Urteil des LG Bonn vom 07.07.2009
LG Bonn: chat, beweiswürdigung, verfügung, anfang, adresse, persönliche daten, organisierte gruppe, pseudonym, rückbuchung, zugang
Landgericht Bonn, 7 KLs 01/09
Datum:
07.07.2009
Gericht:
Landgericht Bonn
Spruchkörper:
7. große Strafkammer des Landgerichts
Entscheidungsart:
Urteil
Aktenzeichen:
7 KLs 01/09
Sachgebiet:
Recht (allgemein - und (Rechts-) Wissenschaften Strafrecht
Tenor:
1. Der Angeklagte I wird wegen gewerbs- und bandenmäßig
begangenen Computerbetrugs in 37 Fällen zu einer
Gesamtfreiheitsstrafe von 4 Jahren verurteilt.
2. Im übrigen wird der Angeklagte freigesprochen.
3. Der Angeklagte trägt ¾ der Verfahrenskosten und seiner Auslagen, im
übrigen trägt die Staatskasse die Kosten und notwendigen Auslagen
des Angeklagten.
- Angewendete Vorschriften: §§ 263a Abs. 1, Abs. 2, 263 Absatz 5, 52,
53 StGB -
A.
1
I.
2
Prozessgeschichte
3
Am 13.01.2009 erhob die Staatsanwaltschaft C unter dem Aktenzeichen ### Js ###/## Anklage gegen
die Angeklagten I und L wegen des Vorwurfs des Computerbetrugs, der Datenveränderung und der
Bildung einer kriminellen Vereinigung. Die Anklage wurde am 19.01.2009 unter dem Aktenzeichen 27
KLs 01/09 eingetragen.
4
Am 10.02.2009 änderte die Kammer bezüglich des Angeklagten I den ursprünglichen Haftbefehl des
Amtsgerichts C vom ##.##. #### (## Gs ###/##) ab und fasste ihn neu. Infolge der Neufassung wurden
die angeklagten Einzeltaten in unveränderter Reihenfolge erstmalig mit Nummern von 1 bis 106
versehen. Die Bezifferung der Taten in diesem Urteil bezieht sich auf die
Nummerierung
neugefassten Haftbefehl:
5
Tat Rückbuchung: Buchung: Datum Tat
Ursprüngliche
StA:
Ursprüngliches
Aktenzeichen:
Finanzagenten-
Seite
1.
2316
##.##.####
N
### Ujs #####/## Q.com
2.
7000
##.##.####
E
### Js ###/##
Q.com
6
3.
4070
##.##.####
E
### Js ###/##
Q.com
4.
M
### Ujs ####/##
Q.com
5.
3450
##.##.####
X
#### Js #####/##
6.
8500
L2
#####/##
7.
2613
##.##.####
I2
#### Ujs
#####/##
8.
5200
##.##.####
M
### Js #####/## Keine Aussage
des FA
9.
4000
##./##.##.#### C2
#Js ###/##
unbekannt
10. ?
?
?
G
#### Js
######/##
11. 9500
##.##.####
S
### Js ####/##
12. 6320
##.##.####
13. 1698
##.##.####
E2
##Js###/##
G1-D-
14.
9500
##.##.####
(F) alt L3
(###Js####/##)
#### Js #####/##
T2-.com
15. 3287
##.##.## ??
16. 5000
##.##.####
S
### Js ####/##
17.
2983
##.##.####
G2/C3
### Js #####/## T2.com
18. 4000
##.##.####
(H) StA N1I
(###Js#####/##)
### Js #####/##
19. 10000
##.##.####
S
### Js ####/##
20. 3745
##.##.####
C
### Js ###/##
21. 2820
##.##.####
C
### Js ###/##
22. 2476
O/G3
###Js#####/##
G1-D.com
23.
4000
##.##.####
G
#### Js
######/##
24. 1500
##.##.####
E1
### UJs
#####/##
25. 9277
##.##.####
E2
##Js###/##
G1-D
26. 5000
##.##.###
C4
##Js##/##
L4.de
27. 3500
##.##.####
(M1) J1
(####Js#####/##)
### Js #####/##
28. 4300
##.##.####
L3
#### Js ####/## G1-D.com
29.
3200
##.##.####
L3
#### Js ####/## G1-D.com
30.
4232
##.##.####
C4
## Js ###/##
L4.de
31. 4400
##.##.####
C4
## Js ###/##
32. 9200
##.##.####
N1
### Js #####/##
33.
5000
##.##.####
T1
### Js #####/##
34. 1630
##.##.####
N1
### Js #####/## G1-D.com
35. 8000
##.##.####
N1
### Js #####/## G1-D.com
36. 4100
##.##.####
N2
####Js###/##
37.
2300
##.##.####
F1
##Js###/##
38. 9570
##.##.####
O1
###Js####/##
39. 3700
##.##.####
(X1) L1
(##Js####/##)
### Js ####/##
40. 6800
##.##.####
T1
###Js#####/##
G1-D.com
41.
6000
##.##.####
E
###Js##/##
42. 2400
##.##.####
C
(### Js ###/##)
Q
43.
1000
##.##.####
E3 (M)
(### Js #####/##) G1-D.com
44.
2000
##.##.####
(H1)C4
## Js ####/##
T2
45.
2600
##.##.####
E2
(## Js ###/##)
46.
2000
##.##.####
L3
(#### Js
#####/##)
47. 8730
##.##.####
S1
## Js #####/##
T2.com
48. 6550
##.##.####
E
(###Js###/##)
###/##
49.
6230
##.##.####
E
(###Js###/##)
###/##
50.
3900
##.##.####
E
### Js ##/##+
### Js ###/0##
R.com
51. 2491
##.##.####
T1
### Js ###/##
T2.com
52.
2400
##.##.####
B
#### Js ####/## Q.com
53. 5000
##.##.####
B
#### Js ####/## Q.com
54. 2350
##.##.####
D1
#### Js ####/## Q.com
55. 4000
##.##.####
N1
## Js ###/##
T2.com
56. 2000
##.##.####
X1
## Js ####/##
T2.com
57. 2300
##.##.####
F2
### Js #####/## Q.com
58.
5400
##.##.####
C4
## Js####/##
T2.com
59. 9975
##.##.####
C4
## Js####/##
T2.com
60.
4400
##.##.####
W
### Js ####/##
R.com
61. 2200
##.##.####
W
### Js ####/##
R.com
62. 8000
##.##.####
B1
### Js ######/## Q.com
63.
3600
##.##.####
B1
### Js ######/## T2.com
64.
3760
##.##.####
N3
### Js #####/## Q.com
65. 10000
##.##.####
I2
#### Js
######/##
Q.com
66. 3150
##.##.####
I2
#### Js
######/##
Q.com
67. 1600
##.##.####
N1
### Js #####/## T2.com
68. 8000
##.##.####
N1
### Js #####/## T2.com
69. 3350
##.##.####
G /P
#### Js ####/## T2.com
70. 5000
##.##.####
F1
##JS ##/##
Q.com
71.
5500
##.##.####
(T3)F1
## UJs #/## (s.o) Q.com
72.
5000
##.##.####
F1
##JS ##/##
Q.com
73.
5000
##.##.####
F1
##JS ##/##
Q.com
74. 9998
##.##.####
(E) N
(### Js ###/##)
### UJs
#####/##
Q.com
75. 10000
##.##.####
B2
###Js####/##
Q.com
76. 9500
##.##.####
I3
## Js #####/##
Q2.com
77.
10000
##.##.####
A (I3)
### Js #####/## Q2-.com
78.
1978
##.##.####
C4
## Js ####/##
T2.com
79. 9283
##.##.####
C4
## Js ####/##
T2.com
80.
8377
##.##.####
C4
## Js ####/##
T2.com
81. 10000
##.##.####
I2
#### Js
######/##
Q.com
82. 4928
##.##.####
G/P
### Js #####/## T2.com
83. 2000
##.##.####
F
### Js #####/## T2.com
84.
2100
##.##.####
E4
#Js ####/##
T4.com
85. 2110
##.##.####
N4
### Js ###/##
Q.com
86. 3000
##.##.####
T5
### Js ###/##
B3.com
87.
5000
##.##.####
T5
### Js ###/##
B3.com
88. 2989
##.##.####
I4
### Js ######/## T2.com
89. 8000
##.##.####
W
### Js #####/## T4.com
90.
3800
##.##.####
E
### Js ###/##
J2.net
91.
5750
##.##.####
E
### Js ###/##
J2.net
92.
6500
##.##.####
(O B
(# Js ###/##)
#### Js #####/##
T2.com
93.
7000
##.##.####
C3
### Ujs ####/##
G1 D.com
94. 2418
##.##.####
C4
## Js ###/##
95. 8850
##.##.####
C4
## Js ###/##
96. 9264
##.##.####
C4
## Js ###/##
97. 5000
##.##.####
C4
### Js #####/##
###/##
98. 4500
##.##.####
C4
##Js ##/## ## Js
###/##
99.
2500
##.##.####
U
## Js #####/##
Q2.com
100.
2100
##.##.####
U
## Js #####/##
Q2.com
101.
9364
##.##.####
N1
## Js ####/##
G1 D.com
102.
6297
##.##.####
V
## Js #####/##
G1 D.com
103. 2497
##.##.####
V
## Js #####/##
G1 D.com
104.
105. 1350
##.##.####
E4
### Js #####/## G1 D.com
106.
5000
##.##.####
E4
### Js #####/## G1 D.com
Mit Beschluss vom 13.02.2009 hat die Kammer das Hauptverfahren gegen die Angeklagten eröffnet,
wobei sie eine
Eröffnung
7
Hauptverhandlung vor der Kammer fand ab dem 27.02.2009 an insgesamt 22 Verhandlungstagen statt.
Im Verlauf der Hauptverhandlung sind auf Antrag der Staatsanwaltschaft zur Verfahrensbeschleunigung
folgende Fälle in Bezug auf den Angeklagten I gemäß §
154
8
am 10. Verhandlungstag vom 20.04.2009 die Fälle 1, 2, 48, 49, 50, 60, 61, 65, 71, 72, 73, 81, 90
und 91
9
10
am 13. Verhandlungstag vom 26.05.2009 die Fälle 4, 6, 10, 15, 16, 46, 52, 53, 57, 58, 59, 63, und
104
11
12
am 19. Verhandlungstag vom 10.06.2009 die Fälle 41, 45, 54, 62, 64, 66, 70, 74, 75,, 76, 77, 85, 89,
99 und 100
13
14
am 22. Verhandlungstag vom 07.07.2009 die Fälle 3, 19, 37, 39, 43, 44, 47, 55, 56, 67, 68, 69, 78,
79, 80, 83, 84, 88, 92, 94, 96, 101, 42, und 105.
15
16
Ebenfalls in der Sitzung vom 07.07.2009 hat die Kammer auf Antrag der Staatsanwaltschaft die
Beschränkung des Verfahrens gemäß §
154a
beschlossen.
17
Zudem wurde in der Sitzung vom 10.06.2009 zur Beschleunigung des Verfahrens gegen den
Angeklagten I, der sich unverändert in Untersuchungshaft befand, das Verfahren gegen den Angeklagten
L
18
II.
19
Zur Person
20
( Diverse Angaben zum Lebenslauf des Angeklagten )
21
Der Angeklagte C5 I ist bis heute nicht strafrechtlich in Erscheinung getreten, [ weitere Angaben zur
Person ] und er ist generell strafrechtlich voll verantwortlich.
22
III.
23
Zur Tatvorgeschichte
24
1. Zur Funktionsweise des Phishing allgemein
25
Unter "Phishing" versteht man das verdeckte "Abfischen" von Zugangs- und Transaktionsdaten, die ein
Bankkunde für das Onlinebanking erhält, mit dem Ziel, diese Authentifizierungsdaten anschließend
unbefugt zu Lasten fremder Konten einzusetzen.
26
Die Banken sicherten im tatkritischen Zeitraum ihre Online-Banking-Systeme durchweg mit PINs und
TANs. Der Kunde erhielt eine persönliche Identifikationsnummer
(PIN)
Konto abgefragt wurde und eine Liste mit Transaktionsnummern
(TAN)
Verfügungen legitimiert werden mussten. Dabei konnte der Kunde – im Gegensatz zum heute
vorherrschenden iTAN-Verfahren – die TAN selber von der Liste auswählen.
27
Das Abfischen der Daten erfolgt auf verschiedene Weise. In der Frühphase dieser Delikte wurden
Bankkunden durch angeblich von ihrer Bank stammende, aber in Wirklichkeit gefälschte E-Mails dazu
veranlasst, ihre Zugangsdaten (PIN) und eine ihrer persönlichen Transaktionsnummern (TAN)
mitzuteilen. Diese Daten konnten dann unmittelbar für unbefugte Überweisungen verwendet werden.
28
Zunehmend entwickelten die Phishing-Täter – auch als Reaktion auf die Weiterentwicklung der
bankeigenen Sicherheitssysteme – ihre Methoden weiter (vgl.: Goeckenjan, Phishing von Zugangsdaten
für Online-Bankdienste und deren Verwertung, wistra 2008, 128 ff.). So werden mit Hilfe von E-Mails,
welche massenhaft als SPAM versendet werden, Schadprogramme wie
Trojaner
auf die Rechner der Betroffenen übertragen, wenn diese die Mails öffnen. Die Schadprogramme können
zum Beispiel bewirken, dass sich bei Eingabe der TAN ein Fenster öffnet, in dem der Bankkunde mit
dem Hinweis darauf, dass die eingegebene TAN schon verbraucht sei, aufgefordert wird, eine weitere
TAN einzugeben. Die zuerst eingegebene TAN wird automatisch an die Phishing-Täter übermittelt.
29
Auch kann durch Schadprogramme ein sogenannter "keylogger" auf dem befallenen Rechner
eingerichtet werden, der verdeckt im Hintergrund sämtliche Tastatureingaben in Formularmasken
protokolliert und sog. "Screenshots" (d.h. Standbilder von bestimmten Seiten) anfertigt.
30
Auch diese Daten werden von den Schadprogrammen automatisch an einen Bezugsrechner, den
sogenannten
Dropzone-
Netz der von den Schadprogrammen befallenen Rechner gesteuert, das sogenannte "Bot-Netz".
31
Die auf einem dieser Wege erlangten Daten werden nunmehr dazu benutzt, die Online-Konten der
Geschädigten mit den erlangten PINs und Kontonummern zu öffnen und dahingehend zu überprüfen, ob
lohnenswerte Geldsummen vorhanden sind. Wenn dies der Fall ist, führen die Täter mit den ebenfalls
"abgephishten" TANs unbefugt Überweisungen von den Konten der Geschädigten durch.
32
Die Gelder werden dabei üblicherweise zunächst auf Konten sogenannter
"Finanzagenten"
überwiesen, die zur Verschleierung des Geldflusses zwischengeschaltet werden. Deren Aufgabe
besteht darin, die ihnen überwiesenen Gelder in bar abzuheben und mittels eines
Auslandsgeldtransferdienstes wie z.B. "X2" oder "N5" in das – in der Regel osteuropäische – Ausland zu
transferieren. Der Empfänger im Zielland, der sogenannte
"Naler"
unter falscher Identität) in bar ab und speist es wieder in das Bankensystem ein.
33
Durch Online-Zahlungssysteme wie "X3" oder "Q3" werden die Gelder schließlich den Tätern selbst
zugänglich gemacht.
34
Die Anwerbung der Finanzagenten erfolgt regelmäßig durch das Internet. Unter einem Vorwand, der je
nach
Anwerbeseite
für die Überweisung zur Verfügung zu stellen. So kann es z.B. sein, dass die Anwerbeseite eine
Scheinfirma präsentiert, die als Geschäftsinhalt angeblich die schnelle Transferierung von Geldern ins
Ausland unter Vermeidung bürokratischer Hemmnisse offeriert. Dem Finanzagenten wird ein lukrativer
Nebenverdienst dafür versprochen, dass er sein Konto zu Verfügung stellt. Dabei handelt es sich meist
um eine prozentuale Beteiligung an den überwiesenen Geldsummen.
35
Das "Phishing" stellt sich somit als sehr personalintensives und
komplexes System
regelmäßig nur arbeitsteilig zu bewerkstelligen ist und das eines hohen Grades an Vorbereitung und
Koordination bedarf:
36
Zum einen müssen die technischen Voraussetzungen geschaffen werden. Es werden
Computerfachleute mit hinreichender Programmiererfahrung benötigt, um die Trojaner und die anderen
verwendeten Schadprogramme anzufertigen. Daneben werden Personen benötigt, die die Trojaner
durch Spammails, Spambanner oder über Sicherheitslücken in bekannten Programmen (sog. "exploits")
im Internet verbreiten und mit den so infizierten Rechnern der Opfer ein sogenanntes
Bot-Netz
von Roboter) aufbauen. Über das Bot-Netz können die infizierten Rechner zentral gesteuert und ohne
Kenntnis der Opfer benutzt werden. Die Bot-Rechner werden dabei nicht nur selber nach Konto-
Informationen durchsucht, sondern können ihrerseits wieder zum Verbreiten der Spam und Phishing-
Mails eingesetzt werden.
37
Weiter muss ein
Logserver
Botnetzes müssen auf den Logserver ausgerichtet werden, damit die abgephishten Daten nutzbar
werden. Alle diese Tätigkeiten müssen zudem technisch so ausgeführt werden, dass sie möglichst
wenig nachverfolgbare Spuren im Internet hinterlassen.
38
Darüber hinaus müssen Personen gefunden werden, die die abgephishten Daten auf dem Logserver
nach ihrer Aktualität sortieren, auf ihre Verwendbarkeit prüfen und die Online-Konten der Geschädigten
nach Guthaben durchsuchen, die sich zum Überweisen eignen. Dabei sind jeweils unterschiedliche
Besonderheiten der bankinternen Sicherheitssysteme zu beachten, an die die Vorgehensweise
angepasst werden muss.
39
Zum anderen benötigt man ein funktionierendes System, mit dem die
Finanzagenten
geführt werden. Dazu benötigt man neben den Anwerbeseiten im Internet vor allem Personen, die per E-
Mail oder Telefon mit den Finanzagenten Kontakt aufnehmen und ihnen Anweisungen für das
Weiterüberweisen geben. Diese
"Dropführer"
Finanzagenten) müssen dabei stets aufpassen, dass die Finanzagenten das Konzept nicht
durchschauen. Zudem drängt im Fall einer Überweisung an einen "Drop" die Zeit; denn je schneller der
Finanzagent reagiert und das Geld von seinem Konto abhebt, umso größer ist die Wahrscheinlichkeit,
dass das Geld auch tatsächlich zu den Geldempfängern (Nalern) weitergeleitet werden kann. Denn in
vielen Fällen fallen die Überweisungen den Geschädigten rasch auf und sie veranlassen
schnellstmöglich die Rückbuchung der Überweisungen. Durch die Weiterleitung der Gelder per "X2"
bzw. "N5" macht sich der Finanzagent selber regelmäßig der fahrlässigen Geldwäsche gemäß § 261
Absatz 5 StGB strafbar.
40
Als drittes Element bedarf es zum vollständigen "Phishing-System" noch der "Naler", also der Personen,
die im Ausland das Geld – zumeist unter falscher Identität – bar abheben und wieder in den
Bankenkreislauf einspeisen.
41
Erschwerend kommt hinzu, dass alle diese
Teilbereiche koordiniert
erfolgreichen Phishing die Trojaner-Programmierung und die Log-Server aufeinander abgestimmt sein,
die Spamwellen müssen regelmäßig mit neuen Versionen der Trojaner versorgt werden und den
Personen, die Überweisungen tätigen, müssen Drops zur Verfügung gestellt werden. Dabei müssen die
Überweisenden genau beachten, von welchem Konto auf welchen Finanzagenten zu überweisen ist.
Denn bestimmte Kombinationen von Banken sichern eine raschere und damit erfolgversprechendere
Überweisung als andere Kombinationen. Schließlich müssen auch die "Dropführer" mit den
Kontaktdaten der "Naler" in Osteuropa versorgt werden, damit sie ihren Finanzagenten die
entsprechenden Weisungen erteilen können.
42
Alle diese Aufgaben können, da sie teilweise zeitgleich vorzunehmen sind, nicht von einer oder auch
zwei Personen durchgeführt werden. Vielmehr ist erfolgreiches Phishing nur durch eine in hohem Maße
organisierte Gruppe
43
2. Die Organisation des Phishing im konkreten Fall – Arbeitsaufteilung innerhalb der Bande
44
Die Zentralfigur des hier angeklagten Phishing-Systems, das bereits vor 2007 in Betrieb genommen
wurde, war eine Person, die durch ihr Pseudonym
"H3"
zum einen die Gruppe, er wies den Mitgliedern ihre Aufgaben zu und die Finanzen der Gruppe wurden
über ihn abgerechnet. Er errechnete die den einzelnen Gruppenmitgliedern zustehenden Beuteanteile
und sorgte für die Auszahlung. Zum anderen war er für die Erstattung von gruppennützigen
Aufwendungen an die Gruppenmitglieder zuständig. So wurden etwa Auslagen für die Anmietung von
Servern, die die Gruppe zur Aufrechterhaltung des Systems benötigte, bei H3 angemeldet und von ihm
erstattet. Zudem stellten H3 sowie eine weitere Person mit dem Pseudonym
B5
Verfügung und hielten den Kontakt zu den "Dropführern" und "Nalern".
45
Darüber hinaus war H3 auch mit der Registrierung und dem Aufbau der Finanzagentenanwerbeseiten
beschäftigt. Bei den von der Gruppe im tatkritischen Zeitraum genutzten Anwerbeseiten handelte es sich
zumindest um die Seiten "G1 D.com", "T2.com" und "T4 .com"
46
Die Domains der Anwerbeseiten waren vom ursprünglichen Mitangeklagten
L
registriert worden. Ob dem L die Hintergründe bzw. die tatsächliche Verwendung der Domains bekannt
war, kann hier offen bleiben.
47
Die zum Phishing benötigte Schadsoftware veraltete aufgrund der ständigen Anpassung der
Antivirensoftware sehr schnell, so dass
mehrfach pro Woche
Diese wurden teilweise von Gruppenmitgliedern selbst entwickelt, teilweise aber auch von externen
Dienstleistern eingekauft. Die ständig benötigten weiterentwickelten Versionen der eingesetzten
Trojaner
den Pseudonymen
"##"
sondern sie lieferten vielmehr auf Bestellung an die Gruppe um H3. Ein weiterer externen Zulieferer für
neue Trojanerversionen ist eine Person mit dem Namen "M3".
48
Das Spammen, also die Verbreitung der Trojaner und anderer Schadprogramme über Bannerwerbung
und Mails, wurde in der Gruppe von 4-5 verschiedenen Personen betrieben, wobei jedoch eine Person,
der sogenannte "Spammer", hauptsächlich für diesen Bereich zuständig war. Bei dem "Spammer"
handelt es sich um
A1
zu spammen. Weitere Personen, die sich mit dem Spammen befassten, waren
W1
mit seinem Pseudonym bekannte "M2".
49
Die auf diese Weise verbreiteten Schadprogramme infizierten die Rechner der Geschädigten und
banden sie in ein Bot-Netz ein; d.h. die Programme etablierten eine Verbindung zum Bezugs- bzw.
Steuerungsrechner des Netzes und luden von dort neue Programteile nach. Bezugs- und
Steuerungsrechner des von der Gruppe errichteten Bot-Netzes war der sogenannte
Log-Server
Server mit der IP-Adresse ##.##.###.## stand (physisch) in I5 und hatte zwei wichtige Funktionen:
50
Zum einen wurde über dort laufende Programme das
Bot-Netz
beispielsweise Befehle an die befallenen Rechner erteilt, weitere Programteile, wie z.B. einen
Keylogger nachzuladen, oder es wurden den installierten Schadprogrammen übermittelt, welche
Informationen vom befallenen Rechner "abgephisht" werden sollten. Die von der Gruppe benutzten
Schadprogramme spähten dabei nicht nur die Datensätze der vom befallenen Rechner benutzten
Online-Bankkonten aus – also Kontonummer, Name des Kontos, BLZ, Zugangs-PIN sowie TANs –
sondern auch die Zugangsdaten zu einer Vielzahl anderer Online-Services. Darunter befanden
sich beispielsweise auch Zugangsdaten zu B4-Konten, F3-Konten oder G4-Accounts wie H2 bzw.
X4.de sowie private und geschäftliche Telefonnummern und Adressen.
51
52
Zum anderen wurde der Server in I5 als sogenannte
"Dropzone"
Schadprogrammen befallenen Rechner des Bot-Netzes übertrugen die von ihnen ausgespähten
Datensätze an den Log-Server. Dort wurden die Daten in einer
Datenbank
Unterverzeichnissen "D7 1/logs" bis "D7 5/logs" gespeichert, wobei die einzelnen
Unterverzeichnisse verschiedenen Personen zugewiesen waren. A1 waren die Unterverzeichnisse
D7 1 und D7 5 zugeordnet, W1 arbeitete mit dem Verzeichnis D7 4 und B5 hatte das
Unterverzeichnis D7 3.
53
54
Zur Verwaltung und Aufbereitung der Daten war in jedem Unterverzeichnis die Anwendung "D8
Stats" auf dem Server installiert.
55
Die Geschädigten merkten vom Mitprotokollieren der Eingaben durch den Keylogger und die
Versendung der Daten an den Log-Server nichts, da diese Prozesse auf dem befallenen Rechner
lediglich im Hintergrund liefen. Die
TAN-Nummern
Überweisung des Geschädigten eine Seite generiert wurde, die ihn darauf hinwies, die benutzte TAN sei
bereits verbraucht. In der Überzeugung, die eingegebene Tan bereits früher verwendet zu haben, gaben
die Geschädigten darauf eine zweite TAN ein, die an die Geschädigten-Bank übermittelt wurde. Die
erste eingegebene TAN wurde hingegen vom Trojaner abgefangen und an den Log-Server übermittelt.
56
Zwei weitere Gruppenmitglieder mit den Pseudonymen
"W1"
Überweisen beschäftigt. Dazu nutzten sie die auf dem Log-Server der Gruppe gespeicherten Daten. Die
beiden – sowie eventuell weitere Personen – sortierten die vorhandenen Datensätze, prüften sie auf ihre
Aktualität und drangen mit den Zugangsdaten in die Online-Konten der Geschädigten ein, wo sie die
Kontostände abfragten. Fanden sie ein Konto mit einem hohen Guthabenbetrag und hohen
Überweisungslimits, suchten sie sich aus den von H3 und B5 zur Verfügung gestellten "Drops" einen
passenden heraus. Dabei achteten sie darauf, dass das Empfänger-Konto bei einer Bank geführt wurde,
die möglichst zum gleichen Banken-Verbund gehörte wie die Bank des Geschädigten. Auf diese Weise
verringerten sich die Überweisungszeiten, was wiederum die Gefahr einer Rückbuchung durch die
Geschädigten verringerte. War ein passendes Paar aus Geschädigtem-Konto und Finanzagenten
gefunden, führten W1 und A1 sowie weitere Personen die Überweisungen durch, indem sie die
abgephishten TANs aus der Datenbank des Log-Servers im Online-Konto des Geschädigten einsetzten
(das sog.
"Gießen"
durchgeführt.
57
Die Überweisenden meldeten den Einsatz der Drops und die Höhe der getätigten Überweisung an B5
oder H3, die die Informationen wiederum an die "Dropführer" weitergaben, welche durch H3 und B5
beaufsichtigt und angewiesen wurden.
58
Die
"Dropführer"
geworbenen Finanzagenten in Verbindung und erteilten diesen detaillierte Anweisungen, die
eingehenden Gelder schnellstmöglich abzuheben und per X2 bzw. in einigen Fällen auch per "N5" an
genau bezeichnete Personen in S2, dem C17 oder auch in U1 weiterzuleiten. In Fällen, in denen die
Finanzagenten nicht schnell genug reagierten oder sich sogar weigerten, die Gelder weiter zu
überweisen – etwa weil sie das Geschäftsmodell als unseriös erkannten oder sie von ihren Banken
gewarnt worden waren – übten die Dropführer teilweise massiven
Druck
konnte sich in Einzelfällen bis hin zu telefonischen Drohungen oder dem Eintrag in sogenannte
"Schutzlisten" im Internet, auf denen die Finanzagenten als Betrüger angeprangert wurden, steigern.
59
Die Finanzagenten wurden im tatkritischen Zeitraum zumeist durch eine der Anwerbeseiten
"G1 D"
"T2"
Geschäftsmodell fast identisch. Stets wurde den Finanzagenten suggeriert, bei der Firma, die die Seite
betreibe, handele es sich um eine Art Finanzdienstleister. Deren Geschäftsinhalt sei die schnelle und
60
kostengünstige Transferierung von Geldmitteln ins Ausland, unter Umgehung des zeit- und
kostenintensiven Bankensystems. Dadurch, dass die "Mitarbeiter" (d.h. die Finanzagenten) die Gelder
per Baranweisung über "X2" oder andere Services transferieren würden, sei das Geld viel schneller bei
dem Endempfänger. Als Vergütung für die Zurverfügungstellung ihrer Konten und die Weiterleitung des
Geldes sollten die Finanzagenten einen Prozentanteil der überwiesenen Summe, der regelmäßig
zwischen 5 und 10 Prozent lag, als Lohn einbehalten. Die Finanzagenten erhielten einen
"Arbeitsvertrag" sowie einen persönlichen Zugang zur Anwerbe-Seite, von der sie Schulungsmaterial
abrufen und Nachrichten der Dropführer erhalten konnten.
Daneben organisierte die Gruppe aber auch andere Formen der Finanzagentenanwerbung, die
unabhängig von den oben beschriebenen Anwerbeseiten lief. Dazu gehören u.a. die Fälle aus dem
sogenannten
"N6-Komplex"
für die "Firma N6" nur Anrufe weiterleiten. Auf die Konten der so geworbenen "Mitarbeiter" wurden
sodann Überweisungen mit den abgephishten Datensätzen getätigt. Den vermeintlichen "Mitarbeitern"
des Herrn N6 wurde daraufhin telefonisch gesagt, es habe eine Fehlüberweisung auf ihr Konto gegeben;
das Geld würde dringend benötigt und man solle es so schnell wie möglich wieder abheben. "Herr N6"
würde einen Kurier vorbeischicken, der die Gelder unverzüglich zurück zum Arbeitgeber bringen würde.
61
In den Fällen, in denen die Gelder erfolgreich ins Ausland überwiesen werden konnten, hoben die
Empfänger ("Naler") diese unter Angabe falscher Personalien ab und schleusten sie auf unbekanntem
Wege in das Bankensystem ein. Über internetbasierte Überweisungssysteme wie
"Q3"
flossen die Gelder an den H3 zurück, der für die Verteilung der Gelder innerhalb der Gruppe sorgte. Bei
diesen Systemen handelt es sich um Online-Zahlungssysteme, die reales Geld in eine Internetwährung
umtauschen und global zur Verfügung stellen. Mit dem System können unter anderem Überweisungen
getätigt, online-Zahlungen durchgeführt oder Gelder direkt per Karte an Geldautomaten abgehoben
werden. Auf diese Weise ist die entsprechende Internetwährung wieder in reales Geld umwandelbar.
62
Die beteiligten Personen um H3 betrieben das Phishing von Ende 2005 bis zur Verhaftung des
Angeklagten im Juli 2008. Dabei handelten sie als
Gruppe
Wiederholung solcher unberechtigten Überweisungen mittels abgephishter Daten
zusammengeschlossen hatte.
63
Aus der fortgesetzten Tatbegehung wollten sich die Mitglieder der Gruppe zudem eine dauerhafte
Einnahmequelle verschaffen, mit der sie teilweise ihren Lebensunterhalt bestritten.
64
Die Banken ersetzen den betroffenen Kontoinhabern in der Regel die entstandenen
Schäden
Glaubwürdigkeit des Online-Banking-Systems nicht zu gefährden. Zum Teil wurden die Schäden auch
durch Versicherungen der Banken gedeckt.
65
Gegen die beteiligten Finanzagenten wurde fast immer ein Strafverfahren eingeleitet, was den
Hintermännern des Phishing-Systems bekannt war. Wegen des äußerst hohen Entdeckungsrisikos
wurden die Finanzagenten in der Regel auch nur ein bis zweimal eingesetzt; denn nach kurzer Zeit
wurden die Konten der Finanzagenten von den Banken gesperrt. In vielen Fällen kündigten die Banken
zudem die Geschäftsbeziehungen zu den Finanzagenten.
66
IV
67
Die abgeurteilten Taten
68
1. Der Tatbeitrag des Angeklagten I
69
Der Angeklagte hatte seit Ende 2006 Kontakt zu H3. Im Laufe des Jahres 2007 wurde er ein Mitglied der
Bande um H3. Mit der Zeit wurde er ein für das Funktionieren des Gesamtsystems wichtiger Mitarbeiter.
70
Der Angeklagte war zumindest seit September 2007 unter anderem zuständig für alle technischen
Fragen, die mit dem Betrieb und der Weiterentwicklung des Systems zusammenhingen. Er hatte somit
die Funktion eines
"Technischen Koordinators"
71
verschiedenen technischen Komponenten, die zum Betrieb des Gesamtsystems notwendig waren,
betriebsbereit, wartete sie und stimmte sie aufeinander ab. Zudem koordinierte er die Weiterentwicklung
der verschiedenen technischen Komponenten für die Gruppe und ermittelte Optimierungspotenziale in
deren Abläufen. Schließlich kümmerte er sich im konkreten Problemfall, also bei technischen Ausfällen
oder ähnlichem, um die Schadensbehebung.
Wichtigster Teil seiner Aufgaben war die
Administrierung
##.##.###.##). Von seinem heimischen PC aus konnte der Angeklagte direkt auf den Server zugreifen
und wartete die dort laufenden Programme. Er pflegte die Datenbanken D7 1 bis D7 5, in denen die
"Logs" von den Schadprogrammen gespeichert wurden. Er organisierte die Datenbestände möglichst
bedienungsfreundlich und löschte alte, unbrauchbare Datensätze aus den Verzeichnissen. Ebenso
pflegte der Angeklagte das über den Server laufende Bot-Netz.
72
Der Angeklagte generierte, installierte und verteilte die
Sicherheitszertifikate
verschiedenen Mitglieder der Gruppe. Die Zertifikate wurden aus Sicherheitsgründen regelmäßig
geändert. Er war somit nicht nur für die Sicherheit des Servers zuständig, sondern er gewährte durch die
Zurverfügungstellung der Zertifikate den anderen Gruppenmitgliedern erst Zugang zum Log-Server.
Zudem kümmerte er sich um die Verlängerung der Mietverträge für die Server der Gruppe.
73
Seit September 2007 war der Angeklagte aber auch in alle anderen Teilbereiche des Phishing-Systems
eingebunden und leistete aktiv Tatbeiträge.
74
So koordinierte I für die Gruppe die
technische Weiterentwicklung der Trojaner
Schadprogramme. Dazu beauftragte er unter anderem die Gruppe um "##" und dessen Stellvertreter
"#:#" mit der Entwicklung neuer "Builds" (Versionen) des eingesetzten Trojaners und der kompletten
Neuentwicklung eines Trojaners. Dabei gab er z.B. die technischen Anforderungen an die zu
entwickelnden Schadprogramme vor, bestimmte den Liefertermin und gab ihnen Informationen über die
Struktur des verwendeten Log-Servers. Er wies den "##" auch an, als Bezugsadresse der neuen
Trojanerversion die IP-Adresse des Log-Servers einzutragen. Die einzelnen Versionen des Trojaners
wurden dabei nicht direkt zwischen I und ## versendet, sondern lediglich über den Filehoster "yousendit"
zugänglich gemacht. Versendet wurden lediglich der Zugangscode und der Downloadlink, mit dem I die
Datei vom Filehoster abholen konnte.
75
Auch die Beschaffung neuer Versionen über einen zweiten Zulieferer koordinierte der Angeklagte I für
die Gruppe. So beauftragte er im Oktober 2007 W1 damit, bei einer Person namens
M3
Spams zu besorgen. Er gab W1 genau vor, er solle zwei neue Builds bestellen und dafür 150 WMZ (dies
sind Einheiten der Internetwährung X3) bezahlen. Diese streckte I für die Gruppe dem W1 vor, indem er
ihm die entsprechende Summe auf dessen X3-Konto überwies.
76
Die gelieferten neuen Builds testete der Angeklagte auf ihre Einsatzfähigkeit und Funktionalität. Dabei
halfen ihm W1 und A1. Entscheidend bei den
Testläufen
Antiviren-Programme das Schadprogramm entdecken konnten und ob die richtigen Daten abgephisht
und an den Log-Server übertragen wurden. Zu den getesteten Antivirenprogrammen gehörten u.a. B6,
B7, B8, C6, D2, E6, G4, L5, N7, O2, Q4, R1 und W2. Gegebenenfalls forderte der Angeklagte die
Programmierer, also "##", "#:#" oder "M3", auch zur Nachbesserung auf.
77
Erwies sich die neue Version als funktionstüchtig band der Angeklagte I die neuen Versionen in das
bestehende Botnetz ein, indem er die alten Versionen ersetzte, bzw. er veranlasste, dass mit den neuen
Versionen eine
Spamwelle
Gruppe um H3, auch wenn er nicht primär dafür verantwortlich war, sondern A1. I organisierte aber z.B.,
dass A1 neue Builds bei "##" abholte und mit dem Spammen begann. Dazu gab er A1 die ICQ-Nummer
(Adresse des Chatprogramms) von ## und kündigte A1 bei diesem an.
78
Somit wirkte der Angeklagte I auf unterschiedliche Weise an der Verbreitung der Trojaner und der
Steuerung des Bot-Netzes mit.
79
Daneben war I auch selbst mit dem
Überweisen
Log-Server-Datenbank zugeordnet. Die dort befindlichen, von den Schadprogrammen abgephishten
Datensätze benutzte er für Überweisungen von den Online-Konten der Geschädigten. Zumindest in den
Monaten Oktober und Dezember 2007 beauftragte er mit dem Überweisen aus seiner Datenbank den
W1, weil er selber aus Zeitmangel nicht dazu kam.
Ebenso wurde er bei Problemen mit dem Überweisen von H3 mit der Fehlerbehebung beauftragt, d.h. er
suchte Fehler bei den Überweisungsvorgängen und behob diese.
81
Im Bereich der
Finanzagentenanwerbung
war. So mietete er unter anderem Server an und verlängerte die Mietverträge für die Server, auf denen
die Anwerbeseiten liefen. Der Angeklagte hatte einen direkten Administrator-Zugang zu dem Server mit
den Finanzagentenanwerbeseiten. Auf diesem Server mit der IP-Adresse ##.##.###.###, der ebenfalls
bei dem Hosting-Anbieter "I6" in I5 stand, liefen unter anderem die Finanzagenten-Anwerbeseiten:
H5.com, G1 D.com, T2.com und T4.com. I arbeitete regelmäßig von seinem Laptop aus auf diesem
Server und wartete ihn für die Gruppe.
82
Zudem kümmerte sich der Angeklagte um die Bereitstellung von
Voice-Over-IP-Systemen
Internettelefonie) für die Dropführer, mit denen die Finanzagenten aus dem Internet im normalen Festnetz
angerufen werden konnten, ohne dass die Spuren des Telefonats zurück verfolgbar waren. Zu diesem
Zweck beauftrage I den A1, einen "Virtual-Dedicated-Server" für die Internettelefonie der Dropführer
anzumieten, auf dem die Voice-Over-IP Programme (z.B. T31) laufen sollten. Die dazu getätigten
Ausgaben sollte sich A1 laut I bei H3 zurückholen, der solche "Betriebsausgaben" beglich.
83
Finanziell
Überweisungen, die er selber mit Datensätzen aus seinem Unterverzeichnis tätigte, 20 % des
Überweisungsbetrages zu. Für alle weiteren Tätigkeiten, die er im Gesamtsystem entfaltete, wurde er
ebenso entlohnt. Dabei ist die genaue Höhe jedoch unbekannt geblieben.
84
Insgesamt hatte der Angeklagte somit eine
Schlüsselstellung
Technikfachmann im Gesamt-System inne, wobei er auf allen Feldern des Gesamtphänomens
"Phishing" Tätigkeiten entfaltete. Bis auf die Beteiligung am Überweisen (dem sog. "Gießen") war er bis
zu seiner Verhaftung am ##.##.2008 mit diesen Aufgaben betraut. Ohne seine Koordinierung der
einzelnen technischen Bestandteile, seine technische Unterstützung bei Software-Problemen sowie
seine Entwicklungsleistungen im Bereich des Baus der Phishing-Trojaner und der Spam-Attacken, wäre
eine Erlangung der Konto- und Transaktionsdaten und somit der Computerbetrug nicht möglich
gewesen.
85
2. Die einzelnen Taten
86
Die Gruppe um H3 führte
pro Woche zirka 150
jedoch nur wenige tatsächlich erfolgreich. Ein überwiegender Anteil der Überweisungen scheiterte auf
einem der vielen Zwischenstationen; sei es durch sofortige Rückbuchung, durch zu langsam agierende
Finanzagenten oder durch Finanzagenten bzw. "Naler", die das Geld selbst vereinnahmten, anstatt es
weiter zu leiten. Der hohe zeitliche und technische Aufwand der Gruppe um H3 lohnte sich für die
einzelnen Bandenmitglieder dennoch, da angesichts der relativ hohen Einzelsummen bereits ein
geringer Anteil von erfolgreichen Überweisungen zu effektiven Vermögensvorteilen führte. Etwa 10-20 %
der Überweisungen hatten Erfolg, was bei
150 Überweisungen pro Woche
erfolgreiche Überweisungen bedeutete, die im Regelfall zwischen 4.000,- € und 9.000,-€ lagen. Daher
handelt es sich bei den hier abgeurteilten Taten lediglich um einen Bruchteil des tatsächlichen
Tatumfangs.
87
Die einzelnen Taten wurden aus Gründen der Übersichtlichkeit, abweichend von der Anklage und dem
neugefassten Haftbefehl vom ##.##. 2009,
chronologisch geordnet
versehen. Somit ergeben sich folgende Einzelfälle:
88
Lfd.Nr.
Fall
Datum Tat
Summe
Finanzagent
weitergeleitet
89
Lfd.Nr.
Fall
Datum Tat
Summe
Finanzagent
weitergeleitet
01
24
##.##.####
1.500,-
S3
Nein
02
33
##.##.####
5.000,-
L6
Nein
03
22
##.##.####
2.476,-
T6
Nein
04
102
##.##.####
6.297,-
N8
Nein
05
13
##.##.####
1.600,-
Q5
Nein
06
106
##.##.####
5.000,-
L7
Ja
07
103
##.##.####
2.497,-
N8
Nein
08
36
##.##.####
4.100,-
T7
Nein
09
9
##.##.####
4.000,-
N8
Nein
10
98
##.##.####
4.500,-
H6 – N6
Nein
11
97
##.##.####
5.000,-
D3 – N6
Nein
12
23
##.##.####
4.000,-
U2
Nein
13
82
##.##.####
4.928,-
Q6
Nein
14
30
##.##.####
4.232,-
T8 - N6
Ja
15
95
##.##.####
8.850,-
I7 - N6
Nein
16
31
##.##.####
4.400,-
X5 - N6
Teilweise
17
35
##.##.####
8.000,-
V1
Nein
18
34
##.##.####
1.630,-
V1
Nein
19
18
##.##.####
4.400,-
T9
Teilweise
20
5
##.##.####
3.450,-
M4
Ja
21
93
##.##.####
7.000,-
M5
Ja
22
40
##.##.####
6.800,-
X6
Nein
23
11
##.##.####
5.000,-
N10
Nein
24
14
##.##.####
9.500,-
S4
Ja
25
51
##.##.####
2.491,-
C7
Nein
26
12
##.##.####
6.320,-
O3
Nein
27
7
##.##.####
2.613,-
F4
Nein
28
27
##.##.####
3.500,-
N11
Nein
29
8
##.##.####
5.200,-
X7
Nein
30
38
##.##.####
9.570,-
T10
Nein
31
17
##.##.####
2.983,-
T11
Ja
32
26
##.##.####
5.000,-
N10
Nein
33
25
##.##.####
9.277,-
X8
Nein
34
32
##.##.####
9.200,-
I8
Nein
35
29
##.##.####
3.200,-
L8
Ja
36
28
##.##.####
4.300,-
L8
Nein
37
20
##.##.####
2.820,-
T12
Nein
----
21
##.##.####
3.745,-
T12
Nein
1. Fall 24:
90
Nachdem von der Gruppe um H3 auf dem Rechner des Geschädigten
L9
installiert und dessen Rechner in das Bot-Netz eingebunden worden war, versuchte der Geschädigte im
September 2007 eine Überweisung zu tätigen. Bei der TAN-Eingabe generierte das Schadprogramm
eine Fehlermeldung, dass die eingegebene TAN bereits verbraucht sei, worauf der Geschädigte eine
weitere TAN eingab. Die angeblich schon verbrauchte TAN wurde in Wahrheit durch die Schadsoftware
an den Log-Server der Gruppe weitergeleitet.
91
Am ##.##.2007 überwiesen Mitglieder der Gruppe um H3 unter Verwendung der abgephishten TAN
1.500,00 € vom Konto des Geschädigten auf das Konto der Finanzagentin
S3
Weiterüberweisung durch die Finanzagentin kam es nicht.
92
Zur Beweiswürdigung:
93
Der Tatnachweis war hier möglich, da sich aus den auf Is Rechner gefundenen Chats ergibt, dass der
Angeklagte (K3) die Finanzagentin S3 am ##.##.2007 erneut einsetzte (Chat mit A1 vom ##.##.2007):
94
K3: ja.o.k. Wenn wir jemanden gießen lassen – das teilen wir mit.
95
A1: ich versuche es mit dem L10 [Übersetzung durch I] […]
96
K3:
S3 4 Tausend
97
K3: [laut übersetzung I] Tritt es beim Versuch es hinunter zu gießen.
98
A1: vor der TAN-Eingabe. […]
99
K3: Die TAN wird nicht funktionieren.
100
A1: Ich habe Q5 geladen.
101
K3: Ich habe
S3
102
A1: Hast du es B5 geschickt?
103
K3: Ja. ich habe 2 geladen.
104
105
Ebenso ergibt es sich aus dem Chat mit B5 vom 05.10.2007:
106
K3: Was hört man von den Überweisungen?
107
B5:
S3
108
K3: Ich schecke es gleich.
109
B5: C8 […]
110
K3: 6,5 Tausend sind tot.
111
B5: Dass heißt, dass der Drop nicht lügt, und ich übe schon den ganzen Tag Druck auf sie aus.
[…]
112
Unmittelbar beweisen diese Chatstellen zwar nur, dass der Angeklagte Anfang Oktober 2007 versucht,
mit der Finanzagentin "S3" eine zweite Überweisung zu organisieren, während die erste Tat (Fall 24)
113
bereits am ##.##.2007 erfolgte. Der Angeklagte hat in seinen Einlassungen wiederholt betont, seit "Ende
September 2007" an den Überweisungen beteiligt gewesen zu sein (s.u.). Angesichts des Umstandes,
dass er Anfang Oktober 2007 über die Daten der Finanzagentin verfügte und er in den Chats bereits
professionell über das Phishing kommuniziert, muss er bereits vor Anfang Oktober in das Netzwerk von
H3 eingebunden gewesen sein. Angesichts der Identität der eingesetzten Finanzagentin hat die Kammer
ihm daher den Fall 24 ebenfalls zugerechnet.
2. Fall 33 :
114
Nachdem von der Gruppe um H3 auf dem Laptop-Rechner der Geschädigten Fa. L11 ein
Schadprogramm installiert und der Rechner in das Bot-Netz eingebunden worden war, generierte die
Schadsoftware eine TAN-Fehlermeldung, als der Betriebsleiter der Fa. L11, X9 (S5), eine Online-
Überweisung tätigen wollte. Tatsächlich wurde die vermeintlich bereits "verbrauchte" TAN an den Log-
Server der Gruppe um H3 übermittelt.
115
Am ##.##.2007 überwies ein Mitglied der Gruppe um H3 unter Verwendung der abgephishten TAN
einen Betrag in Höhe von 5.000,00 € vom Geschädigtenkonto auf das Konto des Finanzagenten L6 (I9).
Das Geld wurde jedoch nicht dem Konto des Finanzagenten gutgeschrieben, sondern konnte auf das
Konto der Fa. L11 zurückgebucht werden.
116
Der Finanzagent L10 war schon Anfang September 2007 über die Seite "T4" angeworben worden.
Bereits am ##.##.2007 wurde eine Überweisung auf sein Konto vorgenommen. Als er zögerte, diese
weiterzuleiten, wurde er telefonisch massiv bedroht. Man "wisse, wo er wohne". Der Anrufer sprach
gebrochen Deutsch und nutzte eine V5ische oder S2ische Telefonnummer. Daraufhin überwies der
Finanzagent insgesamt 4.900,00 € ins Ausland, wobei ihm die Zielpersonen telefonisch mitgeteilt
worden waren. Als ihm daraufhin weitere Überweisungen angekündigt wurden, lies er sein Konto
sperren. Trotzdem kamen bis Ende November 2007 weitere Überweisungen von ihm Unbekannten auf
sein Konto.
117
Aufgrund der Vorfälle wurde er wegen leichtfertiger Geldwäsche vom
Amtsgericht I9
verurteilt. Ihm wurde die Weisung erteilt, sich für die Dauer von 6 Monaten der Leitung und Weisung der
Jugendgerichtshilfe zu unterstellen.
118
( Angaben zur Person des L10 )
119
Zur Beweiswürdigung:
120
Die Beteiligung des Angeklagten an der Überweisung vom ##.##.2007 ergibt sich zur Überzeugung der
Kammer daraus, dass der Angeklagte eingeräumt hat, bereits Ende September 2007 selbst auch
Überweisungen durchgeführt zu haben. Darüber hinaus ergibt sich aus einem Chat mit A1 vom
04.10.2007, dass I den Finanzagenten L10 am ##.##.2007 für eine weitere Überweisung nutzte:
121
I: [erkundigt sich nach Drops]
122
A1: "das sind meine letzten; [...] L10, Account # ########, BSB # ######## ab 4 Tausend"
123
Dies deckt sich mit der Aussage des Finanzagenten, dass bis Ende November noch mehrfach
Überweisungen auf seinem Konto eingingen. Da die Gruppe um H3 den Finanzagenten am ##.##.2007
unter Beteiligung von I nutzte, geht die Kammer davon aus, dass der Finanzagent auch am ##.##.2007
von der Gruppe genutzt wurde. Denn der Finanzagent wurde durch die der Gruppe zugeordnete Seite
"T4.com" angeworben.
124
Die Feststellungen zur besonderen Folge für den Finanzagenten beruhen auf der Verlesung des Urteils
des Jugendgerichts I9 und der Vernehmung des Zeugen L10.
125
3.) Fall 22:
126
Nachdem der Rechner des Geschädigten U3 (N12) von der Gruppe um H3 infiziert worden war,
generierte ein Schadprogramm im September 2007 bei einer Standardüberweisung die TAN-
Fehlernachricht und übermittelte die TAN an den Log-Server.
127
Am ##.##.2007 nutzte der Angeklagte diese Datensätze und überwies vom Konto des Geschädigten
2.476,00 € auf das Konto der Finanzagentin T6 (I10). Der Geschädigte entdeckte die Abbuchung zufällig,
als er Geld am Automaten abheben wollte und feststellte, dass sein Konto im Minus war.
128
Die Finanzagentin T6, die über die Seite "G1 D.com" angeworben worden war, erhielt per E-Mail den
Auftrag, die eingegangene Summe per X2 oder N5 an einen L12 in St. Q7 weiterzuleiten. Dies versuchte
sie auch. Die Überweisung nach St. Q7 wurde jedoch von X2 nicht durchgeführt und an die
Finanzagentin zurückgegeben, die es an die Bank des Geschädigten zurückzahlte.
129
Gegen die Finanzagentin erging am ##.##.2008 ein
Strafbefehl
leichtfertiger Geldwäsche in Höhe von 40 Tagessätzen zu je 15,00 €, der rechtskräftig wurde. Der
Geschädigte erhielt von seiner Bank lediglich 80 % des abgebuchten Betrages zurückerstattet; 20 %
musste er selber tragen.
130
Zur Beweiswürdigung:
131
Der Tatnachweis ergibt sich in diesem Fall aus dem bei I gefundenen Protokoll des Chats mit A1 vom
04.10.2007:
132
K3: Wie sieht es bei dir mit Drops aus?
133
A1: Hat B5 welche?
134
K3: Nein. Er sagt, er habe alle dir und dem W1 gegeben.
135
A1: […] ab 4 Tausend […] T6 Account# ######### Rounting/BSB#*: ######## T28. Das sind
meine. ausgenommen die letzte. Ich habe es ja auf sie hinunter giessen lassen.
136
K3: ja, o.k. Wenn wir jemanden giessen lassen – das teilen wir mit.
137
Die Feststellungen zur besonderen Folge beruhen auf der Verlesung des Strafbefehls des Amtsgerichts
T13 vom ##.##.2008 und den Angaben der Zeugin T6.
138
4.) Fall 102
139
Nachdem der Rechner der Geschädigten M6 (O4) durch Schadsoftware der Gruppe um H3 infiziert und
eine TAN erlangt worden war, überwies ein Gruppenmitglied am ##.##.2007 einen Betrag von 6.297,00
€ auf das Konto des Finanzagenten N8 (H7).
140
Der Finanzagent, der zuvor über die Seite "G1 D" angeworben worden war, bekam am ##.##.2007 einen
Telefonanruf von einer gewissen "I11", die ihm die Überweisung der 6.297,00 € ankündigte und ihn
anwies, das Geld an bestimmte Personen in Osteuropa weiterzuleiten. Dies versuchte der Finanzagent
auch. Da die Übermittlung per X2 jedoch fehl schlug, nahm er das Geld mit nach Hause und verbrauchte
es nach und nach für sich selbst.
141
Gegen den Finanzagenten erging aufgrund dieser Geschehnisse ein
Strafbefehl
Höhe von 2.000,00 €. Zudem wurde seine Wohnung durchsucht, worauf ihm die Wohnung gekündigt
wurde. Schließlich wurde ihm auch sein Bankkonto gekündigt.
142
Zur Beweiswürdigung:
143
Der Tatnachweis ergibt sich daraus, dass der Finanzagent mit einer Seite angeworben wurde, die der
Gruppe um H3 zuzuordnen ist (G1 D) und die Überweisung zu einem Zeitpunkt getätigt wurde, als der
144
Angeklagte Mitglied dieser Gruppe war.
5.) Fall 13:
145
Nachdem zuvor der Rechner des Geschädigten H8 (E7) mit Schadprogrammen infiziert worden war,
wurde auf dem bekannten Weg über die TAN-Fehlermeldung eine TAN-Nummer abgephisht und an den
Log-Server übertragen.
146
Am ##.##.2007 überwies der Angeklagte oder W1 unter Benutzung der abgephishten Daten 1698,00 €
an die Finanzagentin Q5
147
Das Konto des Geschädigten war nach der Überweisung circa 2.000,00 € im Soll. Die abgebuchte
Summe wurde jedoch zurückerstattet.
148
Auf die gleiche Art wurden in den ersten Oktobertagen 2007 auch vom Konto des Geschädigten K
9425,00 € zu Unrecht auf das Konto der Finanzagentin Q5 überwiesen. Das Geld wurde am ##.##.2007
von Q5 nach S6 weitergeleitet. Das Geld wurde dem Geschädigten K jedoch durch seine Bank ersetzt.
Dieser Fall ist nicht angeklagt.
149
Zur Beweiswürdigung:
150
Der Nachweis der Tat ergibt sich auch hier aus dem A1-Chat vom ##.##.2007:
151
K3: Wie sieht es bei dir mit Drops aus?
152
A1: Hat B5 welche?
153
K3: Nein. Er sagt, er habe alle dir und dem W1 gegeben.
154
A1: […] ab 4 Tausend Q5 Account#*: ########## Routing/BSB#*: ######### T29 E2 […]
155
K3: Wenn wir jemanden giessen lassen – dann teilen wir das mit […]
156
A1: ich versuche es jetzt mit Q5.
157
K3: o.k. […]
158
A1: Hast du Q5 nicht gegossen? Ich habe ihn gerade gegossen.
159
K3: Nein.
160
Die Zeugin Q5 hat zwar die Aussage in der Hauptverhandlung gem. § 55 StPO verweigert, ihre
Anwerbung über die Seite "G1 D.com" ergibt sich aber zur Überzeugung der Kammer aus den in die
Hauptverhandlung eingeführten Ausdrucken der Anwerbe-Seite, die sie zur polizeilichen Ermittlungsakte
gereicht hatte.
161
6.) Fall 106
162
Nachdem der Rechner der Geschädigten X10 (O5) mit Schadprogrammen der Gruppe um H3 infiziert
und eine TAN abgephisht worden war, überwies ein Mitglied der Gruppe am ##.##.2007 mit dieser TAN
einen Betrag in Höhe von 5.000,00 € auf das Konto des Finanzagenten L7 (C9).
163
Der Finanzagent, der über eine S2sprachige Internetseite auf die Homepage von "G1 D" gestoßen war,
ließ sich anwerben. Kurz nach der Überweisung der 5.000,00 € erhielt er einen Anruf von einer S2isch
sprechenden Person, die ihm die Namen der Empfänger in S2 nannte, an die er das Geld – unter Abzug
seiner Provision – weiterleiten sollte. Am ##.##.2007 versandte er per N5 4.665,00 € an eine Person in
N13.
164
Der Finanzagent wurde aufgrund dieser Vorfälle zu einer
Geldstrafe
Geldwäsche verurteilt. Die 5.000,00 € wurden der Geschädigten X10 von ihrer Bank ersetzt.
165
Zur Beweiswürdigung:
166
Der Tatnachweis ergibt sich daraus, dass der Finanzagent mit einer Seite angeworben wurde, die der
Gruppe um H3 zuzuordnen ist (G1 D) und die Überweisung zu einem Zeitpunkt getätigt wurde, als der
Angeklagte Mitglied dieser Gruppe war.
167
Die Feststellung zur besonderen Folge beruht auf der Aussage des Zeugen L7.
168
7.) Fall 103
169
Auf die gleiche Weise wie bereits in Fall 102 überwies am ##.##.2007 ein Mitglied der Gruppe um H3
mittels einer abgephishten TAN weitere 2.497,00 € vom Konto der Geschädigten Q8 (H9) auf das Konto
des Finanzagenten N8
170
Dem Finanzagenten N8, der zuvor über die Seite "G1 D" angeworben worden war, wurde am
##.##.2007 auch die zweite Überweisung angekündigt. Diese wurde seinem Konto jedoch nicht mehr
gut geschrieben.
171
Gegen den Finanzagenten erging aufgrund dieser Geschehnisse (vgl. auch Nr. 4 / Fall 102) ein
Strafbefehl
worauf ihm die Wohnung gekündigt wurde. Schließlich wurde ihm auch sein Bankkonto gekündigt.
172
Zur Beweiswürdigung:
173
Der Tatnachweis ergibt sich auch hier daraus, dass der Finanzagent mit einer Seite angeworben wurde,
die der Gruppe um H3 zuzuordnen ist (G1 D) und die Überweisung zu einem Zeitpunkt getätigt wurde,
als der Angeklagte Mitglied dieser Gruppe war.
174
8.) Fall 36:
175
Nachdem der PC der Geschädigten H10 (S7) mit Schadprogrammen der Gruppe um H3 infiziert worden
war, wurde eine TAN unbemerkt an den Log-Server übertragen.
176
Diese nutzte der Angeklagte am ##.##.2007 für eine Überweisung in Höhe von 4.100,00 € vom Konto
der Geschädigten auf das Konto der T7 (N2). Da die Geschädigte die Abbuchung zeitnah bemerkte,
konnte sie durch einen Anruf bei der Bank den Rückruf der Überweisung veranlassen.
177
Die T7 hatte nicht selbst ihr Konto zur Verfügung gestellt. Vielmehr hatte ihr damaliger Freund, der auch
Zugriff auf ihren Computer und ihre Bankkonten hatte, die Kontodaten herausgegeben. Auf welche
Weise er angeworben worden war, ist nicht bekannt.
178
Zur Beweiswürdigung:
179
Aufgrund des Chats mit B5 vom 09.10.2007 steht zur Überzeugung der Kammer fest, dass die
unberechtigte Überweisung von dem Angeklagten I selbst durchgeführt wurde:
180
K3: Hallo. Ich werde heute überweisen. Hinterlasse mir die Drops.
181
B5: Ok. Hier sind die Drops: […] T7 Account#*: ######### Routing/BSB#*: ######## N2er
...bank e.G. […] ab 4 Tausend. Auf alle.
182
K3: ok. [...] [Anm: Unterbrechung um 15:08 Uhr]
183
K3: [weiter um 17:01 Uhr] ich habe 3 überwiesen. [...] 4.1 Tausend T7 [...]
184
9.) Fall 9:
185
Der Geschädigte S8 (P1) erhielt von einem Mitglied der Gruppe um H3 am ##.##.2007 eine Spam-Mail,
die seinen Rechner mit einem Schadprogramm infizierte, als er dem Link folgte. Bei der Mail handelte es
sich um eine gefälschte Buchungsbestätigung einer C10, deren Betreff wie folgt lautete: "Abbuchung von
ihrem Konto". Der Text der Mail lautete:
186
"Sehr geehrter Kunde!
187
Ihr Abbuchungsauftrag N AS-############ wurde erfüllt. Ein Betrag von 1741.00 EUR wurde
abgebucht und wird ihrem bankauszug als "C18.C10.com" angezeigt.
188
Sie können ihre bankquittung nach folgendem link erhalten:
189
http://www.C10. /############
190
rechnungsabteilung der börse "C18.C10.com".
191
Wenn Sie Fragen haben, schreiben sie an: @C18.C10.com"
192
Als der Geschädigte kurz danach eine Online-Überweisung tätigen wollte, erschien die TAN-
Fehlermeldung. Er gab eine weitere TAN ein, die an die Bank weitergeleitet wurde, während die erste
TAN an den Log-Server übermittelt wurde.
193
Am ##.##.2007 benutzten der Angeklagte die abgephishten Datensätze, um vom Konto des
Geschädigten S8 4.000,00 € auf das Konto des Finanzagenten N9 (C2) zu überweisen.
194
Der Finanzagent, der zuvor über die Seite "G1 D" angeworben worden war, wurde daraufhin von einem
der Dropführer angerufen und nach Geldeingängen gefragt. Die Überweisung war jedoch gar nicht erst
auf dem Konto des Finanzagenten gutgeschrieben worden. Das abgebuchte Geld wurde dem
Geschädigten nach 2-3 Tagen wieder gutgeschrieben.
195
Zur Beweiswürdigung:
196
Dass auch diese Überweisung vom Angeklagten I selber ausgeführt wurde, steht ebenfalls fest aufgrund
des Chats mit B5 vom 09.10.2007:
197
K3: Hallo. Ich werde heute überweisen. Hinterlasse mir die Drops.
198
B5: Ok. Hier sind die Drops: […] N9 Account#*: ######### Routing/BSB #*: ######## T28.
199
K3: ok. [...] [Anm: Unterbrechung um 15:08 Uhr]
200
K3: [weiter um 17:01 Uhr] ich habe 3 überwiesen. [...] 4 Tausend N9.
201
B5: o.k. […]
202
K3: [am nächsten Tag] Hört man etwas über die Überweisungen von gestern oder
203
muss man die Konten checken? [...]
204
B5: Checke es bitte. wir rufen jetzt die Drops an. […]
205
K3: N9 ist gestorben. Scheisse.
206
Mit "gestorben" ist die Rückbuchung der Gelder auf das Ausgangskonto gemeint. Die hier genutzte
Phishing-Mail ist zudem aus einem Chat des Angeklagten mit W1 vom 14.11.2007 bekannt. Dort wird sie
in wortwörtlicher Übereinstimmung zitiert.
207
10.) Fall 98:
208
Nachdem der Rechner der geschädigten Eheleute S9 und T14
G5
eine TAN unbemerkt auf den Log-Server übermittelt worden war, überwies der Angeklagte am
##.##.2007 4.500,00 € auf das Konto der H6.
209
Das Konto wurde vom Lebensgefährten der Frau
H6
hatte sich zuvor auf eine Stellenanzeige eines "L13 N6" beworben, die er über die Internetseite "L4.de"
gefunden hatte. Die vermeintliche Tätigkeit sollte die Entgegennahme von Kundenanrufen für Herrn
N6
sein. Für die Lohnzahlungen sollte C11 eine Kontoverbindung angeben, wobei er das Konto seiner
Lebensgefährtin nannte.
210
Nach der Überweisung rief der vermeintliche "Herr N6" den C11 an und erklärte ihm, seine Tochter habe
irrtümlich zu viel Geld überwiesen. Dies brauche er nun dringend zurück und werde dazu einen Kurier
vorbeischicken. Die Betroffenen weigerten sich jedoch, das Geld bar herauszugeben.
211
Das Geld wurde wenig später auf das Konto der Geschädigten zurücküberwiesen.
212
Zur Beweiswürdigung:
213
Auch in diesem Fall ergibt sich der Nachweis, dass I selbst die Überweisung tätigte und dass dieser Fall
auch der Gruppe um H3 zuzuordnen ist, aus dem Chat mit B5 vom 09.10.2007:
214
K3: Hallo, ich werde heute überweisen. Hinterlasse mir die Drops.
215
B5: ok. Hier sind die drops: H6 […]
216
K3: ok.
217
K3: […] 4,5 Tausend H6 [...]
218
K3: [am nächsten Tag] Hört man etwas über die Überweisungen von gestern oder
219
muss man die Konten checken? [...]
220
B5: Checke es bitte, wir rufen jetzt die Drops an […]
221
K3: Sind die anderen am Leben?
222
B5: H6 ist gestorben.
223
11.) Fall 97:
224
Nachdem der PC des Geschädigten K1 (P2) von Schadprogrammen infiziert worden und mittels der
bekannten Fehlermeldung eine TAN unbemerkt an den Log-Server übertragen worden war, überwies
der Angeklagte am ##.##.2007 einen Betrag von 5.000,00 € vom Geschädigtenkonto auf das Konto der
D3
225
Frau D3 hatte sich ebenfalls auf die Stellenanzeige des
"Herrn N6"
Kontoverbindung angegeben. Nach der Überweisung erhielt sie einen Anruf, N6s Tochter habe
versehentlich 5.000,00 € an sie überwiesen. Um schnell wieder an das Geld zu kommen, würde er ein
Taxi vorbei schicken. Der Taxifahrer sollte das Geld abholen. Dies lehnte Frau D3 jedoch ab. Am
##.##.2007 wurde dem Geschädigten das Geld zurück überwiesen.
226
Zur Beweiswürdigung:
227
In diesem Fall ergibt sich der Tatnachweis dafür, dass I selber die Überweisung vorgenommen hat, aus
dem Chat mit W1 vom 10.10.2007:
228
K3: gibt es noch einen freien Drop?
229
W1: Mehr als genug.
230
K3: rüber damit. Ich habe eine Konto gefunden.[…]
231
W1: […] Name of account: D3 3 – 9.5 Tausend von jedem beliebigen Ort.
232
K3: Was ist das für ein Name – D3?
233
W1: Der H3 hat gegeben. So wie er es gegeben hat, so habe ich es an dich weiter geleitet […] 234
K3: Ich habe sie hinuntergegossen.
235
Dass I 5.000,00 € überwiesen hat, ergibt sich aus der Meldung der Überweisung an B5 (Chat mit B5 vom
10.10.2007):
236
K3: Gib mir einen Drop.
237
B5: O.K. Eine sekunde.
238
K3: Alle. Ich habe es bei W1 genommen.
239
B5: O.K. […]
240
K3: 5 k [Anm.: "k" bedeutet "kilo" = tausend] D3.
241
B5: 5 Tausend D3, für wen ist das?
242
K3: Name of bank: T16 Bank Adressof Bank: C4 Routing/BSB‘*: ######## Account‘*:
####### Name of Account: D3. 3 – 9 Tausend von jedem Ort.
243
12.) Fall 23
244
Nachdem der Rechner des Geschädigten N14 (W3) von der Gruppe um H3 infiziert worden war,
phishten die installierten Schadprogramme ein TAN-Nummer ab. Diese wurde am ##.##.2007 vom
Angeklagten selber für die Überweisung von 4.000,00 € vom Konto des Geschädigten auf das Konto der
Finanzagentin U2 (M7) genutzt.
245
Die Finanzagentin war zuvor über die Seite "G1 D.com" geworben worden. Sie wurde zwar noch vom
Dropführer über das eingehende Geld informiert. Die überwiesene Summe wurde jedoch so schnell
wieder zurückgebucht, dass sie es nicht mehr abheben konnte. Die Empfängerdaten hatte die
Finanzagentin bis dahin noch nicht mitgeteilt bekommen.
246
Zur Beweiswürdigung:
247
Der Tatnachweis ergibt sich in diesem Fall aus zwei Chatstellen. Dass I selber die Überweisung
durchführte, ergibt sich aus dem Chat mit W1 vom 10.10.2007:
248
K3: Gib mir noch einen Drop.
249
W1: Gleich. U2 Account#*: ######### Routing/BSB#*: ######## Q9. ab 4 Tausend.
250
K3: Ist nicht durchgekommen.
251
W1: Gieße auf die gleiche hinunter. ich kann niemanden finden, der gut ist – auf diese Art wirst
du sie alle selbst hinuntergießen.
252
K3: [Anm: zirka 20 Minuten später] Ich habe die U2 hinuntergegossen.
253
Aus der Vollzugsmeldung an B5 ergibt sich wieder die Höhe der Überweisung, die I auf das Konto der
U2 vorgenommen hat (Chat mit B5 vom 10.10.2007):
254
K3: Gib mir einen Drop.
255
B5: O.K. Eine Sekunde.
256
K3: Alle. Ich habe es bei W1 genommen.
257
B5: O.K. […]
258
K3: U2 Account#*: ######### Routing BSB#*:######## Q9
259
4 k [Anm.: 4 k bedeutet 4 Tausend]
260
13.) Fall 82
261
Nachdem der Rechner des Geschädigten T17 (I12) zuvor mit Schadprogrammen der Gruppe um H3
infiziert und eine TAN beim Online-Banking des Geschädigten auf den Log-Server umgeleitet worden
war, überwies eine Mitglied der Gruppe um H3 am ##.##.2007 einen Betrag von 4.928,00 € auf das
Konto der Finanzagentin Q6 (T18 See).
262
Die Finanzagentin, die zuvor über die Seite "T2-" angeworben worden war, erhielt nach dem
Geldeingang eine E-Mail mit den Angaben, wohin sie das Geld – unter Einbehaltung von 5 % Provision
– weiter überweisen sollte. Sie hob das Geld auch zunächst ab. Da sie jedoch einen Warnanruf ihrer
Bank erhielt, zahlte sie das Geld wieder auf ihr Konto ein.
263
Daraufhin erhielt sie per e-mail massive
Drohungen
Verfolgung gedroht, wenn sie das Geld nicht wie gefordert ins Ausland überweisen werde:
264
"Die Person, die sich weigert, Vertragskonditionen einzuhalten, kann weltweit strafrechtlich geahndet
sowie von der betrogenen Gesellschaft unaufhörlich verfolgt werden. Wir haben daher ihre Daten an
sachkundige Behörden weitergeleitet, damit sie den Fall zu untersuchen anfangen.
265
Nun versichern wir sie, dass während der nächsten Tage all Ihre Personalangaben inklusive der
Anschrift, der Telefonnummer, der IP-Adresse usw. an staatliche und private Institutionen
Deutschlands verschickt werden, um Ihren rechtswidrigen Handlungen auch in Zukunft vorbeugen zu
können. Darüber hinaus bereiten unsere Anwälte eine gerichtliche Klage bezüglich Ihrer Betrügereien
und Verleumdung vor. Ihre Personaldaten haben wir an diverse Gesellschaften verschickt, die gegen
Schwindler wie Sie kämpfen. Die Website einer solchen Organisation lautet http://www.T30.O8.
266
Es ist sehr traurig, dass Sie sich zu so einem Problem verurteilen. Glauben Sie uns, von nun an wird
Ihr Leben viel komplizierter sein. Das Letzte, was Ihnen helfen kann ist eine Chance, die wir Ihnen
geben möchten. Dieser Möglichkeit zufolge bitten wir Sie alle Vertragsbedingungen streng
einzuhalten und die Überweisung abzuwickeln. Sie haben die Zeit bis Ende des Tages. Lassen Sie
uns die Überweisungsdetails über X2 noch heute zukommen, ansonsten sind wir nicht mehr hilfreich
und Sie werden zur Verantwortung gezogen.
267
MfG
268
H11
269
T2 Dienst"
270
Darüber hinaus wurde sie mit vollem Namen, Adresse, Geburtsdatum und Telefonnummer auf der Seite
www.T30.O8 eingetragen. Laut der Seitenbeschreibung sind auf dieser Seite die Namen von
Mitarbeitern veröffentlicht, die ihren Arbeitgeber betrogen hätten.
271
Der überwiesene Betrag wurde auf das Konto des Geschädigten zurücküberwiesen.
272
Zur Beweiswürdigung:
273
Der Tatnachweis ergibt sich auch hier daraus, dass der Finanzagent mit einer Seite angeworben wurde,
die der Gruppe um H3 zuzuordnen ist (T2-.com) und die Überweisung zu einem Zeitpunkt getätigt wurde,
als der Angeklagte Mitglied diese Gruppe war.
274
Die Feststellungen zur besonderen Folge beruhen auf der Verlesung der Mail vom 11.10.2007 und eines
Ausdrucks der Seite "T30.O8" sowie der Vernehmung der Zeugin Q6.
275
14.) Fall 30:
276
Der Rechner der Geschädigten I13 (C4) wurde von der Gruppe um H3 mit einem Trojaner infiziert, der
die bekannte TAN-Fehlermeldung generierte und so eine TAN unbemerkt an den Log-Server der Gruppe
weiterleitete.
277
Mit dieser TAN überwiesen am ##.##.2008 entweder der Angeklagte selbst oder W1 vom Konto der
Geschädigten 4.232,00 € auf das Konto von T8 (L14).
278
Deren Mutter F5 T8 hatte sich zuvor auf eine Stellenanzeige eines "L13 N6" beworben, die sie über die
Internetseite "L4.de" gefunden hatte. Die vermeintliche Tätigkeit sollten Telefondienstleistungen für
Herrn
N6
nicht ihr eigenes, sondern das Konto ihrer Tochter an.
279
Am ##.##.2007 meldete sich "Herr N6" fernmündlich bei Frau T8 und teilte mit, dass von seiner Tochter
versehentlich 4.232,00 € auf ihr Konto überwiesen worden seien. Frau T8 solle den Geldbetrag abheben
und diesen in einen Briefumschlag legen. Ein Kurier würde den Briefumschlag abholen, da "Herr N6"
keine Zeit habe. Das Geld wurde am gleichen Tag von einem Kurierfahrer im Auftrag des "Herrn N6" bei
T8s zuhause abgeholt und am Zielort einem Mann ausgehändigt, der sich als L13 N6 ausgab. Die
Stimme des "Herrn N6" hatte einen rheinischen Akzent.
280
Durch die Überweisung geriet das Konto der Geschädigten tief ins Soll. Zwar wurden ihr nach 2-3
Monaten die Gelder von der Bank zurückerstattet, doch hatte sie sich in der Zwischenzeit Gelder zum
Lebensunterhalt leihen müssen.
281
Zur Beweiswürdigung:
282
Der Tatnachweis für diesen zum Komplex "N6" gehörenden Fall beruht auf dem Chat mit W1 vom 10.
und 11.10.2007:
283
W1: [am 10.10.] T8 Account#*: ########## Routing/BSB#*: ######### […] Diese habe ich
bei B5 bekommen […]
284
W1: [am 11.10.] ich habe drops bekommen, ich bin kurz weg und mache dann weiter. Beim B5. 285
K3: o.k. Teile mit mir die Drops. Sag Bescheid, wenn du jemanden hochgeladen hast. Ich
286
werde auch laden.
W1: Gleich. […] T8 […]
287
Die Höhe der Überweisung ergibt sich wieder aus der Mitteilung der erfolgreichen Überweisung an B5
(Chat mit B5 vom 11.10.2007):
288
K3: 4.2 Tausend T8.
289
B5: ok.
290
Die Feststellungen zu den besonderen Folgen bei der Geschädigten beruhen den Aussagen der Zeugin
I13.
291
15.) Fall 95
292
Nachdem der Rechner des Geschädigten X11 (E) durch Schadsoftware der Gruppe um H3 infiziert und
eine TAN mittels der bekannten Fehlermeldung an den Log-Server übermittelt worden war, überwies ein
Mitglied der Gruppe um B5 am ##.##.2007 einen Betrag von 8.550,00 € auf das Konto der I7.
293
I7 (C4) hatte sich auch auf eine Anzeige des "Herrn N6" beworben. Nach der Überweisung bekam auch
sie einen Anruf, dass die Tochter des Herrn N6 fälschlicherweise Geld auf ihr Konto überwiesen habe
und er es sofort zurück brauche. Sie solle es ihm in bar übergeben. Dies lehnte Frau I7 jedoch ab.
294
Die Gelder konnten dem Geschädigten zurück überwiesen werden.
295
Zur Beweiswürdigung:
296
Die Tat ist dem Angeklagten zuzurechnen, weil sie zum sogenannten "N6-Komplex" in C4 gehört. Die
Anwerbung der Finanzagenten unter dem Pseudonym N6 wurde in der tatkritischen Zeit von den
Dropführern der Gruppe um H3 eingesetzt. Der Angeklagte war zum Zeitpunkt der Überweisung Mitglied
dieser Gruppe.
297
16.) Fall 31
298
Nachdem der Rechner des Geschädigten T19 zuvor mit Schadprogrammen infiziert und eine TAN
abgephisht worden war, überwies W1 unter Einsatz der TAN am ##.##.2007 vom Konto des
Geschädigten 4.400,00 € auf das Konto des X5.
299
Herr
X5
beworben und seine Kontodaten übermittelt. Auch X5 wurde am Tag nach der Überweisung von "N6",
der mit rheinischem Akzent sprach, telefonisch mitgeteilt, dass seine Tochter "M12" versehentlich Geld
auf sein Konto überweisen habe und er es schnellstmöglich zurück brauche. Daher solle er das Geld
abheben und einem Kurierfahrer übergeben. X5 hatte jedoch lediglich 1.000,00 € zur Verfügung und
übergab auch nur diese Summe an einen Kurierfahrer der Fa. B9. Dieser war von "N6" beauftragt
worden.
300
Die Überweisung der 4.400,00 € wurde schon am ##.##.2008 wieder zurückgerufen. Die bar
übergebenen 1.000,00 € wurden Herrn X5 jedoch nicht ersetzt.
301
Zur Beweiswürdigung:
302
Die Tat ist dem Angeklagten zuzurechnen, da die Anwerbung der Finanzagenten unter dem Pseudonym
"N6" in der tatkritischen Zeit von den Dropführern der Gruppe um H3 eingesetzt wurde. Der Angeklagte
war zum Zeitpunkt der Überweisung Mitglied dieser Gruppe.
303
Zudem belegt der Chat mit W1 vom 15.10.2007, dass I mit dem Bankkonto des Finanzagenten X5 am
304
Tag der Überweisung arbeitete:
K3: Welche TAN hast du eingegeben? Um den Prozess des Pferdes zu sehen: net Stopp
new_drv.
305
W1: Name of account: X5, 4.400
306
K3: sag es dem H3
307
W1: ich habe es gesagt.
308
17. und 18.) Fälle 35 und 34:
309
Nachdem der Rechner des Geschädigten V2 aus I2 (Fall 35) durch die Gruppe um H3 mit einem
Trojaner infiziert worden war, generierte dieser während einer Online-Überweisung des Geschädigten
eine Fehlermeldung. Die in Wahrheit an den Log-Server weitergeleitete TAN nutzte W1 am ##.##.2007
für eine Überweisung in Höhe von 8.000,00 € auf das Konto der Finanzagentin V1 bei der T28 Q10.
310
Auf die gleiche Weise wurde eine TAN der Geschädigten E8 aus H12 (Fall 34) abgephisht. Auch diese
TAN wurde am ##.##.2007 von W1 oder dem Angeklagten zu einer Überweisung in Höhe von 1.630,00
€ auf das Konto der Finanzagentin V1 genutzt.
311
Die Finanzagentin
V1
zunächst per E-Mail und später auch telefonisch über die Geldeingänge und die Empfänger in Osteuropa
informiert. Da sie jedoch Bedenken bekommen hatte, täuschte sie den Anrufern einen Unfall vor, um Zeit
zu gewinnen. Daraufhin wurde sie telefonisch massiv bedroht. Diese 4-5 Anrufe an einem Tag wurden
von mehreren Männern und auch einer Frau durchgeführt, die teilweise einen osteuropäischen Akzent
hatten. Zudem wurde ihr auch per E-Mail gedroht, ihren Namen auf einer sogenannten
"T30"
zu veröffentlichen. Auf dieser Seite solle vor ihr als einer betrügerischen Geschäftspartnerin gewarnt
werden. Die Finanzagentin wurde durch diese Vorkommnisse in große Angst versetzt. Zudem kündigte
ihre Bank das Konto, wodurch ihr Dispositionskredit umgeschichtet werden musste. Durch diese
Umschichtung musste sie nunmehr höhere Zinsen zahlen.
312
Die 8.000,00 € wurden dem Geschädigten V2 am ##.##.2007 zurück überwiesen. Auch die 1.630,00 €
konnten auf das Konto der Geschädigten E8 zurückgebucht werden.
313
Zur Beweiswürdigung:
314
Der Nachweis, dass W1 die Überweisungen in Abstimmung mit dem Angeklagten I durchgeführt hat,
gelingt aufgrund der bei I gefundenen Protokolle der Chats mit W1 und B5. Zunächst teilt W1 die
erfolgreiche Überweisung dem Angeklagten mit (Chat vom 16.10.2007):
315
W1: An : V1 ,
316
Betrag: 8.000,00 EUR
317
Ausfurhungstermin: 16.Okt. 2007.
318
K3: Ich werde verrückt. Der Autor ist gut.
319
Am 17.10.2007 erkundigt sich I bei B5 danach, ob die Überweisungen von den Drops weitergeleitet
wurden (Chats vom 17.10.2007 und 19.10.2007):
320
K3: Hallo. W1 hat gestern 8 an dich hinuntergegossen. Hat er es dir gesagt?
321
B5: ja.
322
K3: Hurra. [...]
323
B5: Die Überweisung ist angekommen, der Drop hat vor, zur Bank zu fahren.
324
K3: yoooooo. Ich bin glücklich.
325
B5: Es ist noch zu früh. Wer weiß, was noch passieren kann.
326
K3: Das stimmt auch. Gut, dass man es wenigstens nicht geblockt hat.
327
B5: ja.
328
K3: [zwei Stunden später] Was hört man von dem Drop.
329
B5: Er müsste bereits bei X2 überweisen. Ich warte auf die Detaills. [...]
330
K3: [Chat vom 19.10.2007] Was hört man von den Überweisungen von W1? [...]
331
B5: [...] V1 8 Tausend, sie sagte vorgestern, dass alles o.k. ist, dann hat sie geschrieben, dass
sie einen Unfall hatte, hat aber versprochen es abzuschicken, das war es, jetzt können wir sie
nicht erreichen. [...]
332
Über die von den Dropführern aufgebaute Drohkulisse, insbesondere die Drohanrufe, hat die Zeugin V1
glaubhaft in ihrer Aussage berichtet.
333
19.) Fall 18:
334
Nachdem der Rechner der Geschädigten M8 (E1)von der Gruppe um H3 mit Schadprogrammen infiziert
worden war, generierten diese während eines Überweisungsvorgangs die bekannte TAN-
Fehlermeldung, die Nummer sei bereits verbraucht. Tatsächlich wurde die TAN-Nummer an den Log-
Server übermittelt und am ##.##.2007 von W1 und dem Angeklagten genutzt. Sie überwiesen 4.400,00 €
vom Konto der Geschädigten auf das Konto der Finanzagentin T9
Abbuchung erst am Wochenende. Als am Montag ihre Bank wieder öffnete, war die Überweisung nicht
mehr zurück zu buchen.
335
Auf dem Konto der Finanzagentin wurden am ##.##.2007 die vollen 4.400,00 € gutgeschrieben. Am
gleichen Tag hob sie einen Betrag in Höhe von 2.900,00 € ab und versandte per X2 2.500,00 € nach
Q11.
336
Erst Ende Oktober 2007 wurde der Geschädigten das Geld von ihrer Bank erstattet. Die Kosten für
mehrere Rücklastschriften in der Zwischenzeit wurden ihr jedoch nicht ersetzt.
337
Zur Beweiswürdigung:
338
Der Tatnachweis beruht zunächst auf dem Chat mit W1 vom 11.10.2007:
339
W1: Ich habe drops bekommen, ich bin kurz weg und mache dann weiter. Beim B5.
340
K3: o.k. Teile mit mir die Drops. Sag Bescheid, wenn du jemanden hochgeladen hast. Ich
werde auch laden.
341
W1: Gleich. T9 Account#*: ######## Routing/BSB#*: ######## Q9.
342
Am 19.10.2007 erkundigt sich I nach dem Erfolg der Überweisung (Chat mit B5 vom 19.10.2007):
343
K3: Hallo, was hört man von den Überweisungen von W1?
344
B5: Hallo. M4 3450 +++++++ T9 4.4 K zur Hälfte ++++ M5 7 Tausend holen wir über X2 [...]
345
20.) Fall 5:
346
Nachdem der Computer der Zeugin
N15
generierte diese bei einer Überweisung der Geschädigten am ##.##.2007 eine Fehlermeldung, dass die
eingegebene Tan bereits verbraucht sei. Tatsächlich war die TAN noch nicht verbraucht, sondern wurde
unbemerkt an den Log-Server in I5 weitergeleitet.
347
Am ##.##.2007 beschäftigten sich A1 und der Angeklagte mit dem Überweisen der eingegangenen
Logs. Dabei überwies I bzw. W1 für I unter Nutzung der abgephishten TAN 3.450,00 € an den zuvor als
Finanzagenten geworbenen
M4
Dispositionskredit aus, so dass das Konto nach der Überweisung ca. 2.000,00 € im Soll stand.
348
Der Finanzagent M4 war bereits einige Zeit vorher über die Anwerbeseite "G1 D.com" geworben
worden, als er einen Nebenjob im Internet suchte. Er reichte dort per FAX seine Personaldaten, eine
Kopie des Personalausweises sowie seine Kontoverbindung ein. Umgehend wurde ihm ein "Vertrag"
zugesandt, den er unterschrieben zurückfaxen sollte. Per E-Mail wurde ihm der Eingang der
Überweisung angekündigt und die Zieldaten für die Weiterüberweisung übermittelt. Zudem wurde er
zwei mal von einem mit starkem Akzent F7 sprechenden Mann wegen der Überweisungen angerufen.
Daraufhin hob M4 die eingegangenen Gelder ab und überwies sie der Anweisung gemäß unter
Einbehalt von 5 %, die ihm als Lohn zustehen sollten, in die U1.
349
Als Folge der Überweisung wurde dem Finanzagenten M4 das Konto bei seiner Bank gekündigt. Erst
nach 3 Wochen gelang es ihm, ein neues Konto zu eröffnen. Zudem wurde er von der Geschädigten,
Frau N15, zivilrechtlich in Anspruch genommen. Diese hat mittlerweile einen
vollstreckbaren Titel
4.464,19 € gegen ihn erwirkt, den dieser jedoch aufgrund seiner Einkommenssituation als Student nicht
bedienen kann.
350
Die Geschädigte selbst konnte ihr Konto nur unter großen Mühen wieder ausgleichen. Das unberechtigt
überwiesene Geld ist der Geschädigten Frau N15 bis heute nicht ersetzt worden.
351
Zur Beweiswürdigung:
352
Aus dem Chat des Angeklagten mit A1 vom 04.10.2007 ergibt sich, dass der Finanzagent bereits Anfang
Oktober angeworben wurde:
353
K3: Wie sieht es bei dir mit Drops aus?
354
A1: Hat B5 welche?
355
K3: Nein. Er sagt, er habe alle dir und dem W1 gegeben.
356
A1: 4 Tausend M4 […] C8 […] Q5
357
Q5 […] T6 […]. Das sind meine. Ausgenommen die letzte. Ich habe es auf sie hinuntergießen
lassen.
358
K3: ja. o.k. Wenn wir jemanden gießen lassen – das teilen wir mit.
359
A1: ich versuche es mit dem L10 [Übersetzung durch den Angeklagten
360
I] […]
361
K3: S3 4 Tausend. M4 […] C8 […] Q5 […]. Ich habe die aktualisierte Liste abgeholt. […]
362
Die Überweisung vom ##.##.2007 ist über den Chat mit B5 vom 19.10.2007 dem W1 zuzurechnen:
363
K3: Hallo, was hört man von den Überweisungen von W1?
364
B5: Hallo. M4 3450 +++++++ T9 4.4 K zur Hälfte ++++ M5 7 Tausend holen wir über X2 [...]
365
Die Feststellungen zu den Folgen für den Finanzagenten beruhen auf der Vernehmung des Zeugen M4.
Die Auswirkungen für die Geschädigte ergeben sich aus der Vernehmung der Zeugin N15.
366
21.) Fall 93:
367
Nachdem zuvor der PC des Geschädigten H13 (T20) von der Gruppe um H3 mit Schadsoftware infiziert
und eine TAN mittels einer TAN-Fehlermeldung auf den Log-Server der Gruppe um H3 umgeleitet
worden war, überwies W1 am ##.##.2007 einen Betrag von 7.000,00 € vom Konto des Geschädigten auf
das Konto des Finanzagenten M5 (X12). Diese Summe schöpfte das Überweisungslimit zum damaligen
Zeitpunkt aus.
368
Der Finanzagent, der über die Seite "G1 D" angeworben worden war, erhielt am ##.##.2007 per Mail die
Anweisung, die eingehenden 7.000,- € in die U1 weiterzuleiten. Dabei sollte er die Summe splitten und
in zwei Tranchen per X2 einzahlen.
369
Am ##.##.2007 erhielt er drohende Mails, er möge schnellstens weiter überweisen. Dadurch
eingeschüchtert hob er am ##.##.2007 von seinem Konto 6.650,00 € ab und leitete 6.633,37 € am
gleichen Tag per X2 in zwei Teilsummen in die U1 weiter.
370
Die vom Konto überwiesenen 7.000,00 € sind dem Geschädigten bisher nicht ersetzt worden. Der
Geschädigte, der in der Gastronomie selbstständig ist, konnte nur mit Mühe die ausstehenden Gehälter
seiner Mitarbeiter zahlen. Er selber musste mangels flüssiger Mittel auf seinen geplanten Urlaub
verzichten.
371
Zur Beweiswürdigung:
372
Dass die Überweisung von W1 ausgeführt wurde und der Angeklagte an der Überweisung beteiligt war,
ergibt sich aus seiner Nachfrage bei B5 vom 19.10.2007:
373
K3: Hallo, was hört man von den Überweisungen von W1?
374
B5: Hallo. M4 3450 +++++++ T9 4.4 K zur Hälfte ++++ M5 7 Tausend holen wir über X2 [...]
375
K3: Ist wenigstens etwa durchgegangen?
376
B5: Ja. Bis jetzt sind 2 durchgegangen.
377
K3: Nenne mir einfach die Geldsumme und das war es.
378
B5: Bei X2 werden gerade 7 Tausend abgehoben.
379
K3: Oh. D.h. etwas Geld wird es für eine Woche geben.
380
B5: 3161 Euro plus 2500 sind angekommen. [...] Wir warten auf das Ergebnis mit den 7
Tausend. [...]
381
Die Feststellungen zu den Folgen für den Geschädigten beruhen auf der Vernehmung des Zeugen H13,
die zu der drohenden Mail beruhen auf der Vernehmung des Zeugen M5.
382
22.) Fall 40:
383
Nachdem der Rechner des Geschädigten T20
384
worden war, wurde auf dem bekannten Weg über die TAN-Fehlermeldung eine TAN unbemerkt an den
Log-Server übertragen. Diese TAN wurde am ##.##.2007 von einem Mitglied der Gruppe um H3 für eine
Überweisung in Höhe von 6.800,00 € vom Konto des Geschädigten auf das Konto des Finanzagenten
X6 (M9) eingesetzt.
Der Finanzagent war durch die Seite "G1 D" angeworben worden und bekam nach der Überweisung des
Geldes telefonische Anweisungen, wohin er das Geld weiterleiten sollte. Da er aber Bedenken
bekommen hatte, meldete er sich selbst bei der Polizei. Das Geld konnte bereits am ##.##.2007
zurückgebucht werden.
385
Trotzdem erging gegen ihn am ##.##.2007 ein
Strafbefehl
€), wobei die Tagessatzhöhe am ##.##.2008 auf 10,00 € reduziert wurde. Diese 600,00 € sind
mittlerweile durch den Finanzagenten gezahlt worden.
386
Zur Beweiswürdigung:
387
Der Tatnachweis ergibt sich auch hier daraus, dass der Finanzagent mit einer Seite angeworben wurde,
die der Gruppe um H3 zuzuordnen ist (G1 D) und die Überweisung zu einem Zeitpunkt getätigt wurde,
als der Angeklagte Mitglied dieser Gruppe war.
388
Die Feststellungen zur besonderen Folge für den Finanzagenten beruhen auf dessen Aussage und dem
verlesenen Strafbefehl des Amtsgerichts X13 vom ##.##.2007.
389
23.) Fall 11:
390
Nachdem zuvor ein Schadprogramm der Gruppe auf dem PC des Geschäftsführers der geschädigten
Firma
U4 GmbH
eine TAN-Nummer abgephisht. Diese wurden am ##.##.2007 von einem Mitglied der Gruppe um H3 zur
unrechtmäßigen Überweisung von 5.000,00 € an die Finanzagentin N10 (C4) eingesetzt.
391
Die über die Anwerbeseite "G1 D.com" angeworbene Finanzagentin wurde von einem der Dropführer,
einer Frau mit ausländischem Akzent, telefonisch über die Ankunft der Gelder informiert, um es per "N5"
nach U1 weiter zu transferieren. Dabei sollte sie 5 % als Lohn einbehalten. Dazu kam jedoch nicht mehr,
da die Gelder nicht gutgeschrieben worden waren. Die Finanzagentin erhielt daraufhin Drohanrufe von
einem der Dropführer und wurde auf der Seite
"T30"
Rückbuchung der Beträge auf das Konto der Geschädigten.
392
Zur Beweiswürdigung:
393
Dass die Überweisung vom ##.##.2007 von der Gruppe um H3 durchgeführt wurde, ergibt sich zum
einen daraus, dass die Anwerbeseite "G1 D.com" benutzt wurde und zum anderen daraus, dass die
Finanzagentin im Zusammenhang mit einer zweiten Überweisung (Fall 26) vom ##.##.2007 im Chat des
Angeklagten mit W1 genannt wird (Chat vom 16.11.2007):
394
W1: Dort bei B5 ist scheinbar ein Teil angekommen. Scheiß – Drops.
395
K3: In welchem Sinne?
396
W1: Scheiß-Drops, wie meinst Du das?
397
K3: B5. 4.2 sind durchgekommen – das ist schon mal gut.
398
W1: Der Drop hat 4.2 mit X2 überwiesen, wir heben es gerade ab. Das B5 gesagt.
399
K3: B5.
400
W1: ##.##.2007 RUCKRUF Retouren N10 ##.##.2007; 5.000,00; ##.##.2007 2.5 Überweisung 401
N10 ##.##.2007 5.000,00 ;
Das meine ich mit Scheiß-Drops. Am ##. überweise ich erfolgreich das Geld.
402
K3: Und?
403
W1: Scheiß-Drop hat einen Tag lang scheiße gemacht – am ##. wird das Geld zurückgebucht.
Konnte sie es nicht am ##. an uns überweisen?
404
K3: Was soll man machen?
405
W1: Ich sage doch, Scheiß-Drops.
406
407
Die Feststellungen zu den Drohanrufen beruhen auf der Aussage der Zeugin N10
408
24.) Fall 14:
409
Nachdem der Rechner des geschädigten N16 (F) durch die Gruppe um H3 mit einem Trojaner infiziert
worden war, wurde Anfang November 2007 unter Verwendung der TAN-Fehlermeldung eine TAN-
Nummer abgephisht und an den Log-Server übertragen.
410
Unter Verwendung dieses Datensatzes überwies am ##.##.2007 W1 oder der Angeklagte selbst
9.500,00 € vom Konto des Geschädigten auf das Konto des Finanzagenten S4 (O6). Dabei handelte es
sich um den maximal verfügbaren Betrag.
411
Der Finanzagent war zuvor über die Seite "T2" angeworben worden. Per E-Mail wurde er von einer
Person unter dem Pseudonym "H11" aufgefordert, die eingegangene Summe abzüglich des ihm
zustehenden Anteils per X2 nach U1 weiter zu überweisen, was dieser auch tat.
412
Der Finanzagent S4 wurde von der Bank des Geschädigten auf Rückzahlung der 9.500,00 € in Anspruch
genommen. Zudem wurde gegen ihn ein Strafverfahren wegen des Vorwurfs der Geldwäsche geführt,
das erst gegen eine Geldauflage in Höhe von 300,00 € gemäß
§ 153 a StPO
413
Durch die Überweisung war die Liquidität des Geschädigten akut gefährdet. Zudem erklärte sich die
Bank am ##.##.2007 lediglich bereit, einen Teilbetrag zurückzuzahlen. Die Restsumme ist ihm bis heute
nicht ersetzt worden.
414
Zur Beweiswürdigung:
415
Zum Tatnachweis führt der Chat mit W1 vom 05.11.2007. Darin hat I dem W1 drei Finanzagenten
zugeteilt, von denen einer der hier betroffene S4 ist:
416
K3: Hat H3 Drops gegeben?
417
W1: Er hat einen gegeben. Für 3 –5 Tausend
418
K3: Das werden wir gleich ändern.
419
W1: Wirst du hinuntergießen? Ich muss weg.
420
K3: Wie schlecht. Bei mir sieht es damit heute schlecht aus. Bist du für lange weg?
421
W1: Nein, ist schon gut, ich fühle mich einfach nicht wohl. Ich versuche es hochzuladen, o.k.
Ich werde es hochladen.
422
K3: Bist du erkältet, oder was?
423
W1: Fahre nur MSTSZ hoch, ja.
424
K3: Alles wird hochgefahren.
425
W1: Ich bin erkältet und der Blutdruck macht mich fertig. Ok. Ich bin weg.
426
K3: [nennt den Finanzagenten T11]
427
W1: Das ist einer.
428
K3: Name of Bank: O7 O6
429
Adress of Bank: ###### O6
430
Routing/BSB#: ########
431
Account#: ##########
432
Name of Account : S4
433
3-9.5 Tausend von jedem beliebigen Ort
434
W1: zwei.
435
K3: [nennt O3]
436
W1: drei
437
K3: Ich denke, das reicht fürs erste.
438
W1: [gegen 18:30 Uhr] Übrigens, ich habe 2 Drops geladen. Ich werde es morgen abchecken
und sage dir, ob sie leben oder nicht.
439
K3: unglaublich. Gebt mir drei.
440
W1: es wird keine drei geben.
441
K3: Sag wen und wie viel du geladen hast.
442
W1: gleich.
443
K3: ich schicke die Info an H3.
444
W1: S4 9.500,00 ; O3 6320
445
Die Feststellungen zu den Folgen für den Geschädigten beruhen auf der Aussage des Zeugen N16, die
zu den Folgen für den Finanzagenten, insbesondere zu der Einstellung gemäß § 153 a StPO, auf der
Aussage des Zeugen S4.
446
25.) Fall 51
447
Nachdem der PC des Geschädigten N17 (T22) von der Gruppe um H3 mit Schadsoftware infiziert und
mit der TAN-Fehlermeldung eine TAN auf den Log-Server der Gruppe umgeleitet worden war, überwies
ein Mitglied der Gruppe am ##.##.2007 vom Konto des Geschädigten 2.491,00 € auf das Konto des
Finanzagenten C7 (M10).
448
Der Finanzagent war über die Seite "T2" angeworben worden und bekam nach der Überweisung den
Auftrag, die Gelder weiter zu überweisen. Das Geld wurde jedoch von der Bank zeitnah zurückgebucht,
so dass der Finanzagent das Geld nicht abheben konnte.
449
Zur Beweiswürdigung:
450
Der Tatnachweis ergibt sich auch hier daraus, dass der Finanzagent mit einer Seite angeworben wurde,
die der Gruppe um H3 zuzuordnen ist (T2) und die Überweisung zu einem Zeitpunkt getätigt wurde, als
der Angeklagte Mitglied dieser Gruppe war.
451
26.) Fall 12:
452
Nachdem zuvor der Rechner des Geschädigten I14 (T23) mit Schadsoftware der Gruppe um H3 infiziert
worden war, generierte diese während einer Überweisung am ##.##.2007 die TAN-Fehlermeldung und
übertrug die eingegebene TAN in Wahrheit an den Log-Server.
453
Am ##.##.2007 überwies W1 in Abstimmung mit dem Angeklagten unter Verwendung der abgephishten
TAN einen Betrag von 6.320,00 € auf das Konto des Finanzagenten O3 (I15). Dabei wurde der zur
Verfügung stehende Dispositionskredit vollständig ausgeschöpft. Das Konto befand sich nach der
Überweisung mit 6.000,00 € im Minus.
454
Der Finanzagent O3, der über die Seite T2.com" angeworben worden war, wurde per E-Mail von einem
Dropführer unter dem Pseudonym "H11" kontaktiert und angewiesen, das Geld an eine "D4" in Q11
weiterzuleiten.
455
Das zu Unrecht überwiesene Geld wurde zwar dem Konto des Finanzagenten gutgeschrieben, dann
aber sofort wieder auf das Konto des Geschädigten zurück gebucht.
456
Zur Beweiswürdigung:
457
Der Nachweis, dass die Überweisung von W1 in Abstimmung mit dem Angeklagten I durchgeführt
wurde, ergibt sich aus dem Chat des Angeklagten mit W1 vom 05.11.2007:
458
K3: Hat H3 Drops gegeben?
459
W1: Er hat einen gegeben. Für 3 –5 Tausend
460
K3: Das werden wir gleich ändern […]
461
K3: [nennt den Finanzagenten T11]
462
W1: Das ist einer.
463
K3: [nennte den Finanzagenten S4]
464
W1: zwei.
465
K3: Name of Bank: W4 V4
466
Adress of Bank: I16str. #+#, ##### F6
467
Routing/BSB#: ########
468
Account#: #########
469
Name of Account: O3
470
3-7 Tausend von jedem beliebigen Ort, außer Volks
471
W1: drei
472
K3: Ich denke, das reicht fürs erste.
473
474
W1: [gegen 18:30 Uhr] Übrigens, ich habe 2 Drops geladen. Ich werde es morgen abchecken
und sage dir, ob sie leben oder nicht.
475
K3: unglaublich. Gebt mir drei.
476
W1: es wird keine drei geben.
477
K3: Sag wen und wie viel du geladen hast.
478
W1: gleich.
479
K3: ich schicke die Info an H3.
480
W1: S4 9.500,00 ; O3 6320
481
27.) Fall 7:
482
Nachdem auf dem Rechner des Geschädigten
C12
waren, generierten diese die Fehlermeldung, dass eine TAN-Nummer bereits verbraucht sei. Die in
Wahrheit angehaltene und an den Log-Server weitergeleitete TAN wurde am ##.##.2007 von einem der
Mitglieder der Gruppe um H3 eingesetzt. Dabei wurden unrechtmäßig 2.613,00 € vom Konto des
Geschädigte auf das Konto der Finanzagentin
F4
483
Diese war über die Seite "T2" angeworben worden, als sie in Jobbörsen im Internet nach Stellen suchte.
Nachdem sie dort ihre Bankdaten und ihre persönlichen Daten hinterlegt hatte, wurden ihr
Schulungsmaterialien zugesandt. Mit der eingehenden Überweisung wurde sie per Mail aufgefordert,
das Geld per X2 weiter zu überweisen. Dies tat sie jedoch nicht, da sie von ihrer Bank informiert wurde,
dass es sich um einen Betrugsfall handeln könne. Das überwiesene Geld konnte rechtzeitig vom Konto
der Finanzagentin zurückgebucht werden.
484
Zur Beweiswürdigung:
485
Der Tatnachweis ergibt sich auch hier daraus, dass der Finanzagent mit einer Seite angeworben wurde,
die der Gruppe um H3 zuzuordnen ist (T2) und die Überweisung zu einem Zeitpunkt getätigt wurde, als
der Angeklagte Mitglied dieser Gruppe war.
486
28.) Fall 27:
487
Da ihr Antivirenprogramm nicht aktuell war, konnte der Rechner der Geschädigten C13 (C14) von der
Gruppe um H3 mit Schadsoftware infiziert werden. Unter Verwendung der TAN-Fehlermeldung gelang
es, eine TAN auf den Log-Server umzuleiten. Diese TAN wurde dann vom Angeklagten am ##.##.2007
für die Überweisung von 3.500,00 € vom Geschädigtenkonto auf das Konto der Finanzagentin N11 (I17)
benutzt.
488
Die Finanzagentin war über die Seite "T2" angeworben worden. Zum Abheben der Summe kam es
jedoch nicht, da sie zurückgebucht wurde. Das Geld wurde später dem Konto der Geschädigten wieder
gutgeschrieben.
489
Zur Beweiswürdigung:
490
Der Beweis, dass die Überweisung vom Angeklagten I veranlasst wurde, ergibt sich daraus, dass die
Datei "
#.#k Z.htm
Geschädigten sowie diverse Kennwörter und Logins zu verschiedenen ihrer Konten, F3-Accounts, B4-
Accounts etc. enthielt. Unter anderen waren dabei auch die Passwörter für das Online-Banking.
491
29.) Fall 8:
492
Nachdem von der Gruppe um H3 auf dem Rechner des Geschädigten I18 (L15) ein Schadprogramm
installiert und dessen Rechner in das Bot-Netz eingebunden worden war, versuchte der Geschädigte
Anfang November 2007 eine Überweisung über 10,- € zu tätigen. Bei der TAN-Eingabe generierte das
Schadprogramm eine Fehlermeldung, dass die eingegebene TAN bereits verbraucht sei, worauf der
Geschädigte eine weitere TAN eingab. Die angeblich schon verbrauchte TAN wurde in Wahrheit durch
die Schadsoftware an den Log-Server der Gruppe weitergeleitet.
493
Nachdem I bereits am ##.##.2008 vergeblich versucht hatte, vom Konto des Geschädigten Verfügungen
vorzunehmen, überwiesen am ##.##.2008 Mitglieder der Gruppe unter Verwendung der abgephishten
TAN 5.127,00 € auf das Konto des Finanzagenten X7 (M). Damit wurde fast der gesamte
Dispositionskredit des Kontos (3.000,- €) ausgeschöpft, das infolgedessen mit rund 2.600,00 € ins Minus
geriet.
494
Der Finanzagent X7, der über die Seite T2 angeworben worden war, bekam jedoch Bedenken und führte
die Weiterüberweisung ins Ausland nicht aus. Seine Bank kündigte ihm zudem das Girokonto. Erst nach
längerer Zeit fand er eine neue Bank, die bereit war, ein Konto zu eröffnen.
495
Obwohl das Geld nicht ins Ausland überwiesen wurde sondern zurückgebucht wurde, erstatte die
Hausbank des Geschädigten diesem bisher lediglich 3.374,93 €. Die restlichen Gelder wurden ihm bis
heute nicht erstattet. In der Zwischenzeit war er gezwungen, das entstandene Minus auf seinem Konto
durch Gelder von seinem Sparkonto auszugleichen.
496
Zur Beweiswürdigung:
497
Aus den Chats des Angeklagten mit A1 und W1 ergibt sich, dass sie bereits am ##. und ##.##.2007
vergeblich versucht hatten, an den Finanzagenten X7 zu überweisen. Da I demnach den Finanzagenten
zugewiesen bekommen hatte, ist ihm auch die erfolgreiche Überweisung vom ##.##.2007 zuzurechnen.
498
Chat mit A1 vom 07.11.2007:
499
A1: Hat H3 Drops gegeben?[…]
500
K3: Ja, hat er. gleich. […]
501
A1: [nennt den Finanzagenten M11]
502
Name of Bank: T28 M […]
503
Name of Account:
X7
504
3 -
505
[…]
506
A1: Das sind meine von Montag. […]
507
K3: Ich hatte andere. [...]
508
K3: Gibt es einen drop für 9 Tausend?
509
A1: Name of Bank: T28 M […]
510
Name of Account: X7
511
3 – 9.5 Tausend von jedem beliebigen Ort.
512
K3: Em, nicht T28.
513
A1: [nennt N18]
514
K3: Ich giesse von der T28 hinunter […]
515
K3: Ich versuche es mit dem X7; X7 [Pause] Ist nicht durchgekommen.
516
Chat mit W1 vom 08.11.2007:
517
K3: Gibt es Drops?
518
W1: Ich versuche, was soll ich sonst machen? Die vorgestern, die stehen geblieben sind.
519
K3: Weitere Drops: [nennt die Finanzagenten T11 und S10]
520
Name of Bank: T28 M […]
521
Name of Account:
X7
522
3 – 9.5 Tausend von jedem beliebigen Ort.
523
Die Feststellungen zu den Folgen der Überweisung für den Geschädigten I18, insbesondere zur
fehlenden Erstattung, beruhen auf dessen Aussage als Zeuge.
524
30.) Fall 38:
525
Nachdem der Rechner des Geschädigten L16 (O) mit einem Schadprogramm infiziert worden war, wurde
unbemerkt eine TAN für das Online-Banking an den Log-Server der Gruppe um H3 übertragen. Das von
L16 genutzte Konto lief auf den Namen seiner Schwester L17; alleiniger Nutzer war jedoch er.
526
Am ##.##.2007 überwies W1 von dem Konto unter Einsatz der abgephishten TAN einen Betrag in Höhe
von 9.570,00 € auf das Konto des T10.
527
Wie die Gruppe um H3 an die Bankverbindung von Herrn
T10
sich nicht als Finanzagent beworben und auch nie versucht, den Betrag vom Konto abzuheben.
528
Das Geld konnte auf das Konto des Geschädigten zurückgebucht werden.
529
Zur Beweiswürdigung:
530
Der Tatnachweis ergibt sich aus dem Chat des Angeklagten mit W1 vom ##.##.2007:
531
W1: 9.570,00 EUR T10. Von deinem.
532
31.) Fall 17:
533
Nachdem der Rechner des Geschädigten H14 (G6) von der Gruppe um H3 mit einem Schadprogramm
infiziert worden war, phishte diese unter Verwendung der TAN-Fehlermeldung eine TAN-Nummer des
534
Geschädigten ab. Mit dieser Nummer überwies am ##.##.2007 W1 oder der Angeklagte 2.983,00 € auf
das Konto des Finanzagenten T11.
Der Finanzagent T11 (G2), der über die Seite "T2.com" angeworben worden war, übermittelte das Geld
nach U1. Der Empfänger in U1 war ihm durch den Anruf eines weiblichen Dropführers mit akzentfreiem
Deutsch bekanntgegeben worden.
535
An die Bank des Geschädigten H14 zahlte der Finanzagent 500,00 € zurück. Zudem wurde ihm sein
eigenes Konto gekündigt und er wurde im Strafbefehlsverfahren zu einer
Geldstrafe
Tagessätzen verurteilt. Insgesamt zahlte er an Entschädigung und Strafe 700,00 € plus 100,00 €
Anwaltskosten, obwohl er selbst nur Arbeitslosengeld bezog und einen 400€-Job hatte.
536
Das zu Unrecht überwiesene Geld wurde dem Geschädigten H14 circa 4 Wochen nach Abbuchung von
der Bank zurückerstattet.
537
Zur Beweiswürdigung:
538
Auch hier ergibt sich der Nachweis aus den Chats des Angeklagten mit W1.
539
Chat mit W1 vom 05.11.2007
540
K3: Hat ^H3 Drops gegeben?
541
W1: Er hat einen gegeben. Für 3 –5 Tausend
542
K3: ege. Das werden wir gleich ändern.
543
K3: Q9 F1,
544
Konto Nr.: ### ### ###
545
Bankleitzahl: ### ### ##
546
T11
547
3-5 Tausend von jedem beliebigen Ort.
548
W1: das ist einer.
549
Chat mit W1 vom 08.11.2007:
550
K3: Versuche heute weiter zu gießen. Ich gehe schlafen. Gibt es drops?
551
W1: Ich versuche, was soll ich sonst machen? Die von vorgestern, die stehen geblieben sind. 552
K3: Weitere Drops:
553
Q9 F1,
554
Konto Nr.: ### ### ###
555
Bankleitzahl: ### ### ##
556
T11
557
3-5 Tausend von jedem beliebigen Ort.
558
[nennt noch die Finanzagenten S10 und X7]
559
K3: T11 - 3-5 Tausend.
560
W1: o.k.
561
Die Feststellungen zu den Folgen für den Finanzagenten beruhen auf der Aussage des Zeugen T11.
562
32.) Fall 26
563
In gleicher Weise wie zuvor (Fall 11) wurde am ##.##.2007 von W1 eine unrechtmäßige Überweisung in
Höhe weiterer 5.000,00 € vom Konto des Geschädigten Q12 (N1) an die Finanzagentin
N10
an die Finanzagentin N10 (C4) überwiesen.
564
Die über die Anwerbeseite "G1 D.com" angeworbene Finanzagentin wurde von einem der Dropführer
der Gruppe, einer Frau mit ausländischem Akzent, telefonisch über die Ankunft der Gelder informiert, um
es per "N5" nach U1 weiter zu transferieren. Dabei sollte sie 5 % als Lohn einbehalten. Dies kam jedoch
nicht mehr zustande, da die Gelder nicht gutgeschrieben worden waren. Die Finanzagentin erhielt
daraufhin Drohanrufe von einem der Dropführer und wurde auf der Seite
"T30"
565
Auch in diesem zweiten Fall kam es zur Rückbuchung der Beträge auf das Konto der Geschädigten.
566
Zur Beweiswürdigung:
567
Dass die Überweisung von W1 durchgeführt wurde, ergibt sich aus dem Chat des Angeklagten mit W1
vom 16.11.2007:
568
W1: Dort bei B5 ist scheinbar ein Teil angekommen. Scheiß – Drops.
569
K3: In welchem Sinne?
570
W1: Scheiß-Drops, wie meinst Du das?
571
K3: Aha. 4.2 sind durchgekommen – das ist schon mal gut.
572
W1: Der Drop hat 4.2 mit X2 überwiesen, wir heben es gerade ab. Das B5 gesagt.
573
K3: Aha.
574
W1: ##.##.2007 RUCKRUF Retouren N10 ##.##.2007; 5.000,00; ##.##.2007 2.5 Überweisung
N10 ##.##.2007 5.000,00 ;
575
Das meine ich mit Scheiß-Drops. Am ##. überweise ich erfolgreich das Geld.
576
K3: Und?
577
W1: Scheiß-Drop hat einen Tag lang scheiße gemacht – am ##. wird das Geld zurückgebucht.
Konnte sie es nicht am ##. an uns überweisen?
578
K3: Was soll man machen?
579
W1: Ich sage doch, Scheiß-Drops.
580
581
Die Feststellungen zu den Drohanrufen beruhen auf der Aussage der Zeugin N10.
582
33.) Fall 25:
583
Auch der Rechner der Geschädigten Q13 (J3) wurde von der Gruppe um H3 infiziert und es wurde auch
hier eine TAN mit der bekannten Fehlermeldung auf den Log-Server umgeleitet.
584
Am ##.##.2007 wurde von dem Angeklagten oder W1 diese TAN für eine Überweisung in Höhe von
9.277,00 € vom Geschädigtenkonto auf das Konto der Finanzagentin X8 (E2) genutzt. Das Geld wurde
dort am ##.##.2007 gutgeschrieben, jedoch schon am gleichen Tag wieder zurückgebucht.
585
Die Finanzagentin, die über die Seite "G1 D" angeworben worden war, erhielt per E-Mail die Anweisung,
das Geld per X2 weiterzuleiten.
586
Ein bis zwei Tage nach der Abbuchung wurde der Betrag auch wieder dem Konto der Geschädigten
gutgeschrieben.
587
Zur Beweiswürdigung:
588
Dass die Überweisung vom Angeklagten oder dem mit ihm zusammen überweisenden W1 getätigt
wurde, ergibt sich aus dem Chat mit A1 vom 13.11.2007:
589
K3: So, hast du noch einen lebendigen Drop?
590
A1: Frage bei B5 nach. Er hat mir gerade zwei gegeben.
591
K3: Er hat keine mehr.
592
A1: gleich. […] X8 Account#*: ########## […]
593
34.) Fall 32:
594
Nachdem der Rechner des Geschädigten N19 (U5) von der Gruppe um H3 mit einem Schadprogramm
infiziert und eine TAN unbemerkt zum Log-Server umgeleitet worden war, nutzte der Angeklagte I den
Datensatz am ##.##.2007 für eine Überweisung in Höhe von 9.200,00 € vom Konto des Geschädigten
auf das Konto der Finanzagentin I8
Abbuchung noch am gleichen Tag bemerkte, konnte seine Bank die Überweisung zurückrufen.
595
Die Finanzagentin, die zuvor über die Seite "G1 D" geworben worden war, wurde telefonisch durch eine
Frau mit osteuropäischem Akzent kontaktiert. Sie sollte das Geld in Teilbeträge aufteilen und separat per
X2 nach Osteuropa überweisen. Dazu kam es jedoch nicht mehr, da das Geld bereits zurückgebucht
worden war.
596
Zur Beweiswürdigung:
597
Dass der Angeklagte die Überweisung selber vornahm, ergibt sich zunächst aus dem Chat mit A1 vom
13.11.2007:
598
K3: So, hast du noch einen lebendigen Drop?
599
A1: Frage bei B5 nach. Er hat mir gerade zwei gegeben.
600
K3: Er hat keine mehr.
601
A1: gleich. […] X8 […]
602
I8
603
K3: Verstanden, sage Bescheid, wenn du jemanden hinunter giesst. […]
604
A1: ich versuche es an I8...
605
K3: ok
606
[beide versuchen, Überweisungen zu tätigen]
607
K3: Ich habe I8 eingegossen.
608
Nach der Überweisung meldete I die erfolgreiche Überweisung an B5 (Chat mit B5 vom 13.11.2007):
609
K3: 9.2 Tausend I8. [...]
610
Zudem wurden die Zugangsdaten des Geschädigten N19 zum Online-Banking in einer Datei auf dem
bei I sichergestellten Rechner gefunden. Die Datei heißt bezeichnender Weise "
#.#k I8.htm
Zusammensetzung von Vornamen der Finanzagentin und der abgephishten Summe von 9.200,- €.
611
35./36.) Fälle 29 und 28:
612
Auch die Rechner der Geschädigten U6 aus T15 (Fall 28) und X14 aus L18 (Fall 29) wurden mit der
Schadsoftware infiziert. Bei beiden Rechnern wurde durch die Schadsoftware jeweils eine TAN auf den
Log-Server umgeleitet.
613
Am ##.##.2007 nahm I oder W1 mit den erlangten Datensätzen eine Überweisung in Höhe von 3.200,00
€ vom Konto der Geschädigten X14 auf das Konto des Finanzagenten L8 vor. Damit geriet das Konto in
Höhe des eingeräumten Dispositionskredites ins Soll.
614
Am ##.##.2007 überwies der Finanzagent
L8
2.850,00 € an einen C15 in Q11. Dieser Empfänger war ihm von einer weiblichen Anruferin, die
gebrochen Deutsch sprach, mitgeteilt worden.
615
Ebenfalls am ##.##.2007 nahm I bzw. W1 mit einer weiteren erlangten TAN eine Überweisung in Höhe
von 4.300,00 € vom Konto der Geschädigten U6 auf das Konto des Finanzagenten L8 vor.
616
Das Geld wurde jedoch bereits kurze Zeit später wieder auf das Konto der Geschädigten U6
zurückgebucht.
617
Der nach U1 weitergeleitete Betrag wurde der Geschädigten von ihrer Bank nach 2 Wochen ersetzt. Die
bis dahin aufgelaufenen Zinsen musste die Geschädigte selber tragen.
618
Gegen den Finanzagenten L8, der ab 2005 eine Wahlperiode als ehrenamtlicher Schöffe beim
Landgericht L3 gewirkt hatte, erging in der Folge ein
Strafbefehl
Tagessätzen zu je 30,00 € (2.700,00 €). Zudem wurde er von der Bank der Geschädigten X14 auf
Rückzahlung von 3.200,00 € in Anspruch genommen.
619
Zur Beweiswürdigung:
620
Der Tatnachweis ist zur Überzeugung der Kammer durch den Chat des Angeklagten mit B5 vom
14.11.2007 geführt:
621
K3: Hallo, ich brauche Drops, hast du irgendwas?
622
B5: Hallo. Es gibt einen.
623
K3: Aha. Ich rauche eine, dann werde ich mich mit dem Hinuntergießen beschäftigen.
624
B5: O.K. Ist der Drop von gestern am leben? Der Drop sagt, dass es noch nicht gut
625
geschrieben wurde und seine Bank in N1 nur bis Mittag arbeitet. Er sagt, dass er nur morgen
abheben kann. [Anm: Hier geht es wohl um die Überweisungen vom Vortag.]
B5: L8 Account#*: ###### Routing/BSB#*: ######## L19 B10 ab 4 Tausend.
626
Die Feststellungen zu den Folgen für den Finanzagenten ergeben sich aus der Vernehmung des
Zeugen L8 und dem verlesenen Strafbefehl des Amtsgerichts T24 vom ##.##.2008.
627
37.) Fälle 20 und 21
628
Nachdem der Rechner des Geschädigten Rechtsanwalt T25 (C4) mit Schadsoftware der Gruppe um H3
infiziert worden war, wurden am ##.##.2008 zwei TAN-Nummern des Geschädigten abgefangen und am
gleichen Tag für unberechtigte Überweisungen eingesetzt.
629
Beide Überweisungen, eine über 2.820,00 € (Fall 20) und eine über 3.745,00 € (Fall 21), wurden zu
Gunsten des Finanzagenten T12 (C) vorgenommen.
630
Das Geld wurde zeitnah auf das Konto des Geschädigten zurückgebucht. Zu einer Abhebung kam es
nicht.
631
Zur Beweiswürdigung:
632
Der Nachweis, dass der Angeklagte noch 2008 bei Problemen mit Überweisungen technische Lösungen
für die Gruppe erarbeitete und die Überweisungen an den Finanzagenten T12 der Gruppe um H3
zuzurechnen sind, ergibt sich aus dem Chat des Angeklagten mit H3 vom 03.03.2008:
633
H3: Ich brauche dich dringend. Es gab eine Umleitung auf einen Drop.
634
03.03.2008 Überweisung Geschenk KTO ########## BLZ ######## T12 – 3.745,00 EUR
635
03.03.2008 Überweisung Geschenk KTO ########## BLZ ######## T12 – 2.820,00 EUR
636
wie du siehst 2. aber es ist ein Fehler. Es sollte keine 2 Überweisungen geben. E9 sagt, dass
es irgendwo einen Logik-Kampf gibt. Das System überweist, aber da gibt es irgendwo einen
Bag [BUG??]. Kannst Du dir den Code ansehen? So wie ich verstehe, das ist eine Fabrik der
[…]
637
V.
638
Tatnachgeschichte
639
Der Zusammenhang zwischen den einzelnen Taten fiel auf, weil in einer Fülle von Ermittlungsverfahren
wegen des Vorwurfs der Geldwäsche gegen beteiligte Finanzagenten immer wieder die gleichen
Anwerbeseiten auftauchten. Über diese Anwerbeseiten stießen die Ermittlungsbehörden auf L, der die
entsprechenden Domains registriert hatte, und über diesen schließlich auf den Angeklagten I.
640
Die Wohnung des Mitangeklagten
L
aufgrund eines Durchsuchungsbeschlusses des Amtsgerichtes C am ##.##.2008 von Kräften der
bayrischen Polizei und des LKA NRW durchsucht. Dabei wurden neben den umfangreichen EDV-
Anlagen des Mitangeklagten circa 60.000,00 € sichergestellt, die größtenteils im Wohnzimmer der Eltern
aufgefunden worden waren.
641
Der ursprüngliche Mitangeklagte L wurde am Tag der Durchsuchung aufgrund eines Haftbefehls des
Amtsgerichts C verhaftet und befand sich bis zum ##.##.2008 in Untersuchungshaft in der
Justizvollzugsanstalt L1.
642
Ebenfalls am ##.##.2008 wurde auch die Doppelhaushälfte in X15, die der Angeklagte
I
seinen Eltern bewohnt, von Polizeikräften durchsucht. Im Keller des Objektes befand sich der Computer-
Arbeitsplatz des Angeklagten, der aus zwei parallel laufenden Servern bestand, die über
DSL/ISDN/Ethernet untereinander und mit dem Internet verbunden waren. Zudem wurde im
Wohnzimmer ein Notebook T26 sichergestellt, das dem Angeklagten gehört.
Die Auswertung des Servers 1, eines handelsüblichen PC Big Tower mit 2 optischen Laufwerken und 4
Festplatten mit jeweils 500 GB, zeigte, dass dort insgesamt 10 sogenannte
"Virtuelle Maschinen"
liefen. Bei einer virtuellen Maschine handelt es sich um einen virtuellen Computer mit eigenem
Betriebssystem, der auf dem eigentlichen Computer eingerichtet wurde und getrennt von dessen
Betriebssystem arbeitet.
644
Auf einer dieser virtuellen Maschinen mit der Bezeichnung "drive_G" waren verschiedene
Kommunikationsplattformen installiert. Diese Kommunikationsprogramme, wie der "R2" oder "R3"
basierten auf üblichen
Chatprogrammen
wurden u.a. die Chat-Protokolle von H4, H3, H3, B5, W1, A1, #:#, ## und G7 angelegt und bei der
Sicherstellung der Server aufgefunden.
645
Bei der Auswertung des Notebooks T26 wurde unter anderem die Datei "H15.txt" gefunden.
646
Im Zuge der Durchsuchung wurde gegen den Angeklagten I auch der Haftbefehl des Amtsgerichts C
vom ##.##.2008 (## Gs ###/##) vollstreckt. Seit diesem Zeitpunkt befand sich der Angeklagte in
Untersuchungshaft in der JVA L1.
647
An den insgesamt 22 Verhandlungstagen, während derer gegen den Angeklagten I verhandelt wurde,
hat die Kammer zur Aufklärung der Einzelfälle
mehr als 70 Zeugen
Geschädigte. Dabei bestand eine besondere Schwierigkeit für die Kammer darin, die Zeugen zu den
Einzelfällen überhaupt zu ermitteln bzw. die entsprechenden Beiakten anzufordern und auszuwerten.
Eine weitere Schwierigkeit ergab sich aus der Tatsache, dass die Zeugen aufgrund der
Begehungsweise über die gesamte Bundesrepublik verstreut wohnten und teilweise lange Anfahrtswege
in Kauf nehmen mussten, was für die Kammer zu einem erheblichen organisatorischen Aufwand führte.
648
B.
649
Beweiswürdigung
650
I.
651
Feststellungen zur Person
652
Die Feststellungen zur Person beruhen auf den Einlassungen des Angeklagten in der
Hauptverhandlung.
653
II.
654
Feststellungen zur Tatbeteiligung Is
655
Die Feststellungen zur Tatbeteiligung des Angeklagten I beruhen auf seinen im Wesentlichen
geständigen Einlassungen und den ergänzend verlesenen Urkunden.
656
1.)
zusammenhängende
Erklärungen
Einzelaspekten Stellung genommen, insbesondere im Zusammenhang mit den einzelnen Chatstellen.
657
Am dritten Verhandlungstag, dem 10.03.2009, ließ er sich durch Verlesung einer schriftlichen Erklärung
wie folgt ein:
658
"1. Ende 2006 hat sich H3 mit mir in Kontakt gesetzt. Herr L hat mich ihm als guten Techniker und
Systemadministrator empfohlen.
659
2. H3 hatte technische Probleme, die er gelöst haben wollte. Es handelt es sich um Probleme, die
seine Systemadministratore nicht lösen konnten. Bei einem der Aufträge handelt es sich um die
Entwicklung und Installation einer Plattform zum anonymen Internet surfen, bei den anderen ging es
um Systemadministration. Ab und zu habe ich seine Systemadministratoren beraten. Wir hatten uns
auf den Preis vom 20 USD die Stunde geeinigt. Später haben wir den Preis auf 25 USD die Stunde
erhöht. So habe ich für ihn bis September 2007 gearbeitet.
660
3. Ende September 2007 hat H3 mich gefragt, was halte ich von der Idee, einen Trojaner zu
entwickeln, der in der Lage sein sollte, Banküberweisungen automatisch zu tätigen. Seine Idee fand
ich technisch interessant. Ich habe es als technische Herausforderung gesehen. Die Idee hatte für
mich einen technischen Anreiz, da nie zuvor ich so was programmiert. Ich habe H3 gefragt, ob er
sich technikmäßig vorstellt, was er haben möchte. Ich habe ihn gefragt, ob eine technische
Dokumentation zu den Online Banking Systeme vorliege, die von dem Programm unterstützt sein
sollten. H3 antwortete, dass er weder Vorstellung hat, wie es funktionieren sollte, noch besitze er
technische Dokumentation zu den Online Banking Systemen. Er sagte, dass er kein Programmierer
ist und so kann er mir in dem technischen Teil auch nicht helfen, aber er hat bereits ein
funktionierendes System aus einem Trojaner, der den Internetdatenfluss des Benutzers überwacht
und einem Server, wo die gesamten Daten sich befinden. Er sagte, dass er mir die Zugangsdaten
zu dem Server mit den gespeicherten Daten geben wird und die Kontaktdaten von einer Person, bei
der ich die Kopie des existierenden Trojaners holen kann um das ganze mir anzuschauen. Ich habe
es mir angeschaut und habe H3 gesagt, dass damit ich mir die Vorstellung über den technischen
Ablauf der einzelnen Schritten des Überweisungsvorgangs bei den verschiedenen Systemen bilden
kann, muss ich auch in der Lage sein, die Überweisung durchführen zu können, wie es der Trojaner
machen wird. Mit anderen Worten: wenn man einen Trojaner programmieren will, dann soll man
sich in die Rolle des Trojaners versetzen. H3 antwortete, dass es möglich ist und B5 wird sich bei
melden. B5 wird mir die Person zur Verfügung stellen, an die ich das Geld überweisen kann, wenn
ich etwas überweise.
661
H3 sagte, dass wenn ich etwas überweise, oder in die Liste der bereits getätigten Überweisungen
die Person sehe, die B5 mir zur Verfügung gestellt hat, dann soll ich es ihm oder B5 mitteilen. Als
ich mit B5 in Kontakt stand, teilte er mir die Personendaten mit. In den Situationen wo B5 keine
Personen für die Überweisungen zur Verfügung stellten konnte, hat er mich an A1 und W1
weitergeleitet. So war ich von Ende September 2007 bis Ende November 2007 dabei, mir den
Überblick über die technischen Aspekte des existierenden Trojaners und verschiedenen Online
Banking Systemen zu verschaffen, d.h. ich habe mich in die Rolle des Trojaners versetzt. In einigen
Fällen habe ich die Überweisung getätigt, in den anderen Fällen waren die Überweisungen bereits
eingegeben worden, weil zumindest H3, W1 und B5 die gleiche Datensammlung verwendet haben.
A1 hatte sogar den vollen Zugang zu dem Server.
662
4. Ende November 2007 habe ich H3 mitgeteilt, dass ich mit der technischen Analyse fertig bin. Ab
diesem Moment brauchte ich es nicht mehr, mich bei den Online Banking Systeme anzumelden und
die Überweisungen zu tätigen."
663
Am letzen Verhandlungstag, dem 07.07.2009, gab der Angeklagte I folgende Einlassung durch
Verlesung einer schriftlichen Erklärung ab:
664
"Zum Ende der Hauptverhandlung möchte ich nochmals klarstellend die folgende Erklärung
abgeben.
665
Das was mir in der Anklageschrift der Staatsanwaltschaft C vom 13.01.2009 bzgl. der nun noch
verbleibenden Fälle vorgeworfen wird ist inhaltlich richtig. Im Zeitraum von Ende September bis
Ende Dezember 2007 habe ich insbesondere die Server von H3 administriert, Überweisungen
durchgeführt und mit "##" kommuniziert, damit sein Trojaner auf der Plattform von H3 funktioniert.
Spam-Mails habe ich selbst nicht verschickt, dies gehörte nicht zu meinen Aufgaben. Ich war aber
666
natürlich über diese Vorgehensweise informiert und mir ist klar, dass ich mir auch diese
Handlungen meiner Mittäter zurechnen lassen muss.
Im oben beschriebenen Umfang bin ich bis Ende Dezember 2007 tätig gewesen. Ich habe die
Tätigkeiten, insbesondere die Durchführung der Überweisungen, Ende 2007 aufgegeben. Das
Projekt verlor für mich nach einer gewissen Zeit sowohl seinen intellektuellen als auch seinen
finanziellen Reiz. Meine Tätigkeit im Jahr 2008 bezog sich daher lediglich noch auf das
Administrieren von den Servern. Selbst gegossen habe ich zu diesem Zeitpunkt nicht mehr.
667
Bzgl. des H3 hoffe ich mit folgenden Informationen zur Aufklärung seiner Identität beitragen zu
können:
668
[ Es folgen Angaben zur Identität des H3 ]
669
[Es folgen Angaben zum Lebenslauf des Angeklagten]
670
Abschließend möchte ich nochmals zum Ausdruck bringen, dass ich weiß, dass ich mich strafbar
gemacht habe und dass ich meine Taten bereue. Mir ist klar, dass ich eine harte Strafe zu erwarten
habe. Ich habe mich diesem Verfahren gestellt und werde mich auch meiner Strafe stellen. Ich
möchte das Gericht in diesem Zusammenhang nochmals bitten, den Haftbefehl aufzuheben. [Es
folgen Angaben zur persönlichen Situation] Was ich getan habe tut mir leid."
671
2.)
Bereichen gefolgt. Lediglich in Bezug auf den genauen Umfang seiner Aufgaben bei der technischen
Koordinierung und bezüglich des Tatgeschehens nach dem Dezember 2007 ist die Kammer aufgrund
der in die Hauptverhandlung eingeführten Chat-Protokolle und der TÜ-Protokolle zu einer abweichenden
Auffassung gelangt. Demnach hatte der Angeklagte eine
herausgehobenere
Gruppe und er war auch im Jahr 2008 noch in größerem Umfang in die Aktivitäten der Gruppe um H3
eingebunden, als er dies selbst in seiner letzten Erklärung vom 07.07.2009 zugestanden hat.
672
a.)
Überzeugung gelang, dass der Tätigkeitsbereich des Angeklagten in einzelnen Bereichen über die
Einlassung vom 07.07.2009 hinausging.
673
I hatte seit September 2007 innerhalb der Gruppe die Funktion eines
"technische Koordinators"
dessen Aufgaben alle technischen Aspekte und deren Koordinierung und Abstimmung gehörten. Dies
ergibt sich zum einen aus der Zusammenschau der Chat-Protokolle und zum anderen aus Einlassungen
des Angeklagten selbst, die er zu verschiedenen Zeitpunkten im Prozess abgegeben hat. So hat er noch
in der Sitzung vom 13.05.2009 bestätigt, dass er für "den ganzen technischen Kram" zuständig gewesen
sei. Bestätigt wird diese Einschätzung durch seine Äußerungen in den Chats, z.B. dem Chat mit A1 vom
08.10.2007:
674
K3: "Ich bin für den ganzen technischen Teil verantwortlich und habe noch viele andere
Sachen
675
Anm: In allen Chat-Protokollen ist I durch die Pseudonyme bzw. Nicks "Y1" oder "K3" zu identifizieren.
Der Angeklagte hat dazu erklärt, dass er der Verfasser der Chats mit diesen Nicks war.
676
Abweichend
den Chat-Stellen, in denen er andere Mitglieder der Gruppe anweist, einen Server für die
Internettelefonie der Dropführer anzuwerben und dafür sogar Gelder vorstreckt (Chat mit A1 vom
22.10.2007):
677
K3:
Mach vds, das ist für die Drop-Führer
678
A1: Ein Anruf über T31 klappt bei mir nicht
679
K3: Warum?
680
A1: Weil es keinen Treiber für die Hardware bei XP gibt […]
681
A1: Für wie lange soll ich es nehmen [Anm: gemeint ist wohl "anmieten"]
682
K3: Vorerst für einen Monat. Ich will testen, wie gut es funktionieren wird. vds an Stelle eines
vollwertigen Servers.
683
A1: Domainname?
684
K3: Scheissegal. Sie sollen 3 von seinem Niveau bei sich machen.
Hosting für das
Hinuntergiessen muss funktionieren. Prüfe es
685
A1: Es funktioniert.
686
K3: Hurra, auf mich den Großen.
687
A1: =) Soll ich eine Nummer bei T31 kaufen?
688
K3: Ja. Dann übergibst du
689
A1: An wen?
690
K3:
Alle Ausgaben – dem H3 auf den Tisch.
zurückgegeben.
691
A1: Ich dachte, ich gebe danach jemandem die Nummer. ( Selbstverständlich.
692
K3: Nein, nichts da, sie bekommen nichts. […]
693
A1: Ich habe 40 Dollar ausgegeben
694
K3: Dann übermittle die frohe Nachricht an H3 […]
695
K3: Schreibe es als deine Ausgaben auf und das war es
696
Zudem wurde auf dem Laptop I das Textdokument
"H15.txt"
##.##.2007 auf einem anderen PC erzeugt wurde und am ##.##.2008 auf das Notebook kopiert worden
ist. In diesem Textdokument sind zwei IP-Adressen dokumentiert: die eine ist auf S2isch mit "D6 (Main)"
bezeichnet, die andere mit "N21 (Reserve)". Auf dem ersten Server (
##.##.###.###
mehrere
Finanzagenten-Anwerbeseiten
697
Im zweiten Teil des Textes auf dem Laptop von I war ein dazu gehöriges Root-Passwort gespeichert. Der
Angeklagte hatte demnach einen unbeschränkten Zugang zum Server mit den Finanzagenten-
Anwerbeseiten.
698
Fragmente der IP-Adresse, die auf dem Laptop von I gefunden wurden, belegen zudem, dass der
Angeklagte auch regelmäßig auf dem Server gearbeitet hat.
699
b.)
durch die zum Gegenstand der Hauptverhandlung gemachten Chat-Protokolle und
Auswertungsvermerke sowie der ergänzenden Aussage des Zeugen KHK I19 widerlegt. Die Kammer ist
vielmehr der Überzeugung, dass der Angeklagte auch 2008 weiter eine koordinierende Stellung
innerhalb der Gruppe einnahm, auch wenn er selber sich nicht mehr regelmäßig mit den Überweisungen
beschäftigte.
700
I wurde bei Problemen mit einzelnen Überweisungen tätig. Am
##.##.2008
gerufen, um ein Problem, das bei der Überweisung an den Finanzagenten T12 aufgetreten war, zu
lösen. Dies ergibt sich aus dem Chat mit H3 vom 03.03.2008 (Fälle 20 und 21):
701
H3: Ich brauche dich dringend. Es gab eine Umleitung auf einen Drop.
702
03.03.2008 Überweisung Geschenk KTO ########## BLZ ######## T12 – 3.745,00 EUR
703
03.03.2008 Überweisung Geschenk KTO ########### BLZ ######## T12 – 2.820,00 EUR 704
wie du siehst 2. aber es ist ein Fehler. Es sollte keine 2 Überweisungen geben. E9 sagt, dass
es irgendwo einen Logik-Kampf gibt. Das System überweist, aber da gibt es irgendwo einen
Bug. Kannst Du dir den Code ansehen? So wie ich verstehe, das ist eine Fabrik der
[Substitution]
705
Zahlreiche andere Belegstellen aus den Chats zeigen, dass der Angeklagte aber in den restlichen
Bereichen des Systems seine Aufgaben weiterhin wahrnahm; so z.B. der A1-Chat vom 04.01.2008:
706
K3: Ich möchte ein Bisschen spammen und giessen.
707
I erfüllte 2008 weiterhin seine Aufgaben als "technischer Koordinator", wie sich aus verschiedenen Chat-
Stellen ergibt, z.B. aus dem Chat mit W1 vom
09.01.2008
708
K3: Was genau funktioniert nicht?
709
W1: Nun, sagen wir der Taskmanager. Kein Pferd. wiederum.
710
K3: Wenn bei dir der Taskmanager nicht funktioniert, dann wurde er beschädigt, du musst bei
Windows nachhacken.
711
W1: Wir habe kein privates Sploit, damit es zu 70 Prozent…
712
K3: Das Pferd wird gemacht. Was Sploit anbetrifft – das ist ein Problem.
713
W1: Ich weiß es. Das ist der taskmanager, mit dem die Drops …
714
K3: Das ist eine tödliche Nummer: ich erneure centos [Anm: eine M13-basierte
Arbeitsoberfläche] auf dem Log-Server.
715
W1: nein, nicht der. [unverständlich]
716
K3: Ach so, damit musst du dich an H3 wenden, der es geschrieben hat.
717
Gleiches ergibt sich aus dem Chat von I ("Y1") mit H3 vom 23.01.2008:
718
Y1: Hallo, ich habe die Mitteilung bekommen. Ich wird die Antwort hierhin schicken, weil Jab
die Mitteilung im offline-Modus manchmal verschluckt. Es hat einen Sinn zu
spammen
der Code permanent sauber gemacht wird und die
Drops
[…]
719
Und ebenso aus dem Chat mit H3 vom 31.01.2008:
720
H3: o.k. Schicke mir die Zugangsdaten zu dem Server, wenn du sie hast. A1 hat
Spam
gestartet.
721
Y1: Die Server stellen sich automatisch ein.
722
Dies wird auch durch eine andere Stelle bestätigt. So heißt es im Chat mit A1 vom 12.02.2008:
723
K3: O,
wir spammen
die Vorwahl von C4, ändere das auf etwas anderes. […] Spammst du mit dem alten Pferd?
724
A1: Nein. Wir versuchen das neue ans Laufen zu bringen. die Testversion.
725
K3: Aha, deswegen haben sich alle hier versammelt. Ich glaube mit dem Spam beschäftigen
sich H3 und M2. Oder (?) unterstützt du sie moralisch?
726
A1: Nun, M2 verschickt, H3 organisiert und ich bin ein Hilfsarbeiter (
727
I ist selbst noch Mitte 2008 über die Ergebnisse der Phishing-Attacken informiert und weiß, bei welchen
Überweisungen es zu Problemen gekommen ist (Chat mit G7 vom 20.06.2008:
728
G7: Diese Woche sind 28 Tausend abgerissen worden. Wenn PU in Schieflage kommt,
wird H3 sehr traurig sein, ich habe Angst, dass er es nicht überleben wird.
729
K3: Ich weiß, dass 15 Tausend abgerissen worden sind. Der Drop hat die Zahlen
verwechselt.
730
G7: 15-18
731
K3: Keine Ahnung, vielleicht habe ich es verwechselt.
732
G7: Ein Drop hat 10 bekommen, er ist zur Bank gegangen. Einen oder zwei Tage vorher
hat ihn seine Freundin verlassen und ist durchgebrannt. Die 10 wurden dem nichts
ahnenden Eigentümer zurückgegeben. Ich lüge nicht 28 – 18. Und weitere 8 sind an den
gegangen, der die Zahlen verwechselt hat.
733
"
Abgerissen
nicht durchgekommen sind, weil ein Finanzagent einen Fehler gemacht hat.
734
III.
735
Feststellungen zu den Einzelfällen
736
Die Feststellungen zu den Einzelfällen ergeben sich vor allem aus den Aussagen der über 70
vernommenen Zeugen sowie aus den in die Hauptverhandlung eingeführten Chatprotokollen und
anderen Urkunden.
737
Bei den Zeugen handelte es sich zum einen um die im jeweiligen Einzelfall geschädigten Kontoinhaber
sowie um die entsprechenden Finanzagenten. Letztere konnten im Regelfall Angaben dazu machen,
über welche Seite sie als Finanzagent angeworben worden waren und welche Folgen diese Tätigkeit für
sie hatte. Ergänzend wurden bei Bedarf die entsprechenden Kontoauszüge verlesen.
738
Zur Feststellung der besonderen Folgen wurden nicht nur die Aussagen der Finanzagenten und
Geschädigten herangezogen, sondern auch Drohmails, Ausdrucke der Internet-Seite "T30.O8" sowie
Strafbefehle und Strafurteile verlesen.
739
Aus Gründen der Übersichtlichkeit wurden die Einzelheiten der Beweiswürdigung im direkten
Zusammenhang mit den Einzelfällen dargestellt.
740
IV.
741
Gesamtwürdigung
742
a.)
elterlichen Hauses sichergestellten Rechner gefunden, der vom Angeklagten genutzt wurde. Die
Kammer hat die Chatprotokolle durch Verlesen in die Hauptverhandlung eingeführt und ist sie einzeln
mit dem Angeklagten durchgegangen. Dieser hatte Gelegenheit, die Übersetzung der in S2scher
Sprache geschriebenen Chats zu beanstanden, was er auch bei einzelnen Passagen tat. Dabei
bestätigte der Angeklagte, dass er der Autor der Einträge mit den Pseudonymen
"Y1"
beanstandeten Übersetzungen wurden – soweit für die Beweiserhebung relevant – mittels zweier
Dolmetscher in der Hauptverhandlung überprüft. Die Details der Beweiswürdigung wurden zum
besseren Verständnis bei den Einzelfällen unmittelbar dargestellt.
743
Dabei ist zu beachten, dass es sich bei den vorhandenen Chat-Protokollen nur um einen kleinen Teil der
Gesamtkommunikation zwischen den Gruppenmitgliedern handelt. Aus vielen Stellen geht hervor, dass
man auch
andere
Protokolldateien angelegt oder deren Protokolle gelöscht wurden. Dadurch wird auch erklärlich, dass nur
bei einem Teil der tatrelevanten Überweisungen entsprechende Eintragungen in den Chatprotokollen zu
den Namen der Finanzagenten, der Dropführer usw. aufgefunden werden konnten.
744
b.)
Phishing
eine feste, arbeitsteilige Zusammenarbeit mehrerer ausgelegt ist.
745
Dieses Ergebnis wird durch die verlesenen Chat-Protokollen bestätigt. So z.B. im W1-Chat (Bl. A153).
Dort schreibt I am
19.03.2008
746
K3: Jetzt funktioniert alles richtig: Starten, Arbeit mit Webmin, rndc. schaffe deine Zonen neu
747
W1: O.K., danke schön,
ihr Beitrag für die gemeinsame Sache
geschätzt.
748
Gleiches zeigte sich schon im A1-Chat vom 22.10.2007:
749
A1: Nun du hast geschrieben, dass du irgendwie den W1 und noch ein paar Leute beauftragt
hast.
750
K3: Ja. ## und ##. Jetzt habe ich dich beauftragt und gehe zu W1 über.
751
A1:
Sind sie auch im Team?
752
K3:
Nein.
753
An dieser Stellen wird deutlich, dass die Gruppe feste Strukturen hatte und eindeutig zwischen Personen
unterschied, die der Gruppe und ihren Strukturen angehörten und anderen Personen, mit denen die
Gruppe lediglich geschäftliche Kontakte pflegte (wie z.B. ## und #:#).
754
Die eigentlichen Mitglieder der vorliegenden Gruppe wurden anhand dieses und anderer Chats
identifiziert, wobei Ausgangspunkt immer die entsprechende Aufgabe innerhalb des Phishing-Systems
war. Dabei wurde deutlich, dass zumindest H3, B5, W1, A1 und der Angeklagte I in einer festen Struktur
zusammenarbeiteten; dem im Chat angesprochenen "Team".
755
c.)
Einnahmen
dass es den Gruppenmitgliedern auf regelmäßige Einkünfte ankam. So z.B. aus dem Chat mit B5 vom
05./06.10.2007:
756
B5: [18:33 Uhr] So eine Überweisung ist runter, C8 8500 ist also durch.
757
K3: Hurraaa. Danke ( ich schulde dir einen Cognac ( […] Wann wirst du Geld bei WMZ
[Webmoney-Einheit] haben?
758
B5: Ich denke ungefähr in einer Stunde, ich bestelle jetzt eine Auszahlung.
759
[…]
760
K3: [20:38 Uhr] Was ist mit dem Naler, hat er es ausbezahlt??
761
K3: [21:22 Uhr] Nun, hat der Naler dir Geld überwiesen?
762
B5: eine Sekunde […] Nein, das Geld ist noch nicht da.
763
K3: o.k.
764
B5: Brauchst du es dringend?
765
K3: Ich kann bis morgen warten […]
766
B5: Irgendwie ist das Geld nicht da, vermutlich wird er es morgen überweisen. Er muss mir
insgesamt 9624,84 übergeben. Ich gehe schlafen, schreiben wir morgen einander.
767
[…]
768
B5: [am 06.10.07] Ich habe alles an H3 geschickt. Wenn du es dringend brauchst, kann ich es
überweisen, mit H3 rechnen wir später ab, er hat mir geschrieben, aber ich davor schon alles
überwiesen.
769
K3: keine Frage, ich werde es mit ihm klären.
770
Dass I wöchentliche Einnahmen erwartete, ergibt sich aus dem Chat mit B5 vom 19.10.2007:
771
B5: Bei X2 werden gerade 7 Tausend abgehoben.
772
K3: oh. das heißt etwas Geld wird es für eine Woche geben.
773
Die Feststellungen zum Gesamtumfang der von der Gruppe getätigten Überweisungen ergeben sich aus
einem Chat mit "#:#" vom 22.10.2007, in dem der Angeklagte seinem Chatpartner von dem
Phishingsystem der Gruppe berichtet. Dort heißt unter anderem:
774
Y1: Zum Beispiel, letzte Woche wurden etwa 150 Log´s hinuntergegossen.
775
Die Zahl von ca. 150 Überweisungen pro Woche ist insbesondere vor dem Hintergrund des hohen
Kosten- und Zeitaufwandes der Gruppe realistisch.
776
Die Tatsache, dass H3 für die
Abrechnungen
Gruppe verwaltete, ergibt sich auch aus anderen Chat-Belegstellen, z.B. im Chat mit W1 vom
09.10.2007:
777
K3: Zu der Abrechnung – wenn es Überweisungen geben wird, dann wird es auch eine
Abrechnung geben.
778
W1: o.K., ich verstehe, dass es nicht einfach ist. Was die Abrechnung anbetrifft - alles klar.
779
K3: B5 übergibt so wie so alles an den H3.
780
W1: Ja.
781
K3: H3 macht die
Abschlussbilanz
782
W1: Ich weiß.
783
Die
Aufteilung der Gelder
I für Überweisungen mit den abgephishten Daten aus dem ihm zugewiesenen Unterverzeichnis (D7 2)
20% des Überweisungsbetrages erhalten hat. Wie seine sonstigen Tatbeiträge vergütet wurden ist
dagegen nicht bekannt. Seiner Einlassung vom 10.03.2009, er sei lediglich für die Administrierung des
Servers stundenweise bezahlt worden, folgt die Kammer jedoch nicht. Vielmehr ist sie aufgrund seines
Interesses am Erfolg der Überweisungen (auch der anderen Gruppenmitglieder) davon überzeugt, dass
er generell zu einem bestimmten Prozentsatz an den Überweisungen beteiligt war.
784
C.
785
Rechtslage
786
Nach den getroffenen Feststellungen hat sich der Angeklagte I wegen gewerbs- und bandenmäßig
begangenem
Computerbetruges
Absatz 5 StGB).
787
1.
Server vornahm, hat er jeweils das Ergebnis eines Datenverarbeitungsvorgangs durch unbefugte
Verwendung von Daten beeinflusst.
788
Da das Merkmal der
Unbefugtheit
"betrugsspezifisch" auszulegen ist, ist die Verwendung von Daten dann als unbefugt anzusehen, wenn
sie gegenüber einer natürlichen Person Täuschungscharakter hätte. Das ist unter der Voraussetzung
gegeben, dass die Befugnis des Täters zur Inanspruchnahme der Computerleistung zur
Geschäftsgrundlage gehört, so dass sie auch beim Schweigen der Beteiligten als selbstverständlich
vorausgesetzt werden kann. Dies ist insbesondere auch bei der Eingabe vertraulicher Zugangs- und
Transaktionsdaten (PIN und TAN) im Rahmen des Onlinebankings der Fall, wenn die
Legitimationsdaten durch Phishing erlangt wurden (Fischer, StGB, 56. A., § 263a Rn. 11a).
789
2.
muss sich der Angeklagte als
Mittäter
hatte I Tatherrschaft bezüglich aller dieser Überweisungen, denn ohne seine Tatbeiträge wäre das Delikt
nicht durchzuführen gewesen.
790
Die Mittäterschaft setzt ein bewusstes und gewolltes Zusammenwirken der Beteiligten bei der Begehung
der Tat voraus. Erforderlich sind also ein gemeinsamer Tatentschluss und ein eigener wesentlicher
Tatbeitrag jedes einzelnen.
791
Die Mitglieder der Gruppe um H3 und insbesondere der Angeklagte I haben einen solchen
Tatentschluss gefasst, indem sie überein kamen, durch arbeitsteiliges Handeln gemeinsam die der
Verurteilung zu Grunde liegenden Überweisungen mit den abgephisten Datensätzen durchzuführen.
792
Der
Angeklagte
Beteiligten, der, wenn er verweigert wird, die Tat insgesamt zum Scheitern bringt. Mittäterschaft setzt also
voraus, dass es zur Tatbestandsverwirklichung der Mitwirkung aller bedarf, dass aber zur Hemmung der
Ausfall eines einzelnen genügt.
793
Die Tatbeiträge des Angeklagten waren so wesentlich, dass ohne sie die Taten nicht durchführbar
gewesen wären. Ohne seine Koordinierung im Bereich der Trojanerentwicklung und der Koordinierung
der Spam-Attacken, also der Verteilung der Schadsoftware, wäre es gar nicht erst zur Infizierung der
Rechner der Geschädigten gekommen. Darüber hinaus ermöglichte seine Administration des Log-
Servers und die Ausrichtung der Schadsoftware auf diesen Server erst die Errichtung des Bot-Netzes
794
und das Abphishen der Datensätze. Da I über die Generierung und Verteilung der Sicherheitszertifikate
auch den Zugang zu den Datensätzen steuerte, wären die Überweisungen ohne ihn letztlich nicht
möglich gewesen. Dies gilt auch für die Fälle, in denen der Angeklagte nicht auch selber die
Überweisungen durchführte bzw. W1 die Überweisungen auf seine Anweisung hin mit Datensätzen aus
dem I zugeordneten Verzeichnis D7 2 durchführte.
3.
der Absicht, sich selber einen dementsprechenden Vermögensvorteil zu verschaffen. Denn gerade auf
die Verschaffung der abgephishten Geldmittel kam es den Gruppenmitgliedern an.
795
In den abgeurteilten Fällen kam es stets zur Abbuchung vom Konto der Geschädigten. Damit trat der
angestrebte Vermögensschaden auch ein.
796
4.
Verbrechenstatbestand der
Qualifikation
Angeklagte I und die anderen Mitglieder der Gruppe handelten bei der Begehung der Einzeltaten
gewerbsmäßig
§ 263 a StGB verbunden haben.
797
Zum einen wollten I und die anderen sich durch die Tatbegehung eine nicht nur vorübergehende
Einnahmequelle von einigem Umfang verschaffen und zum anderen handelte es sich bei der Gruppe um
H3 um eine Bande. Denn die Gruppe bestand aus mindestens 5 Personen (I, H3, B5, W1, A1), die sich
mit dem Willen verbunden hatten, auch zukünftig Taten gemäß § 263 a StGB zu begehen.
798
5.
die Fälle 20 und 21 (Finanzagent T12) wurden zusammengezogen, da ihnen ein einheitlicher
Tatentschluss zugrunde lag. Denn die Überweisung ist lediglich durch ein technisches Versehen in zwei
Einzelüberweisungen geteilt worden.
799
Daher hat sich der Angeklagte des gewerbs- und bandenmäßig begangenen Computerbetrugs in 37
Fällen strafbar gemacht.
800
D.
801
Strafzumessung
802
1.
Freiheitsstrafe bis zu 5 Jahren oder Geldstrafe.
803
Die
Qualifikation
Absatz 2, 263 Absatz 5 Alt. 1 StGB einen
Strafrahmen
vor. In minder schweren Fällen wird dieser Strafrahmen abgesenkt auf Freiheitsstrafe von 6 Monaten bis
zu 5 Jahren, § 263 Abs. 5 Alt. 2 StGB.
804
In den Fällen, in denen das zu Unrecht überwiesene Geld an die Hinterleute in Osteuropa weitergeleitet
bzw. in C4 von "Herrn N6" in Empfang genommen wurde, hat die Kammer den Regelstrafrahmen des §
263 Abs. 5 Alt. 1 StGB von einem Jahr bis 10 Jahren Freiheitsstrafe angenommen.
805
Dagegen hat die Kammer einen
minder schweren Fall
Fälle bejaht, in denen das zu Unrecht überwiesene Geld vollständig zurückgebucht werden konnte.
Denn in diesen Fällen wurde der verursachte Schaden zumeist bei den betroffenen Banken zeitnah
wieder gutgemacht. Nur in Einzelfällen wurden die Rückbuchungen von den Banken nicht an die
Geschädigten weitergereicht, was sich jedoch nicht zu Lasten des Angeklagten auswirken darf. Die
Anwendung des Strafrahmens des minder schweren Falles gemäß § 263 Abs. 5 Alt. 2 StGB ist daher
auch im Vergleich zum höheren Strafrahmen des § 263 Abs. 3 StGB angemessen, der Freiheitsstrafe bis
zu 10 Jahren vorsieht.
806
In einem Einzelfall (Fall 102) wurde das Geld vom Finanzagenten nicht weitergeleitet, sondern selbst
verbraucht. Da die Gelder somit aber ebenfalls nicht den Tätern zugute kamen, hat die Kammer auch
hier das Vorliegen eines minder schweren Falls angenommen.
807
2.
davon leiten lassen,
808
dass er nicht vorbestraft ist,
809
810
dass er sich in der Hauptverhandlung weitgehend geständig eingelassen und so auch in einem
gewissen Umfang zur Abkürzung der Beweisaufnahme beigetragen hat,
811
812
dass er in seiner Einlassung vom 07.07.2009 Angaben zur Identität des H3 gemacht hat, auch
wenn die Richtigkeit dieser Angaben nicht mehr überprüft werden konnte,
813
814
dass er bei Begehung der Taten mit 27 Jahren noch relativ jung war,
815
816
dass er sämtliche Tatbeiträge von seinem Computer aus und ohne persönliche Konfrontation mit
den geschädigten Kontoinhabern und den betroffenen Finanzagenten erbracht hat, was zu einer
Herabsetzung der Hemmschwelle geführt hat,
817
818
dass er die Taten bereut,
819
820
dass er ohne Hafterfahrung unter der einjährigen Untersuchungshaft gelitten hat
821
822
und dass gegen ihn zu Unrecht der Vorwurf der Bildung einer kriminellen Vereinigung erhoben
wurde.
823
824
Demgegenüber hat die Kammer neben der Höhe der eingetretenen Schäden zu Lasten des Angeklagten
berücksichtigt,
825
dass er bei der Begehung der Taten straf- und zivilrechtliche Folgen für die eingesetzten
Finanzagenten in Kauf genommen hat,
826
827
3.
des Computerbetruges danach differenziert, wie hoch der
Schaden
weiter geleitet wurde.
828
In den Fällen, in denen es zu einer Weiterleitung der Gelder kam (Strafrahmen von 1 Jahr bis 10 Jahre),
hat die Kammer wie folgt differenziert:
829
Geldbetrag
Strafe
1.000- 2.000 Euro
1 Jahr
2.000 – 3.000 Euro
1 Jahr und 2 Monate
3.000 – 4.000 Euro
1 Jahr und 4 Monate
4.000 – 5.000 Euro
1 Jahr und 6 Monate
5.000 – 7.500 Euro
1 Jahr und 8 Monate
7.500 – 10.000 Euro
1 Jahr und 10 Monate
830
In den Fällen, in denen es nicht zu einer Weiterleitung kam (minderschwere Fälle) hat die Kammer
innerhalb des Strafrahmens von 6 Monaten bis 5 Jahre wie folgt differenziert:
831
Geldbetrag
Strafe
1.000 – 1.500 Euro
6 Monate
1.500 – 2.000 Euro
7 Monate
2.000 – 3.000 Euro
8 Monate
3.000 - 4.000 Euro
9 Monate
4.000 – 5.000 Euro
10 Monate
5.000 – 6.000 Euro
11 Monate
6.000 – 7.000 Euro
1 Jahr
7.000 – 8.000 Euro
1 Jahr 1 Monate
8.000 – 9.000 Euro
1 Jahr 2 Monate
832
9.000 – 10.000 Euro
1 Jahr 3 Monate
Zudem hat die Kammer Aufschläge in den Fällen vorgenommen, in denen besondere Folgen für die
Finanzagenten eingetreten sind. Solche besonderen Folgen hat die Kammer angenommen, wenn die
Finanzagenten von den Dropführern bedroht wurden, wenn sie eine Eintragung in einer sogenannten
"T30" und die damit verbundene Prangerwirkung hinnehmen mussten (Nr. 13, 17, 18, 20, 21, 23 und 32)
oder wenn sie strafrechtliche Konsequenzen zu erdulden hatten (Nr. 2, 3, 6, 22, 24, 31 und 35). In diesen
Fällen hat die Kammer je nach Schwere der Folgen einen Strafaufschlag zwischen 1 bis zu 4 Monaten
vorgenommen.
833
Ebenso wurden Aufschläge von einem Monat in den Fällen gemacht, in denen die Überweisungen zwar
an die Geschädigtenbank zurückgebucht wurden, die Geschädigten selber aber besondere Härten zu
erleiden hatten, weil sie einen Kredit aufnehmen mussten oder nur einen Teil der Summe erstattet
bekamen (Nr. 14 und 29).
834
In den beiden Fällen, in denen es nur zu einer teilweisen Weiterleitung der Gelder ins Ausland
gekommen ist (Nr. 16 und 19), hat die Kammer ebenfalls den Strafrahmen des minderschweren Falls
angewendet. Die teilweise Weiterleitung wurde jedoch mit einem Strafaufschlag zwischen 1 bis 4
Monaten berücksichtigt.
835
Aus diesen Erwägungen ergeben sich folgende Einzelstrafen:
836
Lfd.
Nr.
Fall Datum
Tat
Summe Weiter
geleitet
Besondere Folge
Strafe
01
24 ##.##.07 1.500,- Nein
--
6 Monate
02
33 ##.##.07 5.000,- Nein
Verurteilung nach JGG
10 + 3 Monate
03
22 ##.##.07 2.476,- Nein
Strafbefehl 40 TS zu 15 €
8 + 3 Monate
04
102 ##.##.07 6.297,- Nein
--
1 Jahr
05
13 ##.##.07 1.698,- Nein
--
7 Monate
06
106 ##.##.07 5.000,- Ja
Geldstrafe 1.000,- €
1 Jahr 6 Monate
+ 3 Monate
07
103 ##.##.07 2.497,- Nein
--
8 Monate
08
36 ##.##.07 4.100,- Nein
--
10 Monate
09
9
##.##.07 4.000,- Nein
--
9 Monate
10
98 ##.##.07 4.500,- Nein
--
10 Monate
11
97 ##.##.07 5.000,- Nein
--
10 Monate
12
23 ##.##.07 4.000,- Nein
--
9 Monate
13
82 ##.##.07 4.928,- Nein
Drohungen; Eintrag Schutzliste
10 + 2 Monate
14
30 ##.##.07 4.232,- Ja
musste sich Geld für 2-3 Monate leihen
1 Jahr 6 Monate
+ 1 Monat
15
95 ##.##.07 8.850,- Nein
--
1 Jahr 2 Monate
16
31 ##.##.07 4.400,- teilweise
(1.000,-)
Teilweise Weiterleitung
10 + 2 Monate
17
35 ##.##.07 8.000,- Nein
Drohungen/ Schutzliste
1 Jahr 1 Monat +
2 Monate
18
34 ##.##.07 1.630,- Nein
Drohungen/ Schutzliste
7 + 2 Monate
837
19
18 ##.##.07 4.400,- teilweise
(2.900,-)
Teilweise Weiterleitung
10 + 2 Monate
20
5
##.##.07 3.450,- Ja
Drohungen + Titel 4.464,19 ./. Studenten
1 Jahr 4 Monate
+ 3 Monate
21
93 ##.##.07 7.000,- Ja
Drohungen. Keine Erstattung durch Bank.
Finanzielle Engpässe beim Opfer
1 Jahr 8 Monate
+ 1 Monat
22
40 ##.##.07 6.800,- Nein
Strafbefehl 60 Ts
1 Jahr +1 Monat
23
11 ##.##.07 5.000,- Nein
Drohanrufe
10 + 2 Monate
24
14 ##.##.07 9.500,- Ja
Verklagt auf 9.500,-, 153 a gegen 300,- ; von
Bank nie erstattet
1 Jahr 10
Monate + 2
Monate
25
51 ##.##.07 2.491,- Nein
--
8 Monate
26
12 ##.##.07 6.320,- Nein
--
1 Jahr
27
7
##.##.07 2.613,- Nein
--
8 Monate
28
27 ##.##.07 3.500,- Nein
--
9 Monate
29
8
##.##.07 5.200,- Nein
Bank erstattet nicht komplett zurück
11 + 1 Monate
30
38 ##.##.07 9.570,- Nein
--
1 Jahr 3 Monate
31
17 ##.##.07 2.983,- Ja
500 Bank als Schad, SB 20 TS (700 €)
1 Jahr 2 Monate
+ 2 Monate
32
26 ##.##.07 5.000,- Nein
Schutzliste/Drohung
10 + 2 Monate
33
25 ##.##.07 9.277,- Nein
--
1 Jahr 3 Monate
34
32 ##.##.07 9.200,- Nein
--
1 Jahr 3 Monate
35
29 ##.##.07 3.200,- Ja
Schöffe; SB 90 TS und auf Rückzahl.
verklagt
1 Jahr 4 Monate
+ 3 Monate
36
28 ##.##.07 4.300,- Nein
--
10 Monate
37
20 ##.##.08 2.820,- Nein
-- (Insg.: 6.565,-)
1 Jahr
21 ##.##.08 3.745,-
4.
beträgt 2 Jahre (Nr. 24 / Fall 14) und die Summe der Einzelstrafen übersteigt deutlich die Grenze von 15
Jahren.
838
Diese Einzelstrafen hat die Kammer nach nochmaliger Abwägung unter Berücksichtigung der
gleichförmigen Begehungsweise und durch maßvolle Erhöhung der höchsten Einsatzstrafe auf eine tat-
und schuldangemessene
Gesamtfreiheitsstrafe
839
4 Jahren
840
zurückgeführt (§ 54 StGB).
841
Dabei hat die Kammer insbesondere berücksichtigt, dass die Taten in einem engen zeitlichen und
motivischen Zusammenhang begangen wurden und dadurch stets dasselbe Grunddelikt verwirklicht
wurde. Ebenso hat die Kammer bedacht, dass der wirtschaftliche Gesamtschaden durch die hier
abgeurteilten Taten im Vergleich mit anderen Wirtschaftsstraftaten nicht allzu hoch ist. Obwohl dieser
Umstand gegen eine allzu hohe Freiheitsstrafe spricht, hat die Kammer andererseits berücksichtigt, dass
es sich beim Phishing um Straftaten mit einer hohen kriminellen Energie handelt. Diese kriminelle
Energie kommt vor allem durch das planhafte Vorgehen, die ausgefeilte Arbeitsteilung innerhalb der
842
Bande und den hohen technischen Organisationsgrad zum Ausdruck. Das Delikt ist von Anfang an auf
eine massenhafte Begehung angelegt. Diese Besonderheit hat die Kammer bei der Gesamtabwägung
berücksichtigt und führte zur Verhängung der angemessen hohen Strafe.
E.
843
Teilfreispruch
844
Hinsichtlich der
Fälle 86 und 87
es am ##.##.2005 zur Überweisung von 5.000,- € der Geschädigten I22 und am ##.##.2005 zur
Überweisung von weiteren 3.000,- € vom Konto der Geschädigten E11. In beiden Fällen wurde das Geld
auf das Konto des Finanzagenten T27 überwiesen. Diese Taten wurden zwar auch von der Gruppe um
H3 begangen, was sich aus der Registrierung der Anwerbeseite ergibt, doch bereits zu einem Zeitpunkt,
als der Angeklagte I noch nicht Mitglied der Bande war. Eine Zurechnung der Taten scheidet demnach
aus.
845
F.
846
Kostenentscheidung
847
Die Kostenentscheidung beruht auf §§ 465 Absatz 1, 467 Absatz 1 und 464d StPO.
848