Phishing-Bande: Technischer Koordinator als Mittäter bei § 263a StGB (37 Fälle)

1. Der Angeklagte I wird wegen gewerbs- und bandenmäßig begangenen Computerbetrugs in 37 Fällen zu einer Gesamtfreiheitsstrafe von 4 Jahren verurteilt.

2. Im übrigen wird der Angeklagte freigesprochen.

3. Der Angeklagte trägt ¾ der Verfahrenskosten und seiner Auslagen, im übrigen trägt die Staatskasse die Kosten und notwendigen Auslagen des Angeklagten.

- Angewendete Vorschriften: §§ 263a Abs. 1, Abs. 2, 263 Absatz 5, 52, 53 StGB -

A.

I.

Prozessgeschichte

Am 13.01.2009 erhob die Staatsanwaltschaft C unter dem Aktenzeichen ### Js ###/## Anklage gegen die Angeklagten I und L wegen des Vorwurfs des Computerbetrugs, der Datenveränderung und der Bildung einer kriminellen Vereinigung. Die Anklage wurde am 19.01.2009 unter dem Aktenzeichen 27 KLs 01/09 eingetragen.

Am 10.02.2009 änderte die Kammer bezüglich des Angeklagten I den ursprünglichen Haftbefehl des Amtsgerichts C vom ##.##. #### (## Gs ###/##) ab und fasste ihn neu. Infolge der Neufassung wurden die angeklagten Einzeltaten in unveränderter Reihenfolge erstmalig mit Nummern von 1 bis 106 versehen. Die Bezifferung der Taten in diesem Urteil bezieht sich auf die Nummerierung in diesem neugefassten Haftbefehl:

Mit Beschluss vom 13.02.2009 hat die Kammer das Hauptverfahren gegen die Angeklagten eröffnet, wobei sie eine Eröffnung der Tat zu 104 mangels hinreichenden Tatverdachts ablehnte. Die Hauptverhandlung vor der Kammer fand ab dem 27.02.2009 an insgesamt 22 Verhandlungstagen statt.

Im Verlauf der Hauptverhandlung sind auf Antrag der Staatsanwaltschaft zur Verfahrensbeschleunigung folgende Fälle in Bezug auf den Angeklagten I gemäß § 154 Absatz 2 StPO vorläufig eingestellt worden:

am 10. Verhandlungstag vom 20.04.2009 die Fälle 1, 2, 48, 49, 50, 60, 61, 65, 71, 72, 73, 81, 90 und 91

• am 10. Verhandlungstag vom 20.04.2009 die Fälle 1, 2, 48, 49, 50, 60, 61, 65, 71, 72, 73, 81, 90 und 91

am 13. Verhandlungstag vom 26.05.2009 die Fälle 4, 6, 10, 15, 16, 46, 52, 53, 57, 58, 59, 63, und 104

• am 13. Verhandlungstag vom 26.05.2009 die Fälle 4, 6, 10, 15, 16, 46, 52, 53, 57, 58, 59, 63, und 104

am 19. Verhandlungstag vom 10.06.2009 die Fälle 41, 45, 54, 62, 64, 66, 70, 74, 75,, 76, 77, 85, 89, 99 und 100

• am 19. Verhandlungstag vom 10.06.2009 die Fälle 41, 45, 54, 62, 64, 66, 70, 74, 75,, 76, 77, 85, 89, 99 und 100

am 22. Verhandlungstag vom 07.07.2009 die Fälle 3, 19, 37, 39, 43, 44, 47, 55, 56, 67, 68, 69, 78, 79, 80, 83, 84, 88, 92, 94, 96, 101, 42, und 105.

• am 22. Verhandlungstag vom 07.07.2009 die Fälle 3, 19, 37, 39, 43, 44, 47, 55, 56, 67, 68, 69, 78, 79, 80, 83, 84, 88, 92, 94, 96, 101, 42, und 105.

Ebenfalls in der Sitzung vom 07.07.2009 hat die Kammer auf Antrag der Staatsanwaltschaft die Beschränkung des Verfahrens gemäß § 154a Absatz 2 StPO auf den Vorwurf des Computerbetrugs beschlossen.

Zudem wurde in der Sitzung vom 10.06.2009 zur Beschleunigung des Verfahrens gegen den Angeklagten I, der sich unverändert in Untersuchungshaft befand, das Verfahren gegen den Angeklagten L abgetrennt, da das Ende dieses Verfahrens noch nicht abzusehen war.

II.

Zur Person

( Diverse Angaben zum Lebenslauf des Angeklagten )

Der Angeklagte C5 I ist bis heute nicht strafrechtlich in Erscheinung getreten, [ weitere Angaben zur Person ] und er ist generell strafrechtlich voll verantwortlich.

III.

Zur Tatvorgeschichte

1. Zur Funktionsweise des Phishing allgemein

Unter "Phishing" versteht man das verdeckte "Abfischen" von Zugangs- und Transaktionsdaten, die ein Bankkunde für das Onlinebanking erhält, mit dem Ziel, diese Authentifizierungsdaten anschließend unbefugt zu Lasten fremder Konten einzusetzen.

Die Banken sicherten im tatkritischen Zeitraum ihre Online-Banking-Systeme durchweg mit PINs und TANs. Der Kunde erhielt eine persönliche Identifikationsnummer (PIN), die beim Zugriff auf das Online-Konto abgefragt wurde und eine Liste mit Transaktionsnummern (TAN), mit denen die einzelnen Verfügungen legitimiert werden mussten. Dabei konnte der Kunde – im Gegensatz zum heute vorherrschenden iTAN-Verfahren – die TAN selber von der Liste auswählen.

Das Abfischen der Daten erfolgt auf verschiedene Weise. In der Frühphase dieser Delikte wurden Bankkunden durch angeblich von ihrer Bank stammende, aber in Wirklichkeit gefälschte E-Mails dazu veranlasst, ihre Zugangsdaten (PIN) und eine ihrer persönlichen Transaktionsnummern (TAN) mitzuteilen. Diese Daten konnten dann unmittelbar für unbefugte Überweisungen verwendet werden.

Zunehmend entwickelten die Phishing-Täter – auch als Reaktion auf die Weiterentwicklung der bankeigenen Sicherheitssysteme – ihre Methoden weiter (vgl.: Goeckenjan, Phishing von Zugangsdaten für Online-Bankdienste und deren Verwertung, wistra 2008, 128 ff.). So werden mit Hilfe von E-Mails, welche massenhaft als SPAM versendet werden, Schadprogramme wie Trojaner, Würmer oder Viren auf die Rechner der Betroffenen übertragen, wenn diese die Mails öffnen. Die Schadprogramme können zum Beispiel bewirken, dass sich bei Eingabe der TAN ein Fenster öffnet, in dem der Bankkunde mit dem Hinweis darauf, dass die eingegebene TAN schon verbraucht sei, aufgefordert wird, eine weitere TAN einzugeben. Die zuerst eingegebene TAN wird automatisch an die Phishing-Täter übermittelt.

Auch kann durch Schadprogramme ein sogenannter "keylogger" auf dem befallenen Rechner eingerichtet werden, der verdeckt im Hintergrund sämtliche Tastatureingaben in Formularmasken protokolliert und sog. "Screenshots" (d.h. Standbilder von bestimmten Seiten) anfertigt.

Auch diese Daten werden von den Schadprogrammen automatisch an einen Bezugsrechner, den sogenannten Dropzone- bzw. Logserver übermittelt. Von diesem Server wird regelmäßig auch das Netz der von den Schadprogrammen befallenen Rechner gesteuert, das sogenannte "Bot-Netz".

Die auf einem dieser Wege erlangten Daten werden nunmehr dazu benutzt, die Online-Konten der Geschädigten mit den erlangten PINs und Kontonummern zu öffnen und dahingehend zu überprüfen, ob lohnenswerte Geldsummen vorhanden sind. Wenn dies der Fall ist, führen die Täter mit den ebenfalls "abgephishten" TANs unbefugt Überweisungen von den Konten der Geschädigten durch.

Die Gelder werden dabei üblicherweise zunächst auf Konten sogenannter "Finanzagenten" überwiesen, die zur Verschleierung des Geldflusses zwischengeschaltet werden. Deren Aufgabe besteht darin, die ihnen überwiesenen Gelder in bar abzuheben und mittels eines Auslandsgeldtransferdienstes wie z.B. "X2" oder "N5" in das – in der Regel osteuropäische – Ausland zu transferieren. Der Empfänger im Zielland, der sogenannte "Naler", hebt das Geld in der Folge (meist unter falscher Identität) in bar ab und speist es wieder in das Bankensystem ein.

Durch Online-Zahlungssysteme wie "X3" oder "Q3" werden die Gelder schließlich den Tätern selbst zugänglich gemacht.

Die Anwerbung der Finanzagenten erfolgt regelmäßig durch das Internet. Unter einem Vorwand, der je nach Anwerbeseite sehr unterschiedlich sein kann, werden die Finanzagenten dazu bewegt, ihr Konto für die Überweisung zur Verfügung zu stellen. So kann es z.B. sein, dass die Anwerbeseite eine Scheinfirma präsentiert, die als Geschäftsinhalt angeblich die schnelle Transferierung von Geldern ins Ausland unter Vermeidung bürokratischer Hemmnisse offeriert. Dem Finanzagenten wird ein lukrativer Nebenverdienst dafür versprochen, dass er sein Konto zu Verfügung stellt. Dabei handelt es sich meist um eine prozentuale Beteiligung an den überwiesenen Geldsummen.

Das "Phishing" stellt sich somit als sehr personalintensives und komplexes System dar, das regelmäßig nur arbeitsteilig zu bewerkstelligen ist und das eines hohen Grades an Vorbereitung und Koordination bedarf:

Zum einen müssen die technischen Voraussetzungen geschaffen werden. Es werden Computerfachleute mit hinreichender Programmiererfahrung benötigt, um die Trojaner und die anderen verwendeten Schadprogramme anzufertigen. Daneben werden Personen benötigt, die die Trojaner durch Spammails, Spambanner oder über Sicherheitslücken in bekannten Programmen (sog. "exploits") im Internet verbreiten und mit den so infizierten Rechnern der Opfer ein sogenanntes Bot-Netz ("Bot": von Roboter) aufbauen. Über das Bot-Netz können die infizierten Rechner zentral gesteuert und ohne Kenntnis der Opfer benutzt werden. Die Bot-Rechner werden dabei nicht nur selber nach Konto-Informationen durchsucht, sondern können ihrerseits wieder zum Verbreiten der Spam und Phishing-Mails eingesetzt werden.

Weiter muss ein Logserver angemietet und administriert werden und die infizierten Rechner des Botnetzes müssen auf den Logserver ausgerichtet werden, damit die abgephishten Daten nutzbar werden. Alle diese Tätigkeiten müssen zudem technisch so ausgeführt werden, dass sie möglichst wenig nachverfolgbare Spuren im Internet hinterlassen.

Darüber hinaus müssen Personen gefunden werden, die die abgephishten Daten auf dem Logserver nach ihrer Aktualität sortieren, auf ihre Verwendbarkeit prüfen und die Online-Konten der Geschädigten nach Guthaben durchsuchen, die sich zum Überweisen eignen. Dabei sind jeweils unterschiedliche Besonderheiten der bankinternen Sicherheitssysteme zu beachten, an die die Vorgehensweise angepasst werden muss.

Zum anderen benötigt man ein funktionierendes System, mit dem die Finanzagenten angeworben und geführt werden. Dazu benötigt man neben den Anwerbeseiten im Internet vor allem Personen, die per E-Mail oder Telefon mit den Finanzagenten Kontakt aufnehmen und ihnen Anweisungen für das Weiterüberweisen geben. Diese "Dropführer" (Drop ist der szenegängige Begriff für die Finanzagenten) müssen dabei stets aufpassen, dass die Finanzagenten das Konzept nicht durchschauen. Zudem drängt im Fall einer Überweisung an einen "Drop" die Zeit; denn je schneller der Finanzagent reagiert und das Geld von seinem Konto abhebt, umso größer ist die Wahrscheinlichkeit, dass das Geld auch tatsächlich zu den Geldempfängern (Nalern) weitergeleitet werden kann. Denn in vielen Fällen fallen die Überweisungen den Geschädigten rasch auf und sie veranlassen schnellstmöglich die Rückbuchung der Überweisungen. Durch die Weiterleitung der Gelder per "X2" bzw. "N5" macht sich der Finanzagent selber regelmäßig der fahrlässigen Geldwäsche gemäß § 261 Absatz 5 StGB strafbar.

Als drittes Element bedarf es zum vollständigen "Phishing-System" noch der "Naler", also der Personen, die im Ausland das Geld – zumeist unter falscher Identität – bar abheben und wieder in den Bankenkreislauf einspeisen.

Erschwerend kommt hinzu, dass alle diese Teilbereiche koordiniert werden müssen. So müssen zum erfolgreichen Phishing die Trojaner-Programmierung und die Log-Server aufeinander abgestimmt sein, die Spamwellen müssen regelmäßig mit neuen Versionen der Trojaner versorgt werden und den Personen, die Überweisungen tätigen, müssen Drops zur Verfügung gestellt werden. Dabei müssen die Überweisenden genau beachten, von welchem Konto auf welchen Finanzagenten zu überweisen ist. Denn bestimmte Kombinationen von Banken sichern eine raschere und damit erfolgversprechendere Überweisung als andere Kombinationen. Schließlich müssen auch die "Dropführer" mit den Kontaktdaten der "Naler" in Osteuropa versorgt werden, damit sie ihren Finanzagenten die entsprechenden Weisungen erteilen können.

Alle diese Aufgaben können, da sie teilweise zeitgleich vorzunehmen sind, nicht von einer oder auch zwei Personen durchgeführt werden. Vielmehr ist erfolgreiches Phishing nur durch eine in hohem Maße organisierte Gruppe durchzuführen, die arbeitsteilig vorgeht.

2. Die Organisation des Phishing im konkreten Fall – Arbeitsaufteilung innerhalb der Bande

Die Zentralfigur des hier angeklagten Phishing-Systems, das bereits vor 2007 in Betrieb genommen wurde, war eine Person, die durch ihr Pseudonym "H3" bzw. "H4" individualisiert ist. H3 koordinierte zum einen die Gruppe, er wies den Mitgliedern ihre Aufgaben zu und die Finanzen der Gruppe wurden über ihn abgerechnet. Er errechnete die den einzelnen Gruppenmitgliedern zustehenden Beuteanteile und sorgte für die Auszahlung. Zum anderen war er für die Erstattung von gruppennützigen Aufwendungen an die Gruppenmitglieder zuständig. So wurden etwa Auslagen für die Anmietung von Servern, die die Gruppe zur Aufrechterhaltung des Systems benötigte, bei H3 angemeldet und von ihm erstattet. Zudem stellten H3 sowie eine weitere Person mit dem Pseudonym B5 die "Drops" zur Verfügung und hielten den Kontakt zu den "Dropführern" und "Nalern".

Darüber hinaus war H3 auch mit der Registrierung und dem Aufbau der Finanzagentenanwerbeseiten beschäftigt. Bei den von der Gruppe im tatkritischen Zeitraum genutzten Anwerbeseiten handelte es sich zumindest um die Seiten "G1 D.com", "T2.com" und "T4 .com"

Die Domains der Anwerbeseiten waren vom ursprünglichen Mitangeklagten L im Auftrag des H3 registriert worden. Ob dem L die Hintergründe bzw. die tatsächliche Verwendung der Domains bekannt war, kann hier offen bleiben.

Die zum Phishing benötigte Schadsoftware veraltete aufgrund der ständigen Anpassung der Antivirensoftware sehr schnell, so dass mehrfach pro Woche neue Versionen erstellt werden mussten. Diese wurden teilweise von Gruppenmitgliedern selbst entwickelt, teilweise aber auch von externen Dienstleistern eingekauft. Die ständig benötigten weiterentwickelten Versionen der eingesetzten Trojaner wurden im tatkritischen Zeitraum von einer Gruppe von Programmierern um die Personen mit den Pseudonymen "##" und "#:#" erstellt. Beide waren jedoch nicht Teil der eigentlichen Gruppe, sondern sie lieferten vielmehr auf Bestellung an die Gruppe um H3. Ein weiterer externen Zulieferer für neue Trojanerversionen ist eine Person mit dem Namen "M3".

Das Spammen, also die Verbreitung der Trojaner und anderer Schadprogramme über Bannerwerbung und Mails, wurde in der Gruppe von 4-5 verschiedenen Personen betrieben, wobei jedoch eine Person, der sogenannte "Spammer", hauptsächlich für diesen Bereich zuständig war. Bei dem "Spammer" handelt es sich um A1, der mehrfach Trojaner, die von der Gruppe ## geliefert wurden, testete, um damit zu spammen. Weitere Personen, die sich mit dem Spammen befassten, waren W1 und der ebenfalls nur mit seinem Pseudonym bekannte "M2".

Die auf diese Weise verbreiteten Schadprogramme infizierten die Rechner der Geschädigten und banden sie in ein Bot-Netz ein; d.h. die Programme etablierten eine Verbindung zum Bezugs- bzw. Steuerungsrechner des Netzes und luden von dort neue Programteile nach. Bezugs- und Steuerungsrechner des von der Gruppe errichteten Bot-Netzes war der sogenannte Log-Server. Dieser Server mit der IP-Adresse ##.##.###.## stand (physisch) in I5 und hatte zwei wichtige Funktionen:

Zum einen wurde über dort laufende Programme das Bot-Netz gesteuert. So wurden beispielsweise Befehle an die befallenen Rechner erteilt, weitere Programteile, wie z.B. einen Keylogger nachzuladen, oder es wurden den installierten Schadprogrammen übermittelt, welche Informationen vom befallenen Rechner "abgephisht" werden sollten. Die von der Gruppe benutzten Schadprogramme spähten dabei nicht nur die Datensätze der vom befallenen Rechner benutzten Online-Bankkonten aus – also Kontonummer, Name des Kontos, BLZ, Zugangs-PIN sowie TANs – sondern auch die Zugangsdaten zu einer Vielzahl anderer Online-Services. Darunter befanden sich beispielsweise auch Zugangsdaten zu B4-Konten, F3-Konten oder G4-Accounts wie H2 bzw. X4.de sowie private und geschäftliche Telefonnummern und Adressen.

• Zum einen wurde über dort laufende Programme das Bot-Netz gesteuert. So wurden beispielsweise Befehle an die befallenen Rechner erteilt, weitere Programteile, wie z.B. einen Keylogger nachzuladen, oder es wurden den installierten Schadprogrammen übermittelt, welche Informationen vom befallenen Rechner "abgephisht" werden sollten. Die von der Gruppe benutzten Schadprogramme spähten dabei nicht nur die Datensätze der vom befallenen Rechner benutzten Online-Bankkonten aus – also Kontonummer, Name des Kontos, BLZ, Zugangs-PIN sowie TANs – sondern auch die Zugangsdaten zu einer Vielzahl anderer Online-Services. Darunter befanden sich beispielsweise auch Zugangsdaten zu B4-Konten, F3-Konten oder G4-Accounts wie H2 bzw. X4.de sowie private und geschäftliche Telefonnummern und Adressen.

Zum anderen wurde der Server in I5 als sogenannte "Dropzone" benutzt, d.h. die von den Schadprogrammen befallenen Rechner des Bot-Netzes übertrugen die von ihnen ausgespähten Datensätze an den Log-Server. Dort wurden die Daten in einer Datenbank mit den Unterverzeichnissen "D7 1/logs" bis "D7 5/logs" gespeichert, wobei die einzelnen Unterverzeichnisse verschiedenen Personen zugewiesen waren. A1 waren die Unterverzeichnisse D7 1 und D7 5 zugeordnet, W1 arbeitete mit dem Verzeichnis D7 4 und B5 hatte das Unterverzeichnis D7 3.

• Zum anderen wurde der Server in I5 als sogenannte "Dropzone" benutzt, d.h. die von den Schadprogrammen befallenen Rechner des Bot-Netzes übertrugen die von ihnen ausgespähten Datensätze an den Log-Server. Dort wurden die Daten in einer Datenbank mit den Unterverzeichnissen "D7 1/logs" bis "D7 5/logs" gespeichert, wobei die einzelnen Unterverzeichnisse verschiedenen Personen zugewiesen waren. A1 waren die Unterverzeichnisse D7 1 und D7 5 zugeordnet, W1 arbeitete mit dem Verzeichnis D7 4 und B5 hatte das Unterverzeichnis D7 3.

Zur Verwaltung und Aufbereitung der Daten war in jedem Unterverzeichnis die Anwendung "D8 Stats" auf dem Server installiert.

Die Geschädigten merkten vom Mitprotokollieren der Eingaben durch den Keylogger und die Versendung der Daten an den Log-Server nichts, da diese Prozesse auf dem befallenen Rechner lediglich im Hintergrund liefen. Die TAN-Nummern wurden zumeist dadurch erlangt, dass bei einer Überweisung des Geschädigten eine Seite generiert wurde, die ihn darauf hinwies, die benutzte TAN sei bereits verbraucht. In der Überzeugung, die eingegebene Tan bereits früher verwendet zu haben, gaben die Geschädigten darauf eine zweite TAN ein, die an die Geschädigten-Bank übermittelt wurde. Die erste eingegebene TAN wurde hingegen vom Trojaner abgefangen und an den Log-Server übermittelt.

Zwei weitere Gruppenmitglieder mit den Pseudonymen "W1" und "A1" waren vor allem mit dem Überweisen beschäftigt. Dazu nutzten sie die auf dem Log-Server der Gruppe gespeicherten Daten. Die beiden – sowie eventuell weitere Personen – sortierten die vorhandenen Datensätze, prüften sie auf ihre Aktualität und drangen mit den Zugangsdaten in die Online-Konten der Geschädigten ein, wo sie die Kontostände abfragten. Fanden sie ein Konto mit einem hohen Guthabenbetrag und hohen Überweisungslimits, suchten sie sich aus den von H3 und B5 zur Verfügung gestellten "Drops" einen passenden heraus. Dabei achteten sie darauf, dass das Empfänger-Konto bei einer Bank geführt wurde, die möglichst zum gleichen Banken-Verbund gehörte wie die Bank des Geschädigten. Auf diese Weise verringerten sich die Überweisungszeiten, was wiederum die Gefahr einer Rückbuchung durch die Geschädigten verringerte. War ein passendes Paar aus Geschädigtem-Konto und Finanzagenten gefunden, führten W1 und A1 sowie weitere Personen die Überweisungen durch, indem sie die abgephishten TANs aus der Datenbank des Log-Servers im Online-Konto des Geschädigten einsetzten (das sog. "Gießen"). Auf diese Weise wurden von der Gruppe pro Woche ca. 150 Überweisungen durchgeführt.

Die Überweisenden meldeten den Einsatz der Drops und die Höhe der getätigten Überweisung an B5 oder H3, die die Informationen wiederum an die "Dropführer" weitergaben, welche durch H3 und B5 beaufsichtigt und angewiesen wurden.

Die "Dropführer" setzten sich nach gelungener Überweisung mit den durch die Anwerbeseiten geworbenen Finanzagenten in Verbindung und erteilten diesen detaillierte Anweisungen, die eingehenden Gelder schnellstmöglich abzuheben und per X2 bzw. in einigen Fällen auch per "N5" an genau bezeichnete Personen in S2, dem C17 oder auch in U1 weiterzuleiten. In Fällen, in denen die Finanzagenten nicht schnell genug reagierten oder sich sogar weigerten, die Gelder weiter zu überweisen – etwa weil sie das Geschäftsmodell als unseriös erkannten oder sie von ihren Banken gewarnt worden waren – übten die Dropführer teilweise massiven Druck auf sie aus. Dieser Druck konnte sich in Einzelfällen bis hin zu telefonischen Drohungen oder dem Eintrag in sogenannte "Schutzlisten" im Internet, auf denen die Finanzagenten als Betrüger angeprangert wurden, steigern.

Die Finanzagenten wurden im tatkritischen Zeitraum zumeist durch eine der Anwerbeseiten "G1 D", "T2" oder "T4" geködert. Alle diese Seiten waren sowohl in Aufmachung, Design und dem angeblichen Geschäftsmodell fast identisch. Stets wurde den Finanzagenten suggeriert, bei der Firma, die die Seite betreibe, handele es sich um eine Art Finanzdienstleister. Deren Geschäftsinhalt sei die schnelle und kostengünstige Transferierung von Geldmitteln ins Ausland, unter Umgehung des zeit- und kostenintensiven Bankensystems. Dadurch, dass die "Mitarbeiter" (d.h. die Finanzagenten) die Gelder per Baranweisung über "X2" oder andere Services transferieren würden, sei das Geld viel schneller bei dem Endempfänger. Als Vergütung für die Zurverfügungstellung ihrer Konten und die Weiterleitung des Geldes sollten die Finanzagenten einen Prozentanteil der überwiesenen Summe, der regelmäßig zwischen 5 und 10 Prozent lag, als Lohn einbehalten. Die Finanzagenten erhielten einen "Arbeitsvertrag" sowie einen persönlichen Zugang zur Anwerbe-Seite, von der sie Schulungsmaterial abrufen und Nachrichten der Dropführer erhalten konnten.

Daneben organisierte die Gruppe aber auch andere Formen der Finanzagentenanwerbung, die unabhängig von den oben beschriebenen Anwerbeseiten lief. Dazu gehören u.a. die Fälle aus dem sogenannten "N6-Komplex" in C4, bei denen den Finanzagenten zunächst suggeriert wurde, sie sollten für die "Firma N6" nur Anrufe weiterleiten. Auf die Konten der so geworbenen "Mitarbeiter" wurden sodann Überweisungen mit den abgephishten Datensätzen getätigt. Den vermeintlichen "Mitarbeitern" des Herrn N6 wurde daraufhin telefonisch gesagt, es habe eine Fehlüberweisung auf ihr Konto gegeben; das Geld würde dringend benötigt und man solle es so schnell wie möglich wieder abheben. "Herr N6" würde einen Kurier vorbeischicken, der die Gelder unverzüglich zurück zum Arbeitgeber bringen würde.

In den Fällen, in denen die Gelder erfolgreich ins Ausland überwiesen werden konnten, hoben die Empfänger ("Naler") diese unter Angabe falscher Personalien ab und schleusten sie auf unbekanntem Wege in das Bankensystem ein. Über internetbasierte Überweisungssysteme wie "Q3" und "X3" flossen die Gelder an den H3 zurück, der für die Verteilung der Gelder innerhalb der Gruppe sorgte. Bei diesen Systemen handelt es sich um Online-Zahlungssysteme, die reales Geld in eine Internetwährung umtauschen und global zur Verfügung stellen. Mit dem System können unter anderem Überweisungen getätigt, online-Zahlungen durchgeführt oder Gelder direkt per Karte an Geldautomaten abgehoben werden. Auf diese Weise ist die entsprechende Internetwährung wieder in reales Geld umwandelbar.

Die beteiligten Personen um H3 betrieben das Phishing von Ende 2005 bis zur Verhaftung des Angeklagten im Juli 2008. Dabei handelten sie als Gruppe, die sich zur dauerhaften und planvollen Wiederholung solcher unberechtigten Überweisungen mittels abgephishter Daten zusammengeschlossen hatte.

Aus der fortgesetzten Tatbegehung wollten sich die Mitglieder der Gruppe zudem eine dauerhafte Einnahmequelle verschaffen, mit der sie teilweise ihren Lebensunterhalt bestritten.

Die Banken ersetzen den betroffenen Kontoinhabern in der Regel die entstandenen Schäden, um die Glaubwürdigkeit des Online-Banking-Systems nicht zu gefährden. Zum Teil wurden die Schäden auch durch Versicherungen der Banken gedeckt.

Gegen die beteiligten Finanzagenten wurde fast immer ein Strafverfahren eingeleitet, was den Hintermännern des Phishing-Systems bekannt war. Wegen des äußerst hohen Entdeckungsrisikos wurden die Finanzagenten in der Regel auch nur ein bis zweimal eingesetzt; denn nach kurzer Zeit wurden die Konten der Finanzagenten von den Banken gesperrt. In vielen Fällen kündigten die Banken zudem die Geschäftsbeziehungen zu den Finanzagenten.

IV.

Die abgeurteilten Taten

1. Der Tatbeitrag des Angeklagten I

Der Angeklagte hatte seit Ende 2006 Kontakt zu H3. Im Laufe des Jahres 2007 wurde er ein Mitglied der Bande um H3. Mit der Zeit wurde er ein für das Funktionieren des Gesamtsystems wichtiger Mitarbeiter.

Der Angeklagte war zumindest seit September 2007 unter anderem zuständig für alle technischen Fragen, die mit dem Betrieb und der Weiterentwicklung des Systems zusammenhingen. Er hatte somit die Funktion eines "Technischen Koordinators" der Gruppe inne. Der Angeklagte hielt die verschiedenen technischen Komponenten, die zum Betrieb des Gesamtsystems notwendig waren, betriebsbereit, wartete sie und stimmte sie aufeinander ab. Zudem koordinierte er die Weiterentwicklung der verschiedenen technischen Komponenten für die Gruppe und ermittelte Optimierungspotenziale in deren Abläufen. Schließlich kümmerte er sich im konkreten Problemfall, also bei technischen Ausfällen oder ähnlichem, um die Schadensbehebung.

Wichtigster Teil seiner Aufgaben war die Administrierung des Log-Servers in I5 (IP-Adresse: ##.##.###.##). Von seinem heimischen PC aus konnte der Angeklagte direkt auf den Server zugreifen und wartete die dort laufenden Programme. Er pflegte die Datenbanken D7 1 bis D7 5, in denen die "Logs" von den Schadprogrammen gespeichert wurden. Er organisierte die Datenbestände möglichst bedienungsfreundlich und löschte alte, unbrauchbare Datensätze aus den Verzeichnissen. Ebenso pflegte der Angeklagte das über den Server laufende Bot-Netz.

Der Angeklagte generierte, installierte und verteilte die Sicherheitszertifikate für den Log-Server an die verschiedenen Mitglieder der Gruppe. Die Zertifikate wurden aus Sicherheitsgründen regelmäßig geändert. Er war somit nicht nur für die Sicherheit des Servers zuständig, sondern er gewährte durch die Zurverfügungstellung der Zertifikate den anderen Gruppenmitgliedern erst Zugang zum Log-Server. Zudem kümmerte er sich um die Verlängerung der Mietverträge für die Server der Gruppe.

Seit September 2007 war der Angeklagte aber auch in alle anderen Teilbereiche des Phishing-Systems eingebunden und leistete aktiv Tatbeiträge.

So koordinierte I für die Gruppe die technische Weiterentwicklung der Trojaner und anderer Schadprogramme. Dazu beauftragte er unter anderem die Gruppe um "##" und dessen Stellvertreter "#:#" mit der Entwicklung neuer "Builds" (Versionen) des eingesetzten Trojaners und der kompletten Neuentwicklung eines Trojaners. Dabei gab er z.B. die technischen Anforderungen an die zu entwickelnden Schadprogramme vor, bestimmte den Liefertermin und gab ihnen Informationen über die Struktur des verwendeten Log-Servers. Er wies den "##" auch an, als Bezugsadresse der neuen Trojanerversion die IP-Adresse des Log-Servers einzutragen. Die einzelnen Versionen des Trojaners wurden dabei nicht direkt zwischen I und ## versendet, sondern lediglich über den Filehoster "yousendit" zugänglich gemacht. Versendet wurden lediglich der Zugangscode und der Downloadlink, mit dem I die Datei vom Filehoster abholen konnte.

Auch die Beschaffung neuer Versionen über einen zweiten Zulieferer koordinierte der Angeklagte I für die Gruppe. So beauftragte er im Oktober 2007 W1 damit, bei einer Person namens M3 neue Builds und Spams zu besorgen. Er gab W1 genau vor, er solle zwei neue Builds bestellen und dafür 150 WMZ (dies sind Einheiten der Internetwährung X3) bezahlen. Diese streckte I für die Gruppe dem W1 vor, indem er ihm die entsprechende Summe auf dessen X3-Konto überwies.

Die gelieferten neuen Builds testete der Angeklagte auf ihre Einsatzfähigkeit und Funktionalität. Dabei halfen ihm W1 und A1. Entscheidend bei den Testläufen war, ob die aktuellen Versionen der gängigen Antiviren-Programme das Schadprogramm entdecken konnten und ob die richtigen Daten abgephisht und an den Log-Server übertragen wurden. Zu den getesteten Antivirenprogrammen gehörten u.a. B6, B7, B8, C6, D2, E6, G4, L5, N7, O2, Q4, R1 und W2. Gegebenenfalls forderte der Angeklagte die Programmierer, also "##", "#:#" oder "M3", auch zur Nachbesserung auf.

Erwies sich die neue Version als funktionstüchtig band der Angeklagte I die neuen Versionen in das bestehende Botnetz ein, indem er die alten Versionen ersetzte, bzw. er veranlasste, dass mit den neuen Versionen eine Spamwelle gestartet wurde. Dabei koordinierte er teilweise auch die Spamaktivitäten der Gruppe um H3, auch wenn er nicht primär dafür verantwortlich war, sondern A1. I organisierte aber z.B., dass A1 neue Builds bei "##" abholte und mit dem Spammen begann. Dazu gab er A1 die ICQ-Nummer (Adresse des Chatprogramms) von ## und kündigte A1 bei diesem an.

Somit wirkte der Angeklagte I auf unterschiedliche Weise an der Verbreitung der Trojaner und der Steuerung des Bot-Netzes mit.

Daneben war I auch selbst mit dem Überweisen beschäftigt. Ihm war dafür die Unterabteilung "D7 2" der Log-Server-Datenbank zugeordnet. Die dort befindlichen, von den Schadprogrammen abgephishten Datensätze benutzte er für Überweisungen von den Online-Konten der Geschädigten. Zumindest in den Monaten Oktober und Dezember 2007 beauftragte er mit dem Überweisen aus seiner Datenbank den W1, weil er selber aus Zeitmangel nicht dazu kam.

Ebenso wurde er bei Problemen mit dem Überweisen von H3 mit der Fehlerbehebung beauftragt, d.h. er suchte Fehler bei den Überweisungsvorgängen und behob diese.

Im Bereich der Finanzagentenanwerbung nahm der Angeklagte I gleichfalls Aufgaben für die Gruppe war. So mietete er unter anderem Server an und verlängerte die Mietverträge für die Server, auf denen die Anwerbeseiten liefen. Der Angeklagte hatte einen direkten Administrator-Zugang zu dem Server mit den Finanzagentenanwerbeseiten. Auf diesem Server mit der IP-Adresse ##.##.###.###, der ebenfalls bei dem Hosting-Anbieter "I6" in I5 stand, liefen unter anderem die Finanzagenten-Anwerbeseiten: H5.com, G1 D.com, T2.com und T4.com. I arbeitete regelmäßig von seinem Laptop aus auf diesem Server und wartete ihn für die Gruppe.

Zudem kümmerte sich der Angeklagte um die Bereitstellung von Voice-Over-IP-Systemen (sog. Internettelefonie) für die Dropführer, mit denen die Finanzagenten aus dem Internet im normalen Festnetz angerufen werden konnten, ohne dass die Spuren des Telefonats zurück verfolgbar waren. Zu diesem Zweck beauftrage I den A1, einen "Virtual-Dedicated-Server" für die Internettelefonie der Dropführer anzumieten, auf dem die Voice-Over-IP Programme (z.B. T31) laufen sollten. Die dazu getätigten Ausgaben sollte sich A1 laut I bei H3 zurückholen, der solche "Betriebsausgaben" beglich.

Finanziell war der Angeklagte direkt an den Erfolgen der Gruppe beteiligt. So standen ihm bei Überweisungen, die er selber mit Datensätzen aus seinem Unterverzeichnis tätigte, 20 % des Überweisungsbetrages zu. Für alle weiteren Tätigkeiten, die er im Gesamtsystem entfaltete, wurde er ebenso entlohnt. Dabei ist die genaue Höhe jedoch unbekannt geblieben.

Insgesamt hatte der Angeklagte somit eine Schlüsselstellung als technischer Koordinator und Technikfachmann im Gesamt-System inne, wobei er auf allen Feldern des Gesamtphänomens "Phishing" Tätigkeiten entfaltete. Bis auf die Beteiligung am Überweisen (dem sog. "Gießen") war er bis zu seiner Verhaftung am ##.##.2008 mit diesen Aufgaben betraut. Ohne seine Koordinierung der einzelnen technischen Bestandteile, seine technische Unterstützung bei Software-Problemen sowie seine Entwicklungsleistungen im Bereich des Baus der Phishing-Trojaner und der Spam-Attacken, wäre eine Erlangung der Konto- und Transaktionsdaten und somit der Computerbetrug nicht möglich gewesen.

2. Die einzelnen Taten

Die Gruppe um H3 führte pro Woche zirka 150 unberechtigte Überweisungen durch. Davon waren jedoch nur wenige tatsächlich erfolgreich. Ein überwiegender Anteil der Überweisungen scheiterte auf einem der vielen Zwischenstationen; sei es durch sofortige Rückbuchung, durch zu langsam agierende Finanzagenten oder durch Finanzagenten bzw. "Naler", die das Geld selbst vereinnahmten, anstatt es weiter zu leiten. Der hohe zeitliche und technische Aufwand der Gruppe um H3 lohnte sich für die einzelnen Bandenmitglieder dennoch, da angesichts der relativ hohen Einzelsummen bereits ein geringer Anteil von erfolgreichen Überweisungen zu effektiven Vermögensvorteilen führte. Etwa 10-20 % der Überweisungen hatten Erfolg, was bei 150 Überweisungen pro Woche zwischen 15 und 30 erfolgreiche Überweisungen bedeutete, die im Regelfall zwischen 4.000,- € und 9.000,-€ lagen. Daher handelt es sich bei den hier abgeurteilten Taten lediglich um einen Bruchteil des tatsächlichen Tatumfangs.

Die einzelnen Taten wurden aus Gründen der Übersichtlichkeit, abweichend von der Anklage und dem neugefassten Haftbefehl vom ##.##. 2009, chronologisch geordnet und mit laufenden Nummern versehen. Somit ergeben sich folgende Einzelfälle:

1. Fall 24:

Nachdem von der Gruppe um H3 auf dem Rechner des Geschädigten L9 (E1) ein Schadprogramm installiert und dessen Rechner in das Bot-Netz eingebunden worden war, versuchte der Geschädigte im September 2007 eine Überweisung zu tätigen. Bei der TAN-Eingabe generierte das Schadprogramm eine Fehlermeldung, dass die eingegebene TAN bereits verbraucht sei, worauf der Geschädigte eine weitere TAN eingab. Die angeblich schon verbrauchte TAN wurde in Wahrheit durch die Schadsoftware an den Log-Server der Gruppe weitergeleitet.

Am ##.##.2007 überwiesen Mitglieder der Gruppe um H3 unter Verwendung der abgephishten TAN 1.500,00 € vom Konto des Geschädigten auf das Konto der Finanzagentin S3 (C4). Zu einer Weiterüberweisung durch die Finanzagentin kam es nicht.

Zur Beweiswürdigung:

Der Tatnachweis war hier möglich, da sich aus den auf Is Rechner gefundenen Chats ergibt, dass der Angeklagte (K3) die Finanzagentin S3 am ##.##.2007 erneut einsetzte (Chat mit A1 vom ##.##.2007):

K3: ja.o.k. Wenn wir jemanden gießen lassen – das teilen wir mit.

A1: ich versuche es mit dem L10 [Übersetzung durch I] […]

K3: S3 4 Tausend. M4 […] C8 […] Q5 [details]. Ich habe die aktualisierte Liste abgeholt. […]

K3: [laut übersetzung I] Tritt es beim Versuch es hinunter zu gießen.

A1: vor der TAN-Eingabe. […]

K3: Die TAN wird nicht funktionieren.

A1: Ich habe Q5 geladen.

K3: Ich habe S3 geladen.

A1: Hast du es B5 geschickt?

K3: Ja. ich habe 2 geladen.

Ebenso ergibt es sich aus dem Chat mit B5 vom 05.10.2007:

K3: Was hört man von den Überweisungen?

B5: S3 6 Tausend, ist das Konto am Leben?

K3: Ich schecke es gleich.

B5: C8 […]

K3: 6,5 Tausend sind tot.

B5: Dass heißt, dass der Drop nicht lügt, und ich übe schon den ganzen Tag Druck auf sie aus. […]

Unmittelbar beweisen diese Chatstellen zwar nur, dass der Angeklagte Anfang Oktober 2007 versucht, mit der Finanzagentin "S3" eine zweite Überweisung zu organisieren, während die erste Tat (Fall 24) bereits am ##.##.2007 erfolgte. Der Angeklagte hat in seinen Einlassungen wiederholt betont, seit "Ende September 2007" an den Überweisungen beteiligt gewesen zu sein (s.u.). Angesichts des Umstandes, dass er Anfang Oktober 2007 über die Daten der Finanzagentin verfügte und er in den Chats bereits professionell über das Phishing kommuniziert, muss er bereits vor Anfang Oktober in das Netzwerk von H3 eingebunden gewesen sein. Angesichts der Identität der eingesetzten Finanzagentin hat die Kammer ihm daher den Fall 24 ebenfalls zugerechnet.

2. Fall 33 :

Nachdem von der Gruppe um H3 auf dem Laptop-Rechner der Geschädigten Fa. L11 ein Schadprogramm installiert und der Rechner in das Bot-Netz eingebunden worden war, generierte die Schadsoftware eine TAN-Fehlermeldung, als der Betriebsleiter der Fa. L11, X9 (S5), eine Online-Überweisung tätigen wollte. Tatsächlich wurde die vermeintlich bereits "verbrauchte" TAN an den Log-Server der Gruppe um H3 übermittelt.

Am ##.##.2007 überwies ein Mitglied der Gruppe um H3 unter Verwendung der abgephishten TAN einen Betrag in Höhe von 5.000,00 € vom Geschädigtenkonto auf das Konto des Finanzagenten L6 (I9). Das Geld wurde jedoch nicht dem Konto des Finanzagenten gutgeschrieben, sondern konnte auf das Konto der Fa. L11 zurückgebucht werden.

Der Finanzagent L10 war schon Anfang September 2007 über die Seite "T4" angeworben worden. Bereits am ##.##.2007 wurde eine Überweisung auf sein Konto vorgenommen. Als er zögerte, diese weiterzuleiten, wurde er telefonisch massiv bedroht. Man "wisse, wo er wohne". Der Anrufer sprach gebrochen Deutsch und nutzte eine V5ische oder S2ische Telefonnummer. Daraufhin überwies der Finanzagent insgesamt 4.900,00 € ins Ausland, wobei ihm die Zielpersonen telefonisch mitgeteilt worden waren. Als ihm daraufhin weitere Überweisungen angekündigt wurden, lies er sein Konto sperren. Trotzdem kamen bis Ende November 2007 weitere Überweisungen von ihm Unbekannten auf sein Konto.

Aufgrund der Vorfälle wurde er wegen leichtfertiger Geldwäsche vom Amtsgericht I9 am ##.##.2008 verurteilt. Ihm wurde die Weisung erteilt, sich für die Dauer von 6 Monaten der Leitung und Weisung der Jugendgerichtshilfe zu unterstellen.

( Angaben zur Person des L10 )

Zur Beweiswürdigung:

Die Beteiligung des Angeklagten an der Überweisung vom ##.##.2007 ergibt sich zur Überzeugung der Kammer daraus, dass der Angeklagte eingeräumt hat, bereits Ende September 2007 selbst auch Überweisungen durchgeführt zu haben. Darüber hinaus ergibt sich aus einem Chat mit A1 vom 04.10.2007, dass I den Finanzagenten L10 am ##.##.2007 für eine weitere Überweisung nutzte:

I: [erkundigt sich nach Drops]

A1: "das sind meine letzten; [...] L10, Account # ########, BSB # ######## ab 4 Tausend"

Dies deckt sich mit der Aussage des Finanzagenten, dass bis Ende November noch mehrfach Überweisungen auf seinem Konto eingingen. Da die Gruppe um H3 den Finanzagenten am ##.##.2007 unter Beteiligung von I nutzte, geht die Kammer davon aus, dass der Finanzagent auch am ##.##.2007 von der Gruppe genutzt wurde. Denn der Finanzagent wurde durch die der Gruppe zugeordnete Seite "T4.com" angeworben.

Die Feststellungen zur besonderen Folge für den Finanzagenten beruhen auf der Verlesung des Urteils des Jugendgerichts I9 und der Vernehmung des Zeugen L10.

3.) Fall 22:

Nachdem der Rechner des Geschädigten U3 (N12) von der Gruppe um H3 infiziert worden war, generierte ein Schadprogramm im September 2007 bei einer Standardüberweisung die TAN-Fehlernachricht und übermittelte die TAN an den Log-Server.

Am ##.##.2007 nutzte der Angeklagte diese Datensätze und überwies vom Konto des Geschädigten 2.476,00 € auf das Konto der Finanzagentin T6 (I10). Der Geschädigte entdeckte die Abbuchung zufällig, als er Geld am Automaten abheben wollte und feststellte, dass sein Konto im Minus war.

Die Finanzagentin T6, die über die Seite "G1 D.com" angeworben worden war, erhielt per E-Mail den Auftrag, die eingegangene Summe per X2 oder N5 an einen L12 in St. Q7 weiterzuleiten. Dies versuchte sie auch. Die Überweisung nach St. Q7 wurde jedoch von X2 nicht durchgeführt und an die Finanzagentin zurückgegeben, die es an die Bank des Geschädigten zurückzahlte.

Gegen die Finanzagentin erging am ##.##.2008 ein Strafbefehl des Amtsgerichts T13 wegen leichtfertiger Geldwäsche in Höhe von 40 Tagessätzen zu je 15,00 €, der rechtskräftig wurde. Der Geschädigte erhielt von seiner Bank lediglich 80 % des abgebuchten Betrages zurückerstattet; 20 % musste er selber tragen.

Zur Beweiswürdigung:

Der Tatnachweis ergibt sich in diesem Fall aus dem bei I gefundenen Protokoll des Chats mit A1 vom 04.10.2007:

K3: Wie sieht es bei dir mit Drops aus?

A1: Hat B5 welche?

K3: Nein. Er sagt, er habe alle dir und dem W1 gegeben.

A1: […] ab 4 Tausend […] T6 Account# ######### Rounting/BSB#*: ######## T28. Das sind meine. ausgenommen die letzte. Ich habe es ja auf sie hinunter giessen lassen.

K3: ja, o.k. Wenn wir jemanden giessen lassen – das teilen wir mit.

Die Feststellungen zur besonderen Folge beruhen auf der Verlesung des Strafbefehls des Amtsgerichts T13 vom ##.##.2008 und den Angaben der Zeugin T6.

4.) Fall 102

Nachdem der Rechner der Geschädigten M6 (O4) durch Schadsoftware der Gruppe um H3 infiziert und eine TAN erlangt worden war, überwies ein Gruppenmitglied am ##.##.2007 einen Betrag von 6.297,00 € auf das Konto des Finanzagenten N8 (H7).

Der Finanzagent, der zuvor über die Seite "G1 D" angeworben worden war, bekam am ##.##.2007 einen Telefonanruf von einer gewissen "I11", die ihm die Überweisung der 6.297,00 € ankündigte und ihn anwies, das Geld an bestimmte Personen in Osteuropa weiterzuleiten. Dies versuchte der Finanzagent auch. Da die Übermittlung per X2 jedoch fehl schlug, nahm er das Geld mit nach Hause und verbrauchte es nach und nach für sich selbst.

Gegen den Finanzagenten erging aufgrund dieser Geschehnisse ein Strafbefehl über eine Geldstrafe in Höhe von 2.000,00 €. Zudem wurde seine Wohnung durchsucht, worauf ihm die Wohnung gekündigt wurde. Schließlich wurde ihm auch sein Bankkonto gekündigt.

Zur Beweiswürdigung:

Der Tatnachweis ergibt sich daraus, dass der Finanzagent mit einer Seite angeworben wurde, die der Gruppe um H3 zuzuordnen ist (G1 D) und die Überweisung zu einem Zeitpunkt getätigt wurde, als der Angeklagte Mitglied dieser Gruppe war.

5.) Fall 13:

Nachdem zuvor der Rechner des Geschädigten H8 (E7) mit Schadprogrammen infiziert worden war, wurde auf dem bekannten Weg über die TAN-Fehlermeldung eine TAN-Nummer abgephisht und an den Log-Server übertragen.

Am ##.##.2007 überwies der Angeklagte oder W1 unter Benutzung der abgephishten Daten 1698,00 € an die Finanzagentin Q5 (E2), die durch die Seite "G1 D.com" angeworben worden war.

Das Konto des Geschädigten war nach der Überweisung circa 2.000,00 € im Soll. Die abgebuchte Summe wurde jedoch zurückerstattet.

Auf die gleiche Art wurden in den ersten Oktobertagen 2007 auch vom Konto des Geschädigten K 9425,00 € zu Unrecht auf das Konto der Finanzagentin Q5 überwiesen. Das Geld wurde am ##.##.2007 von Q5 nach S6 weitergeleitet. Das Geld wurde dem Geschädigten K jedoch durch seine Bank ersetzt. Dieser Fall ist nicht angeklagt.

Zur Beweiswürdigung:

Der Nachweis der Tat ergibt sich auch hier aus dem A1-Chat vom ##.##.2007:

K3: Wie sieht es bei dir mit Drops aus?

A1: Hat B5 welche?

K3: Nein. Er sagt, er habe alle dir und dem W1 gegeben.

A1: […] ab 4 Tausend Q5 Account#*: ########## Routing/BSB#*: ######### T29 E2 […]

K3: Wenn wir jemanden giessen lassen – dann teilen wir das mit […]

A1: ich versuche es jetzt mit Q5.

K3: o.k. […]

A1: Hast du Q5 nicht gegossen? Ich habe ihn gerade gegossen.

K3: Nein.

Die Zeugin Q5 hat zwar die Aussage in der Hauptverhandlung gem. § 55 StPO verweigert, ihre Anwerbung über die Seite "G1 D.com" ergibt sich aber zur Überzeugung der Kammer aus den in die Hauptverhandlung eingeführten Ausdrucken der Anwerbe-Seite, die sie zur polizeilichen Ermittlungsakte gereicht hatte.

6.) Fall 106

Nachdem der Rechner der Geschädigten X10 (O5) mit Schadprogrammen der Gruppe um H3 infiziert und eine TAN abgephisht worden war, überwies ein Mitglied der Gruppe am ##.##.2007 mit dieser TAN einen Betrag in Höhe von 5.000,00 € auf das Konto des Finanzagenten L7 (C9).

Der Finanzagent, der über eine S2sprachige Internetseite auf die Homepage von "G1 D" gestoßen war, ließ sich anwerben. Kurz nach der Überweisung der 5.000,00 € erhielt er einen Anruf von einer S2isch sprechenden Person, die ihm die Namen der Empfänger in S2 nannte, an die er das Geld – unter Abzug seiner Provision – weiterleiten sollte. Am ##.##.2007 versandte er per N5 4.665,00 € an eine Person in N13.

Der Finanzagent wurde aufgrund dieser Vorfälle zu einer Geldstrafe in Höhe von 1000,00 € wegen Geldwäsche verurteilt. Die 5.000,00 € wurden der Geschädigten X10 von ihrer Bank ersetzt.

Zur Beweiswürdigung:

Der Tatnachweis ergibt sich daraus, dass der Finanzagent mit einer Seite angeworben wurde, die der Gruppe um H3 zuzuordnen ist (G1 D) und die Überweisung zu einem Zeitpunkt getätigt wurde, als der Angeklagte Mitglied dieser Gruppe war.

Die Feststellung zur besonderen Folge beruht auf der Aussage des Zeugen L7.

7.) Fall 103

Auf die gleiche Weise wie bereits in Fall 102 überwies am ##.##.2007 ein Mitglied der Gruppe um H3 mittels einer abgephishten TAN weitere 2.497,00 € vom Konto der Geschädigten Q8 (H9) auf das Konto des Finanzagenten N8 (H7).

Dem Finanzagenten N8, der zuvor über die Seite "G1 D" angeworben worden war, wurde am ##.##.2007 auch die zweite Überweisung angekündigt. Diese wurde seinem Konto jedoch nicht mehr gut geschrieben.

Gegen den Finanzagenten erging aufgrund dieser Geschehnisse (vgl. auch Nr. 4 / Fall 102) ein Strafbefehl über eine Geldstrafe in Höhe von 2.000,00 €. Zudem wurde seine Wohnung durchsucht, worauf ihm die Wohnung gekündigt wurde. Schließlich wurde ihm auch sein Bankkonto gekündigt.

Zur Beweiswürdigung:

Der Tatnachweis ergibt sich auch hier daraus, dass der Finanzagent mit einer Seite angeworben wurde, die der Gruppe um H3 zuzuordnen ist (G1 D) und die Überweisung zu einem Zeitpunkt getätigt wurde, als der Angeklagte Mitglied dieser Gruppe war.

8.) Fall 36:

Nachdem der PC der Geschädigten H10 (S7) mit Schadprogrammen der Gruppe um H3 infiziert worden war, wurde eine TAN unbemerkt an den Log-Server übertragen.

Diese nutzte der Angeklagte am ##.##.2007 für eine Überweisung in Höhe von 4.100,00 € vom Konto der Geschädigten auf das Konto der T7 (N2). Da die Geschädigte die Abbuchung zeitnah bemerkte, konnte sie durch einen Anruf bei der Bank den Rückruf der Überweisung veranlassen.

Die T7 hatte nicht selbst ihr Konto zur Verfügung gestellt. Vielmehr hatte ihr damaliger Freund, der auch Zugriff auf ihren Computer und ihre Bankkonten hatte, die Kontodaten herausgegeben. Auf welche Weise er angeworben worden war, ist nicht bekannt.

Zur Beweiswürdigung:

Aufgrund des Chats mit B5 vom 09.10.2007 steht zur Überzeugung der Kammer fest, dass die unberechtigte Überweisung von dem Angeklagten I selbst durchgeführt wurde:

K3: Hallo. Ich werde heute überweisen. Hinterlasse mir die Drops.

B5: Ok. Hier sind die Drops: […] T7 Account#*: ######### Routing/BSB#*: ######## N2er ...bank e.G. […] ab 4 Tausend. Auf alle.

K3: ok. [...] [Anm: Unterbrechung um 15:08 Uhr]

K3: [weiter um 17:01 Uhr] ich habe 3 überwiesen. [...] 4.1 Tausend T7 [...]

9.) Fall 9:

Der Geschädigte S8 (P1) erhielt von einem Mitglied der Gruppe um H3 am ##.##.2007 eine Spam-Mail, die seinen Rechner mit einem Schadprogramm infizierte, als er dem Link folgte. Bei der Mail handelte es sich um eine gefälschte Buchungsbestätigung einer C10, deren Betreff wie folgt lautete: "Abbuchung von ihrem Konto". Der Text der Mail lautete:

"Sehr geehrter Kunde!

Ihr Abbuchungsauftrag N AS-############ wurde erfüllt. Ein Betrag von 1741.00 EUR wurde abgebucht und wird ihrem bankauszug als "C18.C10.com" angezeigt.

Sie können ihre bankquittung nach folgendem link erhalten:

http://www.C10. /############

rechnungsabteilung der börse "C18.C10.com".

Wenn Sie Fragen haben, schreiben sie an: @C18.C10.com"

Als der Geschädigte kurz danach eine Online-Überweisung tätigen wollte, erschien die TAN-Fehlermeldung. Er gab eine weitere TAN ein, die an die Bank weitergeleitet wurde, während die erste TAN an den Log-Server übermittelt wurde.

Am ##.##.2007 benutzten der Angeklagte die abgephishten Datensätze, um vom Konto des Geschädigten S8 4.000,00 € auf das Konto des Finanzagenten N9 (C2) zu überweisen.

Der Finanzagent, der zuvor über die Seite "G1 D" angeworben worden war, wurde daraufhin von einem der Dropführer angerufen und nach Geldeingängen gefragt. Die Überweisung war jedoch gar nicht erst auf dem Konto des Finanzagenten gutgeschrieben worden. Das abgebuchte Geld wurde dem Geschädigten nach 2-3 Tagen wieder gutgeschrieben.

Zur Beweiswürdigung:

Dass auch diese Überweisung vom Angeklagten I selber ausgeführt wurde, steht ebenfalls fest aufgrund des Chats mit B5 vom 09.10.2007:

K3: Hallo. Ich werde heute überweisen. Hinterlasse mir die Drops.

B5: Ok. Hier sind die Drops: […] N9 Account#*: ######### Routing/BSB #*: ######## T28.

K3: ok. [...] [Anm: Unterbrechung um 15:08 Uhr]

K3: [weiter um 17:01 Uhr] ich habe 3 überwiesen. [...] 4 Tausend N9.

B5: o.k. […]

K3: [am nächsten Tag] Hört man etwas über die Überweisungen von gestern oder

muss man die Konten checken? [...]

B5: Checke es bitte. wir rufen jetzt die Drops an. […]

K3: N9 ist gestorben. Scheisse.

Mit "gestorben" ist die Rückbuchung der Gelder auf das Ausgangskonto gemeint. Die hier genutzte Phishing-Mail ist zudem aus einem Chat des Angeklagten mit W1 vom 14.11.2007 bekannt. Dort wird sie in wortwörtlicher Übereinstimmung zitiert.

10.) Fall 98:

Nachdem der Rechner der geschädigten Eheleute S9 und T14 G5 (T15) mit Schadsoftware infiziert und eine TAN unbemerkt auf den Log-Server übermittelt worden war, überwies der Angeklagte am ##.##.2007 4.500,00 € auf das Konto der H6.

Das Konto wurde vom Lebensgefährten der Frau H6 (C4), einem C11, als Lohnkonto benutzt. Dieser hatte sich zuvor auf eine Stellenanzeige eines "L13 N6" beworben, die er über die Internetseite "L4.de" gefunden hatte. Die vermeintliche Tätigkeit sollte die Entgegennahme von Kundenanrufen für Herrn N6 sein. Für die Lohnzahlungen sollte C11 eine Kontoverbindung angeben, wobei er das Konto seiner Lebensgefährtin nannte.

Nach der Überweisung rief der vermeintliche "Herr N6" den C11 an und erklärte ihm, seine Tochter habe irrtümlich zu viel Geld überwiesen. Dies brauche er nun dringend zurück und werde dazu einen Kurier vorbeischicken. Die Betroffenen weigerten sich jedoch, das Geld bar herauszugeben.

Das Geld wurde wenig später auf das Konto der Geschädigten zurücküberwiesen.

Zur Beweiswürdigung:

Auch in diesem Fall ergibt sich der Nachweis, dass I selbst die Überweisung tätigte und dass dieser Fall auch der Gruppe um H3 zuzuordnen ist, aus dem Chat mit B5 vom 09.10.2007:

K3: Hallo, ich werde heute überweisen. Hinterlasse mir die Drops.

B5: ok. Hier sind die drops: H6 […]

K3: ok.

K3: […] 4,5 Tausend H6 [...]

K3: [am nächsten Tag] Hört man etwas über die Überweisungen von gestern oder

muss man die Konten checken? [...]

B5: Checke es bitte, wir rufen jetzt die Drops an […]

K3: Sind die anderen am Leben?

B5: H6 ist gestorben.

11.) Fall 97:

Nachdem der PC des Geschädigten K1 (P2) von Schadprogrammen infiziert worden und mittels der bekannten Fehlermeldung eine TAN unbemerkt an den Log-Server übertragen worden war, überwies der Angeklagte am ##.##.2007 einen Betrag von 5.000,00 € vom Geschädigtenkonto auf das Konto der D3 (C4). Dabei schöpfte er das Überweisungslimit vollständig aus.

Frau D3 hatte sich ebenfalls auf die Stellenanzeige des "Herrn N6" beworben und hatte ihre Kontoverbindung angegeben. Nach der Überweisung erhielt sie einen Anruf, N6s Tochter habe versehentlich 5.000,00 € an sie überwiesen. Um schnell wieder an das Geld zu kommen, würde er ein Taxi vorbei schicken. Der Taxifahrer sollte das Geld abholen. Dies lehnte Frau D3 jedoch ab. Am ##.##.2007 wurde dem Geschädigten das Geld zurück überwiesen.

Zur Beweiswürdigung:

In diesem Fall ergibt sich der Tatnachweis dafür, dass I selber die Überweisung vorgenommen hat, aus dem Chat mit W1 vom 10.10.2007:

K3: gibt es noch einen freien Drop?

W1: Mehr als genug.

K3: rüber damit. Ich habe eine Konto gefunden.[…]

W1: […] Name of account: D3 3 – 9.5 Tausend von jedem beliebigen Ort.

K3: Was ist das für ein Name – D3?

W1: Der H3 hat gegeben. So wie er es gegeben hat, so habe ich es an dich weiter geleitet […]

K3: Ich habe sie hinuntergegossen.

Dass I 5.000,00 € überwiesen hat, ergibt sich aus der Meldung der Überweisung an B5 (Chat mit B5 vom 10.10.2007):

K3: Gib mir einen Drop.

B5: O.K. Eine sekunde.

K3: Alle. Ich habe es bei W1 genommen.

B5: O.K. […]

K3: 5 k [Anm.: "k" bedeutet "kilo" = tausend] D3.

B5: 5 Tausend D3, für wen ist das?

K3: Name of bank: T16 Bank Adressof Bank: C4 Routing/BSB‘*: ######## Account‘*: ####### Name of Account: D3. 3 – 9 Tausend von jedem Ort.

12.) Fall 23

Nachdem der Rechner des Geschädigten N14 (W3) von der Gruppe um H3 infiziert worden war, phishten die installierten Schadprogramme ein TAN-Nummer ab. Diese wurde am ##.##.2007 vom Angeklagten selber für die Überweisung von 4.000,00 € vom Konto des Geschädigten auf das Konto der Finanzagentin U2 (M7) genutzt.

Die Finanzagentin war zuvor über die Seite "G1 D.com" geworben worden. Sie wurde zwar noch vom Dropführer über das eingehende Geld informiert. Die überwiesene Summe wurde jedoch so schnell wieder zurückgebucht, dass sie es nicht mehr abheben konnte. Die Empfängerdaten hatte die Finanzagentin bis dahin noch nicht mitgeteilt bekommen.

Zur Beweiswürdigung:

Der Tatnachweis ergibt sich in diesem Fall aus zwei Chatstellen. Dass I selber die Überweisung durchführte, ergibt sich aus dem Chat mit W1 vom 10.10.2007:

K3: Gib mir noch einen Drop.

W1: Gleich. U2 Account#*: ######### Routing/BSB#*: ######## Q9. ab 4 Tausend.

K3: Ist nicht durchgekommen.

W1: Gieße auf die gleiche hinunter. ich kann niemanden finden, der gut ist – auf diese Art wirst du sie alle selbst hinuntergießen.

K3: [Anm: zirka 20 Minuten später] Ich habe die U2 hinuntergegossen.

Aus der Vollzugsmeldung an B5 ergibt sich wieder die Höhe der Überweisung, die I auf das Konto der U2 vorgenommen hat (Chat mit B5 vom 10.10.2007):

K3: Gib mir einen Drop.

B5: O.K. Eine Sekunde.

K3: Alle. Ich habe es bei W1 genommen.

B5: O.K. […]

K3: U2 Account#*: ######### Routing BSB#*:######## Q9

4 k [Anm.: 4 k bedeutet 4 Tausend]

13.) Fall 82

Nachdem der Rechner des Geschädigten T17 (I12) zuvor mit Schadprogrammen der Gruppe um H3 infiziert und eine TAN beim Online-Banking des Geschädigten auf den Log-Server umgeleitet worden war, überwies eine Mitglied der Gruppe um H3 am ##.##.2007 einen Betrag von 4.928,00 € auf das Konto der Finanzagentin Q6 (T18 See).

Die Finanzagentin, die zuvor über die Seite "T2-" angeworben worden war, erhielt nach dem Geldeingang eine E-Mail mit den Angaben, wohin sie das Geld – unter Einbehaltung von 5 % Provision – weiter überweisen sollte. Sie hob das Geld auch zunächst ab. Da sie jedoch einen Warnanruf ihrer Bank erhielt, zahlte sie das Geld wieder auf ihr Konto ein.

Daraufhin erhielt sie per e-mail massive Drohungen. Unter anderem wurde ihr mit strafrechtlicher Verfolgung gedroht, wenn sie das Geld nicht wie gefordert ins Ausland überweisen werde:

"Die Person, die sich weigert, Vertragskonditionen einzuhalten, kann weltweit strafrechtlich geahndet sowie von der betrogenen Gesellschaft unaufhörlich verfolgt werden. Wir haben daher ihre Daten an sachkundige Behörden weitergeleitet, damit sie den Fall zu untersuchen anfangen.

Nun versichern wir sie, dass während der nächsten Tage all Ihre Personalangaben inklusive der Anschrift, der Telefonnummer, der IP-Adresse usw. an staatliche und private Institutionen Deutschlands verschickt werden, um Ihren rechtswidrigen Handlungen auch in Zukunft vorbeugen zu können. Darüber hinaus bereiten unsere Anwälte eine gerichtliche Klage bezüglich Ihrer Betrügereien und Verleumdung vor. Ihre Personaldaten haben wir an diverse Gesellschaften verschickt, die gegen Schwindler wie Sie kämpfen. Die Website einer solchen Organisation lautet http://www.T30.O8.

Es ist sehr traurig, dass Sie sich zu so einem Problem verurteilen. Glauben Sie uns, von nun an wird Ihr Leben viel komplizierter sein. Das Letzte, was Ihnen helfen kann ist eine Chance, die wir Ihnen geben möchten. Dieser Möglichkeit zufolge bitten wir Sie alle Vertragsbedingungen streng einzuhalten und die Überweisung abzuwickeln. Sie haben die Zeit bis Ende des Tages. Lassen Sie uns die Überweisungsdetails über X2 noch heute zukommen, ansonsten sind wir nicht mehr hilfreich und Sie werden zur Verantwortung gezogen.

MfG

H11

T2 Dienst"

Darüber hinaus wurde sie mit vollem Namen, Adresse, Geburtsdatum und Telefonnummer auf der Seite www.T30.O8 eingetragen. Laut der Seitenbeschreibung sind auf dieser Seite die Namen von Mitarbeitern veröffentlicht, die ihren Arbeitgeber betrogen hätten.

Der überwiesene Betrag wurde auf das Konto des Geschädigten zurücküberwiesen.

Zur Beweiswürdigung:

Der Tatnachweis ergibt sich auch hier daraus, dass der Finanzagent mit einer Seite angeworben wurde, die der Gruppe um H3 zuzuordnen ist (T2-.com) und die Überweisung zu einem Zeitpunkt getätigt wurde, als der Angeklagte Mitglied diese Gruppe war.

Die Feststellungen zur besonderen Folge beruhen auf der Verlesung der Mail vom 11.10.2007 und eines Ausdrucks der Seite "T30.O8" sowie der Vernehmung der Zeugin Q6.

14.) Fall 30:

Der Rechner der Geschädigten I13 (C4) wurde von der Gruppe um H3 mit einem Trojaner infiziert, der die bekannte TAN-Fehlermeldung generierte und so eine TAN unbemerkt an den Log-Server der Gruppe weiterleitete.

Mit dieser TAN überwiesen am ##.##.2008 entweder der Angeklagte selbst oder W1 vom Konto der Geschädigten 4.232,00 € auf das Konto von T8 (L14).

Deren Mutter F5 T8 hatte sich zuvor auf eine Stellenanzeige eines "L13 N6" beworben, die sie über die Internetseite "L4.de" gefunden hatte. Die vermeintliche Tätigkeit sollten Telefondienstleistungen für Herrn N6 sein. Für Lohnzahlungen musste sie eine Kontoverbindung angeben. Dabei gab F5 T8 jedoch nicht ihr eigenes, sondern das Konto ihrer Tochter an.

Am ##.##.2007 meldete sich "Herr N6" fernmündlich bei Frau T8 und teilte mit, dass von seiner Tochter versehentlich 4.232,00 € auf ihr Konto überwiesen worden seien. Frau T8 solle den Geldbetrag abheben und diesen in einen Briefumschlag legen. Ein Kurier würde den Briefumschlag abholen, da "Herr N6" keine Zeit habe. Das Geld wurde am gleichen Tag von einem Kurierfahrer im Auftrag des "Herrn N6" bei T8s zuhause abgeholt und am Zielort einem Mann ausgehändigt, der sich als L13 N6 ausgab. Die Stimme des "Herrn N6" hatte einen rheinischen Akzent.

Durch die Überweisung geriet das Konto der Geschädigten tief ins Soll. Zwar wurden ihr nach 2-3 Monaten die Gelder von der Bank zurückerstattet, doch hatte sie sich in der Zwischenzeit Gelder zum Lebensunterhalt leihen müssen.

Zur Beweiswürdigung:

Der Tatnachweis für diesen zum Komplex "N6" gehörenden Fall beruht auf dem Chat mit W1 vom 10. und 11.10.2007:

W1: [am 10.10.] T8 Account#*: ########## Routing/BSB#*: ######### […] Diese habe ich bei B5 bekommen […]

W1: [am 11.10.] ich habe drops bekommen, ich bin kurz weg und mache dann weiter. Beim B5.

K3: o.k. Teile mit mir die Drops. Sag Bescheid, wenn du jemanden hochgeladen hast. Ich werde auch laden.

W1: Gleich. […] T8 […]

Die Höhe der Überweisung ergibt sich wieder aus der Mitteilung der erfolgreichen Überweisung an B5 (Chat mit B5 vom 11.10.2007):

K3: 4.2 Tausend T8.

B5: ok.

Die Feststellungen zu den besonderen Folgen bei der Geschädigten beruhen den Aussagen der Zeugin I13.

15.) Fall 95

Nachdem der Rechner des Geschädigten X11 (E) durch Schadsoftware der Gruppe um H3 infiziert und eine TAN mittels der bekannten Fehlermeldung an den Log-Server übermittelt worden war, überwies ein Mitglied der Gruppe um B5 am ##.##.2007 einen Betrag von 8.550,00 € auf das Konto der I7.

I7 (C4) hatte sich auch auf eine Anzeige des "Herrn N6" beworben. Nach der Überweisung bekam auch sie einen Anruf, dass die Tochter des Herrn N6 fälschlicherweise Geld auf ihr Konto überwiesen habe und er es sofort zurück brauche. Sie solle es ihm in bar übergeben. Dies lehnte Frau I7 jedoch ab.

Die Gelder konnten dem Geschädigten zurück überwiesen werden.

Zur Beweiswürdigung:

Die Tat ist dem Angeklagten zuzurechnen, weil sie zum sogenannten "N6-Komplex" in C4 gehört. Die Anwerbung der Finanzagenten unter dem Pseudonym N6 wurde in der tatkritischen Zeit von den Dropführern der Gruppe um H3 eingesetzt. Der Angeklagte war zum Zeitpunkt der Überweisung Mitglied dieser Gruppe.

16.) Fall 31

Nachdem der Rechner des Geschädigten T19 zuvor mit Schadprogrammen infiziert und eine TAN abgephisht worden war, überwies W1 unter Einsatz der TAN am ##.##.2007 vom Konto des Geschädigten 4.400,00 € auf das Konto des X5.

Herr X5 (C4) hatte sich zuvor auch über das Jobportal "L4" auf die Stellenanzeige des "Herrn N6" beworben und seine Kontodaten übermittelt. Auch X5 wurde am Tag nach der Überweisung von "N6", der mit rheinischem Akzent sprach, telefonisch mitgeteilt, dass seine Tochter "M12" versehentlich Geld auf sein Konto überweisen habe und er es schnellstmöglich zurück brauche. Daher solle er das Geld abheben und einem Kurierfahrer übergeben. X5 hatte jedoch lediglich 1.000,00 € zur Verfügung und übergab auch nur diese Summe an einen Kurierfahrer der Fa. B9. Dieser war von "N6" beauftragt worden.

Die Überweisung der 4.400,00 € wurde schon am ##.##.2008 wieder zurückgerufen. Die bar übergebenen 1.000,00 € wurden Herrn X5 jedoch nicht ersetzt.

Zur Beweiswürdigung:

Die Tat ist dem Angeklagten zuzurechnen, da die Anwerbung der Finanzagenten unter dem Pseudonym "N6" in der tatkritischen Zeit von den Dropführern der Gruppe um H3 eingesetzt wurde. Der Angeklagte war zum Zeitpunkt der Überweisung Mitglied dieser Gruppe.

Zudem belegt der Chat mit W1 vom 15.10.2007, dass I mit dem Bankkonto des Finanzagenten X5 am Tag der Überweisung arbeitete:

K3: Welche TAN hast du eingegeben? Um den Prozess des Pferdes zu sehen: net Stopp new_drv.

W1: Name of account: X5, 4.400

K3: sag es dem H3

W1: ich habe es gesagt.

17. und 18.) Fälle 35 und 34:

Nachdem der Rechner des Geschädigten V2 aus I2 (Fall 35) durch die Gruppe um H3 mit einem Trojaner infiziert worden war, generierte dieser während einer Online-Überweisung des Geschädigten eine Fehlermeldung. Die in Wahrheit an den Log-Server weitergeleitete TAN nutzte W1 am ##.##.2007 für eine Überweisung in Höhe von 8.000,00 € auf das Konto der Finanzagentin V1 bei der T28 Q10.

Auf die gleiche Weise wurde eine TAN der Geschädigten E8 aus H12 (Fall 34) abgephisht. Auch diese TAN wurde am ##.##.2007 von W1 oder dem Angeklagten zu einer Überweisung in Höhe von 1.630,00 € auf das Konto der Finanzagentin V1 genutzt.

Die Finanzagentin V1 (N1), die zuvor über die Anwerbeseite "G1 D" angeworben worden war, wurde zunächst per E-Mail und später auch telefonisch über die Geldeingänge und die Empfänger in Osteuropa informiert. Da sie jedoch Bedenken bekommen hatte, täuschte sie den Anrufern einen Unfall vor, um Zeit zu gewinnen. Daraufhin wurde sie telefonisch massiv bedroht. Diese 4-5 Anrufe an einem Tag wurden von mehreren Männern und auch einer Frau durchgeführt, die teilweise einen osteuropäischen Akzent hatten. Zudem wurde ihr auch per E-Mail gedroht, ihren Namen auf einer sogenannten "T30" im Internet zu veröffentlichen. Auf dieser Seite solle vor ihr als einer betrügerischen Geschäftspartnerin gewarnt werden. Die Finanzagentin wurde durch diese Vorkommnisse in große Angst versetzt. Zudem kündigte ihre Bank das Konto, wodurch ihr Dispositionskredit umgeschichtet werden musste. Durch diese Umschichtung musste sie nunmehr höhere Zinsen zahlen.

Die 8.000,00 € wurden dem Geschädigten V2 am ##.##.2007 zurück überwiesen. Auch die 1.630,00 € konnten auf das Konto der Geschädigten E8 zurückgebucht werden.

Zur Beweiswürdigung:

Der Nachweis, dass W1 die Überweisungen in Abstimmung mit dem Angeklagten I durchgeführt hat, gelingt aufgrund der bei I gefundenen Protokolle der Chats mit W1 und B5. Zunächst teilt W1 die erfolgreiche Überweisung dem Angeklagten mit (Chat vom 16.10.2007):

W1: An : V1 ,

Betrag: 8.000,00 EUR

Ausfurhungstermin: 16.Okt. 2007.

K3: Ich werde verrückt. Der Autor ist gut.

Am 17.10.2007 erkundigt sich I bei B5 danach, ob die Überweisungen von den Drops weitergeleitet wurden (Chats vom 17.10.2007 und 19.10.2007):

K3: Hallo. W1 hat gestern 8 an dich hinuntergegossen. Hat er es dir gesagt?

B5: ja.

K3: Hurra. [...]

B5: Die Überweisung ist angekommen, der Drop hat vor, zur Bank zu fahren.

K3: yoooooo. Ich bin glücklich.

B5: Es ist noch zu früh. Wer weiß, was noch passieren kann.

K3: Das stimmt auch. Gut, dass man es wenigstens nicht geblockt hat.

B5: ja.

K3: [zwei Stunden später] Was hört man von dem Drop.

B5: Er müsste bereits bei X2 überweisen. Ich warte auf die Detaills. [...]

K3: [Chat vom 19.10.2007] Was hört man von den Überweisungen von W1? [...]

B5: [...] V1 8 Tausend, sie sagte vorgestern, dass alles o.k. ist, dann hat sie geschrieben, dass sie einen Unfall hatte, hat aber versprochen es abzuschicken, das war es, jetzt können wir sie nicht erreichen. [...]

Über die von den Dropführern aufgebaute Drohkulisse, insbesondere die Drohanrufe, hat die Zeugin V1 glaubhaft in ihrer Aussage berichtet.

19.) Fall 18:

Nachdem der Rechner der Geschädigten M8 (E1)von der Gruppe um H3 mit Schadprogrammen infiziert worden war, generierten diese während eines Überweisungsvorgangs die bekannte TAN-Fehlermeldung, die Nummer sei bereits verbraucht. Tatsächlich wurde die TAN-Nummer an den Log-Server übermittelt und am ##.##.2007 von W1 und dem Angeklagten genutzt. Sie überwiesen 4.400,00 € vom Konto der Geschädigten auf das Konto der Finanzagentin T9 (N1). Die Geschädigte bemerkte die Abbuchung erst am Wochenende. Als am Montag ihre Bank wieder öffnete, war die Überweisung nicht mehr zurück zu buchen.

Auf dem Konto der Finanzagentin wurden am ##.##.2007 die vollen 4.400,00 € gutgeschrieben. Am gleichen Tag hob sie einen Betrag in Höhe von 2.900,00 € ab und versandte per X2 2.500,00 € nach Q11.

Erst Ende Oktober 2007 wurde der Geschädigten das Geld von ihrer Bank erstattet. Die Kosten für mehrere Rücklastschriften in der Zwischenzeit wurden ihr jedoch nicht ersetzt.

Zur Beweiswürdigung:

Der Tatnachweis beruht zunächst auf dem Chat mit W1 vom 11.10.2007:

W1: Ich habe drops bekommen, ich bin kurz weg und mache dann weiter. Beim B5.

K3: o.k. Teile mit mir die Drops. Sag Bescheid, wenn du jemanden hochgeladen hast. Ich werde auch laden.

W1: Gleich. T9 Account#*: ######## Routing/BSB#*: ######## Q9.

Am 19.10.2007 erkundigt sich I nach dem Erfolg der Überweisung (Chat mit B5 vom 19.10.2007):

K3: Hallo, was hört man von den Überweisungen von W1?

B5: Hallo. M4 3450 +++++++ T9 4.4 K zur Hälfte ++++ M5 7 Tausend holen wir über X2 [...]

20.) Fall 5:

Nachdem der Computer der Zeugin N15 (P3) durch die Schadsoftware der Gruppe infiziert worden war, generierte diese bei einer Überweisung der Geschädigten am ##.##.2007 eine Fehlermeldung, dass die eingegebene Tan bereits verbraucht sei. Tatsächlich war die TAN noch nicht verbraucht, sondern wurde unbemerkt an den Log-Server in I5 weitergeleitet.

Am ##.##.2007 beschäftigten sich A1 und der Angeklagte mit dem Überweisen der eingegangenen Logs. Dabei überwies I bzw. W1 für I unter Nutzung der abgephishten TAN 3.450,00 € an den zuvor als Finanzagenten geworbenen M4 (N2). Dabei schöpften sie sogar teilweise den eingeräumten Dispositionskredit aus, so dass das Konto nach der Überweisung ca. 2.000,00 € im Soll stand.

Der Finanzagent M4 war bereits einige Zeit vorher über die Anwerbeseite "G1 D.com" geworben worden, als er einen Nebenjob im Internet suchte. Er reichte dort per FAX seine Personaldaten, eine Kopie des Personalausweises sowie seine Kontoverbindung ein. Umgehend wurde ihm ein "Vertrag" zugesandt, den er unterschrieben zurückfaxen sollte. Per E-Mail wurde ihm der Eingang der Überweisung angekündigt und die Zieldaten für die Weiterüberweisung übermittelt. Zudem wurde er zwei mal von einem mit starkem Akzent F7 sprechenden Mann wegen der Überweisungen angerufen. Daraufhin hob M4 die eingegangenen Gelder ab und überwies sie der Anweisung gemäß unter Einbehalt von 5 %, die ihm als Lohn zustehen sollten, in die U1.

Als Folge der Überweisung wurde dem Finanzagenten M4 das Konto bei seiner Bank gekündigt. Erst nach 3 Wochen gelang es ihm, ein neues Konto zu eröffnen. Zudem wurde er von der Geschädigten, Frau N15, zivilrechtlich in Anspruch genommen. Diese hat mittlerweile einen vollstreckbaren Titel über 4.464,19 € gegen ihn erwirkt, den dieser jedoch aufgrund seiner Einkommenssituation als Student nicht bedienen kann.

Die Geschädigte selbst konnte ihr Konto nur unter großen Mühen wieder ausgleichen. Das unberechtigt überwiesene Geld ist der Geschädigten Frau N15 bis heute nicht ersetzt worden.

Zur Beweiswürdigung:

Aus dem Chat des Angeklagten mit A1 vom 04.10.2007 ergibt sich, dass der Finanzagent bereits Anfang Oktober angeworben wurde:

K3: Wie sieht es bei dir mit Drops aus?

A1: Hat B5 welche?

K3: Nein. Er sagt, er habe alle dir und dem W1 gegeben.

A1: 4 Tausend M4 […] C8 […] Q5

Q5 […] T6 […]. Das sind meine. Ausgenommen die letzte. Ich habe es auf sie hinuntergießen lassen.

K3: ja. o.k. Wenn wir jemanden gießen lassen – das teilen wir mit.

A1: ich versuche es mit dem L10 [Übersetzung durch den Angeklagten

I] […]

K3: S3 4 Tausend. M4 […] C8 […] Q5 […]. Ich habe die aktualisierte Liste abgeholt. […]

Die Überweisung vom ##.##.2007 ist über den Chat mit B5 vom 19.10.2007 dem W1 zuzurechnen:

K3: Hallo, was hört man von den Überweisungen von W1?

B5: Hallo. M4 3450 +++++++ T9 4.4 K zur Hälfte ++++ M5 7 Tausend holen wir über X2 [...]

Die Feststellungen zu den Folgen für den Finanzagenten beruhen auf der Vernehmung des Zeugen M4. Die Auswirkungen für die Geschädigte ergeben sich aus der Vernehmung der Zeugin N15.

21.) Fall 93:

Nachdem zuvor der PC des Geschädigten H13 (T20) von der Gruppe um H3 mit Schadsoftware infiziert und eine TAN mittels einer TAN-Fehlermeldung auf den Log-Server der Gruppe um H3 umgeleitet worden war, überwies W1 am ##.##.2007 einen Betrag von 7.000,00 € vom Konto des Geschädigten auf das Konto des Finanzagenten M5 (X12). Diese Summe schöpfte das Überweisungslimit zum damaligen Zeitpunkt aus.

Der Finanzagent, der über die Seite "G1 D" angeworben worden war, erhielt am ##.##.2007 per Mail die Anweisung, die eingehenden 7.000,- € in die U1 weiterzuleiten. Dabei sollte er die Summe splitten und in zwei Tranchen per X2 einzahlen.

Am ##.##.2007 erhielt er drohende Mails, er möge schnellstens weiter überweisen. Dadurch eingeschüchtert hob er am ##.##.2007 von seinem Konto 6.650,00 € ab und leitete 6.633,37 € am gleichen Tag per X2 in zwei Teilsummen in die U1 weiter.

Die vom Konto überwiesenen 7.000,00 € sind dem Geschädigten bisher nicht ersetzt worden. Der Geschädigte, der in der Gastronomie selbstständig ist, konnte nur mit Mühe die ausstehenden Gehälter seiner Mitarbeiter zahlen. Er selber musste mangels flüssiger Mittel auf seinen geplanten Urlaub verzichten.

Zur Beweiswürdigung:

Dass die Überweisung von W1 ausgeführt wurde und der Angeklagte an der Überweisung beteiligt war, ergibt sich aus seiner Nachfrage bei B5 vom 19.10.2007:

K3: Hallo, was hört man von den Überweisungen von W1?

B5: Hallo. M4 3450 +++++++ T9 4.4 K zur Hälfte ++++ M5 7 Tausend holen wir über X2 [...]

K3: Ist wenigstens etwa durchgegangen?

B5: Ja. Bis jetzt sind 2 durchgegangen.

K3: Nenne mir einfach die Geldsumme und das war es.

B5: Bei X2 werden gerade 7 Tausend abgehoben.

K3: Oh. D.h. etwas Geld wird es für eine Woche geben.

B5: 3161 Euro plus 2500 sind angekommen. [...] Wir warten auf das Ergebnis mit den 7 Tausend. [...]

Die Feststellungen zu den Folgen für den Geschädigten beruhen auf der Vernehmung des Zeugen H13, die zu der drohenden Mail beruhen auf der Vernehmung des Zeugen M5.

22.) Fall 40:

Nachdem der Rechner des Geschädigten T20 (V3) durch Schadsoftware der Gruppe um H3 infiziert worden war, wurde auf dem bekannten Weg über die TAN-Fehlermeldung eine TAN unbemerkt an den Log-Server übertragen. Diese TAN wurde am ##.##.2007 von einem Mitglied der Gruppe um H3 für eine Überweisung in Höhe von 6.800,00 € vom Konto des Geschädigten auf das Konto des Finanzagenten X6 (M9) eingesetzt.

Der Finanzagent war durch die Seite "G1 D" angeworben worden und bekam nach der Überweisung des Geldes telefonische Anweisungen, wohin er das Geld weiterleiten sollte. Da er aber Bedenken bekommen hatte, meldete er sich selbst bei der Polizei. Das Geld konnte bereits am ##.##.2007 zurückgebucht werden.

Trotzdem erging gegen ihn am ##.##.2007 ein Strafbefehl über 60 Tagessätze zu je 30 Euro (1.800,00 €), wobei die Tagessatzhöhe am ##.##.2008 auf 10,00 € reduziert wurde. Diese 600,00 € sind mittlerweile durch den Finanzagenten gezahlt worden.

Zur Beweiswürdigung:

Der Tatnachweis ergibt sich auch hier daraus, dass der Finanzagent mit einer Seite angeworben wurde, die der Gruppe um H3 zuzuordnen ist (G1 D) und die Überweisung zu einem Zeitpunkt getätigt wurde, als der Angeklagte Mitglied dieser Gruppe war.

Die Feststellungen zur besonderen Folge für den Finanzagenten beruhen auf dessen Aussage und dem verlesenen Strafbefehl des Amtsgerichts X13 vom ##.##.2007.

23.) Fall 11:

Nachdem zuvor ein Schadprogramm der Gruppe auf dem PC des Geschäftsführers der geschädigten Firma U4 GmbH in S installiert worden war, wurden auch hier zu einem nicht näher bekannten Zeitpunkt eine TAN-Nummer abgephisht. Diese wurden am ##.##.2007 von einem Mitglied der Gruppe um H3 zur unrechtmäßigen Überweisung von 5.000,00 € an die Finanzagentin N10 (C4) eingesetzt.

Die über die Anwerbeseite "G1 D.com" angeworbene Finanzagentin wurde von einem der Dropführer, einer Frau mit ausländischem Akzent, telefonisch über die Ankunft der Gelder informiert, um es per "N5" nach U1 weiter zu transferieren. Dabei sollte sie 5 % als Lohn einbehalten. Dazu kam jedoch nicht mehr, da die Gelder nicht gutgeschrieben worden waren. Die Finanzagentin erhielt daraufhin Drohanrufe von einem der Dropführer und wurde auf der Seite "T30" eingetragen. In diesem Fall kam es zur Rückbuchung der Beträge auf das Konto der Geschädigten.

Zur Beweiswürdigung:

Dass die Überweisung vom ##.##.2007 von der Gruppe um H3 durchgeführt wurde, ergibt sich zum einen daraus, dass die Anwerbeseite "G1 D.com" benutzt wurde und zum anderen daraus, dass die Finanzagentin im Zusammenhang mit einer zweiten Überweisung (Fall 26) vom ##.##.2007 im Chat des Angeklagten mit W1 genannt wird (Chat vom 16.11.2007):

W1: Dort bei B5 ist scheinbar ein Teil angekommen. Scheiß – Drops.

K3: In welchem Sinne?

W1: Scheiß-Drops, wie meinst Du das?

K3: B5. 4.2 sind durchgekommen – das ist schon mal gut.

W1: Der Drop hat 4.2 mit X2 überwiesen, wir heben es gerade ab. Das B5 gesagt.

K3: B5.

W1: ##.##.2007 RUCKRUF Retouren N10 ##.##.2007; 5.000,00; ##.##.2007 2.5 Überweisung N10 ##.##.2007 5.000,00 ;

Das meine ich mit Scheiß-Drops. Am ##. überweise ich erfolgreich das Geld.

K3: Und?

W1: Scheiß-Drop hat einen Tag lang scheiße gemacht – am ##. wird das Geld zurückgebucht. Konnte sie es nicht am ##. an uns überweisen?

K3: Was soll man machen?

W1: Ich sage doch, Scheiß-Drops.

Die Feststellungen zu den Drohanrufen beruhen auf der Aussage der Zeugin N10

24.) Fall 14:

Nachdem der Rechner des geschädigten N16 (F) durch die Gruppe um H3 mit einem Trojaner infiziert worden war, wurde Anfang November 2007 unter Verwendung der TAN-Fehlermeldung eine TAN-Nummer abgephisht und an den Log-Server übertragen.

Unter Verwendung dieses Datensatzes überwies am ##.##.2007 W1 oder der Angeklagte selbst 9.500,00 € vom Konto des Geschädigten auf das Konto des Finanzagenten S4 (O6). Dabei handelte es sich um den maximal verfügbaren Betrag.

Der Finanzagent war zuvor über die Seite "T2" angeworben worden. Per E-Mail wurde er von einer Person unter dem Pseudonym "H11" aufgefordert, die eingegangene Summe abzüglich des ihm zustehenden Anteils per X2 nach U1 weiter zu überweisen, was dieser auch tat.

Der Finanzagent S4 wurde von der Bank des Geschädigten auf Rückzahlung der 9.500,00 € in Anspruch genommen. Zudem wurde gegen ihn ein Strafverfahren wegen des Vorwurfs der Geldwäsche geführt, das erst gegen eine Geldauflage in Höhe von 300,00 € gemäß § 153 a StPO eingestellt wurde.

Durch die Überweisung war die Liquidität des Geschädigten akut gefährdet. Zudem erklärte sich die Bank am ##.##.2007 lediglich bereit, einen Teilbetrag zurückzuzahlen. Die Restsumme ist ihm bis heute nicht ersetzt worden.

Zur Beweiswürdigung:

Zum Tatnachweis führt der Chat mit W1 vom 05.11.2007. Darin hat I dem W1 drei Finanzagenten zugeteilt, von denen einer der hier betroffene S4 ist:

K3: Hat H3 Drops gegeben?

W1: Er hat einen gegeben. Für 3 –5 Tausend

K3: Das werden wir gleich ändern.

W1: Wirst du hinuntergießen? Ich muss weg.

K3: Wie schlecht. Bei mir sieht es damit heute schlecht aus. Bist du für lange weg?

W1: Nein, ist schon gut, ich fühle mich einfach nicht wohl. Ich versuche es hochzuladen, o.k. Ich werde es hochladen.

K3: Bist du erkältet, oder was?

W1: Fahre nur MSTSZ hoch, ja.

K3: Alles wird hochgefahren.

W1: Ich bin erkältet und der Blutdruck macht mich fertig. Ok. Ich bin weg.

K3: [nennt den Finanzagenten T11]

W1: Das ist einer.

K3: Name of Bank: O7 O6

Adress of Bank: ###### O6

Routing/BSB#: ########

Account#: ##########

Name of Account : S4

3-9.5 Tausend von jedem beliebigen Ort

W1: zwei.

K3: [nennt O3]

W1: drei

K3: Ich denke, das reicht fürs erste.

W1: [gegen 18:30 Uhr] Übrigens, ich habe 2 Drops geladen. Ich werde es morgen abchecken und sage dir, ob sie leben oder nicht.

K3: unglaublich. Gebt mir drei.

W1: es wird keine drei geben.

K3: Sag wen und wie viel du geladen hast.

W1: gleich.

K3: ich schicke die Info an H3.

W1: S4 9.500,00 ; O3 6320

Die Feststellungen zu den Folgen für den Geschädigten beruhen auf der Aussage des Zeugen N16, die zu den Folgen für den Finanzagenten, insbesondere zu der Einstellung gemäß § 153 a StPO, auf der Aussage des Zeugen S4.

25.) Fall 51

Nachdem der PC des Geschädigten N17 (T22) von der Gruppe um H3 mit Schadsoftware infiziert und mit der TAN-Fehlermeldung eine TAN auf den Log-Server der Gruppe umgeleitet worden war, überwies ein Mitglied der Gruppe am ##.##.2007 vom Konto des Geschädigten 2.491,00 € auf das Konto des Finanzagenten C7 (M10).

Der Finanzagent war über die Seite "T2" angeworben worden und bekam nach der Überweisung den Auftrag, die Gelder weiter zu überweisen. Das Geld wurde jedoch von der Bank zeitnah zurückgebucht, so dass der Finanzagent das Geld nicht abheben konnte.

Zur Beweiswürdigung:

Der Tatnachweis ergibt sich auch hier daraus, dass der Finanzagent mit einer Seite angeworben wurde, die der Gruppe um H3 zuzuordnen ist (T2) und die Überweisung zu einem Zeitpunkt getätigt wurde, als der Angeklagte Mitglied dieser Gruppe war.

26.) Fall 12:

Nachdem zuvor der Rechner des Geschädigten I14 (T23) mit Schadsoftware der Gruppe um H3 infiziert worden war, generierte diese während einer Überweisung am ##.##.2007 die TAN-Fehlermeldung und übertrug die eingegebene TAN in Wahrheit an den Log-Server.

Am ##.##.2007 überwies W1 in Abstimmung mit dem Angeklagten unter Verwendung der abgephishten TAN einen Betrag von 6.320,00 € auf das Konto des Finanzagenten O3 (I15). Dabei wurde der zur Verfügung stehende Dispositionskredit vollständig ausgeschöpft. Das Konto befand sich nach der Überweisung mit 6.000,00 € im Minus.

Der Finanzagent O3, der über die Seite T2.com" angeworben worden war, wurde per E-Mail von einem Dropführer unter dem Pseudonym "H11" kontaktiert und angewiesen, das Geld an eine "D4" in Q11 weiterzuleiten.

Das zu Unrecht überwiesene Geld wurde zwar dem Konto des Finanzagenten gutgeschrieben, dann aber sofort wieder auf das Konto des Geschädigten zurück gebucht.

Zur Beweiswürdigung:

Der Nachweis, dass die Überweisung von W1 in Abstimmung mit dem Angeklagten I durchgeführt wurde, ergibt sich aus dem Chat des Angeklagten mit W1 vom 05.11.2007:

K3: Hat H3 Drops gegeben?

W1: Er hat einen gegeben. Für 3 –5 Tausend

K3: Das werden wir gleich ändern […]

K3: [nennt den Finanzagenten T11]

W1: Das ist einer.

K3: [nennte den Finanzagenten S4]

W1: zwei.

K3: Name of Bank: W4 V4

Adress of Bank: I16str. #+#, ##### F6

Routing/BSB#: ########

Account#: #########

Name of Account: O3

3-7 Tausend von jedem beliebigen Ort, außer Volks

W1: drei

K3: Ich denke, das reicht fürs erste.

W1: [gegen 18:30 Uhr] Übrigens, ich habe 2 Drops geladen. Ich werde es morgen abchecken und sage dir, ob sie leben oder nicht.

K3: unglaublich. Gebt mir drei.

W1: es wird keine drei geben.

K3: Sag wen und wie viel du geladen hast.

W1: gleich.

K3: ich schicke die Info an H3.

W1: S4 9.500,00 ; O3 6320

27.) Fall 7:

Nachdem auf dem Rechner des Geschädigten C12 (I2) im Vorfeld Schadprogramme installiert worden waren, generierten diese die Fehlermeldung, dass eine TAN-Nummer bereits verbraucht sei. Die in Wahrheit angehaltene und an den Log-Server weitergeleitete TAN wurde am ##.##.2007 von einem der Mitglieder der Gruppe um H3 eingesetzt. Dabei wurden unrechtmäßig 2.613,00 € vom Konto des Geschädigte auf das Konto der Finanzagentin F4 (I9) überwiesen.

Diese war über die Seite "T2" angeworben worden, als sie in Jobbörsen im Internet nach Stellen suchte. Nachdem sie dort ihre Bankdaten und ihre persönlichen Daten hinterlegt hatte, wurden ihr Schulungsmaterialien zugesandt. Mit der eingehenden Überweisung wurde sie per Mail aufgefordert, das Geld per X2 weiter zu überweisen. Dies tat sie jedoch nicht, da sie von ihrer Bank informiert wurde, dass es sich um einen Betrugsfall handeln könne. Das überwiesene Geld konnte rechtzeitig vom Konto der Finanzagentin zurückgebucht werden.

Zur Beweiswürdigung:

Der Tatnachweis ergibt sich auch hier daraus, dass der Finanzagent mit einer Seite angeworben wurde, die der Gruppe um H3 zuzuordnen ist (T2) und die Überweisung zu einem Zeitpunkt getätigt wurde, als der Angeklagte Mitglied dieser Gruppe war.

28.) Fall 27:

Da ihr Antivirenprogramm nicht aktuell war, konnte der Rechner der Geschädigten C13 (C14) von der Gruppe um H3 mit Schadsoftware infiziert werden. Unter Verwendung der TAN-Fehlermeldung gelang es, eine TAN auf den Log-Server umzuleiten. Diese TAN wurde dann vom Angeklagten am ##.##.2007 für die Überweisung von 3.500,00 € vom Geschädigtenkonto auf das Konto der Finanzagentin N11 (I17) benutzt.

Die Finanzagentin war über die Seite "T2" angeworben worden. Zum Abheben der Summe kam es jedoch nicht, da sie zurückgebucht wurde. Das Geld wurde später dem Konto der Geschädigten wieder gutgeschrieben.

Zur Beweiswürdigung:

Der Beweis, dass die Überweisung vom Angeklagten I veranlasst wurde, ergibt sich daraus, dass die Datei "#.#k Z.htm" auf dem bei ihm sichergestellten Rechner gefunden wurde, die persönliche Daten der Geschädigten sowie diverse Kennwörter und Logins zu verschiedenen ihrer Konten, F3-Accounts, B4-Accounts etc. enthielt. Unter anderen waren dabei auch die Passwörter für das Online-Banking.

29.) Fall 8:

Nachdem von der Gruppe um H3 auf dem Rechner des Geschädigten I18 (L15) ein Schadprogramm installiert und dessen Rechner in das Bot-Netz eingebunden worden war, versuchte der Geschädigte Anfang November 2007 eine Überweisung über 10,- € zu tätigen. Bei der TAN-Eingabe generierte das Schadprogramm eine Fehlermeldung, dass die eingegebene TAN bereits verbraucht sei, worauf der Geschädigte eine weitere TAN eingab. Die angeblich schon verbrauchte TAN wurde in Wahrheit durch die Schadsoftware an den Log-Server der Gruppe weitergeleitet.

Nachdem I bereits am ##.##.2008 vergeblich versucht hatte, vom Konto des Geschädigten Verfügungen vorzunehmen, überwiesen am ##.##.2008 Mitglieder der Gruppe unter Verwendung der abgephishten TAN 5.127,00 € auf das Konto des Finanzagenten X7 (M). Damit wurde fast der gesamte Dispositionskredit des Kontos (3.000,- €) ausgeschöpft, das infolgedessen mit rund 2.600,00 € ins Minus geriet.

Der Finanzagent X7, der über die Seite T2 angeworben worden war, bekam jedoch Bedenken und führte die Weiterüberweisung ins Ausland nicht aus. Seine Bank kündigte ihm zudem das Girokonto. Erst nach längerer Zeit fand er eine neue Bank, die bereit war, ein Konto zu eröffnen.

Obwohl das Geld nicht ins Ausland überwiesen wurde sondern zurückgebucht wurde, erstatte die Hausbank des Geschädigten diesem bisher lediglich 3.374,93 €. Die restlichen Gelder wurden ihm bis heute nicht erstattet. In der Zwischenzeit war er gezwungen, das entstandene Minus auf seinem Konto durch Gelder von seinem Sparkonto auszugleichen.

Zur Beweiswürdigung:

Aus den Chats des Angeklagten mit A1 und W1 ergibt sich, dass sie bereits am ##. und ##.##.2007 vergeblich versucht hatten, an den Finanzagenten X7 zu überweisen. Da I demnach den Finanzagenten zugewiesen bekommen hatte, ist ihm auch die erfolgreiche Überweisung vom ##.##.2007 zuzurechnen.

Chat mit A1 vom 07.11.2007:

A1: Hat H3 Drops gegeben?[…]

K3: Ja, hat er. gleich. […]

A1: [nennt den Finanzagenten M11]

Name of Bank: T28 M […]

Name of Account: X7

3 -

[…]

A1: Das sind meine von Montag. […]

K3: Ich hatte andere. [...]

K3: Gibt es einen drop für 9 Tausend?

A1: Name of Bank: T28 M […]

Name of Account: X7

3 – 9.5 Tausend von jedem beliebigen Ort.

K3: Em, nicht T28.

A1: [nennt N18]

K3: Ich giesse von der T28 hinunter […]

K3: Ich versuche es mit dem X7; X7 [Pause] Ist nicht durchgekommen.

Chat mit W1 vom 08.11.2007:

K3: Gibt es Drops?

W1: Ich versuche, was soll ich sonst machen? Die vorgestern, die stehen geblieben sind.

K3: Weitere Drops: [nennt die Finanzagenten T11 und S10]

Name of Bank: T28 M […]

Name of Account: X7

3 – 9.5 Tausend von jedem beliebigen Ort.

Die Feststellungen zu den Folgen der Überweisung für den Geschädigten I18, insbesondere zur fehlenden Erstattung, beruhen auf dessen Aussage als Zeuge.

30.) Fall 38:

Nachdem der Rechner des Geschädigten L16 (O) mit einem Schadprogramm infiziert worden war, wurde unbemerkt eine TAN für das Online-Banking an den Log-Server der Gruppe um H3 übertragen. Das von L16 genutzte Konto lief auf den Namen seiner Schwester L17; alleiniger Nutzer war jedoch er.

Am ##.##.2007 überwies W1 von dem Konto unter Einsatz der abgephishten TAN einen Betrag in Höhe von 9.570,00 € auf das Konto des T10.

Wie die Gruppe um H3 an die Bankverbindung von Herrn T10 (O1) gelangen konnte ist unklar. Er hatte sich nicht als Finanzagent beworben und auch nie versucht, den Betrag vom Konto abzuheben.

Das Geld konnte auf das Konto des Geschädigten zurückgebucht werden.

Zur Beweiswürdigung:

Der Tatnachweis ergibt sich aus dem Chat des Angeklagten mit W1 vom ##.##.2007:

W1: 9.570,00 EUR T10. Von deinem.

31.) Fall 17:

Nachdem der Rechner des Geschädigten H14 (G6) von der Gruppe um H3 mit einem Schadprogramm infiziert worden war, phishte diese unter Verwendung der TAN-Fehlermeldung eine TAN-Nummer des Geschädigten ab. Mit dieser Nummer überwies am ##.##.2007 W1 oder der Angeklagte 2.983,00 € auf das Konto des Finanzagenten T11.

Der Finanzagent T11 (G2), der über die Seite "T2.com" angeworben worden war, übermittelte das Geld nach U1. Der Empfänger in U1 war ihm durch den Anruf eines weiblichen Dropführers mit akzentfreiem Deutsch bekanntgegeben worden.

An die Bank des Geschädigten H14 zahlte der Finanzagent 500,00 € zurück. Zudem wurde ihm sein eigenes Konto gekündigt und er wurde im Strafbefehlsverfahren zu einer Geldstrafe von 20 Tagessätzen verurteilt. Insgesamt zahlte er an Entschädigung und Strafe 700,00 € plus 100,00 € Anwaltskosten, obwohl er selbst nur Arbeitslosengeld bezog und einen 400€-Job hatte.

Das zu Unrecht überwiesene Geld wurde dem Geschädigten H14 circa 4 Wochen nach Abbuchung von der Bank zurückerstattet.

Zur Beweiswürdigung:

Auch hier ergibt sich der Nachweis aus den Chats des Angeklagten mit W1.

Chat mit W1 vom 05.11.2007

K3: Hat ^H3 Drops gegeben?

W1: Er hat einen gegeben. Für 3 –5 Tausend

K3: ege. Das werden wir gleich ändern.

K3: Q9 F1,

Konto Nr.: ### ### ###

Bankleitzahl: ### ### ##

T11

3-5 Tausend von jedem beliebigen Ort.

W1: das ist einer.

Chat mit W1 vom 08.11.2007:

K3: Versuche heute weiter zu gießen. Ich gehe schlafen. Gibt es drops?

W1: Ich versuche, was soll ich sonst machen? Die von vorgestern, die stehen geblieben sind.

K3: Weitere Drops:

Q9 F1,

Konto Nr.: ### ### ###

Bankleitzahl: ### ### ##

T11

3-5 Tausend von jedem beliebigen Ort.

[nennt noch die Finanzagenten S10 und X7]

K3: T11 - 3-5 Tausend.

W1: o.k.

Die Feststellungen zu den Folgen für den Finanzagenten beruhen auf der Aussage des Zeugen T11.

32.) Fall 26

In gleicher Weise wie zuvor (Fall 11) wurde am ##.##.2007 von W1 eine unrechtmäßige Überweisung in Höhe weiterer 5.000,00 € vom Konto des Geschädigten Q12 (N1) an die Finanzagentin N10 getätigt und an die Finanzagentin N10 (C4) überwiesen.

Die über die Anwerbeseite "G1 D.com" angeworbene Finanzagentin wurde von einem der Dropführer der Gruppe, einer Frau mit ausländischem Akzent, telefonisch über die Ankunft der Gelder informiert, um es per "N5" nach U1 weiter zu transferieren. Dabei sollte sie 5 % als Lohn einbehalten. Dies kam jedoch nicht mehr zustande, da die Gelder nicht gutgeschrieben worden waren. Die Finanzagentin erhielt daraufhin Drohanrufe von einem der Dropführer und wurde auf der Seite "T30" eingetragen.

Auch in diesem zweiten Fall kam es zur Rückbuchung der Beträge auf das Konto der Geschädigten.

Zur Beweiswürdigung:

Dass die Überweisung von W1 durchgeführt wurde, ergibt sich aus dem Chat des Angeklagten mit W1 vom 16.11.2007:

W1: Dort bei B5 ist scheinbar ein Teil angekommen. Scheiß – Drops.

K3: In welchem Sinne?

W1: Scheiß-Drops, wie meinst Du das?

K3: Aha. 4.2 sind durchgekommen – das ist schon mal gut.

W1: Der Drop hat 4.2 mit X2 überwiesen, wir heben es gerade ab. Das B5 gesagt.

K3: Aha.

W1: ##.##.2007 RUCKRUF Retouren N10 ##.##.2007; 5.000,00; ##.##.2007 2.5 Überweisung N10 ##.##.2007 5.000,00 ;

Das meine ich mit Scheiß-Drops. Am ##. überweise ich erfolgreich das Geld.

K3: Und?

W1: Scheiß-Drop hat einen Tag lang scheiße gemacht – am ##. wird das Geld zurückgebucht. Konnte sie es nicht am ##. an uns überweisen?

K3: Was soll man machen?

W1: Ich sage doch, Scheiß-Drops.

Die Feststellungen zu den Drohanrufen beruhen auf der Aussage der Zeugin N10.

33.) Fall 25:

Auch der Rechner der Geschädigten Q13 (J3) wurde von der Gruppe um H3 infiziert und es wurde auch hier eine TAN mit der bekannten Fehlermeldung auf den Log-Server umgeleitet.

Am ##.##.2007 wurde von dem Angeklagten oder W1 diese TAN für eine Überweisung in Höhe von 9.277,00 € vom Geschädigtenkonto auf das Konto der Finanzagentin X8 (E2) genutzt. Das Geld wurde dort am ##.##.2007 gutgeschrieben, jedoch schon am gleichen Tag wieder zurückgebucht.

Die Finanzagentin, die über die Seite "G1 D" angeworben worden war, erhielt per E-Mail die Anweisung, das Geld per X2 weiterzuleiten.

Ein bis zwei Tage nach der Abbuchung wurde der Betrag auch wieder dem Konto der Geschädigten gutgeschrieben.

Zur Beweiswürdigung:

Dass die Überweisung vom Angeklagten oder dem mit ihm zusammen überweisenden W1 getätigt wurde, ergibt sich aus dem Chat mit A1 vom 13.11.2007:

K3: So, hast du noch einen lebendigen Drop?

A1: Frage bei B5 nach. Er hat mir gerade zwei gegeben.

K3: Er hat keine mehr.

A1: gleich. […] X8 Account#*: ########## […]

34.) Fall 32:

Nachdem der Rechner des Geschädigten N19 (U5) von der Gruppe um H3 mit einem Schadprogramm infiziert und eine TAN unbemerkt zum Log-Server umgeleitet worden war, nutzte der Angeklagte I den Datensatz am ##.##.2007 für eine Überweisung in Höhe von 9.200,00 € vom Konto des Geschädigten auf das Konto der Finanzagentin I8 (N1). Aufgrund der schnellen Reaktion des Geschädigten, der die Abbuchung noch am gleichen Tag bemerkte, konnte seine Bank die Überweisung zurückrufen.

Die Finanzagentin, die zuvor über die Seite "G1 D" geworben worden war, wurde telefonisch durch eine Frau mit osteuropäischem Akzent kontaktiert. Sie sollte das Geld in Teilbeträge aufteilen und separat per X2 nach Osteuropa überweisen. Dazu kam es jedoch nicht mehr, da das Geld bereits zurückgebucht worden war.

Zur Beweiswürdigung:

Dass der Angeklagte die Überweisung selber vornahm, ergibt sich zunächst aus dem Chat mit A1 vom 13.11.2007:

K3: So, hast du noch einen lebendigen Drop?

A1: Frage bei B5 nach. Er hat mir gerade zwei gegeben.

K3: Er hat keine mehr.

A1: gleich. […] X8 […]

I8 Account#*: ####### Routing/BSB#*: ### ### ## D5 O . […]

K3: Verstanden, sage Bescheid, wenn du jemanden hinunter giesst. […]

A1: ich versuche es an I8...

K3: ok

[beide versuchen, Überweisungen zu tätigen]

K3: Ich habe I8 eingegossen.

Nach der Überweisung meldete I die erfolgreiche Überweisung an B5 (Chat mit B5 vom 13.11.2007):

K3: 9.2 Tausend I8. [...]

Zudem wurden die Zugangsdaten des Geschädigten N19 zum Online-Banking in einer Datei auf dem bei I sichergestellten Rechner gefunden. Die Datei heißt bezeichnender Weise "#.#k I8.htm", also eine Zusammensetzung von Vornamen der Finanzagentin und der abgephishten Summe von 9.200,- €.

35./36.) Fälle 29 und 28:

Auch die Rechner der Geschädigten U6 aus T15 (Fall 28) und X14 aus L18 (Fall 29) wurden mit der Schadsoftware infiziert. Bei beiden Rechnern wurde durch die Schadsoftware jeweils eine TAN auf den Log-Server umgeleitet.

Am ##.##.2007 nahm I oder W1 mit den erlangten Datensätzen eine Überweisung in Höhe von 3.200,00 € vom Konto der Geschädigten X14 auf das Konto des Finanzagenten L8 vor. Damit geriet das Konto in Höhe des eingeräumten Dispositionskredites ins Soll.

Am ##.##.2007 überwies der Finanzagent L8 (T24), der über die Seite "G1 D" angeworben worden war, 2.850,00 € an einen C15 in Q11. Dieser Empfänger war ihm von einer weiblichen Anruferin, die gebrochen Deutsch sprach, mitgeteilt worden.

Ebenfalls am ##.##.2007 nahm I bzw. W1 mit einer weiteren erlangten TAN eine Überweisung in Höhe von 4.300,00 € vom Konto der Geschädigten U6 auf das Konto des Finanzagenten L8 vor.

Das Geld wurde jedoch bereits kurze Zeit später wieder auf das Konto der Geschädigten U6 zurückgebucht.

Der nach U1 weitergeleitete Betrag wurde der Geschädigten von ihrer Bank nach 2 Wochen ersetzt. Die bis dahin aufgelaufenen Zinsen musste die Geschädigte selber tragen.

Gegen den Finanzagenten L8, der ab 2005 eine Wahlperiode als ehrenamtlicher Schöffe beim Landgericht L3 gewirkt hatte, erging in der Folge ein Strafbefehl des Amtsgerichts T24 in Höhe von 90 Tagessätzen zu je 30,00 € (2.700,00 €). Zudem wurde er von der Bank der Geschädigten X14 auf Rückzahlung von 3.200,00 € in Anspruch genommen.

Zur Beweiswürdigung:

Der Tatnachweis ist zur Überzeugung der Kammer durch den Chat des Angeklagten mit B5 vom 14.11.2007 geführt:

K3: Hallo, ich brauche Drops, hast du irgendwas?

B5: Hallo. Es gibt einen.

K3: Aha. Ich rauche eine, dann werde ich mich mit dem Hinuntergießen beschäftigen.

B5: O.K. Ist der Drop von gestern am leben? Der Drop sagt, dass es noch nicht gut geschrieben wurde und seine Bank in N1 nur bis Mittag arbeitet. Er sagt, dass er nur morgen abheben kann. [Anm: Hier geht es wohl um die Überweisungen vom Vortag.]

B5: L8 Account#*: ###### Routing/BSB#*: ######## L19 B10 ab 4 Tausend.

Die Feststellungen zu den Folgen für den Finanzagenten ergeben sich aus der Vernehmung des Zeugen L8 und dem verlesenen Strafbefehl des Amtsgerichts T24 vom ##.##.2008.

37.) Fälle 20 und 21

Nachdem der Rechner des Geschädigten Rechtsanwalt T25 (C4) mit Schadsoftware der Gruppe um H3 infiziert worden war, wurden am ##.##.2008 zwei TAN-Nummern des Geschädigten abgefangen und am gleichen Tag für unberechtigte Überweisungen eingesetzt.

Beide Überweisungen, eine über 2.820,00 € (Fall 20) und eine über 3.745,00 € (Fall 21), wurden zu Gunsten des Finanzagenten T12 (C) vorgenommen.

Das Geld wurde zeitnah auf das Konto des Geschädigten zurückgebucht. Zu einer Abhebung kam es nicht.

Zur Beweiswürdigung:

Der Nachweis, dass der Angeklagte noch 2008 bei Problemen mit Überweisungen technische Lösungen für die Gruppe erarbeitete und die Überweisungen an den Finanzagenten T12 der Gruppe um H3 zuzurechnen sind, ergibt sich aus dem Chat des Angeklagten mit H3 vom 03.03.2008:

H3: Ich brauche dich dringend. Es gab eine Umleitung auf einen Drop.

03.03.2008 Überweisung Geschenk KTO ########## BLZ ######## T12 – 3.745,00 EUR

03.03.2008 Überweisung Geschenk KTO ########## BLZ ######## T12 – 2.820,00 EUR

wie du siehst 2. aber es ist ein Fehler. Es sollte keine 2 Überweisungen geben. E9 sagt, dass es irgendwo einen Logik-Kampf gibt. Das System überweist, aber da gibt es irgendwo einen Bag [BUG??]. Kannst Du dir den Code ansehen? So wie ich verstehe, das ist eine Fabrik der […]

V.

Tatnachgeschichte

Der Zusammenhang zwischen den einzelnen Taten fiel auf, weil in einer Fülle von Ermittlungsverfahren wegen des Vorwurfs der Geldwäsche gegen beteiligte Finanzagenten immer wieder die gleichen Anwerbeseiten auftauchten. Über diese Anwerbeseiten stießen die Ermittlungsbehörden auf L, der die entsprechenden Domains registriert hatte, und über diesen schließlich auf den Angeklagten I.

Die Wohnung des Mitangeklagten L in O, die dieser zusammen mit seinen Eltern bewohnte, wurde aufgrund eines Durchsuchungsbeschlusses des Amtsgerichtes C am ##.##.2008 von Kräften der bayrischen Polizei und des LKA NRW durchsucht. Dabei wurden neben den umfangreichen EDV-Anlagen des Mitangeklagten circa 60.000,00 € sichergestellt, die größtenteils im Wohnzimmer der Eltern aufgefunden worden waren.

Der ursprüngliche Mitangeklagte L wurde am Tag der Durchsuchung aufgrund eines Haftbefehls des Amtsgerichts C verhaftet und befand sich bis zum ##.##.2008 in Untersuchungshaft in der Justizvollzugsanstalt L1.

Ebenfalls am ##.##.2008 wurde auch die Doppelhaushälfte in X15, die der Angeklagte I zusammen mit seinen Eltern bewohnt, von Polizeikräften durchsucht. Im Keller des Objektes befand sich der Computer-Arbeitsplatz des Angeklagten, der aus zwei parallel laufenden Servern bestand, die über DSL/ISDN/Ethernet untereinander und mit dem Internet verbunden waren. Zudem wurde im Wohnzimmer ein Notebook T26 sichergestellt, das dem Angeklagten gehört.

Die Auswertung des Servers 1, eines handelsüblichen PC Big Tower mit 2 optischen Laufwerken und 4 Festplatten mit jeweils 500 GB, zeigte, dass dort insgesamt 10 sogenannte "Virtuelle Maschinen" liefen. Bei einer virtuellen Maschine handelt es sich um einen virtuellen Computer mit eigenem Betriebssystem, der auf dem eigentlichen Computer eingerichtet wurde und getrennt von dessen Betriebssystem arbeitet.

Auf einer dieser virtuellen Maschinen mit der Bezeichnung "drive_G" waren verschiedene Kommunikationsplattformen installiert. Diese Kommunikationsprogramme, wie der "R2" oder "R3" basierten auf üblichen Chatprogrammen, wie z.B. J6. Als Protokolldateien zu diesen Programmen wurden u.a. die Chat-Protokolle von H4, H3, H3, B5, W1, A1, #:#, ## und G7 angelegt und bei der Sicherstellung der Server aufgefunden.

Bei der Auswertung des Notebooks T26 wurde unter anderem die Datei "H15.txt" gefunden.

Im Zuge der Durchsuchung wurde gegen den Angeklagten I auch der Haftbefehl des Amtsgerichts C vom ##.##.2008 (## Gs ###/##) vollstreckt. Seit diesem Zeitpunkt befand sich der Angeklagte in Untersuchungshaft in der JVA L1.

An den insgesamt 22 Verhandlungstagen, während derer gegen den Angeklagten I verhandelt wurde, hat die Kammer zur Aufklärung der Einzelfälle mehr als 70 Zeugen gehört; teils Finanzagenten teils Geschädigte. Dabei bestand eine besondere Schwierigkeit für die Kammer darin, die Zeugen zu den Einzelfällen überhaupt zu ermitteln bzw. die entsprechenden Beiakten anzufordern und auszuwerten. Eine weitere Schwierigkeit ergab sich aus der Tatsache, dass die Zeugen aufgrund der Begehungsweise über die gesamte Bundesrepublik verstreut wohnten und teilweise lange Anfahrtswege in Kauf nehmen mussten, was für die Kammer zu einem erheblichen organisatorischen Aufwand führte.

B.

Beweiswürdigung

I.

Feststellungen zur Person

Die Feststellungen zur Person beruhen auf den Einlassungen des Angeklagten in der Hauptverhandlung.

II.

Feststellungen zur Tatbeteiligung Is

Die Feststellungen zur Tatbeteiligung des Angeklagten I beruhen auf seinen im Wesentlichen geständigen Einlassungen und den ergänzend verlesenen Urkunden.

1.) Der Angeklagte hat in der Hauptverhandlung zu zwei verschiedenen Zeitpunkten zusammenhängende Erklärungen zur Sache abgegeben. Darüber hinaus hat er mehrfach zu Einzelaspekten Stellung genommen, insbesondere im Zusammenhang mit den einzelnen Chatstellen.

Am dritten Verhandlungstag, dem 10.03.2009, ließ er sich durch Verlesung einer schriftlichen Erklärung wie folgt ein:

"1. Ende 2006 hat sich H3 mit mir in Kontakt gesetzt. Herr L hat mich ihm als guten Techniker und Systemadministrator empfohlen.

2. H3 hatte technische Probleme, die er gelöst haben wollte. Es handelt es sich um Probleme, die seine Systemadministratore nicht lösen konnten. Bei einem der Aufträge handelt es sich um die Entwicklung und Installation einer Plattform zum anonymen Internet surfen, bei den anderen ging es um Systemadministration. Ab und zu habe ich seine Systemadministratoren beraten. Wir hatten uns auf den Preis vom 20 USD die Stunde geeinigt. Später haben wir den Preis auf 25 USD die Stunde erhöht. So habe ich für ihn bis September 2007 gearbeitet.

3. Ende September 2007 hat H3 mich gefragt, was halte ich von der Idee, einen Trojaner zu entwickeln, der in der Lage sein sollte, Banküberweisungen automatisch zu tätigen. Seine Idee fand ich technisch interessant. Ich habe es als technische Herausforderung gesehen. Die Idee hatte für mich einen technischen Anreiz, da nie zuvor ich so was programmiert. Ich habe H3 gefragt, ob er sich technikmäßig vorstellt, was er haben möchte. Ich habe ihn gefragt, ob eine technische Dokumentation zu den Online Banking Systeme vorliege, die von dem Programm unterstützt sein sollten. H3 antwortete, dass er weder Vorstellung hat, wie es funktionieren sollte, noch besitze er technische Dokumentation zu den Online Banking Systemen. Er sagte, dass er kein Programmierer ist und so kann er mir in dem technischen Teil auch nicht helfen, aber er hat bereits ein funktionierendes System aus einem Trojaner, der den Internetdatenfluss des Benutzers überwacht und einem Server, wo die gesamten Daten sich befinden. Er sagte, dass er mir die Zugangsdaten zu dem Server mit den gespeicherten Daten geben wird und die Kontaktdaten von einer Person, bei der ich die Kopie des existierenden Trojaners holen kann um das ganze mir anzuschauen. Ich habe es mir angeschaut und habe H3 gesagt, dass damit ich mir die Vorstellung über den technischen Ablauf der einzelnen Schritten des Überweisungsvorgangs bei den verschiedenen Systemen bilden kann, muss ich auch in der Lage sein, die Überweisung durchführen zu können, wie es der Trojaner machen wird. Mit anderen Worten: wenn man einen Trojaner programmieren will, dann soll man sich in die Rolle des Trojaners versetzen. H3 antwortete, dass es möglich ist und B5 wird sich bei melden. B5 wird mir die Person zur Verfügung stellen, an die ich das Geld überweisen kann, wenn ich etwas überweise.

H3 sagte, dass wenn ich etwas überweise, oder in die Liste der bereits getätigten Überweisungen die Person sehe, die B5 mir zur Verfügung gestellt hat, dann soll ich es ihm oder B5 mitteilen. Als ich mit B5 in Kontakt stand, teilte er mir die Personendaten mit. In den Situationen wo B5 keine Personen für die Überweisungen zur Verfügung stellten konnte, hat er mich an A1 und W1 weitergeleitet. So war ich von Ende September 2007 bis Ende November 2007 dabei, mir den Überblick über die technischen Aspekte des existierenden Trojaners und verschiedenen Online Banking Systemen zu verschaffen, d.h. ich habe mich in die Rolle des Trojaners versetzt. In einigen Fällen habe ich die Überweisung getätigt, in den anderen Fällen waren die Überweisungen bereits eingegeben worden, weil zumindest H3, W1 und B5 die gleiche Datensammlung verwendet haben. A1 hatte sogar den vollen Zugang zu dem Server.

4. Ende November 2007 habe ich H3 mitgeteilt, dass ich mit der technischen Analyse fertig bin. Ab diesem Moment brauchte ich es nicht mehr, mich bei den Online Banking Systeme anzumelden und die Überweisungen zu tätigen."

Am letzen Verhandlungstag, dem 07.07.2009, gab der Angeklagte I folgende Einlassung durch Verlesung einer schriftlichen Erklärung ab:

"Zum Ende der Hauptverhandlung möchte ich nochmals klarstellend die folgende Erklärung abgeben.

Das was mir in der Anklageschrift der Staatsanwaltschaft C vom 13.01.2009 bzgl. der nun noch verbleibenden Fälle vorgeworfen wird ist inhaltlich richtig. Im Zeitraum von Ende September bis Ende Dezember 2007 habe ich insbesondere die Server von H3 administriert, Überweisungen durchgeführt und mit "##" kommuniziert, damit sein Trojaner auf der Plattform von H3 funktioniert. Spam-Mails habe ich selbst nicht verschickt, dies gehörte nicht zu meinen Aufgaben. Ich war aber natürlich über diese Vorgehensweise informiert und mir ist klar, dass ich mir auch diese Handlungen meiner Mittäter zurechnen lassen muss.

Im oben beschriebenen Umfang bin ich bis Ende Dezember 2007 tätig gewesen. Ich habe die Tätigkeiten, insbesondere die Durchführung der Überweisungen, Ende 2007 aufgegeben. Das Projekt verlor für mich nach einer gewissen Zeit sowohl seinen intellektuellen als auch seinen finanziellen Reiz. Meine Tätigkeit im Jahr 2008 bezog sich daher lediglich noch auf das Administrieren von den Servern. Selbst gegossen habe ich zu diesem Zeitpunkt nicht mehr.

Bzgl. des H3 hoffe ich mit folgenden Informationen zur Aufklärung seiner Identität beitragen zu können:

[ Es folgen Angaben zur Identität des H3 ]

[Es folgen Angaben zum Lebenslauf des Angeklagten]

Abschließend möchte ich nochmals zum Ausdruck bringen, dass ich weiß, dass ich mich strafbar gemacht habe und dass ich meine Taten bereue. Mir ist klar, dass ich eine harte Strafe zu erwarten habe. Ich habe mich diesem Verfahren gestellt und werde mich auch meiner Strafe stellen. Ich möchte das Gericht in diesem Zusammenhang nochmals bitten, den Haftbefehl aufzuheben. [Es folgen Angaben zur persönlichen Situation] Was ich getan habe tut mir leid."

2.) Den im Kern geständigen Einlassungen des Angeklagten I vom 07.07.2009 ist die Kammer in weiten Bereichen gefolgt. Lediglich in Bezug auf den genauen Umfang seiner Aufgaben bei der technischen Koordinierung und bezüglich des Tatgeschehens nach dem Dezember 2007 ist die Kammer aufgrund der in die Hauptverhandlung eingeführten Chat-Protokolle und der TÜ-Protokolle zu einer abweichenden Auffassung gelangt. Demnach hatte der Angeklagte eine herausgehobenere Stellung innerhalb der Gruppe und er war auch im Jahr 2008 noch in größerem Umfang in die Aktivitäten der Gruppe um H3 eingebunden, als er dies selbst in seiner letzten Erklärung vom 07.07.2009 zugestanden hat.

a.) Die Kammer ist aufgrund der verlesenen Chat-Protokolle und Auswertungsvermerke zu der Überzeugung gelang, dass der Tätigkeitsbereich des Angeklagten in einzelnen Bereichen über die Einlassung vom 07.07.2009 hinausging.

I hatte seit September 2007 innerhalb der Gruppe die Funktion eines "technische Koordinators", zu dessen Aufgaben alle technischen Aspekte und deren Koordinierung und Abstimmung gehörten. Dies ergibt sich zum einen aus der Zusammenschau der Chat-Protokolle und zum anderen aus Einlassungen des Angeklagten selbst, die er zu verschiedenen Zeitpunkten im Prozess abgegeben hat. So hat er noch in der Sitzung vom 13.05.2009 bestätigt, dass er für "den ganzen technischen Kram" zuständig gewesen sei. Bestätigt wird diese Einschätzung durch seine Äußerungen in den Chats, z.B. dem Chat mit A1 vom 08.10.2007:

K3: "Ich bin für den ganzen technischen Teil verantwortlich und habe noch viele andere Sachen

Anm: In allen Chat-Protokollen ist I durch die Pseudonyme bzw. Nicks "Y1" oder "K3" zu identifizieren. Der Angeklagte hat dazu erklärt, dass er der Verfasser der Chats mit diesen Nicks war.

Abweichend von seinen Einlassungen war I auch an der "Dropführung" beteiligt. Dies ergibt sich aus den Chat-Stellen, in denen er andere Mitglieder der Gruppe anweist, einen Server für die Internettelefonie der Dropführer anzuwerben und dafür sogar Gelder vorstreckt (Chat mit A1 vom 22.10.2007):

K3: Mach vds, das ist für die Drop-Führer.

A1: Ein Anruf über T31 klappt bei mir nicht

K3: Warum?

A1: Weil es keinen Treiber für die Hardware bei XP gibt […]

A1: Für wie lange soll ich es nehmen [Anm: gemeint ist wohl "anmieten"]

K3: Vorerst für einen Monat. Ich will testen, wie gut es funktionieren wird. vds an Stelle eines vollwertigen Servers.

A1: Domainname?

K3: Scheissegal. Sie sollen 3 von seinem Niveau bei sich machen. Hosting für das Hinuntergiessen muss funktionieren. Prüfe es.

A1: Es funktioniert.

K3: Hurra, auf mich den Großen.

A1: =) Soll ich eine Nummer bei T31 kaufen?

K3: Ja. Dann übergibst du

A1: An wen?

K3: Alle Ausgaben – dem H3 auf den Tisch. Die Nummer an T31. Das Geld wird dir von H3 zurückgegeben.

A1: Ich dachte, ich gebe danach jemandem die Nummer. ( Selbstverständlich.

K3: Nein, nichts da, sie bekommen nichts. […]

A1: Ich habe 40 Dollar ausgegeben

K3: Dann übermittle die frohe Nachricht an H3 […]

K3: Schreibe es als deine Ausgaben auf und das war es

Zudem wurde auf dem Laptop I das Textdokument "H15.txt" gefunden, dass ursprünglich am ##.##.2007 auf einem anderen PC erzeugt wurde und am ##.##.2008 auf das Notebook kopiert worden ist. In diesem Textdokument sind zwei IP-Adressen dokumentiert: die eine ist auf S2isch mit "D6 (Main)" bezeichnet, die andere mit "N21 (Reserve)". Auf dem ersten Server (##.##.###.###) in D6 (I6/I5) liefen mehrere Finanzagenten-Anwerbeseiten, u.a.: H5.com, G1 D.com, T4.com, T2.com.

Im zweiten Teil des Textes auf dem Laptop von I war ein dazu gehöriges Root-Passwort gespeichert. Der Angeklagte hatte demnach einen unbeschränkten Zugang zum Server mit den Finanzagenten-Anwerbeseiten.

Fragmente der IP-Adresse, die auf dem Laptop von I gefunden wurden, belegen zudem, dass der Angeklagte auch regelmäßig auf dem Server gearbeitet hat.

b.) Die Einlassung des Angeklagten, er habe ab Anfang 2008 nur noch die Server administriert, ist durch die zum Gegenstand der Hauptverhandlung gemachten Chat-Protokolle und Auswertungsvermerke sowie der ergänzenden Aussage des Zeugen KHK I19 widerlegt. Die Kammer ist vielmehr der Überzeugung, dass der Angeklagte auch 2008 weiter eine koordinierende Stellung innerhalb der Gruppe einnahm, auch wenn er selber sich nicht mehr regelmäßig mit den Überweisungen beschäftigte.

I wurde bei Problemen mit einzelnen Überweisungen tätig. Am ##.##.2008 wurde er z.B. von H3 zur Hilfe gerufen, um ein Problem, das bei der Überweisung an den Finanzagenten T12 aufgetreten war, zu lösen. Dies ergibt sich aus dem Chat mit H3 vom 03.03.2008 (Fälle 20 und 21):

H3: Ich brauche dich dringend. Es gab eine Umleitung auf einen Drop.

03.03.2008 Überweisung Geschenk KTO ########## BLZ ######## T12 – 3.745,00 EUR

03.03.2008 Überweisung Geschenk KTO ########### BLZ ######## T12 – 2.820,00 EUR

wie du siehst 2. aber es ist ein Fehler. Es sollte keine 2 Überweisungen geben. E9 sagt, dass es irgendwo einen Logik-Kampf gibt. Das System überweist, aber da gibt es irgendwo einen Bug. Kannst Du dir den Code ansehen? So wie ich verstehe, das ist eine Fabrik der [Substitution]

Zahlreiche andere Belegstellen aus den Chats zeigen, dass der Angeklagte aber in den restlichen Bereichen des Systems seine Aufgaben weiterhin wahrnahm; so z.B. der A1-Chat vom 04.01.2008:

K3: Ich möchte ein Bisschen spammen und giessen.

I erfüllte 2008 weiterhin seine Aufgaben als "technischer Koordinator", wie sich aus verschiedenen Chat-Stellen ergibt, z.B. aus dem Chat mit W1 vom 09.01.2008:

K3: Was genau funktioniert nicht?

W1: Nun, sagen wir der Taskmanager. Kein Pferd. wiederum.

K3: Wenn bei dir der Taskmanager nicht funktioniert, dann wurde er beschädigt, du musst bei Windows nachhacken.

W1: Wir habe kein privates Sploit, damit es zu 70 Prozent…

K3: Das Pferd wird gemacht. Was Sploit anbetrifft – das ist ein Problem.

W1: Ich weiß es. Das ist der taskmanager, mit dem die Drops …

K3: Das ist eine tödliche Nummer: ich erneure centos [Anm: eine M13-basierte Arbeitsoberfläche] auf dem Log-Server.

W1: nein, nicht der. [unverständlich]

K3: Ach so, damit musst du dich an H3 wenden, der es geschrieben hat.

Gleiches ergibt sich aus dem Chat von I ("Y1") mit H3 vom 23.01.2008:

Y1: Hallo, ich habe die Mitteilung bekommen. Ich wird die Antwort hierhin schicken, weil Jab die Mitteilung im offline-Modus manchmal verschluckt. Es hat einen Sinn zu spammen, wenn der Code permanent sauber gemacht wird und die Drops durch das Paneel geleitet werden. […]

Und ebenso aus dem Chat mit H3 vom 31.01.2008:

H3: o.k. Schicke mir die Zugangsdaten zu dem Server, wenn du sie hast. A1 hat Spam gestartet.

Y1: Die Server stellen sich automatisch ein.

Dies wird auch durch eine andere Stelle bestätigt. So heißt es im Chat mit A1 vom 12.02.2008:

K3: O, wir spammen. I20 GmbH, I21 Str. ####, ##### C16, Tel: ###-########. ### – das ist die Vorwahl von C4, ändere das auf etwas anderes. […] Spammst du mit dem alten Pferd?

A1: Nein. Wir versuchen das neue ans Laufen zu bringen. die Testversion.

K3: Aha, deswegen haben sich alle hier versammelt. Ich glaube mit dem Spam beschäftigen sich H3 und M2. Oder (?) unterstützt du sie moralisch?

A1: Nun, M2 verschickt, H3 organisiert und ich bin ein Hilfsarbeiter (

I ist selbst noch Mitte 2008 über die Ergebnisse der Phishing-Attacken informiert und weiß, bei welchen Überweisungen es zu Problemen gekommen ist (Chat mit G7 vom 20.06.2008:

G7: Diese Woche sind 28 Tausend abgerissen worden. Wenn PU in Schieflage kommt, wird H3 sehr traurig sein, ich habe Angst, dass er es nicht überleben wird.

K3: Ich weiß, dass 15 Tausend abgerissen worden sind. Der Drop hat die Zahlen verwechselt.

G7: 15-18

K3: Keine Ahnung, vielleicht habe ich es verwechselt.

G7: Ein Drop hat 10 bekommen, er ist zur Bank gegangen. Einen oder zwei Tage vorher hat ihn seine Freundin verlassen und ist durchgebrannt. Die 10 wurden dem nichts ahnenden Eigentümer zurückgegeben. Ich lüge nicht 28 – 18. Und weitere 8 sind an den gegangen, der die Zahlen verwechselt hat.

"Abgerissen" meint in diesem Zusammenhang, dass eine oder mehrere Überweisungen über 28.000,- € nicht durchgekommen sind, weil ein Finanzagent einen Fehler gemacht hat.

III.

Feststellungen zu den Einzelfällen

Die Feststellungen zu den Einzelfällen ergeben sich vor allem aus den Aussagen der über 70 vernommenen Zeugen sowie aus den in die Hauptverhandlung eingeführten Chatprotokollen und anderen Urkunden.

Bei den Zeugen handelte es sich zum einen um die im jeweiligen Einzelfall geschädigten Kontoinhaber sowie um die entsprechenden Finanzagenten. Letztere konnten im Regelfall Angaben dazu machen, über welche Seite sie als Finanzagent angeworben worden waren und welche Folgen diese Tätigkeit für sie hatte. Ergänzend wurden bei Bedarf die entsprechenden Kontoauszüge verlesen.

Zur Feststellung der besonderen Folgen wurden nicht nur die Aussagen der Finanzagenten und Geschädigten herangezogen, sondern auch Drohmails, Ausdrucke der Internet-Seite "T30.O8" sowie Strafbefehle und Strafurteile verlesen.

Aus Gründen der Übersichtlichkeit wurden die Einzelheiten der Beweiswürdigung im direkten Zusammenhang mit den Einzelfällen dargestellt.

IV.

Gesamtwürdigung

a.) Die der Beweiswürdigung zugrunde gelegten Chatprotokolle wurden sämtlich auf dem im Keller des elterlichen Hauses sichergestellten Rechner gefunden, der vom Angeklagten genutzt wurde. Die Kammer hat die Chatprotokolle durch Verlesen in die Hauptverhandlung eingeführt und ist sie einzeln mit dem Angeklagten durchgegangen. Dieser hatte Gelegenheit, die Übersetzung der in S2scher Sprache geschriebenen Chats zu beanstanden, was er auch bei einzelnen Passagen tat. Dabei bestätigte der Angeklagte, dass er der Autor der Einträge mit den Pseudonymen "Y1" und "K3" ist. Die beanstandeten Übersetzungen wurden – soweit für die Beweiserhebung relevant – mittels zweier Dolmetscher in der Hauptverhandlung überprüft. Die Details der Beweiswürdigung wurden zum besseren Verständnis bei den Einzelfällen unmittelbar dargestellt.

Dabei ist zu beachten, dass es sich bei den vorhandenen Chat-Protokollen nur um einen kleinen Teil der Gesamtkommunikation zwischen den Gruppenmitgliedern handelt. Aus vielen Stellen geht hervor, dass man auch andere Kommunikationsplattformen genutzt hat, für die aber entweder gar keine Protokolldateien angelegt oder deren Protokolle gelöscht wurden. Dadurch wird auch erklärlich, dass nur bei einem Teil der tatrelevanten Überweisungen entsprechende Eintragungen in den Chatprotokollen zu den Namen der Finanzagenten, der Dropführer usw. aufgefunden werden konnten.

b.) Dass es sich bei den Beteiligten um eine feste Gruppe handelt, die sich zum fortgesetzten Phishing zusammengeschlossen hat, ergibt sich bereits aus der Struktur des Phishing-Systems, das auf eine feste, arbeitsteilige Zusammenarbeit mehrerer ausgelegt ist.

Dieses Ergebnis wird durch die verlesenen Chat-Protokollen bestätigt. So z.B. im W1-Chat (Bl. A153). Dort schreibt I am 19.03.2008:

K3: Jetzt funktioniert alles richtig: Starten, Arbeit mit Webmin, rndc. schaffe deine Zonen neu

W1: O.K., danke schön, ihr Beitrag für die gemeinsame Sache wird wie immer hoch geschätzt.

Gleiches zeigte sich schon im A1-Chat vom 22.10.2007:

A1: Nun du hast geschrieben, dass du irgendwie den W1 und noch ein paar Leute beauftragt hast.

K3: Ja. ## und ##. Jetzt habe ich dich beauftragt und gehe zu W1 über.

A1: Sind sie auch im Team?

K3: Nein. Sie haben nicht einmal Namen, nur Nummern.

An dieser Stellen wird deutlich, dass die Gruppe feste Strukturen hatte und eindeutig zwischen Personen unterschied, die der Gruppe und ihren Strukturen angehörten und anderen Personen, mit denen die Gruppe lediglich geschäftliche Kontakte pflegte (wie z.B. ## und #:#).

Die eigentlichen Mitglieder der vorliegenden Gruppe wurden anhand dieses und anderer Chats identifiziert, wobei Ausgangspunkt immer die entsprechende Aufgabe innerhalb des Phishing-Systems war. Dabei wurde deutlich, dass zumindest H3, B5, W1, A1 und der Angeklagte I in einer festen Struktur zusammenarbeiteten; dem im Chat angesprochenen "Team".

c.) Die Absicht Is und der anderen Gruppenmitglieder, sich aus der Begehung der Taten dauerhafte Einnahmen zu sichern, ergibt sich bereits aus Is Einlassung. Zudem bestätigen zahlreiche Chatstellen, dass es den Gruppenmitgliedern auf regelmäßige Einkünfte ankam. So z.B. aus dem Chat mit B5 vom 05./06.10.2007:

B5: [18:33 Uhr] So eine Überweisung ist runter, C8 8500 ist also durch.

K3: Hurraaa. Danke ( ich schulde dir einen Cognac ( […] Wann wirst du Geld bei WMZ [Webmoney-Einheit] haben?

B5: Ich denke ungefähr in einer Stunde, ich bestelle jetzt eine Auszahlung.

[…]

K3: [20:38 Uhr] Was ist mit dem Naler, hat er es ausbezahlt??

K3: [21:22 Uhr] Nun, hat der Naler dir Geld überwiesen?

B5: eine Sekunde […] Nein, das Geld ist noch nicht da.

K3: o.k.

B5: Brauchst du es dringend?

K3: Ich kann bis morgen warten […]

B5: Irgendwie ist das Geld nicht da, vermutlich wird er es morgen überweisen. Er muss mir insgesamt 9624,84 übergeben. Ich gehe schlafen, schreiben wir morgen einander.

[…]

B5: [am 06.10.07] Ich habe alles an H3 geschickt. Wenn du es dringend brauchst, kann ich es überweisen, mit H3 rechnen wir später ab, er hat mir geschrieben, aber ich davor schon alles überwiesen.

K3: keine Frage, ich werde es mit ihm klären.

Dass I wöchentliche Einnahmen erwartete, ergibt sich aus dem Chat mit B5 vom 19.10.2007:

B5: Bei X2 werden gerade 7 Tausend abgehoben.

K3: oh. das heißt etwas Geld wird es für eine Woche geben.

Die Feststellungen zum Gesamtumfang der von der Gruppe getätigten Überweisungen ergeben sich aus einem Chat mit "#:#" vom 22.10.2007, in dem der Angeklagte seinem Chatpartner von dem Phishingsystem der Gruppe berichtet. Dort heißt unter anderem:

Y1: Zum Beispiel, letzte Woche wurden etwa 150 Log´s hinuntergegossen.

Die Zahl von ca. 150 Überweisungen pro Woche ist insbesondere vor dem Hintergrund des hohen Kosten- und Zeitaufwandes der Gruppe realistisch.

Die Tatsache, dass H3 für die Abrechnungen innerhalb der Gruppe zuständig war und die Gelder der Gruppe verwaltete, ergibt sich auch aus anderen Chat-Belegstellen, z.B. im Chat mit W1 vom 09.10.2007:

K3: Zu der Abrechnung – wenn es Überweisungen geben wird, dann wird es auch eine Abrechnung geben.

W1: o.K., ich verstehe, dass es nicht einfach ist. Was die Abrechnung anbetrifft - alles klar.

K3: B5 übergibt so wie so alles an den H3.

W1: Ja.

K3: H3 macht die Abschlussbilanz am Ende der Woche.

W1: Ich weiß.

Die Aufteilung der Gelder ist zwar nur rudimentär bekannt. Aus den Chats mit W1 ergibt sich aber, dass I für Überweisungen mit den abgephishten Daten aus dem ihm zugewiesenen Unterverzeichnis (D7 2) 20% des Überweisungsbetrages erhalten hat. Wie seine sonstigen Tatbeiträge vergütet wurden ist dagegen nicht bekannt. Seiner Einlassung vom 10.03.2009, er sei lediglich für die Administrierung des Servers stundenweise bezahlt worden, folgt die Kammer jedoch nicht. Vielmehr ist sie aufgrund seines Interesses am Erfolg der Überweisungen (auch der anderen Gruppenmitglieder) davon überzeugt, dass er generell zu einem bestimmten Prozentsatz an den Überweisungen beteiligt war.

C.

Rechtslage

Nach den getroffenen Feststellungen hat sich der Angeklagte I wegen gewerbs- und bandenmäßig begangenem Computerbetruges in 37 Fällen strafbar gemacht (§§ 263 a Absatz 1 und Absatz 2, 263 Absatz 5 StGB).

1. In den Fällen, in denen er selbst Überweisungen mit den abgephishten Datensätzen aus dem Log-Server vornahm, hat er jeweils das Ergebnis eines Datenverarbeitungsvorgangs durch unbefugte Verwendung von Daten beeinflusst.

Da das Merkmal der Unbefugtheit nach herrschender Auffassung in Anlehnung an § 263 StGB "betrugsspezifisch" auszulegen ist, ist die Verwendung von Daten dann als unbefugt anzusehen, wenn sie gegenüber einer natürlichen Person Täuschungscharakter hätte. Das ist unter der Voraussetzung gegeben, dass die Befugnis des Täters zur Inanspruchnahme der Computerleistung zur Geschäftsgrundlage gehört, so dass sie auch beim Schweigen der Beteiligten als selbstverständlich vorausgesetzt werden kann. Dies ist insbesondere auch bei der Eingabe vertraulicher Zugangs- und Transaktionsdaten (PIN und TAN) im Rahmen des Onlinebankings der Fall, wenn die Legitimationsdaten durch Phishing erlangt wurden (Fischer, StGB, 56. A., § 263a Rn. 11a).

2. Die Überweisungen, die durch W1, A1 oder andere Mitglieder der Gruppe vorgenommen wurden, muss sich der Angeklagte als Mittäter zurechnen lassen. Aufgrund seiner Stellung innerhalb der Gruppe hatte I Tatherrschaft bezüglich aller dieser Überweisungen, denn ohne seine Tatbeiträge wäre das Delikt nicht durchzuführen gewesen.

Die Mittäterschaft setzt ein bewusstes und gewolltes Zusammenwirken der Beteiligten bei der Begehung der Tat voraus. Erforderlich sind also ein gemeinsamer Tatentschluss und ein eigener wesentlicher Tatbeitrag jedes einzelnen.

Die Mitglieder der Gruppe um H3 und insbesondere der Angeklagte I haben einen solchen Tatentschluss gefasst, indem sie überein kamen, durch arbeitsteiliges Handeln gemeinsam die der Verurteilung zu Grunde liegenden Überweisungen mit den abgephisten Datensätzen durchzuführen.

Der Angeklagte leistete dabei wesentliche Tatbeiträge. "Wesentlich" ist der Tatbeitrag eines Beteiligten, der, wenn er verweigert wird, die Tat insgesamt zum Scheitern bringt. Mittäterschaft setzt also voraus, dass es zur Tatbestandsverwirklichung der Mitwirkung aller bedarf, dass aber zur Hemmung der Ausfall eines einzelnen genügt.

Die Tatbeiträge des Angeklagten waren so wesentlich, dass ohne sie die Taten nicht durchführbar gewesen wären. Ohne seine Koordinierung im Bereich der Trojanerentwicklung und der Koordinierung der Spam-Attacken, also der Verteilung der Schadsoftware, wäre es gar nicht erst zur Infizierung der Rechner der Geschädigten gekommen. Darüber hinaus ermöglichte seine Administration des Log-Servers und die Ausrichtung der Schadsoftware auf diesen Server erst die Errichtung des Bot-Netzes und das Abphishen der Datensätze. Da I über die Generierung und Verteilung der Sicherheitszertifikate auch den Zugang zu den Datensätzen steuerte, wären die Überweisungen ohne ihn letztlich nicht möglich gewesen. Dies gilt auch für die Fälle, in denen der Angeklagte nicht auch selber die Überweisungen durchführte bzw. W1 die Überweisungen auf seine Anweisung hin mit Datensätzen aus dem I zugeordneten Verzeichnis D7 2 durchführte.

3. I handelte dabei mit dem Vorsatz, den Kontoinhabern einen Vermögensschaden zuzufügen, und in der Absicht, sich selber einen dementsprechenden Vermögensvorteil zu verschaffen. Denn gerade auf die Verschaffung der abgephishten Geldmittel kam es den Gruppenmitgliedern an.

In den abgeurteilten Fällen kam es stets zur Abbuchung vom Konto der Geschädigten. Damit trat der angestrebte Vermögensschaden auch ein.

4. Die Überweisungen von I bzw. anderen Mitgliedern der Gruppe um H3 erfüllen auch den Verbrechenstatbestand der Qualifikation gem. §§ 263 a Absatz 2, 263 Absatz 5 StGB. Denn der Angeklagte I und die anderen Mitglieder der Gruppe handelten bei der Begehung der Einzeltaten gewerbsmäßig und als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten gemäß § 263 a StGB verbunden haben.

Zum einen wollten I und die anderen sich durch die Tatbegehung eine nicht nur vorübergehende Einnahmequelle von einigem Umfang verschaffen und zum anderen handelte es sich bei der Gruppe um H3 um eine Bande. Denn die Gruppe bestand aus mindestens 5 Personen (I, H3, B5, W1, A1), die sich mit dem Willen verbunden hatten, auch zukünftig Taten gemäß § 263 a StGB zu begehen.

5. Die einzelnen Taten stehen grundsätzlich in Tatmehrheit zueinander, § 53 Absatz 1 StGB. Lediglich die Fälle 20 und 21 (Finanzagent T12) wurden zusammengezogen, da ihnen ein einheitlicher Tatentschluss zugrunde lag. Denn die Überweisung ist lediglich durch ein technisches Versehen in zwei Einzelüberweisungen geteilt worden.

Daher hat sich der Angeklagte des gewerbs- und bandenmäßig begangenen Computerbetrugs in 37 Fällen strafbar gemacht.

D.

Strafzumessung

1. Der Regelstrafrahmen des einfachen Computerbetruges beträgt gemäß § 263 a Abs. 1 StGB Freiheitsstrafe bis zu 5 Jahren oder Geldstrafe.

Die Qualifikation des gewerbs- und bandenmäßig begangenen Computerbetrugs sieht gemäß §§ 263 a Absatz 2, 263 Absatz 5 Alt. 1 StGB einen Strafrahmen von einem Jahr bis zu 10 Jahren Freiheitsstrafe vor. In minder schweren Fällen wird dieser Strafrahmen abgesenkt auf Freiheitsstrafe von 6 Monaten bis zu 5 Jahren, § 263 Abs. 5 Alt. 2 StGB.

In den Fällen, in denen das zu Unrecht überwiesene Geld an die Hinterleute in Osteuropa weitergeleitet bzw. in C4 von "Herrn N6" in Empfang genommen wurde, hat die Kammer den Regelstrafrahmen des § 263 Abs. 5 Alt. 1 StGB von einem Jahr bis 10 Jahren Freiheitsstrafe angenommen.

Dagegen hat die Kammer einen minder schweren Fall im Sinne des § 263 Abs. 5 Alt. 2 StGB für die Fälle bejaht, in denen das zu Unrecht überwiesene Geld vollständig zurückgebucht werden konnte. Denn in diesen Fällen wurde der verursachte Schaden zumeist bei den betroffenen Banken zeitnah wieder gutgemacht. Nur in Einzelfällen wurden die Rückbuchungen von den Banken nicht an die Geschädigten weitergereicht, was sich jedoch nicht zu Lasten des Angeklagten auswirken darf. Die Anwendung des Strafrahmens des minder schweren Falles gemäß § 263 Abs. 5 Alt. 2 StGB ist daher auch im Vergleich zum höheren Strafrahmen des § 263 Abs. 3 StGB angemessen, der Freiheitsstrafe bis zu 10 Jahren vorsieht.

In einem Einzelfall (Fall 102) wurde das Geld vom Finanzagenten nicht weitergeleitet, sondern selbst verbraucht. Da die Gelder somit aber ebenfalls nicht den Tätern zugute kamen, hat die Kammer auch hier das Vorliegen eines minder schweren Falls angenommen.

2. Bei der konkreten Strafzumessung hat sich die Kammer zu Gunsten des Angeklagten insbesondere davon leiten lassen,

dass er nicht vorbestraft ist,

• dass er nicht vorbestraft ist,

dass er sich in der Hauptverhandlung weitgehend geständig eingelassen und so auch in einem gewissen Umfang zur Abkürzung der Beweisaufnahme beigetragen hat,

• dass er sich in der Hauptverhandlung weitgehend geständig eingelassen und so auch in einem gewissen Umfang zur Abkürzung der Beweisaufnahme beigetragen hat,

dass er in seiner Einlassung vom 07.07.2009 Angaben zur Identität des H3 gemacht hat, auch wenn die Richtigkeit dieser Angaben nicht mehr überprüft werden konnte,

• dass er in seiner Einlassung vom 07.07.2009 Angaben zur Identität des H3 gemacht hat, auch wenn die Richtigkeit dieser Angaben nicht mehr überprüft werden konnte,

dass er bei Begehung der Taten mit 27 Jahren noch relativ jung war,

• dass er bei Begehung der Taten mit 27 Jahren noch relativ jung war,

dass er sämtliche Tatbeiträge von seinem Computer aus und ohne persönliche Konfrontation mit den geschädigten Kontoinhabern und den betroffenen Finanzagenten erbracht hat, was zu einer Herabsetzung der Hemmschwelle geführt hat,

• dass er sämtliche Tatbeiträge von seinem Computer aus und ohne persönliche Konfrontation mit den geschädigten Kontoinhabern und den betroffenen Finanzagenten erbracht hat, was zu einer Herabsetzung der Hemmschwelle geführt hat,

dass er die Taten bereut,

• dass er die Taten bereut,

dass er ohne Hafterfahrung unter der einjährigen Untersuchungshaft gelitten hat

• dass er ohne Hafterfahrung unter der einjährigen Untersuchungshaft gelitten hat

und dass gegen ihn zu Unrecht der Vorwurf der Bildung einer kriminellen Vereinigung erhoben wurde.

• und dass gegen ihn zu Unrecht der Vorwurf der Bildung einer kriminellen Vereinigung erhoben wurde.

Demgegenüber hat die Kammer neben der Höhe der eingetretenen Schäden zu Lasten des Angeklagten berücksichtigt,

dass er bei der Begehung der Taten straf- und zivilrechtliche Folgen für die eingesetzten Finanzagenten in Kauf genommen hat,

• dass er bei der Begehung der Taten straf- und zivilrechtliche Folgen für die eingesetzten Finanzagenten in Kauf genommen hat,

3. Ausgehend von diesen Erwägungen hat die Kammer bei der Strafzumessung in den einzelnen Fällen des Computerbetruges danach differenziert, wie hoch der Schaden war und ob das Geld ins Ausland weiter geleitet wurde.

In den Fällen, in denen es zu einer Weiterleitung der Gelder kam (Strafrahmen von 1 Jahr bis 10 Jahre), hat die Kammer wie folgt differenziert:

In den Fällen, in denen es nicht zu einer Weiterleitung kam (minderschwere Fälle) hat die Kammer innerhalb des Strafrahmens von 6 Monaten bis 5 Jahre wie folgt differenziert:

Zudem hat die Kammer Aufschläge in den Fällen vorgenommen, in denen besondere Folgen für die Finanzagenten eingetreten sind. Solche besonderen Folgen hat die Kammer angenommen, wenn die Finanzagenten von den Dropführern bedroht wurden, wenn sie eine Eintragung in einer sogenannten "T30" und die damit verbundene Prangerwirkung hinnehmen mussten (Nr. 13, 17, 18, 20, 21, 23 und 32) oder wenn sie strafrechtliche Konsequenzen zu erdulden hatten (Nr. 2, 3, 6, 22, 24, 31 und 35). In diesen Fällen hat die Kammer je nach Schwere der Folgen einen Strafaufschlag zwischen 1 bis zu 4 Monaten vorgenommen.

Ebenso wurden Aufschläge von einem Monat in den Fällen gemacht, in denen die Überweisungen zwar an die Geschädigtenbank zurückgebucht wurden, die Geschädigten selber aber besondere Härten zu erleiden hatten, weil sie einen Kredit aufnehmen mussten oder nur einen Teil der Summe erstattet bekamen (Nr. 14 und 29).

In den beiden Fällen, in denen es nur zu einer teilweisen Weiterleitung der Gelder ins Ausland gekommen ist (Nr. 16 und 19), hat die Kammer ebenfalls den Strafrahmen des minderschweren Falls angewendet. Die teilweise Weiterleitung wurde jedoch mit einem Strafaufschlag zwischen 1 bis 4 Monaten berücksichtigt.

Aus diesen Erwägungen ergeben sich folgende Einzelstrafen:

4. Aus diesen Einzelstrafen hat die Kammer eine Gesamtstrafe gebildet. Die höchste Einzelstrafe beträgt 2 Jahre (Nr. 24 / Fall 14) und die Summe der Einzelstrafen übersteigt deutlich die Grenze von 15 Jahren.

Diese Einzelstrafen hat die Kammer nach nochmaliger Abwägung unter Berücksichtigung der gleichförmigen Begehungsweise und durch maßvolle Erhöhung der höchsten Einsatzstrafe auf eine tat- und schuldangemessene Gesamtfreiheitsstrafe von

4 Jahren

zurückgeführt (§ 54 StGB).

Dabei hat die Kammer insbesondere berücksichtigt, dass die Taten in einem engen zeitlichen und motivischen Zusammenhang begangen wurden und dadurch stets dasselbe Grunddelikt verwirklicht wurde. Ebenso hat die Kammer bedacht, dass der wirtschaftliche Gesamtschaden durch die hier abgeurteilten Taten im Vergleich mit anderen Wirtschaftsstraftaten nicht allzu hoch ist. Obwohl dieser Umstand gegen eine allzu hohe Freiheitsstrafe spricht, hat die Kammer andererseits berücksichtigt, dass es sich beim Phishing um Straftaten mit einer hohen kriminellen Energie handelt. Diese kriminelle Energie kommt vor allem durch das planhafte Vorgehen, die ausgefeilte Arbeitsteilung innerhalb der Bande und den hohen technischen Organisationsgrad zum Ausdruck. Das Delikt ist von Anfang an auf eine massenhafte Begehung angelegt. Diese Besonderheit hat die Kammer bei der Gesamtabwägung berücksichtigt und führte zur Verhängung der angemessen hohen Strafe.

E.

Teilfreispruch

Hinsichtlich der Fälle 86 und 87 der Anklage war der Angeklagte freizusprechen. Bei diesen Fällen kam es am ##.##.2005 zur Überweisung von 5.000,- € der Geschädigten I22 und am ##.##.2005 zur Überweisung von weiteren 3.000,- € vom Konto der Geschädigten E11. In beiden Fällen wurde das Geld auf das Konto des Finanzagenten T27 überwiesen. Diese Taten wurden zwar auch von der Gruppe um H3 begangen, was sich aus der Registrierung der Anwerbeseite ergibt, doch bereits zu einem Zeitpunkt, als der Angeklagte I noch nicht Mitglied der Bande war. Eine Zurechnung der Taten scheidet demnach aus.

F.

Kostenentscheidung

Die Kostenentscheidung beruht auf §§ 465 Absatz 1, 467 Absatz 1 und 464d StPO.