"Kapitel 2.2.4, Datendiebstahl im Internet: Der Abgriff von Kreditkartendaten und von vertraulichen Bankdaten im Allgemeinen spielt im heutigen Informationszeitalter eine zunehmende Rolle. Dabei stehen moderne Medien wie das Internet als Netz von digitalem Austausch und Kommunikation im Mittelpunkt. In diesem Abschnitt werde ich verschiedene Formen des Datendiebstahls im Onlinebereich nennen und die Umstände der einzelnen Varianten erläutern.
Kapitel 2.2.4.1, Datendiebstahl durch Phishing und Pharming: Eine verbreitete Form des Datendiebstahls im Onlinebereich ist die so genannte Phishing (Password Fishing) –Methode, welche als besondere Art des Social Engineering gesehen werden kann. Dabei nutzen Betrüger das Internet als Kommunikationsmedium zur Versendung von falschen Informationen an Kreditkarteninhaber mit der Absicht, an vertrauliche Bankkontendaten wie PIN und TAN usw. zu gelangen.
Charakteristisch für ein solches Vorgehen ist die Tatsache, dass sich Betrüger als Absender von so genannten Phishing E-Mails oder anderer gefälschter elektronischer Nachrichten als Mitarbeiter von den jeweiligen Kredit- oder Finanzdienstleistungsinstituten ausgeben und damit versuchen, beim Kartenbesitzer eine Vertrauensbasis aufzubauen. Hier liegt ein Fall von Betrügern wissentlich herbeigeführter Irreführung des Opfers vor, indem etwas signalisiert wird, was nicht der Fall ist.
Der Kreditkarteninhaber wird unter Vorspiegelung falscher Tatsachen und unter einem bestimmten Vorwand aufgefordert, über einen innerhalb der elektronischen Nachricht befindlichen Internetlink eine externe Internetseite aufzurufen, um dort seine persönlichen Daten preiszugeben. In vielen Fällen wird die Erfragung der Kontendaten mit dem Hinweis begründet, dass ein Datenabgleich zwischen Bankinstitut und Kunde aufgrund einer Datenaktualisierung nötig ist. Oft benutzen Betrüger auch den Terminus Sicherheitsabgleich, um beim Kunden eine ernst zu nehmende Anfrage vorzutäuschen. Gehören gefälschte Internetseiten zum Instrumentarium des Betrugsgeschehens, so spricht man bei dieser Erscheinungsform von Pharming. Derartige Webseiten sind in ihrer graphischen Gestaltung und im Aufbau kaum oder gar nicht von Originalseiten des jeweiligen Kredit- oder Finanzdienstleistungsinstituts zu unterscheiden, zumal sie originalgetreue Logos, Embleme, Werbeslogans usw. der vertrauenswürdigen Organisationen beinhalten. Ist der Versuch, beim Karteninhaber Vertrauen in die Maßnahme zu erwecken, erfolgreich, wird dieser wenig Zweifel an der Echtheit des Prozedere haben und seine Daten in eigens dafür vorgesehene Formularfelder eingeben und diese durch die Betätigung eines Buttons direkt an die Betrüger senden.
Kapitel 2.2.4.2, Datendiebstahl im Internet durch den Einsatz bösartiger Computersoftware: Zur Erlangung von vertraulichen Kreditkartendaten finden im Bereich des Internets auch spezielle Computerprogramme Verwendung. Der Einsatz von so genannten Trojanern, Programmen welche sich heimlich auf den Festplatten der Personalcomputer der unwissentlichen Betrugsopfer heimlich installieren und deren Verwendungszweck in der Erspähung vertraulicher Daten wie der von Kreditkarten besteht, ist mit der Verbreitung der privaten Internetanschlüsse verstärkt zu beobachten. In besonderem Maße sind potentielle Betrugsopfer gefährdet, die über keine zureichende Verteidigung gegen bösartige Software in Form von regelmäßig auf den neusten Stand gebrachten Antivirusprogrammen und Firewalls verfügen.
Kapitel 2.2.4.3, Datendiebstahl mittels betrügerischer Bestell-Websites:
Eine weitere bekannte Art, mittels der Betrüger an vertrauliche Kreditkartendaten gelangen, stellt das temporäre Einstellen vermeintlicher Händler-Websites dar. Geworben wird mit scheinbar günstigen Warenangeboten, welche in ihren Preisen auffällig weit unter den Preisen regulärer und bekannter Anbieter liegen. Das potentielle Betrugsopfer ahnt nicht, dass es sich bei der Händlerpräsenz sowie dessen Angebotsumfang im Internet um ein fiktives Geschäft handelt. Durch die Vorspiegelung dieser falschen Tatsachen werden Betrugsopfer in die Irre geführt und bei vermeintlichen Bestellvorgängen im Internet dazu verleitet, ihre vertraulichen Kreditkartendaten preiszugeben. Nachdem das Betrugsopfer sämtliche erforderliche Daten, welche auch bei einer rechtmäßigen Onlinebestellung eingegeben werden müssen, unwissentlich an die Betrüger übermittelt hat, wartet es vergebens auf die Zusendung der bestellten Waren. Stattdessen stellen Betrugsopfer nach unbestimmter Zeit unberechtigte Belastungen auf ihren Kreditkartenkonten fest, welche sie nicht zuordnen können. Bei diesem Betrugsdelikt wird der Getäuschte zu einer Selbstschädigung verleitet, indem er mittels einer Täuschungshandlung dazu veranlasst wird, seine Kreditkartendaten freiwillig preiszugeben.
Kapitel 2.2.4.4, Datendiebstahl mittels Hackerangriffe auf Datenserver: Serverattacken durch Hacker und der in diesem Zusammenhang stehende Datendiebstahl stellen seit der Verbreitung von öffentlichen Zugängen zu Kommunikationsnetzen wie dem Internet eine laufende Gefahr sowohl für Betreiber großer Datenspeicher als auch für Individuen, deren Daten dort eingepflegt werden, dar. Hackerangriffe auf Datenserver von Vertragsunternehmen und so genannten Acquirers, welche für die Abrechnung von Kartenzahlungen der Vertragsunternehmen zuständig sind, stellen für Kreditkartenbetrüger die Gelegenheit dar, sich Zugriff auf mehrere Tausend Kreditkartendaten zu verschaffen. Diese Form des Datendiebstahls hat in vielen Fällen eine ganze Betrugsserie in Form von eingesetzten Kartendubletten sowie betrügerischen Transaktionen im Onlinebereich zur Folge. Auszugehen ist hier von einem Phänomen der Organisierten Kriminalität, da es sich bei Hackern, die für die rechtswidrige Erlangung der benötigten Daten, und Kreditkartenfälschern sowie den Benutzern von Kartendubletten nicht um dieselben Personen handeln muss. Einen Grund zu dieser Annahme stellen beispielsweise Portale im Internet dar, auf welchen gestohlene Kreditkartendaten zum Verkauf angeboten werden. Die Existenz derartiger illegaler Märkte bietet Fälscherbanden die Gelegenheit, benötigte Daten für die Herstellung von Kreditkartenkopien zu erwerben.
Kapitel 2.2.5, Rechtswidrige Erlangung von Kreditkarten durch Antragsbetrug: Um in den Besitz einer Kreditkarte zu kommen, müssen Bankkunden gemäß den Allgemeinen Geschäftsbedingungen einen Kreditkartenantrag stellen. Neben der Angabe persönlicher Daten wie auch von Daten über die finanzielle Situation durch die Antragsteller ist auch die Einreichung beglaubigter Kopien von Legitimierungsdokumenten wie Ausweisen oder Pässen für eine vorgeschriebene Identitätsprüfung nötig. Die Prüfung und die anschließende Beglaubigung dieser Dokumente werden von Filialmitarbeitern der zutreffenden Hausbank des Antragsstellers durchgeführt. Diese Sicherheitsvorkehrung dient der Verhinderung von betrügerischen Kreditkartenanträgen mittels gefälschter Dokumente. Doch gerade auf diesen Weg zum rechtswidrigen Zugang zu einem Kreditkartenkonto mittels Fälschung haben sich einige Betrüger spezialisiert. Bei derartigen Fällen des Kreditkartenbetrugs verfügen die Täter über gefälschte oder zuvor gestohlene und anschließend modifizierte Personalausweise oder Reisepässe. Werden von Betrügern gestohlene Dokumente dritter Personen benutzt, so handelt es sich dabei um Identitätsdiebstahl (engl. identy theft). Der Diebstahl und der illegale Gebrauch von persönlichen Daten durch Dritte werden von Sicherheitsexperten allgemein als Identitätsdiebstahl bezeichnet. Betrüger täuschen durch die Vorlage eines zuvor auf welche Weise auch immer entwendeten Dokumentes eine fremde bei gleichzeitigen Verdecken der eigenen Identität vor. Auch ihr optisches Erscheinen werden sie je nach Professionalität ihres Handelns dem der auf dem Pass- oder Ausweisfoto abgebildeten Person weitestgehend anpassen. Die betrügerische Methode der Dokumentenfälschung steht auch in vielen Fällen im Zusammenhang mit anderen Delikten wie z.B. mit betrügerischen Kreditanträgen.
Kapitel 2.2.6, Rechtswidrige Erlangung von auf dem Postweg befindlichen Kreditkarten: Eine weitere Form der illegalen Beschaffung von Kreditkarten und den dazugehörigen vertraulichen Daten stellt der Abgriff von auf dem Postweg befindlichen Kreditkarten dar. In der Betrugsstatistik nichtamtlicher Institute ist diese Erscheinungsform der Kreditkartenkriminalität allgemein unter dem Punkt Postwegverlust aufgeführt. Wie und unter welchen Umständen es Tätern gelingt, von Kreditkartenorganisationen oder Kartenemittenten an den Antragsteller versendete Kreditkarten abzufangen, bleibt bei vielen Fällen unklar. Die Nutzung einer nach erfolgreicher Beantragung erhaltenen Kreditkarte setzt zunächst eine durch den rechtmäßigen Antragsteller bzw. Kreditkarteninhaber vollzogene Freischaltung des Zahlungsmediums voraus. Dabei muss sich der Kreditkarteninhaber mit dem Kartenemittenten telefonisch in Verbindung setzen und sich im Rahmen einer Identitätsprüfung entweder durch die Angabe mehrerer vom Kartenemittenten gestellter persönlicher Fragen wie beispielsweise des Geburtsdatums, der Anschrift, des Arbeitgebers usw. oder durch die Angabe einer persönlichen zum Kreditkartenkonto gehörenden PIN oder eines Kennwortes legitimieren. Gelangt die Kreditkarte in die Hände einer dritten Person und verfügt diese über die zur Person des Antragstellers gehörenden Informationen wie den oben genannten, so kann das Zahlungsmedium für den Gebrauch durch den Betrüger freigeschaltet werden. Auch hier liegt ein Fall von Identitätsdiebstahl vor, da sich der Betrüger fremder persönlicher Daten bedient und somit eine fremde Identität gegenüber dem Kartenemittenten vortäuscht.
Kapitel 3, Trends und Ursachen der Kreditkartenkriminalität: In diesem Abschnitt werde ich versuchen, eine Darstellung über die Entwicklung der Kreditkartenkriminalität in Deutschland für einen bestimmten Zeitraum zu bieten. Dabei werde ich sowohl Fallzahlen polizeilicher Behörden (PKS), als auch nichtamtlicher Organisationen als Quellen für das Hellfeld heranziehen. Angesichts der Problematik einer jeden Kriminalstatistik, welche sich aus der Frage nach ihrer Repräsentativität im Hinblick auf die wirklichkeitsnahe Darstellung einer Deliktart stellt, bleiben Überlegungen und Anmerkungen zu diesem Gesichtspunkt in diesem Kapitel nicht erspart. In diesem Zusammenhang sei hier anzumerken, dass von einer weitgehenden Diskrepanz zwischen einerseits der polizeilich ermittelten Kriminalitätsrate im Hinblick auf Kreditkartendelikte und andererseits der von Kreditkarten herausgebenden Organisationen sowie deren Verbänden intern geführten Betrugsstatistiken auszugehen ist. Dabei ist anzunehmen, dass alle von denen in der Bundesrepublik Deutschland ansässigen Kreditkartenemittenten erstellten Betrugsstatistiken in ihrer Summe für einen Einblick in eine weitgehend realitätsnahe Lage der tatsächlichen Kreditkartenkriminalität für ein bestimmtes Jahr oder einen bestimmten Zeitraum als brauchbar erscheinen. Dass in der PKS lediglich ein geringer Anteil der tatsächlich bekannten Kreditkartendelikte des Hellfeldes zu vermuten ist, liegt hauptsächlich daran, dass zum einen nicht alle Betrugsfälle von betroffenen Karteninhabern und Vertragshändlern bei polizeilichen Behörden angezeigt werden und zum anderen Banken und Kreditkartenorganisationen hauptsächlich nur bei konkreten Verdachtsmomenten Anzeigen gegen Tatverdächtige erstatten. Hier dürften vor allem materielle Interessen der Beteiligten in ihrem Verhalten eine wichtige Rolle spielen. Zu diesem und verwandten Sachverhalten werde ich an anderer Stelle näher eingehen. Im Folgenden werden wir uns zunächst mit amtlich erfassten Kreditkartendelikten in Deutschland sowie mit der Frage nach der Aussagefähigkeit dieser Statistiken befassen."