Urteil des LG Bonn vom 07.07.2009, 7 KLs 01/09

Entschieden
07.07.2009
Schlagworte
Chat, Beweiswürdigung, Verfügung, Anfang, Adresse, Persönliche daten, Organisierte gruppe, Pseudonym, Rückbuchung, Zugang
Urteil herunterladen

Landgericht Bonn, 7 KLs 01/09

Datum: 07.07.2009

Gericht: Landgericht Bonn

Spruchkörper: 7. große Strafkammer des Landgerichts

Entscheidungsart: Urteil

Aktenzeichen: 7 KLs 01/09

Sachgebiet: Recht (allgemein - und (Rechts-) Wissenschaften Strafrecht

Tenor: 1. Der Angeklagte I wird wegen gewerbs- und bandenmäßig begangenen Computerbetrugs in 37 Fällen zu einer Gesamtfreiheitsstrafe von 4 Jahren verurteilt.

2. Im übrigen wird der Angeklagte freigesprochen.

3. Der Angeklagte trägt ¾ der Verfahrenskosten und seiner Auslagen, im übrigen trägt die Staatskasse die Kosten und notwendigen Auslagen des Angeklagten.

- Angewendete Vorschriften: §§ 263a Abs. 1, Abs. 2, 263 Absatz 5, 52, 53 StGB -

A. 1

I. 2

Prozessgeschichte 3

4Am 13.01.2009 erhob die Staatsanwaltschaft C unter dem Aktenzeichen ### Js ###/## Anklage gegen die Angeklagten I und L wegen des Vorwurfs des Computerbetrugs, der Datenveränderung und der Bildung einer kriminellen Vereinigung. Die Anklage wurde am 19.01.2009 unter dem Aktenzeichen 27 KLs 01/09 eingetragen.

5Am 10.02.2009 änderte die Kammer bezüglich des Angeklagten I den ursprünglichen Haftbefehl des Amtsgerichts C vom ##.##. #### (## Gs ###/##) ab und fasste ihn neu. Infolge der Neufassung wurden die angeklagten Einzeltaten in unveränderter Reihenfolge erstmalig mit Nummern von 1 bis 106 versehen. Die Bezifferung der Taten in diesem Urteil bezieht sich auf die Nummerierung in diesem neugefassten Haftbefehl:

6

Tat Rückbuchung: Buchung: Datum Tat Ursprüngliche StA: Ursprüngliches Aktenzeichen: Finanzagenten- Seite

1.2316 ##.##.#### N ### Ujs #####/## Q.com

2.7000 ##.##.#### E ### Js ###/## Q.com

3.4070 ##.##.#### E ### Js ###/## Q.com

4.M ### Ujs ####/## Q.com

5.3450 ##.##.#### X #### Js #####/##

6.8500 L2 #####/##

7.2613 ##.##.#### I2 #### Ujs #####/##

8.5200 ##.##.#### M ### Js #####/## Keine Aussage des FA

9.4000 ##./##.##.#### C2 #Js ###/## unbekannt

10.? ? ? G #### Js ######/##

11.9500 ##.##.#### S ### Js ####/##

12.6320 ##.##.####

13.1698 ##.##.#### E2 ##Js###/## G1-D-

T2-.com 14. 9500 ##.##.#### (F) alt L3 (###Js####/##) #### Js #####/##

15.3287 ##.##.## ??

16.5000 ##.##.#### S ### Js ####/##

17.2983 ##.##.#### G2/C3 ### Js #####/## T2.com

18.4000 ##.##.#### (H) StA N1I (###Js#####/##) ### Js #####/##

19.10000 ##.##.#### S ### Js ####/##

20.3745 ##.##.#### C ### Js ###/##

21.2820 ##.##.#### C ### Js ###/##

22.2476 O/G3 ###Js#####/## G1-D.com

23.4000 ##.##.#### G #### Js ######/##

24.1500 ##.##.#### E1 ### UJs #####/##

25.9277 ##.##.#### E2 ##Js###/## G1-D

26.5000 ##.##.### C4 ##Js##/## L4.de

27.3500 ##.##.#### (M1) J1 (####Js#####/##) ### Js #####/##

28.4300 ##.##.#### L3 #### Js ####/## G1-D.com

29.3200 ##.##.#### L3 #### Js ####/## G1-D.com

30.4232 ##.##.#### C4 ## Js ###/## L4.de

31.4400 ##.##.#### C4 ## Js ###/##

32.9200 ##.##.#### N1 ### Js #####/##

33.5000 ##.##.#### T1 ### Js #####/##

34.1630 ##.##.#### N1 ### Js #####/## G1-D.com

35.8000 ##.##.#### N1 ### Js #####/## G1-D.com

36.4100 ##.##.#### N2 ####Js###/##

37.2300 ##.##.#### F1 ##Js###/##

38.9570 ##.##.#### O1 ###Js####/##

39.3700 ##.##.#### (X1) L1 (##Js####/##) ### Js ####/##

40.6800 ##.##.#### T1 ###Js#####/## G1-D.com

41.6000 ##.##.#### E ###Js##/##

42.2400 ##.##.#### C (### Js ###/##) Q

43.1000 ##.##.#### E3 (M) (### Js #####/##) G1-D.com

44.2000 ##.##.#### (H1)C4 ## Js ####/## T2

45.2600 ##.##.#### E2 (## Js ###/##)

46.2000 ##.##.#### L3 (#### Js #####/##)

47.8730 ##.##.#### S1 ## Js #####/## T2.com

48.6550 ##.##.#### E (###Js###/##) ###/##

49.6230 ##.##.#### E (###Js###/##) ###/##

50.3900 ##.##.#### E ### Js ##/##+ ### Js ###/0## R.com

51.2491 ##.##.#### T1 ### Js ###/## T2.com

52.2400 ##.##.#### B #### Js ####/## Q.com

53.5000 ##.##.#### B #### Js ####/## Q.com

54.2350 ##.##.#### D1 #### Js ####/## Q.com

55.4000 ##.##.#### N1 ## Js ###/## T2.com

56.2000 ##.##.#### X1 ## Js ####/## T2.com

57.2300 ##.##.#### F2 ### Js #####/## Q.com

58.5400 ##.##.#### C4 ## Js####/## T2.com

59.9975 ##.##.#### C4 ## Js####/## T2.com

60.4400 ##.##.#### W ### Js ####/## R.com

61.2200 ##.##.#### W ### Js ####/## R.com

62.8000 ##.##.#### B1 ### Js ######/## Q.com

63.3600 ##.##.#### B1 ### Js ######/## T2.com

64.3760 ##.##.#### N3 ### Js #####/## Q.com

65.10000 ##.##.#### I2 #### Js ######/##

Q.com

66.3150 ##.##.#### I2 #### Js ######/## Q.com

67.1600 ##.##.#### N1 ### Js #####/## T2.com

68.8000 ##.##.#### N1 ### Js #####/## T2.com

69.3350 ##.##.#### G /P #### Js ####/## T2.com

70.5000 ##.##.#### F1 ##JS ##/## Q.com

71.5500 ##.##.#### (T3)F1 ## UJs #/## (s.o) Q.com

72.5000 ##.##.#### F1 ##JS ##/## Q.com

73.5000 ##.##.#### F1 ##JS ##/## Q.com

Q.com 74. 9998 ##.##.#### (E) N (### Js ###/##) ### UJs #####/##

75.10000 ##.##.#### B2 ###Js####/## Q.com

76.9500 ##.##.#### I3 ## Js #####/## Q2.com

77.10000 ##.##.#### A (I3) ### Js #####/## Q2-.com

78.1978 ##.##.#### C4 ## Js ####/## T2.com

79.9283 ##.##.#### C4 ## Js ####/## T2.com

80.8377 ##.##.#### C4 ## Js ####/## T2.com

81.10000 ##.##.#### I2 #### Js ######/## Q.com

82.4928 ##.##.#### G/P ### Js #####/## T2.com

83.2000 ##.##.#### F ### Js #####/## T2.com

84.2100 ##.##.#### E4 #Js ####/## T4.com

85.2110 ##.##.#### N4 ### Js ###/## Q.com

86.3000 ##.##.#### T5 ### Js ###/## B3.com

87.5000 ##.##.#### T5 ### Js ###/## B3.com

88.2989 ##.##.#### I4 ### Js ######/## T2.com

89.8000 ##.##.#### W ### Js #####/## T4.com

90.3800 ##.##.#### E ### Js ###/## J2.net

91.5750 ##.##.#### E ### Js ###/## J2.net

92.6500 ##.##.#### (O B (# Js ###/##) #### Js #####/## T2.com

93.7000 ##.##.#### C3 ### Ujs ####/## G1 D.com

94.2418 ##.##.#### C4 ## Js ###/##

95.8850 ##.##.#### C4 ## Js ###/##

96.9264 ##.##.#### C4 ## Js ###/##

97.5000 ##.##.#### C4 ### Js #####/## ###/##

98.4500 ##.##.#### C4 ##Js ##/## ## Js ###/##

99.2500 ##.##.#### U ## Js #####/## Q2.com

100.2100 ##.##.#### U ## Js #####/## Q2.com

101.9364 ##.##.#### N1 ## Js ####/## G1 D.com

102.6297 ##.##.#### V ## Js #####/## G1 D.com

103. 2497 ##.##.#### V ## Js #####/## G1 D.com

104.

105. 1350 ##.##.#### E4 ### Js #####/## G1 D.com

106.5000 ##.##.#### E4 ### Js #####/## G1 D.com

Mit Beschluss vom 13.02.2009 hat die Kammer das Hauptverfahren gegen die Angeklagten eröffnet, wobei sie eine Eröffnung der Tat zu 104 mangels hinreichenden Tatverdachts ablehnte. Die 7

Hauptverhandlung vor der Kammer fand ab dem 27.02.2009 an insgesamt 22 Verhandlungstagen statt.

Im Verlauf der Hauptverhandlung sind auf Antrag der Staatsanwaltschaft zur Verfahrensbeschleunigung folgende Fälle in Bezug auf den Angeklagten I gemäß § 154 Absatz 2 StPO vorläufig eingestellt worden: 8

9

am 10. Verhandlungstag vom 20.04.2009 die Fälle 1, 2, 48, 49, 50, 60, 61, 65, 71, 72, 73, 81, 90 und 91

10

11

am 13. Verhandlungstag vom 26.05.2009 die Fälle 4, 6, 10, 15, 16, 46, 52, 53, 57, 58, 59, 63, und 104

12

13

am 19. Verhandlungstag vom 10.06.2009 die Fälle 41, 45, 54, 62, 64, 66, 70, 74, 75,, 76, 77, 85, 89, 99 und 100

14

15

am 22. Verhandlungstag vom 07.07.2009 die Fälle 3, 19, 37, 39, 43, 44, 47, 55, 56, 67, 68, 69, 78, 79, 80, 83, 84, 88, 92, 94, 96, 101, 42, und 105.

16

17Ebenfalls in der Sitzung vom 07.07.2009 hat die Kammer auf Antrag der Staatsanwaltschaft die Beschränkung des Verfahrens gemäß § 154a Absatz 2 StPO auf den Vorwurf des Computerbetrugs beschlossen.

18Zudem wurde in der Sitzung vom 10.06.2009 zur Beschleunigung des Verfahrens gegen den Angeklagten I, der sich unverändert in Untersuchungshaft befand, das Verfahren gegen den Angeklagten L abgetrennt, da das Ende dieses Verfahrens noch nicht abzusehen war.

II. 19

Zur Person 20

( Diverse Angaben zum Lebenslauf des Angeklagten ) 21

Der Angeklagte C5 I ist bis heute nicht strafrechtlich in Erscheinung getreten, [ weitere Angaben zur Person ] und er ist generell strafrechtlich voll verantwortlich. 22

III. 23

Zur Tatvorgeschichte 24

1. Zur Funktionsweise des Phishing allgemein 25

26Unter "Phishing" versteht man das verdeckte "Abfischen" von Zugangs- und Transaktionsdaten, die ein Bankkunde für das Onlinebanking erhält, mit dem Ziel, diese Authentifizierungsdaten anschließend unbefugt zu Lasten fremder Konten einzusetzen.

27Die Banken sicherten im tatkritischen Zeitraum ihre Online-Banking-Systeme durchweg mit PINs und TANs. Der Kunde erhielt eine persönliche Identifikationsnummer (PIN), die beim Zugriff auf das Online- Konto abgefragt wurde und eine Liste mit Transaktionsnummern (TAN), mit denen die einzelnen Verfügungen legitimiert werden mussten. Dabei konnte der Kunde im Gegensatz zum heute vorherrschenden iTAN-Verfahren die TAN selber von der Liste auswählen.

28Das Abfischen der Daten erfolgt auf verschiedene Weise. In der Frühphase dieser Delikte wurden Bankkunden durch angeblich von ihrer Bank stammende, aber in Wirklichkeit gefälschte E-Mails dazu veranlasst, ihre Zugangsdaten (PIN) und eine ihrer persönlichen Transaktionsnummern (TAN) mitzuteilen. Diese Daten konnten dann unmittelbar für unbefugte Überweisungen verwendet werden.

29Zunehmend entwickelten die Phishing-Täter auch als Reaktion auf die Weiterentwicklung der bankeigenen Sicherheitssysteme ihre Methoden weiter (vgl.: Goeckenjan, Phishing von Zugangsdaten für Online-Bankdienste und deren Verwertung, wistra 2008, 128 ff.). So werden mit Hilfe von E-Mails, welche massenhaft als SPAM versendet werden, Schadprogramme wie Trojaner, Würmer oder Viren auf die Rechner der Betroffenen übertragen, wenn diese die Mails öffnen. Die Schadprogramme können zum Beispiel bewirken, dass sich bei Eingabe der TAN ein Fenster öffnet, in dem der Bankkunde mit dem Hinweis darauf, dass die eingegebene TAN schon verbraucht sei, aufgefordert wird, eine weitere TAN einzugeben. Die zuerst eingegebene TAN wird automatisch an die Phishing-Täter übermittelt.

30Auch kann durch Schadprogramme ein sogenannter "keylogger" auf dem befallenen Rechner eingerichtet werden, der verdeckt im Hintergrund sämtliche Tastatureingaben in Formularmasken protokolliert und sog. "Screenshots" (d.h. Standbilder von bestimmten Seiten) anfertigt.

31Auch diese Daten werden von den Schadprogrammen automatisch an einen Bezugsrechner, den sogenannten Dropzone- bzw. Logserver übermittelt. Von diesem Server wird regelmäßig auch das Netz der von den Schadprogrammen befallenen Rechner gesteuert, das sogenannte "Bot-Netz".

32Die auf einem dieser Wege erlangten Daten werden nunmehr dazu benutzt, die Online-Konten der Geschädigten mit den erlangten PINs und Kontonummern zu öffnen und dahingehend zu überprüfen, ob lohnenswerte Geldsummen vorhanden sind. Wenn dies der Fall ist, führen die Täter mit den ebenfalls "abgephishten" TANs unbefugt Überweisungen von den Konten der Geschädigten durch.

33Die Gelder werden dabei üblicherweise zunächst auf Konten sogenannter "Finanzagenten" überwiesen, die zur Verschleierung des Geldflusses zwischengeschaltet werden. Deren Aufgabe besteht darin, die ihnen überwiesenen Gelder in bar abzuheben und mittels eines Auslandsgeldtransferdienstes wie z.B. "X2" oder "N5" in das in der Regel osteuropäische Ausland zu transferieren. Der Empfänger im Zielland, der sogenannte "Naler", hebt das Geld in der Folge (meist unter falscher Identität) in bar ab und speist es wieder in das Bankensystem ein.

34Durch Online-Zahlungssysteme wie "X3" oder "Q3" werden die Gelder schließlich den Tätern selbst zugänglich gemacht.

35Die Anwerbung der Finanzagenten erfolgt regelmäßig durch das Internet. Unter einem Vorwand, der je nach Anwerbeseite sehr unterschiedlich sein kann, werden die Finanzagenten dazu bewegt, ihr Konto für die Überweisung zur Verfügung zu stellen. So kann es z.B. sein, dass die Anwerbeseite eine Scheinfirma präsentiert, die als Geschäftsinhalt angeblich die schnelle Transferierung von Geldern ins Ausland unter Vermeidung bürokratischer Hemmnisse offeriert. Dem Finanzagenten wird ein lukrativer Nebenverdienst dafür versprochen, dass er sein Konto zu Verfügung stellt. Dabei handelt es sich meist um eine prozentuale Beteiligung an den überwiesenen Geldsummen.

36Das "Phishing" stellt sich somit als sehr personalintensives und komplexes System dar, das regelmäßig nur arbeitsteilig zu bewerkstelligen ist und das eines hohen Grades an Vorbereitung und Koordination bedarf:

37Zum einen müssen die technischen Voraussetzungen geschaffen werden. Es werden Computerfachleute mit hinreichender Programmiererfahrung benötigt, um die Trojaner und die anderen verwendeten Schadprogramme anzufertigen. Daneben werden Personen benötigt, die die Trojaner durch Spammails, Spambanner oder über Sicherheitslücken in bekannten Programmen (sog. "exploits") im Internet verbreiten und mit den so infizierten Rechnern der Opfer ein sogenanntes Bot-Netz ("Bot": von Roboter) aufbauen. Über das Bot-Netz können die infizierten Rechner zentral gesteuert und ohne Kenntnis der Opfer benutzt werden. Die Bot-Rechner werden dabei nicht nur selber nach Konto- Informationen durchsucht, sondern können ihrerseits wieder zum Verbreiten der Spam und Phishing- Mails eingesetzt werden.

38Weiter muss ein Logserver angemietet und administriert werden und die infizierten Rechner des Botnetzes müssen auf den Logserver ausgerichtet werden, damit die abgephishten Daten nutzbar werden. Alle diese Tätigkeiten müssen zudem technisch so ausgeführt werden, dass sie möglichst wenig nachverfolgbare Spuren im Internet hinterlassen.

39Darüber hinaus müssen Personen gefunden werden, die die abgephishten Daten auf dem Logserver nach ihrer Aktualität sortieren, auf ihre Verwendbarkeit prüfen und die Online-Konten der Geschädigten nach Guthaben durchsuchen, die sich zum Überweisen eignen. Dabei sind jeweils unterschiedliche Besonderheiten der bankinternen Sicherheitssysteme zu beachten, an die die Vorgehensweise angepasst werden muss.

40Zum anderen benötigt man ein funktionierendes System, mit dem die Finanzagenten angeworben und geführt werden. Dazu benötigt man neben den Anwerbeseiten im Internet vor allem Personen, die per E- Mail oder Telefon mit den Finanzagenten Kontakt aufnehmen und ihnen Anweisungen für das Weiterüberweisen geben. Diese "Dropführer" (Drop ist der szenegängige Begriff für die Finanzagenten) müssen dabei stets aufpassen, dass die Finanzagenten das Konzept nicht durchschauen. Zudem drängt im Fall einer Überweisung an einen "Drop" die Zeit; denn je schneller der Finanzagent reagiert und das Geld von seinem Konto abhebt, umso größer ist die Wahrscheinlichkeit, dass das Geld auch tatsächlich zu den Geldempfängern (Nalern) weitergeleitet werden kann. Denn in vielen Fällen fallen die Überweisungen den Geschädigten rasch auf und sie veranlassen schnellstmöglich die Rückbuchung der Überweisungen. Durch die Weiterleitung der Gelder per "X2" bzw. "N5" macht sich der Finanzagent selber regelmäßig der fahrlässigen Geldwäsche gemäß § 261 Absatz 5 StGB strafbar.

41Als drittes Element bedarf es zum vollständigen "Phishing-System" noch der "Naler", also der Personen, die im Ausland das Geld zumeist unter falscher Identität bar abheben und wieder in den Bankenkreislauf einspeisen.

42Erschwerend kommt hinzu, dass alle diese Teilbereiche koordiniert werden müssen. So müssen zum erfolgreichen Phishing die Trojaner-Programmierung und die Log-Server aufeinander abgestimmt sein, die Spamwellen müssen regelmäßig mit neuen Versionen der Trojaner versorgt werden und den Personen, die Überweisungen tätigen, müssen Drops zur Verfügung gestellt werden. Dabei müssen die Überweisenden genau beachten, von welchem Konto auf welchen Finanzagenten zu überweisen ist. Denn bestimmte Kombinationen von Banken sichern eine raschere und damit erfolgversprechendere Überweisung als andere Kombinationen. Schließlich müssen auch die "Dropführer" mit den Kontaktdaten der "Naler" in Osteuropa versorgt werden, damit sie ihren Finanzagenten die entsprechenden Weisungen erteilen können.

43Alle diese Aufgaben können, da sie teilweise zeitgleich vorzunehmen sind, nicht von einer oder auch zwei Personen durchgeführt werden. Vielmehr ist erfolgreiches Phishing nur durch eine in hohem Maße organisierte Gruppe durchzuführen, die arbeitsteilig vorgeht.

2. Die Organisation des Phishing im konkreten Fall Arbeitsaufteilung innerhalb der Bande 44

45Die Zentralfigur des hier angeklagten Phishing-Systems, das bereits vor 2007 in Betrieb genommen wurde, war eine Person, die durch ihr Pseudonym "H3" bzw. "H4" individualisiert ist. H3 koordinierte zum einen die Gruppe, er wies den Mitgliedern ihre Aufgaben zu und die Finanzen der Gruppe wurden über ihn abgerechnet. Er errechnete die den einzelnen Gruppenmitgliedern zustehenden Beuteanteile und sorgte für die Auszahlung. Zum anderen war er für die Erstattung von gruppennützigen Aufwendungen an die Gruppenmitglieder zuständig. So wurden etwa Auslagen für die Anmietung von Servern, die die Gruppe zur Aufrechterhaltung des Systems benötigte, bei H3 angemeldet und von ihm erstattet. Zudem stellten H3 sowie eine weitere Person mit dem Pseudonym B5 die "Drops" zur Verfügung und hielten den Kontakt zu den "Dropführern" und "Nalern".

46Darüber hinaus war H3 auch mit der Registrierung und dem Aufbau der Finanzagentenanwerbeseiten beschäftigt. Bei den von der Gruppe im tatkritischen Zeitraum genutzten Anwerbeseiten handelte es sich zumindest um die Seiten "G1 D.com", "T2.com" und "T4 .com"

47Die Domains der Anwerbeseiten waren vom ursprünglichen Mitangeklagten L im Auftrag des H3 registriert worden. Ob dem L die Hintergründe bzw. die tatsächliche Verwendung der Domains bekannt war, kann hier offen bleiben.

48Die zum Phishing benötigte Schadsoftware veraltete aufgrund der ständigen Anpassung der Antivirensoftware sehr schnell, so dass mehrfach pro Woche neue Versionen erstellt werden mussten. Diese wurden teilweise von Gruppenmitgliedern selbst entwickelt, teilweise aber auch von externen Dienstleistern eingekauft. Die ständig benötigten weiterentwickelten Versionen der eingesetzten Trojaner wurden im tatkritischen Zeitraum von einer Gruppe von Programmierern um die Personen mit den Pseudonymen "##" und "#:#" erstellt. Beide waren jedoch nicht Teil der eigentlichen Gruppe, sondern sie lieferten vielmehr auf Bestellung an die Gruppe um H3. Ein weiterer externen Zulieferer für neue Trojanerversionen ist eine Person mit dem Namen "M3".

49Das Spammen, also die Verbreitung der Trojaner und anderer Schadprogramme über Bannerwerbung und Mails, wurde in der Gruppe von 4-5 verschiedenen Personen betrieben, wobei jedoch eine Person, der sogenannte "Spammer", hauptsächlich für diesen Bereich zuständig war. Bei dem "Spammer" handelt es sich um A1, der mehrfach Trojaner, die von der Gruppe ## geliefert wurden, testete, um damit zu spammen. Weitere Personen, die sich mit dem Spammen befassten, waren W1 und der ebenfalls nur mit seinem Pseudonym bekannte "M2".

50Die auf diese Weise verbreiteten Schadprogramme infizierten die Rechner der Geschädigten und banden sie in ein Bot-Netz ein; d.h. die Programme etablierten eine Verbindung zum Bezugs- bzw. Steuerungsrechner des Netzes und luden von dort neue Programteile nach. Bezugs- und Steuerungsrechner des von der Gruppe errichteten Bot-Netzes war der sogenannte Log-Server. Dieser Server mit der IP-Adresse ##.##.###.## stand (physisch) in I5 und hatte zwei wichtige Funktionen:

51

Zum einen wurde über dort laufende Programme das Bot-Netz gesteuert. So wurden beispielsweise Befehle an die befallenen Rechner erteilt, weitere Programteile, wie z.B. einen Keylogger nachzuladen, oder es wurden den installierten Schadprogrammen übermittelt, welche Informationen vom befallenen Rechner "abgephisht" werden sollten. Die von der Gruppe benutzten Schadprogramme spähten dabei nicht nur die Datensätze der vom befallenen Rechner benutzten Online-Bankkonten aus also Kontonummer, Name des Kontos, BLZ, Zugangs-PIN sowie TANs sondern auch die Zugangsdaten zu einer Vielzahl anderer Online-Services. Darunter befanden sich beispielsweise auch Zugangsdaten zu B4-Konten, F3-Konten oder G4-Accounts wie H2 bzw. X4.de sowie private und geschäftliche Telefonnummern und Adressen.

52

53

Zum anderen wurde der Server in I5 als sogenannte "Dropzone" benutzt, d.h. die von den Schadprogrammen befallenen Rechner des Bot-Netzes übertrugen die von ihnen ausgespähten Datensätze an den Log-Server. Dort wurden die Daten in einer Datenbank mit den Unterverzeichnissen "D7 1/logs" bis "D7 5/logs" gespeichert, wobei die einzelnen Unterverzeichnisse verschiedenen Personen zugewiesen waren. A1 waren die Unterverzeichnisse D7 1 und D7 5 zugeordnet, W1 arbeitete mit dem Verzeichnis D7 4 und B5 hatte das Unterverzeichnis D7 3.

54

55Zur Verwaltung und Aufbereitung der Daten war in jedem Unterverzeichnis die Anwendung "D8 Stats" auf dem Server installiert.

56Die Geschädigten merkten vom Mitprotokollieren der Eingaben durch den Keylogger und die Versendung der Daten an den Log-Server nichts, da diese Prozesse auf dem befallenen Rechner lediglich im Hintergrund liefen. Die TAN-Nummern wurden zumeist dadurch erlangt, dass bei einer Überweisung des Geschädigten eine Seite generiert wurde, die ihn darauf hinwies, die benutzte TAN sei bereits verbraucht. In der Überzeugung, die eingegebene Tan bereits früher verwendet zu haben, gaben die Geschädigten darauf eine zweite TAN ein, die an die Geschädigten-Bank übermittelt wurde. Die erste eingegebene TAN wurde hingegen vom Trojaner abgefangen und an den Log-Server übermittelt.

57Zwei weitere Gruppenmitglieder mit den Pseudonymen "W1" und "A1" waren vor allem mit dem Überweisen beschäftigt. Dazu nutzten sie die auf dem Log-Server der Gruppe gespeicherten Daten. Die beiden sowie eventuell weitere Personen sortierten die vorhandenen Datensätze, prüften sie auf ihre Aktualität und drangen mit den Zugangsdaten in die Online-Konten der Geschädigten ein, wo sie die Kontostände abfragten. Fanden sie ein Konto mit einem hohen Guthabenbetrag und hohen Überweisungslimits, suchten sie sich aus den von H3 und B5 zur Verfügung gestellten "Drops" einen passenden heraus. Dabei achteten sie darauf, dass das Empfänger-Konto bei einer Bank geführt wurde, die möglichst zum gleichen Banken-Verbund gehörte wie die Bank des Geschädigten. Auf diese Weise verringerten sich die Überweisungszeiten, was wiederum die Gefahr einer Rückbuchung durch die Geschädigten verringerte. War ein passendes Paar aus Geschädigtem-Konto und Finanzagenten gefunden, führten W1 und A1 sowie weitere Personen die Überweisungen durch, indem sie die abgephishten TANs aus der Datenbank des Log-Servers im Online-Konto des Geschädigten einsetzten (das sog. "Gießen"). Auf diese Weise wurden von der Gruppe pro Woche ca. 150 Überweisungen durchgeführt.

58Die Überweisenden meldeten den Einsatz der Drops und die Höhe der getätigten Überweisung an B5 oder H3, die die Informationen wiederum an die "Dropführer" weitergaben, welche durch H3 und B5 beaufsichtigt und angewiesen wurden.

59Die "Dropführer" setzten sich nach gelungener Überweisung mit den durch die Anwerbeseiten geworbenen Finanzagenten in Verbindung und erteilten diesen detaillierte Anweisungen, die eingehenden Gelder schnellstmöglich abzuheben und per X2 bzw. in einigen Fällen auch per "N5" an genau bezeichnete Personen in S2, dem C17 oder auch in U1 weiterzuleiten. In Fällen, in denen die Finanzagenten nicht schnell genug reagierten oder sich sogar weigerten, die Gelder weiter zu überweisen etwa weil sie das Geschäftsmodell als unseriös erkannten oder sie von ihren Banken gewarnt worden waren übten die Dropführer teilweise massiven Druck auf sie aus. Dieser Druck konnte sich in Einzelfällen bis hin zu telefonischen Drohungen oder dem Eintrag in sogenannte "Schutzlisten" im Internet, auf denen die Finanzagenten als Betrüger angeprangert wurden, steigern.

60Die Finanzagenten wurden im tatkritischen Zeitraum zumeist durch eine der Anwerbeseiten "G1 D", "T2" oder "T4" geködert. Alle diese Seiten waren sowohl in Aufmachung, Design und dem angeblichen Geschäftsmodell fast identisch. Stets wurde den Finanzagenten suggeriert, bei der Firma, die die Seite betreibe, handele es sich um eine Art Finanzdienstleister. Deren Geschäftsinhalt sei die schnelle und

kostengünstige Transferierung von Geldmitteln ins Ausland, unter Umgehung des zeit- und kostenintensiven Bankensystems. Dadurch, dass die "Mitarbeiter" (d.h. die Finanzagenten) die Gelder per Baranweisung über "X2" oder andere Services transferieren würden, sei das Geld viel schneller bei dem Endempfänger. Als Vergütung für die Zurverfügungstellung ihrer Konten und die Weiterleitung des Geldes sollten die Finanzagenten einen Prozentanteil der überwiesenen Summe, der regelmäßig zwischen 5 und 10 Prozent lag, als Lohn einbehalten. Die Finanzagenten erhielten einen "Arbeitsvertrag" sowie einen persönlichen Zugang zur Anwerbe-Seite, von der sie Schulungsmaterial abrufen und Nachrichten der Dropführer erhalten konnten.

61Daneben organisierte die Gruppe aber auch andere Formen der Finanzagentenanwerbung, die unabhängig von den oben beschriebenen Anwerbeseiten lief. Dazu gehören u.a. die Fälle aus dem sogenannten "N6-Komplex" in C4, bei denen den Finanzagenten zunächst suggeriert wurde, sie sollten für die "Firma N6" nur Anrufe weiterleiten. Auf die Konten der so geworbenen "Mitarbeiter" wurden sodann Überweisungen mit den abgephishten Datensätzen getätigt. Den vermeintlichen "Mitarbeitern" des Herrn N6 wurde daraufhin telefonisch gesagt, es habe eine Fehlüberweisung auf ihr Konto gegeben; das Geld würde dringend benötigt und man solle es so schnell wie möglich wieder abheben. "Herr N6" würde einen Kurier vorbeischicken, der die Gelder unverzüglich zurück zum Arbeitgeber bringen würde.

62In den Fällen, in denen die Gelder erfolgreich ins Ausland überwiesen werden konnten, hoben die Empfänger ("Naler") diese unter Angabe falscher Personalien ab und schleusten sie auf unbekanntem Wege in das Bankensystem ein. Über internetbasierte Überweisungssysteme wie "Q3" und "X3" flossen die Gelder an den H3 zurück, der für die Verteilung der Gelder innerhalb der Gruppe sorgte. Bei diesen Systemen handelt es sich um Online-Zahlungssysteme, die reales Geld in eine Internetwährung umtauschen und global zur Verfügung stellen. Mit dem System können unter anderem Überweisungen getätigt, online-Zahlungen durchgeführt oder Gelder direkt per Karte an Geldautomaten abgehoben werden. Auf diese Weise ist die entsprechende Internetwährung wieder in reales Geld umwandelbar.

63Die beteiligten Personen um H3 betrieben das Phishing von Ende 2005 bis zur Verhaftung des Angeklagten im Juli 2008. Dabei handelten sie als Gruppe, die sich zur dauerhaften und planvollen Wiederholung solcher unberechtigten Überweisungen mittels abgephishter Daten zusammengeschlossen hatte.

64Aus der fortgesetzten Tatbegehung wollten sich die Mitglieder der Gruppe zudem eine dauerhafte Einnahmequelle verschaffen, mit der sie teilweise ihren Lebensunterhalt bestritten.

65Die Banken ersetzen den betroffenen Kontoinhabern in der Regel die entstandenen Schäden, um die Glaubwürdigkeit des Online-Banking-Systems nicht zu gefährden. Zum Teil wurden die Schäden auch durch Versicherungen der Banken gedeckt.

66Gegen die beteiligten Finanzagenten wurde fast immer ein Strafverfahren eingeleitet, was den Hintermännern des Phishing-Systems bekannt war. Wegen des äußerst hohen Entdeckungsrisikos wurden die Finanzagenten in der Regel auch nur ein bis zweimal eingesetzt; denn nach kurzer Zeit wurden die Konten der Finanzagenten von den Banken gesperrt. In vielen Fällen kündigten die Banken zudem die Geschäftsbeziehungen zu den Finanzagenten.

IV. 67

Die abgeurteilten Taten 68

1. Der Tatbeitrag des Angeklagten I 69

70Der Angeklagte hatte seit Ende 2006 Kontakt zu H3. Im Laufe des Jahres 2007 wurde er ein Mitglied der Bande um H3. Mit der Zeit wurde er ein für das Funktionieren des Gesamtsystems wichtiger Mitarbeiter.

71Der Angeklagte war zumindest seit September 2007 unter anderem zuständig für alle technischen Fragen, die mit dem Betrieb und der Weiterentwicklung des Systems zusammenhingen. Er hatte somit die Funktion eines "Technischen Koordinators" der Gruppe inne. Der Angeklagte hielt die

verschiedenen technischen Komponenten, die zum Betrieb des Gesamtsystems notwendig waren, betriebsbereit, wartete sie und stimmte sie aufeinander ab. Zudem koordinierte er die Weiterentwicklung der verschiedenen technischen Komponenten für die Gruppe und ermittelte Optimierungspotenziale in deren Abläufen. Schließlich kümmerte er sich im konkreten Problemfall, also bei technischen Ausfällen oder ähnlichem, um die Schadensbehebung.

72Wichtigster Teil seiner Aufgaben war die Administrierung des Log-Servers in I5 (IP-Adresse: ##.##.###.##). Von seinem heimischen PC aus konnte der Angeklagte direkt auf den Server zugreifen und wartete die dort laufenden Programme. Er pflegte die Datenbanken D7 1 bis D7 5, in denen die "Logs" von den Schadprogrammen gespeichert wurden. Er organisierte die Datenbestände möglichst bedienungsfreundlich und löschte alte, unbrauchbare Datensätze aus den Verzeichnissen. Ebenso pflegte der Angeklagte das über den Server laufende Bot-Netz.

73Der Angeklagte generierte, installierte und verteilte die Sicherheitszertifikate für den Log-Server an die verschiedenen Mitglieder der Gruppe. Die Zertifikate wurden aus Sicherheitsgründen regelmäßig geändert. Er war somit nicht nur für die Sicherheit des Servers zuständig, sondern er gewährte durch die Zurverfügungstellung der Zertifikate den anderen Gruppenmitgliedern erst Zugang zum Log-Server. Zudem kümmerte er sich um die Verlängerung der Mietverträge für die Server der Gruppe.

74Seit September 2007 war der Angeklagte aber auch in alle anderen Teilbereiche des Phishing-Systems eingebunden und leistete aktiv Tatbeiträge.

75So koordinierte I für die Gruppe die technische Weiterentwicklung der Trojaner und anderer Schadprogramme. Dazu beauftragte er unter anderem die Gruppe um "##" und dessen Stellvertreter "#:#" mit der Entwicklung neuer "Builds" (Versionen) des eingesetzten Trojaners und der kompletten Neuentwicklung eines Trojaners. Dabei gab er z.B. die technischen Anforderungen an die zu entwickelnden Schadprogramme vor, bestimmte den Liefertermin und gab ihnen Informationen über die Struktur des verwendeten Log-Servers. Er wies den "##" auch an, als Bezugsadresse der neuen Trojanerversion die IP-Adresse des Log-Servers einzutragen. Die einzelnen Versionen des Trojaners wurden dabei nicht direkt zwischen I und ## versendet, sondern lediglich über den Filehoster "yousendit" zugänglich gemacht. Versendet wurden lediglich der Zugangscode und der Downloadlink, mit dem I die Datei vom Filehoster abholen konnte.

76Auch die Beschaffung neuer Versionen über einen zweiten Zulieferer koordinierte der Angeklagte I für die Gruppe. So beauftragte er im Oktober 2007 W1 damit, bei einer Person namens M3 neue Builds und Spams zu besorgen. Er gab W1 genau vor, er solle zwei neue Builds bestellen und dafür 150 WMZ (dies sind Einheiten der Internetwährung X3) bezahlen. Diese streckte I für die Gruppe dem W1 vor, indem er ihm die entsprechende Summe auf dessen X3-Konto überwies.

77Die gelieferten neuen Builds testete der Angeklagte auf ihre Einsatzfähigkeit und Funktionalität. Dabei halfen ihm W1 und A1. Entscheidend bei den Testläufen war, ob die aktuellen Versionen der gängigen Antiviren-Programme das Schadprogramm entdecken konnten und ob die richtigen Daten abgephisht und an den Log-Server übertragen wurden. Zu den getesteten Antivirenprogrammen gehörten u.a. B6, B7, B8, C6, D2, E6, G4, L5, N7, O2, Q4, R1 und W2. Gegebenenfalls forderte der Angeklagte die Programmierer, also "##", "#:#" oder "M3", auch zur Nachbesserung auf.

78Erwies sich die neue Version als funktionstüchtig band der Angeklagte I die neuen Versionen in das bestehende Botnetz ein, indem er die alten Versionen ersetzte, bzw. er veranlasste, dass mit den neuen Versionen eine Spamwelle gestartet wurde. Dabei koordinierte er teilweise auch die Spamaktivitäten der Gruppe um H3, auch wenn er nicht primär dafür verantwortlich war, sondern A1. I organisierte aber z.B., dass A1 neue Builds bei "##" abholte und mit dem Spammen begann. Dazu gab er A1 die ICQ-Nummer (Adresse des Chatprogramms) von ## und kündigte A1 bei diesem an.

79Somit wirkte der Angeklagte I auf unterschiedliche Weise an der Verbreitung der Trojaner und der Steuerung des Bot-Netzes mit.

Daneben war I auch selbst mit dem Überweisen beschäftigt. Ihm war dafür die Unterabteilung "D7 2" der 80

Log-Server-Datenbank zugeordnet. Die dort befindlichen, von den Schadprogrammen abgephishten Datensätze benutzte er für Überweisungen von den Online-Konten der Geschädigten. Zumindest in den Monaten Oktober und Dezember 2007 beauftragte er mit dem Überweisen aus seiner Datenbank den W1, weil er selber aus Zeitmangel nicht dazu kam.

81Ebenso wurde er bei Problemen mit dem Überweisen von H3 mit der Fehlerbehebung beauftragt, d.h. er suchte Fehler bei den Überweisungsvorgängen und behob diese.

82Im Bereich der Finanzagentenanwerbung nahm der Angeklagte I gleichfalls Aufgaben für die Gruppe war. So mietete er unter anderem Server an und verlängerte die Mietverträge für die Server, auf denen die Anwerbeseiten liefen. Der Angeklagte hatte einen direkten Administrator-Zugang zu dem Server mit den Finanzagentenanwerbeseiten. Auf diesem Server mit der IP-Adresse ##.##.###.###, der ebenfalls bei dem Hosting-Anbieter "I6" in I5 stand, liefen unter anderem die Finanzagenten-Anwerbeseiten: H5.com, G1 D.com, T2.com und T4.com. I arbeitete regelmäßig von seinem Laptop aus auf diesem Server und wartete ihn für die Gruppe.

83Zudem kümmerte sich der Angeklagte um die Bereitstellung von Voice-Over-IP-Systemen (sog. Internettelefonie) für die Dropführer, mit denen die Finanzagenten aus dem Internet im normalen Festnetz angerufen werden konnten, ohne dass die Spuren des Telefonats zurück verfolgbar waren. Zu diesem Zweck beauftrage I den A1, einen "Virtual-Dedicated-Server" für die Internettelefonie der Dropführer anzumieten, auf dem die Voice-Over-IP Programme (z.B. T31) laufen sollten. Die dazu getätigten Ausgaben sollte sich A1 laut I bei H3 zurückholen, der solche "Betriebsausgaben" beglich.

84Finanziell war der Angeklagte direkt an den Erfolgen der Gruppe beteiligt. So standen ihm bei Überweisungen, die er selber mit Datensätzen aus seinem Unterverzeichnis tätigte, 20 % des Überweisungsbetrages zu. Für alle weiteren Tätigkeiten, die er im Gesamtsystem entfaltete, wurde er ebenso entlohnt. Dabei ist die genaue Höhe jedoch unbekannt geblieben.

85Insgesamt hatte der Angeklagte somit eine Schlüsselstellung als technischer Koordinator und Technikfachmann im Gesamt-System inne, wobei er auf allen Feldern des Gesamtphänomens "Phishing" Tätigkeiten entfaltete. Bis auf die Beteiligung am Überweisen (dem sog. "Gießen") war er bis zu seiner Verhaftung am ##.##.2008 mit diesen Aufgaben betraut. Ohne seine Koordinierung der einzelnen technischen Bestandteile, seine technische Unterstützung bei Software-Problemen sowie seine Entwicklungsleistungen im Bereich des Baus der Phishing-Trojaner und der Spam-Attacken, wäre eine Erlangung der Konto- und Transaktionsdaten und somit der Computerbetrug nicht möglich gewesen.

2. Die einzelnen Taten 86

87Die Gruppe um H3 führte pro Woche zirka 150 unberechtigte Überweisungen durch. Davon waren jedoch nur wenige tatsächlich erfolgreich. Ein überwiegender Anteil der Überweisungen scheiterte auf einem der vielen Zwischenstationen; sei es durch sofortige Rückbuchung, durch zu langsam agierende Finanzagenten oder durch Finanzagenten bzw. "Naler", die das Geld selbst vereinnahmten, anstatt es weiter zu leiten. Der hohe zeitliche und technische Aufwand der Gruppe um H3 lohnte sich für die einzelnen Bandenmitglieder dennoch, da angesichts der relativ hohen Einzelsummen bereits ein geringer Anteil von erfolgreichen Überweisungen zu effektiven Vermögensvorteilen führte. Etwa 10-20 % der Überweisungen hatten Erfolg, was bei 150 Überweisungen pro Woche zwischen 15 und 30 erfolgreiche Überweisungen bedeutete, die im Regelfall zwischen 4.000,- und 9.000,-€ lagen. Daher handelt es sich bei den hier abgeurteilten Taten lediglich um einen Bruchteil des tatsächlichen Tatumfangs.

88Die einzelnen Taten wurden aus Gründen der Übersichtlichkeit, abweichend von der Anklage und dem neugefassten Haftbefehl vom ##.##. 2009, chronologisch geordnet und mit laufenden Nummern versehen. Somit ergeben sich folgende Einzelfälle:

89

Lfd.Nr. Fall Datum Tat Summe Finanzagent weitergeleitet

Lfd.Nr. Fall Datum Tat Summe Finanzagent weitergeleitet

0124 ##.##.#### 1.500,- S3 Nein

0233 ##.##.#### 5.000,- L6 Nein

0322 ##.##.#### 2.476,- T6 Nein

04102 ##.##.#### 6.297,- N8 Nein

0513 ##.##.#### 1.600,- Q5 Nein

06106 ##.##.#### 5.000,- L7 Ja

07103 ##.##.#### 2.497,- N8 Nein

0836 ##.##.#### 4.100,- T7 Nein

099 ##.##.#### 4.000,- N8 Nein

1098 ##.##.#### 4.500,- H6 N6 Nein

1197 ##.##.#### 5.000,- D3 N6 Nein

1223 ##.##.#### 4.000,- U2 Nein

1382 ##.##.#### 4.928,- Q6 Nein

1430 ##.##.#### 4.232,- T8 - N6 Ja

1595 ##.##.#### 8.850,- I7 - N6 Nein

1631 ##.##.#### 4.400,- X5 - N6 Teilweise

1735 ##.##.#### 8.000,- V1 Nein

1834 ##.##.#### 1.630,- V1 Nein

1918 ##.##.#### 4.400,- T9 Teilweise

205 ##.##.#### 3.450,- M4 Ja

2193 ##.##.#### 7.000,- M5 Ja

2240 ##.##.#### 6.800,- X6 Nein

2311 ##.##.#### 5.000,- N10 Nein

2414 ##.##.#### 9.500,- S4 Ja

2551 ##.##.#### 2.491,- C7 Nein

2612 ##.##.#### 6.320,- O3 Nein

277 ##.##.#### 2.613,- F4 Nein

2827 ##.##.#### 3.500,- N11 Nein

298 ##.##.#### 5.200,- X7 Nein

3038 ##.##.#### 9.570,- T10 Nein

3117 ##.##.#### 2.983,- T11 Ja

3226 ##.##.#### 5.000,- N10 Nein

3325 ##.##.#### 9.277,- X8 Nein

3432 ##.##.#### 9.200,- I8 Nein

3529 ##.##.#### 3.200,- L8 Ja

3628 ##.##.#### 4.300,- L8 Nein

3720 ##.##.#### 2.820,- T12 Nein

---- 21 ##.##.#### 3.745,- T12 Nein

1. Fall 24: 90

91Nachdem von der Gruppe um H3 auf dem Rechner des Geschädigten L9 (E1) ein Schadprogramm installiert und dessen Rechner in das Bot-Netz eingebunden worden war, versuchte der Geschädigte im September 2007 eine Überweisung zu tätigen. Bei der TAN-Eingabe generierte das Schadprogramm eine Fehlermeldung, dass die eingegebene TAN bereits verbraucht sei, worauf der Geschädigte eine weitere TAN eingab. Die angeblich schon verbrauchte TAN wurde in Wahrheit durch die Schadsoftware an den Log-Server der Gruppe weitergeleitet.

92Am ##.##.2007 überwiesen Mitglieder der Gruppe um H3 unter Verwendung der abgephishten TAN 1.500,00 vom Konto des Geschädigten auf das Konto der Finanzagentin S3 (C4). Zu einer Weiterüberweisung durch die Finanzagentin kam es nicht.

Zur Beweiswürdigung: 93

Der Tatnachweis war hier möglich, da sich aus den auf Is Rechner gefundenen Chats ergibt, dass der Angeklagte (K3) die Finanzagentin S3 am ##.##.2007 erneut einsetzte (Chat mit A1 vom ##.##.2007): 94

K3: ja.o.k. Wenn wir jemanden gießen lassen das teilen wir mit. 95

A1: ich versuche es mit dem L10 [Übersetzung durch I] […] 96

K3: S3 4 Tausend. M4 […] C8 […] Q5 [details]. Ich habe die aktualisierte Liste abgeholt. […] 97

K3: [laut übersetzung I] Tritt es beim Versuch es hinunter zu gießen. 98

A1: vor der TAN-Eingabe. […] 99

K3: Die TAN wird nicht funktionieren. 100

A1: Ich habe Q5 geladen. 101

K3: Ich habe S3 geladen. 102

A1: Hast du es B5 geschickt? 103

K3: Ja. ich habe 2 geladen. 104

105

Ebenso ergibt es sich aus dem Chat mit B5 vom 05.10.2007: 106

K3: Was hört man von den Überweisungen? 107

B5: S3 6 Tausend, ist das Konto am Leben? 108

K3: Ich schecke es gleich. 109

B5: C8 […] 110

K3: 6,5 Tausend sind tot. 111

B5: Dass heißt, dass der Drop nicht lügt, und ich übe schon den ganzen Tag Druck auf sie aus. 112 […]

Unmittelbar beweisen diese Chatstellen zwar nur, dass der Angeklagte Anfang Oktober 2007 versucht, mit der Finanzagentin "S3" eine zweite Überweisung zu organisieren, während die erste Tat (Fall 24) 113

bereits am ##.##.2007 erfolgte. Der Angeklagte hat in seinen Einlassungen wiederholt betont, seit "Ende September 2007" an den Überweisungen beteiligt gewesen zu sein (s.u.). Angesichts des Umstandes, dass er Anfang Oktober 2007 über die Daten der Finanzagentin verfügte und er in den Chats bereits professionell über das Phishing kommuniziert, muss er bereits vor Anfang Oktober in das Netzwerk von H3 eingebunden gewesen sein. Angesichts der Identität der eingesetzten Finanzagentin hat die Kammer ihm daher den Fall 24 ebenfalls zugerechnet.

2. Fall 33 : 114

115Nachdem von der Gruppe um H3 auf dem Laptop-Rechner der Geschädigten Fa. L11 ein Schadprogramm installiert und der Rechner in das Bot-Netz eingebunden worden war, generierte die Schadsoftware eine TAN-Fehlermeldung, als der Betriebsleiter der Fa. L11, X9 (S5), eine Online- Überweisung tätigen wollte. Tatsächlich wurde die vermeintlich bereits "verbrauchte" TAN an den Log- Server der Gruppe um H3 übermittelt.

116Am ##.##.2007 überwies ein Mitglied der Gruppe um H3 unter Verwendung der abgephishten TAN einen Betrag in Höhe von 5.000,00 vom Geschädigtenkonto auf das Konto des Finanzagenten L6 (I9). Das Geld wurde jedoch nicht dem Konto des Finanzagenten gutgeschrieben, sondern konnte auf das Konto der Fa. L11 zurückgebucht werden.

117Der Finanzagent L10 war schon Anfang September 2007 über die Seite "T4" angeworben worden. Bereits am ##.##.2007 wurde eine Überweisung auf sein Konto vorgenommen. Als er zögerte, diese weiterzuleiten, wurde er telefonisch massiv bedroht. Man "wisse, wo er wohne". Der Anrufer sprach gebrochen Deutsch und nutzte eine V5ische oder S2ische Telefonnummer. Daraufhin überwies der Finanzagent insgesamt 4.900,00 ins Ausland, wobei ihm die Zielpersonen telefonisch mitgeteilt worden waren. Als ihm daraufhin weitere Überweisungen angekündigt wurden, lies er sein Konto sperren. Trotzdem kamen bis Ende November 2007 weitere Überweisungen von ihm Unbekannten auf sein Konto.

118Aufgrund der Vorfälle wurde er wegen leichtfertiger Geldwäsche vom Amtsgericht I9 am ##.##.2008 verurteilt. Ihm wurde die Weisung erteilt, sich für die Dauer von 6 Monaten der Leitung und Weisung der Jugendgerichtshilfe zu unterstellen.

( Angaben zur Person des L10 ) 119

Zur Beweiswürdigung: 120

121Die Beteiligung des Angeklagten an der Überweisung vom ##.##.2007 ergibt sich zur Überzeugung der Kammer daraus, dass der Angeklagte eingeräumt hat, bereits Ende September 2007 selbst auch Überweisungen durchgeführt zu haben. Darüber hinaus ergibt sich aus einem Chat mit A1 vom 04.10.2007, dass I den Finanzagenten L10 am ##.##.2007 für eine weitere Überweisung nutzte:

I: [erkundigt sich nach Drops] 122

A1: "das sind meine letzten; [...] L10, Account # ########, BSB # ######## ab 4 Tausend" 123

124Dies deckt sich mit der Aussage des Finanzagenten, dass bis Ende November noch mehrfach Überweisungen auf seinem Konto eingingen. Da die Gruppe um H3 den Finanzagenten am ##.##.2007 unter Beteiligung von I nutzte, geht die Kammer davon aus, dass der Finanzagent auch am ##.##.2007 von der Gruppe genutzt wurde. Denn der Finanzagent wurde durch die der Gruppe zugeordnete Seite "T4.com" angeworben.

125Die Feststellungen zur besonderen Folge für den Finanzagenten beruhen auf der Verlesung des Urteils des Jugendgerichts I9 und der Vernehmung des Zeugen L10.

3.) Fall 22: 126

127Nachdem der Rechner des Geschädigten U3 (N12) von der Gruppe um H3 infiziert worden war, generierte ein Schadprogramm im September 2007 bei einer Standardüberweisung die TAN- Fehlernachricht und übermittelte die TAN an den Log-Server.

Am ##.##.2007 nutzte der Angeklagte diese Datensätze und überwies vom Konto des Geschädigten 1282.476,00 auf das Konto der Finanzagentin T6 (I10). Der Geschädigte entdeckte die Abbuchung zufällig, als er Geld am Automaten abheben wollte und feststellte, dass sein Konto im Minus war.

129Die Finanzagentin T6, die über die Seite "G1 D.com" angeworben worden war, erhielt per E-Mail den Auftrag, die eingegangene Summe per X2 oder N5 an einen L12 in St. Q7 weiterzuleiten. Dies versuchte sie auch. Die Überweisung nach St. Q7 wurde jedoch von X2 nicht durchgeführt und an die Finanzagentin zurückgegeben, die es an die Bank des Geschädigten zurückzahlte.

130Gegen die Finanzagentin erging am ##.##.2008 ein Strafbefehl des Amtsgerichts T13 wegen leichtfertiger Geldwäsche in Höhe von 40 Tagessätzen zu je 15,00 €, der rechtskräftig wurde. Der Geschädigte erhielt von seiner Bank lediglich 80 % des abgebuchten Betrages zurückerstattet; 20 % musste er selber tragen.

Zur Beweiswürdigung: 131

Der Tatnachweis ergibt sich in diesem Fall aus dem bei I gefundenen Protokoll des Chats mit A1 vom 04.10.2007: 132

K3: Wie sieht es bei dir mit Drops aus? 133

A1: Hat B5 welche? 134

K3: Nein. Er sagt, er habe alle dir und dem W1 gegeben. 135

A1: […] ab 4 Tausend […] T6 Account# ######### Rounting/BSB#*: ######## T28. Das sind meine. ausgenommen die letzte. Ich habe es ja auf sie hinunter giessen lassen. 136

K3: ja, o.k. Wenn wir jemanden giessen lassen das teilen wir mit. 137

Die Feststellungen zur besonderen Folge beruhen auf der Verlesung des Strafbefehls des Amtsgerichts T13 vom ##.##.2008 und den Angaben der Zeugin T6. 138

4.) Fall 102 139

140Nachdem der Rechner der Geschädigten M6 (O4) durch Schadsoftware der Gruppe um H3 infiziert und eine TAN erlangt worden war, überwies ein Gruppenmitglied am ##.##.2007 einen Betrag von 6.297,00 auf das Konto des Finanzagenten N8 (H7).

141Der Finanzagent, der zuvor über die Seite "G1 D" angeworben worden war, bekam am ##.##.2007 einen Telefonanruf von einer gewissen "I11", die ihm die Überweisung der 6.297,00 ankündigte und ihn anwies, das Geld an bestimmte Personen in Osteuropa weiterzuleiten. Dies versuchte der Finanzagent auch. Da die Übermittlung per X2 jedoch fehl schlug, nahm er das Geld mit nach Hause und verbrauchte es nach und nach für sich selbst.

142Gegen den Finanzagenten erging aufgrund dieser Geschehnisse ein Strafbefehl über eine Geldstrafe in Höhe von 2.000,00 €. Zudem wurde seine Wohnung durchsucht, worauf ihm die Wohnung gekündigt wurde. Schließlich wurde ihm auch sein Bankkonto gekündigt.

Zur Beweiswürdigung: 143

Der Tatnachweis ergibt sich daraus, dass der Finanzagent mit einer Seite angeworben wurde, die der Gruppe um H3 zuzuordnen ist (G1 D) und die Überweisung zu einem Zeitpunkt getätigt wurde, als der 144

Angeklagte Mitglied dieser Gruppe war.

5.) Fall 13: 145

146Nachdem zuvor der Rechner des Geschädigten H8 (E7) mit Schadprogrammen infiziert worden war, wurde auf dem bekannten Weg über die TAN-Fehlermeldung eine TAN-Nummer abgephisht und an den Log-Server übertragen.

147Am ##.##.2007 überwies der Angeklagte oder W1 unter Benutzung der abgephishten Daten 1698,00 an die Finanzagentin Q5 (E2), die durch die Seite "G1 D.com" angeworben worden war.

148Das Konto des Geschädigten war nach der Überweisung circa 2.000,00 im Soll. Die abgebuchte Summe wurde jedoch zurückerstattet.

149Auf die gleiche Art wurden in den ersten Oktobertagen 2007 auch vom Konto des Geschädigten K 9425,00 zu Unrecht auf das Konto der Finanzagentin Q5 überwiesen. Das Geld wurde am ##.##.2007 von Q5 nach S6 weitergeleitet. Das Geld wurde dem Geschädigten K jedoch durch seine Bank ersetzt. Dieser Fall ist nicht angeklagt.

Zur Beweiswürdigung: 150

Der Nachweis der Tat ergibt sich auch hier aus dem A1-Chat vom ##.##.2007: 151

K3: Wie sieht es bei dir mit Drops aus? 152

A1: Hat B5 welche? 153

K3: Nein. Er sagt, er habe alle dir und dem W1 gegeben. 154

A1: […] ab 4 Tausend Q5 Account#*: ########## Routing/BSB#*: ######### T29 E2 […] 155

K3: Wenn wir jemanden giessen lassen dann teilen wir das mit […] 156

A1: ich versuche es jetzt mit Q5. 157

K3: o.k. […] 158

A1: Hast du Q5 nicht gegossen? Ich habe ihn gerade gegossen. 159

K3: Nein. 160

Die Zeugin Q5 hat zwar die Aussage in der Hauptverhandlung gem. § 55 StPO verweigert, ihre 161Anwerbung über die Seite "G1 D.com" ergibt sich aber zur Überzeugung der Kammer aus den in die Hauptverhandlung eingeführten Ausdrucken der Anwerbe-Seite, die sie zur polizeilichen Ermittlungsakte gereicht hatte.

6.) Fall 106 162

163Nachdem der Rechner der Geschädigten X10 (O5) mit Schadprogrammen der Gruppe um H3 infiziert und eine TAN abgephisht worden war, überwies ein Mitglied der Gruppe am ##.##.2007 mit dieser TAN einen Betrag in Höhe von 5.000,00 auf das