die Strafvorschrift über den Betrug ( § 263 StGB) und ihr folgend für den Computerbetrug ( § 263a StGB) nach einer Stoffgleichheit zwischen den Vermögensschäden, die durch die Manipulationen in den USA entstanden sind, und dem Vermögenszuwachs, den er erlangt hat, verlangen.

Daran fehlt es aus zwei Gründen. Der Wertverlust in den USA tritt erst ein, nachdem der Täter seinen Aktienbestand verkauft hat und er weitere Kursmanipulationen in den USA unterlässt. Die Stoffgleichheit verlangt hingegen, dass ein Vermögensnachteil auf der einen Seite unmittelbar zu einem Vermögensvorteil auf der anderen Seite führt.

Außerdem erfolgt die Wertsteigerung im deutschen Depot nicht dadurch, dass Zahlungen eingehen, sondern dadurch, dass der Tauschwert an der Börse gestiegen ist. Der Wertzuwachs gründet also auf einem Tauschmechanismus, auf den der Täter zwar mittelbar (durch immer neue Kaufnachfragen) Einfluss genommen hat, den er aber nicht unmittelbar beeinflusst hat. Somit fehlt es an der Stoffgleichheit.
 

(1) Fälschung beweiserheblicher Daten ( § 269 StGB); Identitätsdiebstahl; François Paget, Identitätsdiebstahl, McAfee 04.01.2007 (ZIP-Datei)

(2) qualitätskontrollierter Kontomissbrauch, Plattformhaftung bei Identitätsdiebstahl

(3) § 263a StGB; siehe auch Computerbetrug

(4) Betrug ( § 263 StGB), siehe auch Offertenbetrug

(5) Die Urkundenfälschung umfasst auch das Gebrauchen einer falschen Urkunde ( § 267 StGB).

(6) Phishing mit Homebanking-Malware

(7) alte Praktiken im neuen Gewand

(8) falsche Produkte und Hehlerware, Missbrauchsgefahren

(9)  eBay, Grundsatz zum Missbrauch von Bewertungen 

(10) Streit um Bewertungen
Ebay-Kunden laufen Sturm, wallstreet-online.de
 

 
(11) Thomas Kuhn, Die raffiniert dreisten Tricks der Online-Betrüger, wiwo.de 06.11.2008

(12) Botnetz-Software und -Betreiber; arbeitsteilige und organisierte Cybercrime;
Kriminalität aus dem Baukasten

(13) Dieser "Annahmeagent" ähnelt dem Paketagenten ( Transfer von Sachwerten).

(14) Haftung des Finanzagenten ohne Abschlag