Die Bundesanwaltschaft kann endlich wieder einen Erfolg präsentieren. Sie hatte einer Frau gewerbsmässigen Betrug in 57 Fällen vorgeworfen. Die Täterin gestand ihre Schuld aber nur in zehn Fällen ein. Den Rest bestritt sie, weil dazu nur Indizien vorlagen. Doch deren Last ist erdrückend, wie das Bundesstrafgericht nun entschieden hat. In 55 Fällen sieht es die Tatbeteiligung als erwiesen an.
Eine Niederlage wäre für die Bundesanwaltschaft besonders peinlich gewesen, weil seit der Verhaftung schon mehr als fünf Jahre verstrichen sind. Seither blieb der Fall monatelang liegen. Das Bundesstrafgericht kürzt die beantragte Freiheitsstrafe von 42 Monaten deshalb leicht. Eine weitere Reduktion kommt dazu, weil die Frau eine tiefe hierarchische Stellung in ihrer kriminellen Gang hatte.
Das Urteil lautet deshalb: 30 Monate Freiheitsstrafe, wovon 20 bedingt sind. Das heisst, die Frau muss zehn Monate ins Gefängnis, wovon sie die Hälfte schon in U-Haft abgesessen hat.
Mit dem Gefängnisaufenthalt wird sie ihren Job verlieren. Ihre berufliche Stellung ist nämlich paradox: Sie arbeitet heute selber im Onlinebereich für die Bankenwelt, deren Kunden sie früher ausgenommen hat. Nun fliegt die Lebenslüge auf.
Hinzu kommt ein Schuldenberg, den die 39-Jährige vermutlich bis an ihr Lebensende nicht abtragen können wird. Denn sie ist bereits jetzt verschuldet. Für den Schaden und das Verfahren muss sie insgesamt 180'000 Franken bezahlen.
Der vorsitzende Richter Stefan Heimgartner (CVP) attestiert der Täterin und ihren unbekannten Komplizen ein hochgradig professionelles Vorgehen. Skrupellos und raffiniert hätten sie unbedarfte E-Banking-Kunden getäuscht und sie dazu gebracht, ihre geheimen Zugangsdaten zu verraten. Die international agierende Organisation war von 2012 bis 2015 aktiv, als die Betrugsmasche des Phishing noch relativ neu war.
Richter Heimgartner stellt fest: «Die Schweizer Bankenwirtschaft hat einen beträchtlichen Schaden davongetragen.» Die Cybercrime-Truppe, der die Frau angehörte, bewegte insgesamt 6.8 Millionen Franken. Die Banken haben darauf reagiert und ihre Systeme überarbeitet. Heute wären die gleichen Tricks nicht mehr möglich, weil die Banken merken würden, dass die missbräuchlichen Zugriffe von noch unbekannten IP-Adressen aus erfolgen.
Die heutigen Attacken funktionieren nach einem anderen Muster. Der Anfang ist derselbe: Die Täter rufen Bankkunden an und spielen ihnen vor, sie würden für die Bank arbeiten. Dann bringen sie die Kunden neuerdings dazu, ihnen einen Fernzugriff auf ihren Computer zu gewähren. So wird die betrügerische Zahlung von der IP-Adresse der Kunden ausgelöst und ist damit schwieriger zu identifizieren. Richter Heimgartner sagt dazu: «Der Kampf gegen Cyberbetrüger geht weiter.»
Die verurteilte Frau ist IT-Supporterin und wäre auch zu diesen neuen Angriffen fähig. Der Richter hält ihre Entschuldigung zwar für nicht sehr authentisch. Er stellt ihr aber eine gute Prognose aus und wünscht ihr, dass sie ihre rhetorischen und technischen Fähigkeiten fortan legal ausleben werde.
Eine Frage lässt das Gericht offen. Haften Banken ein Stück weit für systemimmanente Risiken wie Cyberbetrug? Die Banken stellen sich auf den Standpunkt, sie seien nicht für Fehler ihrer Kunden verantwortlich. Trotzdem begleichen sie aus Kulanz einen Teil des Schadens.