Suchen Kontrast Hilfe
Sie sind hier: LinDa
Inhalt
Vorheriger Nächster
Link kopieren Per E-Mail teilen WhatsApp X.com Facebook LinkedIn Per App teilen
Praxishandbuch Cybercrime
Brewi/Royer (Hrsg)

Praxishandbuch Cybercrime

1. Aufl. 2025

Print-ISBN: 978-3-7073-5175-0

Besitzen Sie diesen Inhalt bereits, melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.

Dokumentvorschau
Praxishandbuch Cybercrime (1. Auflage)

S. 191IX. Identitätsdiebstahl

Angelika Lange

1. Definition und Bedeutung von Identitätsdiebstahl

„Zu Beginn der meisten Cybercrime Straftaten steht der Diebstahl einer digitalen Identität.“ Dies hielt das deutsche Bundeskriminalamt bereits in seinem Cybercrime-Bericht für das Jahr 2019 fest und verdeutlicht dadurch das ungeheure Ausmaß von Identitätsdiebstahl sowie die Gefahr, die von diesem Phänomen ausgeht.

Doch was genau ist unter Identitätsdiebstahl zu verstehen? Identität bedeutet nach dem allgemeinen Sprachgebrauch ua völlige Übereinstimmung in Bezug auf eine Person oder Sache. In rechtlicher Hinsicht geht es um die Übereinstimmung personenbezogener Daten mit einer Person. In diesem Sinne wird auch die Maßnahme der „Identitätsfeststellung“ (§ 117 Z 1 StPO) als die Ermittlung und Feststellung von personenbezogenen Daten definiert, die eine bestimmte Person unverwechselbar kennzeichnen. Identität im (straf-)rechtlichen Sinne ist folglich ein Datensatz, der einer realen Person zugeordnet ist.

Im Zusammenhang mit Cybercrime ist die digitale Identität einer Person relevant. Das deutsche Bundeskriminalamt definiert diesen Begriff sehr weit und versteht darunter die Summe der personenbezogenen Daten, Aktivitäten, Möglichkeiten und Rechte eines Nutzers im Internet. Davon umfasst sind alle Arten von Nutzer-Konten und Zugangsdaten in den Bereichen Kommunikation (E-Mail, Social Media und Messengerdienste), E-Commerce (internetgestützte Vertriebsportale, Online-Banking), berufsspezifische Informationen (zB für den Online-Zugriff auf unternehmensinterne Ressourcen), E-Government (zB FinanzOnline) und Cloud-Computing (Nutzung von Speicherplatz, Software oder Rechenleistung).

Diebstahl ist im rechtlichen Sinne (§ 127 StGB) die Wegnahme einer körperlichen Sache. Gerade diese beiden zentralen Tatbestandselemente sind beim Identitätsdiebstahl jedoch nicht erfüllt. Die digitale Identität einer Person ist eine Summe S. 192von Daten und damit keine körperliche Sache im Sinne einer abgegrenzten oder abgrenzbaren Masse. Darüber hinaus nimmt der Täter die Identität des Opfers nicht weg, sondern er benutzt sie lediglich. Das Opfer tritt selbstverständlich weiterhin auch selbst unter seiner Identität auf und weiß oft für längere Zeit gar nicht, dass es Opfer eines Identitätsdiebstahls geworden ist.

Die digitale Identität einer Person wird aber dann „gestohlen“, wenn eine Person - der Täter - ohne entsprechende Berechtigung Daten oder Dokumente verwendet, die zu einer anderen Person - dem Opfer - gehören. Der Täter missbraucht also fremde Identitätsdaten. Identitätsdiebstahl wird daher in der Praxis oftmals auch als Identitätsmissbrauch bezeichnet. Cyberkriminelle verschaffen sich Namen, Adressen, Kontaktinformationen, Kontodaten oder Zugangsdaten ihrer Opfer, um sich einen finanziellen oder sonstigen Vorteil zu deren Lasten zu verschaffen, oder aber um ihren Opfern einen sonstigen Nachteil zuzufügen. Die gestohlenen Daten werden im Darknet gehandelt bzw für Betrugsmaschen, Mobbing und Stalking, den Kauf von Drogen und anderen illegalen Produkten, Geldwäscherei und sogar für die Unterstützung terroristischer Netzwerke verwendet.

2. Wie gelangen Cyberkriminelle an die Daten?

2.1. Häufigste Methoden zur Datenbeschaffung

Der Diebstahl von digitalen Identitäten kann auf verschiedene Weise erfolgen. Die häufigsten Methoden sind Phishing, Schadsoftware, Data Leaks (der ungewollte Abfluss von Daten) und Data Breaches (das aktive Abgreifen, Abfangen oder Ausleiten von Daten durch Dritte).

S. 193Unter „Phishing“ versteht man Versuche von Cyberkriminellen, an vertrauliche Daten wie Kreditkarteninformationen, Passwörter oder Zugangsdaten zu E-Mail- oder E-Banking-Anwendungen zu gelangen, die anschließend für die Begehung von (Vermögens-)Delikten missbraucht werden. Die Angriffe erfolgen in der Form von betrügerischen E-Mails, Textnachrichten, Telefonanrufen („fraud calls“) oder Webseiten, die allesamt darauf abzielen, Benutzer dazu zu verleiten, vertrauliche Informationen preiszugeben, Schadsoftware herunterzuladen oder andere Aktionen durchzuführen, die sie selbst oder die Organisation, für die sie arbeiten, Cyberkriminalität aussetzen.

Schon seit Jahren ist Phishing eine massive Bedrohung sowohl für Unternehmen als auch für Einzelpersonen. Laut dem jüngsten Bericht von IBM über die Kosten von Datenschutzverletzungen sind Phishing und gestohlene oder kompromittierte Zugangsdaten im zweiten Jahr in Folge nicht nur die beiden häufigsten Angriffsvektoren, sondern sie gehören auch zu den vier kostspieligsten Arten von Sicherheitsvorfällen. Erfolgreiche Phishing-Angriffe ermöglichen Betrug, Ransomware-Angriffe und Datenschutzverletzungen und sind daher regelmäßig mit enormen finanziellen Verlusten für die Opfer verbunden.

Unter Schadsoftware („Malware“) sind Programme zu verstehen, die in einem Computersystem schädliche Funktionen ausführen, wie zB das Ausspähen und Weiterleiten von Zugangsdaten zu diversen Online-Konten, die Manipulation, Verschlüsselung oder Zerstörung von Daten, die illegitime Nutzung von Rechenleistung zum Krypto-Mining oder die Einbindung in ein Bot-Netz für DDoS-Angriffe. Schadsoftware gelangt häufig über infizierte E-Mail-Anhänge oder über Links, welche die Täter in E-Mails oder sonstigen Nachrichten verschicken, S. 194in die digitalen Systeme der Opfer. Es ist unmöglich, auch nur annähernd die Anzahl an existierenden Schadsoftware-Familien zu beziffern, zumal sie täglich wächst. So registriert beispielsweise der IT-Sicherheitsdienstleister AV täglich mehr als 450.000 neue Schadprogramme und potenziell unerwünschte Anwendungen, die infizierte Systeme auf unterschiedliche Arten schädigen.

Ein bekanntes Beispiel für eine solche Schadsoftware ist der Banking-Trojaner „FluBot“, eine technisch hoch entwickelte Malware auf Android-Geräten, die weltweit in den Jahren 2020 bis 2022 aktiv war. Cyberkriminelle versendeten massenhaft Phishing-Nachrichten per SMS, die jeweils einen Link enthielten. Die Empfänger wurden in diesen SMS aufgefordert, über den Link eine App zu installieren, um eine angebliche Paketlieferung verfolgen oder eine Sprachnachricht abhören zu können. Wer dies tat, installierte aber tatsächlich den Virus, der in der Folge Anmeldedaten für Banking-Apps und Kryptowährungskonten ausspionierte. FluBot konnte im Rahmen einer internationalen Operation schließlich deaktiviert werden - ein Ende der Angriffe bedeutet dies jedoch nicht.

Nach wie vor existieren zahlreiche gefährliche Programme, die Unternehmen wie auch Einzelpersonen erheblichen Schaden zufügen. Nach dem Takedown von FluBot Mitte 2022 erhielt zB die mobile Schadsoftware Anubis erhöhte Relevanz, die auf das Abgreifen von Anmeldedaten von Finanz- und Trading-Apps spezialisiert ist. Eines der schädlichsten Programme weltweit ist außerdem die Software Emotet. Emotet infiziert die IT-Systeme diverser Institutionen und lädt anschließend weitere Schadsoftware nach, wie zB Module zum Ausspähen und zur Manipulation von Daten oder Ransomware, und wird für zielgerichtete Angriffe auf kritische Infrastrukturen, Behörden und Unternehmen eingesetzt.

2.2. Neue Möglichkeiten durch künstliche Intelligenz

Künstliche Intelligenz (KI) ermöglicht zwar bessere Schutz- und Kontrollinstrumente, schafft aber gleichzeitig neue Risiken. KI-gestützte Angriffsmethoden können insbesondere auch die Versuche von Cyberkriminellen, an die Daten ihrer Opfer zu gelangen und/oder die Opfer zu täuschen, automatisieren und effizienter machen. Die Verfügbarkeit von generativen KI-Tools eröffnet Cyberkriminellen eine ganze Bandbreite von neuen Möglichkeiten, um ihre Angriffe durchzuführen, von verbessertem Social Engineering bis hin zu effizienterem Hacking.

S. 195Social Engineering bezieht sich auf alle Techniken, die darauf abzielen, das Verhalten einer Zielperson zu manipulieren und sie dazu zu verleiten, bestimmte Informationen preiszugeben oder eine bestimmte Handlung durchzuführen, wie zB eine Geldüberweisung. Dabei nützt der Angreifer gezielt menschliche Schwachstellen aus, etwa indem er sich als vertrauenswürdige Person oder Quelle ausgibt, um das Vertrauen seines Opfers zu gewinnen.

Deepfake-Angriffe sind eine fortgeschrittene Methode des Social Engineering. Bei Deepfakes handelt es sich um digital manipulierte Videos, Medieninhalte oder Bilder, die sich von authentischem Material oft kaum unterscheiden lassen. Cyberkriminelle nutzen Deepfakes, um Fehlinformationen zu verbreiten oder Straftaten im Zusammenhang mit Betrug oder Rufschädigung zu begehen.

Praxisbeispiel

Aufsehen erregte in diesem Zusammenhang vor Kurzem ein von der Polizei in Hongkong gemeldeter Vorfall. Ein Unternehmen erlitt einen Verlust in Höhe von 25 Millionen Dollar, weil ein Angestellter Opfer von Deepfake-Imitationen seiner Kollegen wurde. Der Angestellte nahm an einem Videogespräch teil, bei dem künstlich generierte Versionen und damit Fälschungen des in Großbritannien ansässigen CFO des Unternehmens und anderer Teammitglieder anwesend waren. Nach Angaben der Behörden haben die Betrüger diese Fälschungen anhand von öffentlich zugänglichen Videoinhalten erstellt. Die Gesprächsteilnehmer erteilten dem Angestellten Anweisungen, woraufhin dieser insgesamt 200 Millionen HK$, somit 25,6 Millionen Dollar, in 15 Tranchen auf verschiedene Bankkonten in Hongkong überwies, die den Tätern gehörten. Deepfakes sind gerade deshalb so gefährlich, weil es schwierig bis unmöglich sein kann, die Fälschung zu erkennen, und genau diese Gefahr hat sich in dem Fall des Angestellten verwirklicht.

Darüber hinaus kann KI-Technologie dazu eingesetzt werden, um an Passwörter zu gelangen. KI-Algorithmen ermöglichen es Systemen, Muster zu erkennen und Vorhersagen auf der Grundlage umfangreicher Datensätze zu treffen. Ein KI-gesteuertes Tool zum Knacken von Passwörtern ist beispielsweise das Programm PassGAN, das Algorithmen des maschinellen Lernens benützt - und dies offenbar sehr erfolgreich. Eine von dem Cybersicherheitsunternehmen Home Security Heroes veröffentlichte Studie zur Wirksamkeit von PassGAN beim Knacken von insgesamt 15.680.000 Passwörtern ergab, dass 51 % der Passwörter in weniger als einer Minute, 65 % in weniger als einer Stunde, 71 % innerhalb eines Tages und 81 % innerhalb eines Monats geknackt werden konnten. Dazu ist allerdings festzuhalten, dass es sich bei vielen dieser Passwörter um einfache Wörter oder S. 196Wort-Zahlen-Kombinationen handelte. Das Programm benötigt bedeutend mehr Zeit, wenn es auf ein komplexes Passwort trifft. So würde PassGAN etwa für das Knacken eines 10-stelligen Passwortes mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen der Studie zufolge 5 Jahre benötigen, für ein derartiges 11-stelliges Passwort sogar 365 Jahre.

3. Konsequenzen von Identitätsdiebstahl

Vor dem Hintergrund der erheblichen finanziellen und sonstigen Schäden, die Opfer als Konsequenz eines Identitätsdiebstahls erleiden, stellt sich zwangsläufig die Frage nach einer Strafbarkeit der Täter. Wenngleich Identitätsdiebstahl als solcher kein eigenständiger Straftatbestand ist, normiert das österreichische Strafrecht eine Reihe von Tatbeständen, die ein derartiges Verhalten unter Strafe stellen. Cyberkriminelle können sich demnach sowohl wegen der Beschaffung als auch wegen des Missbrauchs der Daten ihrer Opfer strafbar machen.

3.1. Strafbarkeit wegen des Beschaffens der Daten

Hackt der Täter den Computer oder das Smartphone des Opfers, kommt eine Strafbarkeit wegen des widerrechtlichen Zugriffs auf ein Computersystem nach § 118a StGB in Betracht. Der Tatbestand setzt voraus, dass der Täter eine spezifische Sicherheitsvorkehrung überwindet und sich so Zugang zu einem Computersystem oder einem Teil davon verschafft, über das er nicht oder nicht allein verfügen darf. Der Täter verschafft sich Zugang zu einem System, wenn er tatsächlich in dieses „einsteigt“ und innerhalb des Systems tätig werden kann. Das ist auch dann der Fall, wenn der Täter per E-Mail ein schädliches Computerprogramm in den PC des Opfers einschleust, das anschließend Daten kopiert und an den Täter schickt.

In subjektiver Hinsicht muss der Täter mit der Absicht handeln, sich oder einem anderen Unbefugten Kenntnis von personenbezogenen Daten zu verschaffen, oder einem anderen durch die Verwendung der im System gespeicherten und nicht für ihn bestimmten Daten oder durch die Verwendung des Computersystems einen Nachteil zuzufügen. Für den Identitätsdiebstahl ist insbesondere S. 197die zweite Variante relevant, denn es wird dem Täter regelmäßig darauf ankommen, einem anderen durch die Verwendung der Daten einen Nachteil zuzufügen. Der Nachteil muss nicht zwangsläufig ein finanzieller Nachteil sein; vielmehr kommt jede Art des beabsichtigten Nachteils und jede Art der Verwendung der Daten bzw des Systems für eine Strafbarkeit in Betracht.

Wer Passwörter oder Zugangscodes ausspäht, kann sich wegen des Missbrauchs von Computerprogrammen oder Zugangsdaten nach § 126c StGB strafbar machen. Der Tatbestand umfasst alle Passwörter, Zugangscodes und sonstigen Identifikationsdaten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen, wie zB Einstiegspasswörter für den Zugang zu einem PC oder zu einer bestimmten Datei, PIN-Codes für ein Mobiltelefon, Codes für den Zugang zu Apps, Bankomatkartencodes oder Berechtigungsdaten für die Nutzung von Telebanking. Der Täter macht sich also bereits strafbar, wenn er sich solche Daten verschafft, um mit ihrer Hilfe zu einem späteren Zeitpunkt die Konten der Opfer abzuschöpfen.

Schließlich macht sich wegen des Ausspähens von Daten eines unbaren Zahlungsmittels nach § 241h Abs 1 StGB strafbar, wer Daten eines unbaren Zahlungsmittels mit dem Vorsatz ausspäht, dass er oder ein Dritter durch deren Verwendung im Rechtsverkehr unrechtmäßig bereichert werde oder sich oder einem anderen eine Fälschung unbarer Zahlungsmittel (§ 241a) zu ermöglichen. Der Tatbestand stellt gezielt das Ausspähen unter Strafe, ist jedoch auf Daten im Zusammenhang mit Bankomat- und Kreditkarten beschränkt, wie zB Name des Karteninhabers, die Kreditkartennummer, bei Bankomatkarten IBAN und BIC, der Geltungszeitraum der Karte, bei den Kredit- und Bankomatkarten auch der auf der Rückseite befindliche Sicherheitscode sowie der PIN-Code der Bankomat- oder Kreditkarte.

Die Tathandlung des Ausspähens umfasst alle Handlungen, mit denen sich jemand Kenntnis von den für den Zahlungsverkehr notwendigen Daten des unbaren Zahlungsmittels einer Person verschafft, sei es durch eine täuschungsunterstützte Nachfrage beim Opfer (beim Phishing), durch den Einsatz technischer Hilfsmittel (etwa durch Auslesen des Magnetstreifens - „Skimming“), durch unberechtigtes Eindringen in ein fremdes Computersystem („Hacking“) oder auch durch bloßes Ansehen und Merken.

S. 1983.2. Strafbarkeit wegen der Verwendung der Daten

3.2.1. Strafbarkeit nach dem StGB

Für eine Strafbarkeit wegen der Verwendung der fremden Daten kommt grundsätzlich jenes Delikt in Betracht, das der Täter - wenn auch unter einer fremden Identität - verwirklicht. Je nachdem, wofür der Täter die Daten seines Opfers missbraucht, kann er sich zB wegen Betrugs, Datenfälschung, Suchtmittelhandel, Geldwäscherei oder nach einem Äußerungsdelikt strafbar machen.

Verwendet der Täter fremde Identitätsdaten, um durch die Täuschung an Vermögenswerte zu kommen, fällt dieses Verhalten unter die klassischen Betrugsdelikte (§§ 146 ff StGB). Beispiele hierfür sind der Bestell- und Verkaufsbetrug oder der CEO Fraud. Erstellt der Täter für eine Online-Bestellung im fremden Namen einen falschen Datensatz, kann dieses Verhalten zudem den Tatbestand der Datenfälschung (§ 225a StGB) erfüllen. Wenn Täter im Namen ihrer Opfer Bankkonten eröffnen und diese anschließend als Empfängerkonten für Zahlungen der betrogenen Personen und zur Weiterüberweisung dieser Geldbeträge missbrauchen, kommt eine Strafbarkeit wegen Geldwäscherei (§ 165 StGB) in Betracht. Missbrauchen Täter die Social-Media-Konten ihrer Opfer dazu, um beleidigende, rassistische, extremistische oder verleumderische Äußerungen zu machen, sind Delikte wie Fortdauernde Belästigung im Wege einer Telekommunikation oder eines Computersystems („Cyber-Mobbing“, § 107c StGB), Üble Nachrede (§ 111 StGB), Beleidigung (§ 115 StGB), Verhetzung (§ 283 StGB) oder Verleumdung (§ 297 StGB) einschlägig.

3.2.2. Strafbarkeit nach dem DSG

Darüber hinaus findet sich im Datenschutzrecht eine Strafbestimmung (§ 63 DSG), welche die Datenverarbeitung in Gewinn- und Schädigungsabsicht unter Strafe stellt. Strafbar macht sich demnach, wer personenbezogene Daten, die ihm ausS. 199schließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, ua selbst benützt. Unter Benützen ist jede Art der Handhabung der Daten zu verstehen. Inhaltlich besteht somit kein Unterschied zum „Verarbeiten“ iSd § 4 Z 2 DSGVO als jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.

Die unbefugte Datenverarbeitung ist jedoch nur dann strafbar, wenn an den betroffenen Daten ein schutzwürdiges Geheimhaltungsinteresse besteht. Dies ist dann nicht der Fall (§ 1 Abs 1 DSG), wenn die Daten allgemein verfügbar sind, also zB im Internet veröffentlicht wurden, oder nicht auf den Betroffenen rückgeführt werden können (anonymisierte Daten). Bei dem (Anzeige- oder Nutzer-)Namen des Opfers, der bereits in einem sozialen Netzwerk oder Forum verwendet wird, wird daher regelmäßig kein schutzwürdiges Geheimhaltungsinteresse mehr bestehen, wohl aber bei Daten, die nicht allgemein bekannt sind, wie Zugangsdaten zu einem Social-Media-, Online-Banking- oder Krypto-Konto.

Darüber hinaus setzt der Tatbestand voraus, dass der Täter mit Bereicherungsvorsatz handelt - dies ist beim Phishing regelmäßig der Fall -, oder mit der Absicht, einen anderen dadurch in seinem Anspruch auf Geheimhaltung personenbezogener Daten zu schädigen, etwa im Sinne einer spürbaren Bloßstellung.

3.3. Identitätsdiebstahl als Erschwerungsgrund bei Strafzumessung

Die Tatsache, dass ein Täter eine Straftat unter Verwendung einer fremden Identität begangen hat, kann darüber hinaus im Rahmen der Strafzumessung ins Gewicht fallen. So ist es ein Erschwerungsgrund, wenn der Täter die Tat unter Missbrauch der personenbezogenen Daten einer anderen Person begangen hat, um das Vertrauen eines Dritten zu gewinnen, wodurch dem rechtmäßigen IdentitätseigentüS. 200mer ein Schaden zugefügt wird (§ 33 Abs 1 Z 8 StGB). Der Erschwerungsgrund kommt grundsätzlich bei allen strafbaren Handlungen in Betracht, weil Identitätsdiebstahl eben auch außerhalb des Computerstrafrechts begangen werden kann.

Der Missbrauch personenbezogener Daten besteht grundsätzlich in deren unbefugter Verwendung, wodurch der „rechtmäßige Identitätseigentümer“ einen Schaden erleiden muss. Es reicht also nicht, wenn der Täter zwar personenbezogene, aber nicht identitätsrelevante Daten oder gar eine erfundene Identität verwendet. Darüber hinaus sind juristische Personen nicht erfasst. Identitätseigentümer iSd Erschwerungsgrundes kann nur eine natürliche Person sein, die durch die ihr richtigerweise zugeordneten personenbezogenen Merkmale als konkrete Person identifiziert oder identifizierbar ist.

Das mit der Verwendung einer fremden Identität verfolgte Ziel, nämlich das Vertrauen eines Dritten zu gewinnen, und die Schädigung des Identitätseigentümers als weitere Voraussetzung implizieren, dass die Schädigung durch ein gutgläubiges Verhalten des getäuschten Dritten zugefügt wird. In Betracht kommen hier jedenfalls Warenkredit- oder Kreditkartenbetrug. Betrug beim automatisierten Online-Banking unter unbefugter Verwendung einer fremden Identität scheidet hingegen aus, weil hier nicht das Vertrauen eines Menschen getäuscht wird.

3.4. Exkurs: Strafanwendungsrecht

Wie generell bei Cyberkriminalität stellt sich auch bei Straftaten im Zusammenhang mit Identitätsdiebstahl in der Praxis häufig das Problem, dass sich Täter und Opfer in verschiedenen Staaten aufhalten. Von entscheidender Bedeutung ist daher die Frage, wann bei Fällen mit Auslandsbezug überhaupt das österreichische Strafrecht zur Anwendung gelangt. Inländische Gerichtsbarkeit besteht immer dann, wenn es einen inländischen Tatort (Handlungs-, Unterlassungs- oder Erfolgsort, § 62 iVm § 67 Abs 2 StGB) gibt, oder wenn sich der Tatort zwar im Ausland befindet, aufgrund einer speziellen Anknüpfung (§§ 64 und 65 StGB) aber dennoch österreichisches Strafrecht anwendbar ist.

S. 201Für die Bestimmung des Handlungsortes kommt es regelmäßig auf die physische Präsenz des Täters beim Setzen des deliktischen Verhaltens an. Hierfür ist es also erforderlich, dass sich der Täter auch tatsächlich im Inland aufhält, während er die strafbare Handlung begeht, also etwa die Daten des Opfers ausspäht oder strafrechtlich relevante Inhalte von einem fremden Social-Media-Account aus postet.

Bei Erfolgsdelikten, wie zB beim Betrug, kann neben dem Handlungsort aber auch der Ort, an dem der tatbestandsmäßige Erfolg eintritt oder hätte eintreten sollen, den inländischen Tatort begründen. Bei einem Betrug ist der Erfolgsort daher jener Ort, an dem der Vermögensschaden eingetreten ist. Setzt ein Betrüger vom Ausland aus die entscheidende Täuschungshandlung gegen ein im Inland befindliches Opfer, das hier die vermögenschädigende Handlung vornimmt, tritt der Erfolg des Vermögensschadens folglich im Inland ein.

3.5. Möglichkeiten und Grenzen des Strafrechts

Die obigen Ausführungen zeigen, dass das Strafrecht zwar durchaus Möglichkeiten bietet, um die Täter strafrechtlich zur Verantwortung zu ziehen. Wird ein Strafverfahren eingeleitet, können sich die Opfer als sogenannte Privatbeteiligte anschließen und bereits im Strafverfahren Schadenersatz für den erlittenen Schaden begehren (§§ 67 ff StPO).

In der Praxis stehen die Strafverfolgungsbehörden jedoch regelmäßig vor dem Problem, dass die Täter nicht ausgeforscht werden können. Diese verstecken sich schließlich hinter Daten, die zu anderen Personen gehören oder deren Spur sich in den Weiten des Internets verläuft. Es ist daher von entscheidender Bedeutung, Identitätsdiebstahl so gut wie möglich vorzubeugen und eine sichere Ausgangslage zu schaffen, damit Angriffe rechtzeitig als solche identifiziert und abgewehrt werden können.

4. Strategien für die Prävention von Identitätsdiebstahl

4.1. Strategien für Unternehmen

Unternehmen können sich vor Phishing-Angriffen, Malware und Datenverlusten schützen, indem sie ein Sicherheitssystem implementieren, das Mitarbeiterschulungen, moderne Technologien und klare, engmaschige Sicherheitsrichtlinien kombiniert:

  • Sicherheitsrichtlinien und -verfahren: Legen Sie klare Sicherheitsrichtlinien und -verfahren fest und stellen Sie sicher, dass alle Mitarbeiter diese verstehen S. 202und befolgen. Dies umfasst Richtlinien zur Passwortverwaltung, zur Nutzung von Unternehmensgeräten und -netzwerken sowie zur Meldung von Sicherheitsvorfällen.

  • Schulung der Mitarbeiter: Schulen Sie Ihre Mitarbeiter in regelmäßigen Abständen, damit diese ein Sicherheitsbewusstsein entwickeln und Phishing-Angriffe rechtzeitig erkennen und melden können.

  • Firewalls und Antivirus-Software: Installieren und aktualisieren Sie Firewalls und Antivirus-Software, um Malware abzuwehren und den Zugriff auf verdächtige Webseiten und Dateien zu blockieren.

  • Phishing-Schutztechnologien: Implementieren Sie Phishing-Schutztechnologien wie E-Mail-Filter, die verdächtige E-Mails identifizieren und blockieren können, bevor sie die Posteingänge der Mitarbeiter erreichen.

  • Zwei-Faktor-Authentifizierung (2FA) und Multifaktor-Authentifizierung (MFA): Aktivieren Sie 2FA oder MFA für den Zugriff auf Unternehmenssysteme und -dienste, um zusätzliche Sicherheitsschichten einzuführen, selbst wenn Passwörter kompromittiert werden sollten.

  • Sicherung und Verschlüsselung von Daten: Regelmäßige Datensicherungen und die Verschlüsselung von Daten können dazu beitragen, Datenverluste bei Angriffen zu minimieren.

  • Aktualisierung von Systemen und Software: Stellen Sie sicher, dass alle Unternehmenssysteme und -softwareanwendungen regelmäßig überprüft und aktualisiert werden, um allfällige Sicherheitslücken zu schließen.

  • Netzwerksicherheit: Überwachen Sie das Unternehmensnetzwerk auf verdächtige Aktivitäten und setzen Sie Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) ein, um unautorisierte Zugriffe zu erkennen und zu blockieren.

  • Zugriffsrechte verwalten: Begrenzen Sie den Zugriff auf sensible Daten und Systeme auf „Need-to-know“-Basis und verwenden Sie geeignete Zugriffssteuerungsmechanismen, um sicherzustellen, dass nur autorisierte Benutzer auf kritische Ressourcen zugreifen können.

  • Sicherheitsüberprüfungen und Audits: Führen Sie regelmäßige Sicherheitsüberprüfungen, Penetrationstests und Sicherheitsaudits durch, um Schwachstellen zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können.

S. 2034.2. Strategien für Einzelpersonen

Einzelpersonen können sich vor Identitätsdiebstahl schützen, indem sie proaktiv Maßnahmen ergreifen, um ihre persönlichen Informationen zu sichern:

  • Starke Passwörter verwenden: Verwenden Sie für Ihre Online-Konten starke Passwörter, die aus einer Kombination von Buchstaben, Ziffern und Sonderzeichen bestehen. Ändern Sie Ihre Passwörter regelmäßig und vermeiden Sie die Verwendung desselben Passworts für mehrere Konten.

  • Zwei-Faktor-Authentifizierung aktivieren: Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Konten, die diese Funktion unterstützen.

  • Vorsicht bei der Weitergabe persönlicher Informationen: Seien Sie vorsichtig beim Teilen persönlicher Informationen online, insbesondere in sozialen Medien und in öffentlichen Foren. Überprüfen Sie die Datenschutzeinstellungen Ihrer Konten, um sicherzustellen, dass Ihre Informationen nur für diejenigen sichtbar sind, die sie sehen sollen.

  • Phishing-E-Mails erkennen: Seien Sie misstrauisch gegenüber unerwarteten E-Mails oder sonstigen Nachrichten, insbesondere solchen, die nach persönlichen oder vertraulichen Informationen fragen. Überprüfen Sie immer die E-Mail-Adresse des Absenders und klicken Sie nicht auf verdächtige Links oder Anhänge.

  • Sicherheitseinstellungen und Software aktualisieren: Halten Sie Ihre Geräte und Software auf dem neuesten Stand, indem Sie regelmäßig Sicherheitsupdates von Antiviren- und Antimalware-Software installieren.

  • Sicherheitsbewusstsein schärfen: Informieren Sie sich über die verschiedenen Arten von Betrugsversuchen und Identitätsdiebstahlmethoden, um vorbereitet zu sein und Angriffe erkennen zu können.

  • Überprüfen Sie Ihre Konto- und Kreditkartenabbuchungen: Überwachen Sie regelmäßig Ihre Kontobewegungen, um verdächtige Aktivitäten zu erkennen. Melden Sie jede unbekannte oder verdächtige Transaktion sofort Ihrer Bank oder Ihrem Kreditkartenunternehmen.

  • Sensible Dokumente sicher aufbewahren: Bewahren Sie sensible Dokumente wie Ausweise, Sozialversicherungskarten und Finanzunterlagen sicher auf und entsorgen Sie sie sicher, wenn Sie sie nicht mehr benötigen.

  • Verwenden Sie sichere Internetverbindungen: Vermeiden Sie die Verwendung von öffentlichen WLAN-Netzwerken für sensible Online-Aktivitäten wie Bankgeschäfte oder Einkäufe. Nutzen Sie stattdessen sichere Netzwerke und VPNs, um Ihre Daten zu schützen.

5. Was können Betroffene tun?

Wenn Sie oder Ihr Unternehmen Opfer von Identitätsdiebstahl geworden sind, ist es wichtig, schnell zu handeln, um den Schaden zu begrenzen und Ihre Identität bzw die Sicherheit Ihrer Unternehmensdaten wiederherzustellen:

  • S. 204Benachrichtigen Sie die entsprechenden Behörden: Melden Sie den Identitätsdiebstahl sofort bei den örtlichen Strafverfolgungsbehörden und bei den zuständigen Datenschutzbehörden.

  • Benachrichtigen Sie Ihre Finanzinstitutionen: Informieren Sie Ihre Banken, Kreditkartenunternehmen und andere Finanzinstitute über den Identitätsdiebstahl, damit diese geeignete Maßnahmen ergreifen können, um Ihr Konto zu schützen und weitere betrügerische Aktivitäten zu verhindern.

  • Ändern Sie Ihre Passwörter und Sicherheitseinstellungen: Ändern Sie sofort alle Passwörter und Zugangsdaten zu Ihren Online-Konten, insbesondere zu Bankkonten, E-Mail-Konten und sozialen Medien. Aktivieren Sie die Zwei-Faktor-Authentifizierung, wo immer dies möglich ist, um zusätzliche Sicherheit zu gewährleisten.

  • Informieren Sie Ihre Kunden oder Mitarbeiter: Wenn es sich um einen Identitätsdiebstahl in einem Unternehmen handelt, informieren Sie unverzüglich Ihre Kunden oder Mitarbeiter über den Vorfall und geben Sie Anweisungen, wie weiter vorzugehen ist.

  • Dokumentieren Sie den Vorfall: Behalten Sie alle Unterlagen, Korrespondenzen und Aufzeichnungen im Zusammenhang mit dem Identitätsdiebstahl sorgfältig auf. Dies kann hilfreich sein, wenn Sie rechtliche Schritte einleiten müssen oder wenn Sie mit den Behörden zusammenarbeiten.

6. Conclusio

Identitätsdiebstahl ist eine massive Bedrohung für Einzelpersonen sowie Unternehmen. Die Folgen eines erfolgreichen Angriffs sind enorm und reichen von finanziellen Verlusten über Reputationsschäden bis hin zu strafrechtlichen Ermittlungen. Das Aufkommen und der Einsatz KI-basierter Technologien durch die Täter bewirken zudem, dass Angriffe schwieriger zu erkennen bzw abzuwehren sind. Umso wichtiger ist es, geeignete Sicherheitsmaßnahmen zu implementieren, um sich selbst und die Organisation, für die man tätig ist, effizient zu schützen. Eine umfassende Sicherheitsstrategie kann wesentlich dazu beitragen, ein Unternehmen vor Phishing-Angriffen, Malware und Datenverlusten zu schützen. Einzelpersonen können sich ebenfalls schützen, indem sie im Umgang mit ihren Online-Konten und persönlichen Daten sorgfältig und wachsam sind. Ist ein Angriff bereits erfolgt, ist es essenziell, möglichst schnell entsprechende Schritte zu setzen, um den Schaden einzugrenzen und weitere Angriffe zu verhindern.

Literaturverzeichnis

Bergauer, Das materielle Computerstrafrecht (2016)

Bergauer, Phishing im Internet - eine kernstrafrechtliche Betrachtung, RZ 2006, 81

Birklbauer/Stiebellehner in Hinterhofer, Salzburger Kommentar zum Strafgesetzbuch (45. Lfg 2023) § 33 StGB

S. 205Bundeskriminalamt, Cybercrime Report 2022. Lagebericht über die Entwicklung von Cybercrime, https://www.bundeskriminalamt.at/306/files/Cybecrime_2022_V20230517_webBF.pdf ()

Bundeskriminalamt Deutschland, Cybercrime. Bundeslagebild 2019, https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2019.html?nn=28110 ()

Bundeskriminalamt Deutschland, Cybercrime. Bundeslagebild 2022, https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2022.html?nn=28110 ()

Business Insider, A company lost $25 million after an employee was tricked by deepfakes of his coworkers on a video call: police, , https://www.businessinsider.com/deepfake-coworkers-video-call-company-loses-millions-employee-ai-2024-2 ()

Chainalysis, The 2024 Crypto Crime Report. The latest trends in ransomware, scams, hacking, and more, https://go.chainalysis.com/crypto-crime-2024.html ()

ENISA, ENISA Threat Landscape 2020 - Identity Theft, https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-identity-theft ()

ENISA, ENISA Threat Landscape 2024. July 2023 to June 2024, September 2024, https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024 ()

Fabrizy/Michel-Kwapinski/Oshidari, StGB14 § 241h (Stand )

Geisselmann, Digitale Dystopie? - Cyberkriminalität in Österreich: Eine strafrechtliche Bestandsaufnahme, JSt 2023, 196

Gercke in UNODC, Handbook on Identity-related Crime (2011), 1-53, https://www.unodc.org/documents/congress/background-information/Corruption/Handbook_on_Identity-related_Crime_ENG.pdf ()

IBM, Cost of a Data Breach Report 2024, https://www.ibm.com/account/reg/de-de/signup?formid=urx-52913 ()

ÖIAT, Identitätsdiebstahl. Die Folgen für Betroffene und wie ihnen geholfen werden kann, April 2022, https://www.arbeiterkammer.at/beratung/konsument/Datenschutz/Identitaetsdiebstahl.pdf ()

Onfido, Identity Fraud Report 2024, https://onfido.com/landing/identity-fraud-report/ ()

Reindl-Krauskopf, Cyberstrafrecht im Wandel, ÖJZ 2015/19, 112

Reindl-Krauskopf in Höpfel/Ratz, WK2 StGB § 118a (Stand )

Reindl-Krauskopf in Höpfel/Ratz, WK2 StGB § 126c (Stand )

Reindl-Krauskopf/Salimi/Stricker, IT-Strafrecht. Cyberdelikte und Ermittlungsbefugnisse (2018)

Reuters, Identity theft is being fueled by AI & cyber-attacks, , https://www.thomsonreuters.com/en-us/posts/government/identity-theft-drivers/#:~:text=The%20shift%20towards%20digital%20platforms,are%20driven%20by%20cyber%2Dattacks ()

S. 206Riffel in Höpfel/Ratz, WK2 StGB § 33 (Stand )

Salimi in Hinterhofer, Salzburger Kommentar zum Strafgesetzbuch (27. Lfg 2012) § 127 StGB

Salimi in Höpfel/Ratz, WK2 DSG § 63 (Stand )

Salimi in Höpfel/Ratz, WK2 StGB § 67 (Stand )

Schroll in Höpfel/Ratz, WK2 StGB § 241h (Stand )

Stricker in Höpfel/Ratz, WK2 StGB § 127 (Stand )

Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)2 § 63 (Stand )

Daten werden geladen...