Bundesstrafgericht 22.01.2021 SK.2020.35

Urteil vom 22. Januar 2021 Strafkammer Besetzung Bundesstrafrichter Stefan Heimgartner, Vorsitz Martin Stupf und Alberto Fabbri, Gerichtsschreiber David Heeb Parteien BUNDESANWALTSCHAFT, vertreten durch a.i. Staatsanwalt des Bundes Andreas Affolter, und als Privatklägerschaft: 1. Bank B., 2. Finanzinstitut C., Unternehmenssicherheit, 3. D. AG, 4. E., 5. F., 6. G., 7. H., 8. I., 9. J., 10. K., 11. L., 12. M., 13. N. GmbH, 14. O., Bundesstrafgericht Tribunal pénal fédéral Tribunale penale federale Tribunal penal federal

Geschäftsnummer: SK.2020.35

- 2 - SK.2020.35 15. P., 16. Q., 17. R., 18. S.,

gegen A., amtlich verteidigt durch Rechtsanwalt Andrea Janggen

Gegenstand Mehrfache unbefugte Datenbeschaffung und Versuch dazu, mehrfacher gewerbsmässiger betrügerischer Missbrauch einer Datenverarbeitungsanlage, mehrfache bandenmässige Geldwäscherei

- 3 - SK.2020.35 Anträge der Bundesanwaltschaft: 1. A. sei schuldig zu sprechen - der mehrfachen unbefugten Datenbeschaffung (Art. 143 Abs. 1 StGB) und des Versuchs dazu (Art. 143 Abs. 1 i.V.m. Art. 22 Abs. 1 StGB); - des mehrfachen gewerbsmässigen betrügerischen Missbrauchs einer Datenverarbeitungsanlage (Art. 147 Abs. 2 StGB) und - der mehrfachen bandenmässigen Geldwäscherei (Art. 305bis Ziff. 2 StGB).

2. A. sei mit einer Freiheitsstrafe von 42 Monaten zu bestrafen. Die ausgestandene Untersuchungshaft von 156 Tagen sei auf die Strafe anzurechnen (Art. 51 StGB). 3. Der Kanton Basel-Stadt sei als Vollzugskanton zu bestimmen (Art. 74 Abs. 2 StBOG i.V.m. Art. 34 Abs. 1 StPO). 4. Zulasten von A. und zugunsten der Eidgenossenschaft sei eine Ersatzforderung in gerichtlich zu bestimmender Höhe zu begründen (Art. 71 Abs. 1 StGB). 5. Die Zivilklagen seien gerichtlich zu beurteilen. 6. Die Verfahrenskosten, bestehend aus den Kosten des Vorverfahrens in der Höhe von Fr. 160'314.-- (Gebühren: Fr. 20'000.--, Auslagen: Fr. 140'314.--) und den gerichtlich zu bestimmenden Kosten des Hauptverfahrens, seien A. aufzuerlegen (Art. 426 Abs. 1 StPO).

7. Rechtsanwalt Andrea Janggen sei für die amtliche Verteidigung von A. in gerichtlich zu bestimmender Höhe aus der Bundeskasse zu entschädigen (Art. 135 Abs. 1 StPO).

A. sei zu verpflichten, dem Bund die Entschädigung zurückzubezahlen, sobald es ihre wirtschaftlichen Verhältnisse erlauben (Art. 135 Abs. 4 StPO).

8. Dem für die Führung von AFIS zuständigen Dienst sei die Zustimmung zur Löschung der von A. erhobenen biometrischen erkennungsdienstlichen Daten (PCN 41 500625 75) nach Ablauf der gesetzlichen Frist zu erteilen (Art. 17 Abs. 1 lit. e i.V.m. Art. 19 Abs. 1 der Verordnung über die Bearbeitung biometrischer erkennungsdienstlicher Daten).

- 4 - SK.2020.35 Anträge der Privatklägerin Bank B.: 1. A. sei der mehrfachen unbefugten Datenbeschaffung (Art. 143 Abs. 1 StGB) und des Versuchs dazu (Art. 143 Abs. 1 i.V.m. Art. 22 Abs. 1 StGB), des mehrfachen gewerbsmässigen betrügerischen Missbrauchs einer Datenverarbeitungsanlage (Art. 147 Abs. 2 StGB) sowie der bandenmässigen Geldwäscherei (Art. 305bis Ziff. 2 StGB) schuldig zu sprechen.

2. Eventualiter sei A. anstelle der mehrfach begangenen versuchten unbefugten Datenbeschaffung (Art. 143 Abs. 1 i.V.m. Art. 22 Abs. 1 StGB) des mehrfach begangenen versuchten betrügerischen Missbrauchs einer Datenverarbeitungsanlage (Art. 147 Abs. 1 i.V.m. Art. 22 Abs. 1 StGB) schuldig zu sprechen.

3. A. sei nach Ermessen des Gerichts zu bestrafen. 4. A. sei zu verpflichten, der Privatklägerschaft Bank B. Fr. 83'382.-- als Schadenersatz zu bezahlen, zzgl. Zins von 5 % auf den Betrag Fr. 11'272.-- ab 19.04.2013, auf den Betrag Fr. 2'650.-- ab 07.01.2014, auf den Betrag Fr. 20'000.-- ab 21.05.2013, auf den Betrag Fr. 3'960.-- ab 29.05.2013, auf den Betrag Fr. 7'650.-ab 10.06.2014, auf den Betrag Fr. 18'000.-- ab 25.09.2013 und auf den Betrag Fr. 19'850.-- ab 17.02.2014 (Art. 126 Abs. 1 lit. a StPO).

5. Die Verfahrenskosten seien vollumfänglich A. aufzuerlegen (Art. 426 Abs. 1 StPO).

Anträge der Privatklägerin Finanzinstitut C.: A. sei zu verpflichten, dem Finanzinstitut C. Fr. 46'843.45 als Schadenersatz zu bezahlen, zzgl. Zins von 5 % für Fr. 8'500.-- vom 12.03.2015 bis 19.09.2017, Fr. 3'900.-- vom 25.03.2015 bis 01.05.2015, Fr. 3'108.19 ab 30.03.2015, Fr. 49'500.-- vom 26.05.2015 bis 14.03.2016, Fr. 39'500.-- ab 15.03.2016 und Fr. 3'128.76 ab 01.06.2015.

Anträge der übrigen Privatklägerschaft: D. AG - A. sei zu verpflichten, der D. AG einen Schadenersatz von Fr. 22'885.34 zu bezahlen. E. - A. sei zu verpflichten, E. einen Schadenersatz von Fr. 7'173.84 und eine Genugtuung von Fr. 1'000.-- zu bezahlen.

- 5 - SK.2020.35 F. - A. sei zu verpflichten, F. einen Schadenersatz von Fr. 10'745.65 und eine Genugtuung von Fr. 1'000.-- zu bezahlen. G. - A. sei zu bestrafen. - A. sei zu verpflichten, G. einen Schadenersatz von Fr. 36'000.-- zu bezahlen. H. - A. sei zu bestrafen. I. - A. sei zu verpflichten, I. einen Schadenersatz von Fr. 5'171.-- und eine Genugtuung von Fr. 1'000.-- zu bezahlen. J. - A. sei zu verpflichten, J. einen Schadenersatz von EUR 11'000.-- zu bezahlen. K. - A. sei zu verpflichten, K. einen Schadenersatz von Fr. 2'550.-- und eine Genugtuung von Fr. 1'000.-- zu bezahlen. L. - A. sei zu bestrafen. - A. sei zu verpflichten, L. einen Schadenersatz von Fr. 18'000.-- zu bezahlen. M. - A. sei zu bestrafen. N. GmbH - A. sei zu verpflichten, der N. GmbH einen Schadenersatz von Fr. 2'700.-- zu bezahlen. O. - A. sei zu bestrafen. - A. sei zu verpflichten, O. einen Schadenersatz von Fr. 19'850.-- sowie eine Genugtuung von Fr. 5'000.-- zu bezahlen. P. - A. sei zu bestrafen. Q. - A. sei zu bestrafen. R. - A. sei zu bestrafen. S. - A. sei zu bestrafen.

- 6 - SK.2020.35 Anträge der Verteidigung: I. A. sei freizusprechen: 1. vom Vorwurf der mehrfachen unbefugten Datenbeschaffung und des Versuchs dazu gemäss Ziff. 1.1.1 und Ziff. 1.1.2 der Anklageschrift vom 17. August 2020; 2. vom Vorwurf des mehrfachen gewerbsmässigen betrügerischen Missbrauchs einer Datenverarbeitungsanlage in den Fällen 1-39, 41, 45-48, 52, 54-58 und 61 gemäss Ziff. 1.2 der Anklageschrift vom 17. August 2020;

3. vom Vorwurf der mehrfachen bandenmässigen Geldwäscherei in mittelbarer Täterschaft gemäss Ziff. 1.3.1 der Anklageschrift vom 17. August 2020.

II. A. sei hingegen schuldig zu erklären: 1. des mehrfachen betrügerischen Missbrauchs einer Datenverarbeitungsanlage in den Fällen 40, 42-44, 49-50, 53, 59 und 60 gemäss Ziff. 1.2 der Anklageschrift vom 17. August 2020;

2. des versuchten betrügerischen Missbrauchs einer Datenverarbeitungsanlage im Fall 51 gemäss Ziff. 1.2.1 der Anklageschrift vom 17. August 2020; und sie sei in Anwendung der einschlägigen Gesetzesbestimmungen zu verurteilen: 1. zu einer bedingten Freiheitsstrafe in der Höhe von 10 Monaten; 2. zur Zahlung von höchstens einem Sechstel der anfallenden Verfahrenskosten.

III. Privatklagen seien, mit Ausnahme allfälliger Privatklagen betreffend die Fälle 40, 42-44, 49-50, 51, 53, 59 und 60, abzuweisen.

- 7 - SK.2020.35 IV. Weiter sei zu verfügen: 1. Das Honorar des amtlichen Verteidigers sei gestützt auf die eingereichte Honorarnote gerichtlich zu bestimmen. 2. Es seien die weiteren Verfügungen von Amtes wegen zu treffen.

Prozessgeschichte: A. Gestützt auf die Verdachtsmeldung der Meldestelle für Geldwäscherei vom 11. Februar 2013 gemäss Art. 9 des Bundesgesetzes vom 10. Oktober 1997 über die Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung (GwG; SR 955.0) eröffnete die Bundesanwaltschaft am 18. Februar 2013 eine Strafuntersuchung gegen Unbekannt wegen Geldwäscherei (Art. 305bis StGB) und betrügerischen Missbrauchs einer Datenverarbeitungsanlage (Art. 147 StGB) (BA pag. 1- 0-1; 5-3-3, -21). Es bestand der Anfangsverdacht, dass mittels «gephishter» Daten eine unrechtmässige Zahlung von einem Kundenkonto der Bank B. zugunsten der Täterschaft ausgelöst wurde. B. Mit Verfügung vom 12. Mai 2015 dehnte die Bundesanwaltschaft das Strafverfahren auf A. und am 23. Juni 2015 auf T. aus (BA pag. 1-0-2 f.). C. Die Bundesanwaltschaft führte vom 1. Mai 2013 bis 17. Juli 2015 geheime Überwachungsmassnahmen (Echtzeit und rückwirkende Telefonkontrollen; Audio- und Videoüberwachungen; Observationen; Einsatz von IMSI-Catcher) durch. Im Zeitraum vom 18. Februar 2013 bis 4. Juni 2013 ordnete sie gegenüber der Bank B. Kontensperren an. Am 6. Mai 2013 verlangte die Bundesanwaltschaft von der Bank B. die Phishing-Daten heraus und ersuchte um Informationen über das technische Vorgehen der Täterschaft. Sodann fanden am 22. Juni 2015 bzw. 1. Juli 2015 am Domizil bzw. am Arbeitsplatz von A. Durchsuchungen statt, wobei eventuell beweisrelevante Gegenstände von der Bundesanwaltschaft sichergestellt wurden. Am 23. September 2015 verlangte die Bundesanwaltschaft von der damaligen Arbeitgeberin der Beschuldigten die Arbeitszeitpläne heraus (BA pag. 7- 1-1-1 ff.; 7-1-4-1 f.; 7-4-0-1 f.; 8-2-6, -8; 8-2-16, -20; 9-1-11 ff., 9-24-22). D. A. wurde am 22. Juni 2015 in Basel verhaftet und befand sich bis zum 13. November 2015 in Untersuchungshaft (BA pag. 6-1-0-1; 6-1-0-77). Mit ihr zusammen wurde auch T. verhaftet. Er wurde mit Strafbefehl der Bundesanwaltschaft vom

- 8 - SK.2020.35 17. September 2015 wegen versuchter Mittäterschaft im Rahmen eines betrügerischen Missbrauchs einer Datenverarbeitungsanlage (Art. 147 Abs. 1 StGB i.V.m. Art. 22 Abs. 1 StGB) sowie versuchter Geldwäscherei (Art. 305bis Ziff. 1 i.V.m. Art. 22 Abs. 1 StGB) zu einer Freiheitsstrafe von 6 Monaten verurteilt, bedingt vollziehbar mit einer Probezeit von zwei Jahren (BA pag. 3-0-1, -3). Der Strafbefehl ist in Rechtskraft erwachsen. E. Mit Verfügung vom 5. Juli 2018 dehnte die Bundesanwaltschaft die Strafverfolgung gegen Unbekannt und A. sachlich auf die Straftatbestände der unbefugten Datenbeschaffung (Art. 143 Abs. 1 StGB) sowie des gewerbsmässigen betrügerischen Missbrauchs einer Datenverarbeitungsanlage (Art. 147 Abs. 2 StGB) aus (BA pag. 1-0-4). F. Am 14. Juni 2019 trennte die Bundesanwaltschaft die Strafuntersuchung gegen Unbekannt vom Verfahren gegen A. ab und sistierte das entsprechende Verfahren (BA pag. 1-0-5). G. Am 17. August 2020 erhob die Bundesanwaltschaft beim hiesigen Gericht Anklage gegen A. wegen mehrfacher unbefugter Datenbeschaffung und Versuchs dazu (Art. 143 Abs. 1 StGB; Art. 143 Abs. 1 i.V.m. Art. 22 Abs. 1 StGB), mehrfachen gewerbsmässigen betrügerischen Missbrauchs einer Datenverarbeitungsanlage (Art. 147 Abs. 1 und 2 StGB) und mehrfacher bandenmässiger Geldwäscherei (Art. 305bis Ziff. 1 und 2 lit. b StGB). H. Mit Verfügung des Vorsitzenden vom 7. September 2020 wurde die Privatklägerschaft eingeladen anhand eines beigelegten Formulars im Sinne von Art. 120 Abs. 1 StPO schriftlich mitzuteilen, ob sie an den ihnen zustehenden Rechten als Partei sowie ihren Schadenersatz- und/oder Genugtuungsforderungen festhalten oder darauf verzichten. In der Folge zogen fünf Privatkläger ihre Straf- und Zivilklage zurück (TPF pag. 19.400.001 f.; 19.554.001; 19.558.001, 19.565.003, 15.571.002, 15.573.002). I. Mit prozessleitender Verfügung vom 7. September 2020 forderte der Vorsitzende die Bank B. und das Finanzinstitut C. auf, anhand einer tabellarischen Aufstellung mitzuteilen, welche Forderungen der Privatklägerschaft allenfalls bereits durch die Finanzinstitute gedeckt worden seien. Die Bank B. sowie das Finanzinstitut C. teilten mit Schreiben vom 18. September 2020 mit, bei welchen Privatklägern sie den durch das Phishing entstandenen Schaden aus Kulanzgründen aufgrund von Entschädigungsvereinbarungen (teilweise) entschädigt haben. Mit Eingabe vom 23. November 2020 teilte die Bank B. aufforderungsgemäss dem Gericht mit, welche Geldüberweisungen nach den inkriminierten Taten vor Belastung der Konten der Privatkläger gestoppt werden konnten (TPF pag. 19.400.001 f.; 19.551.001 f.; 19.551.027 f.; 19.552.005).

- 9 - SK.2020.35 J. Im Rahmen der Prozessvorbereitung holte das Bundesstrafgericht von Amtes wegen die erforderlichen Beweismittel zu den persönlichen und finanziellen Verhältnissen der Beschuldigten ein (Auszug aus dem Schweizerischen Strafregister vom 8. Januar 2021; Betreibungsregisterauszug des Betreibungsamtes Basel-Stadt vom 8. Januar 2021; Steuerunterlagen der Steuerverwaltung des Kantons Basel- Stadt 2019 [TPF pag. 19.231.1.002; 19.231.2.004 ff.; 19.231.3.002]). K. Die Hauptverhandlung fand am 21. Januar 2021 in Anwesenheit der Anklägerin sowie der Beschuldigten und ihrem Verteidiger am Sitz des Bundesstrafgerichts statt. Das Urteil der Strafkammer wurde am 22. Januar 2021 in Anwesenheit der erwähnten Parteien eröffnet und mündlich begründet (TPF pag. 19.720.001, -010; 19.940.003, -007). L. Am 1. Februar 2021 meldete die Beschuldigte fristgerecht Berufung gegen das Urteil an (Art. 399 Abs. 1 i.V.m. Art. 398 Abs. 1 StPO).

Die Strafkammer erwägt: 1. Prozessuales 1.1 Schweizerische Gerichtsbarkeit 1.1.1 Gemäss Territorialitätsprinzip ist der schweizerischen Strafhoheit unterworfen, wer in der Schweiz ein Verbrechen oder Vergehen verübt. Art. 3 StGB regelt den räumlichen Geltungsbereich des schweizerischen Strafgesetzes und bestimmt damit die Reichweite der nationalen Strafgewalt (BGE 128 IV 145 E. 2d). Was als inländische Tatverübung gilt, folgt aus Art. 8 StGB. Nach dessen Abs. 1 gilt ein Verbrechen oder Vergehen sowohl am Begehungs- als auch am Erfolgsort als begangen. 1.1.2 Gemäss Anklagevorwurf soll die Beschuldigte in zwei Fällen aus den Niederlanden aus mittels Telefonanrufen die E-Banking-Zugangsdaten (PIN-Codes) von Personen in der Schweiz beschafft haben (TPF pag. 19.100.009). Mit den «gephishten» Daten seien von deren Konten bei der Bank B. bzw. des Finanzinstituts C. mit Sitz in der Schweiz unrechtmässig Gelder auf Konten von sog. Finanzagenten («Money-Mules») überwiesen worden. Da ein mutmasslicher Deliktserfolg in der Schweiz eingetreten ist, liegt ein örtlicher Anknüpfungspunkt in der Schweiz vor. Die schweizerische Gerichtsbarkeit ist demnach gegeben.

- 10 - SK.2020.35 1.2 Bundesgerichtsbarkeit 1.2.1 Das Gericht prüft seine Zuständigkeit von Amtes wegen. Mit Verfügung vom 18. Februar 2013 eröffnete die Bundesanwaltschaft eine Strafuntersuchung gegen Unbekannt wegen Geldwäscherei (Art. 305bis StGB) und betrügerischen Missbrauchs einer Datenverarbeitungsanlage (Art. 147 StGB) (BA pag. 1-0-1). Es bestand der Verdacht, dass eine international agierende Gruppierung, – deren Drahtzieher sich vorwiegend in den Niederlanden aufgehalten habe – mittels «gephishter» Daten unrechtmässig Zahlungen von Kundenkonten der Bank B. zu ihren Gunsten ausgelöst habe. Die Hintermänner sollen teilweise auf niederländischem, schweizerischem und deutschem Territorium agiert haben. Im vorliegenden Phishing-Komplex gelangten einige kantonale Staatsanwaltschaften mit Gerichtsstandsanfragen (Art. 39 StPO) an die Bundesanwaltschaft (BA pag. 2-0-1/-7/-10/-83). Die Bundesanwaltschaft übernahm zwecks Verfolgung der Hintermänner diejenigen kantonalen Verfahren, welche einen internationalen Konnex aufwiesen (BA pag. 2-0-8; 2-0-79). 1.2.2 Gemäss Rechtsprechung der Beschwerdekammer des Bundesstrafgerichts sind die kantonalen Strafverfolgungsbehörden für die Verfolgung und Beurteilung der in der Schweiz handelnden sog. Finanzmanager («Money-Mules») zuständig, während für die Verfolgung der Hintermänner der Phishing-Fälle, welche überwiegend aus dem Ausland operieren, Bundeszuständigkeit gegeben ist (Beschluss der Beschwerdekammer BG.2011.27 vom 12. Oktober 2011 E. 2.3 und 2.5). Vorliegend begründete die Verdachtslage bei Eröffnung der Strafuntersuchung die Bundeszuständigkeit. Die Bundesgerichtsbarkeit für die Beurteilung der Anklage ist somit gegeben. Im Übrigen darf die Strafkammer des Bundesstrafgerichts ihre Zuständigkeit nach Anklageerhebung nur aus besonders triftigen Gründen verneinen (BGE 133 IV 235 E. 7.1). Solche wurden vorliegend weder geltend gemacht noch sind sie ersichtlich. 1.2.3 Die Kompetenz des Kollegialgerichts der Strafkammer des Bundesstrafgerichts ergibt sich aus Art. 19 Abs. 2 StPO e contrario i.V.m. Art. 36 Abs. 1 und 2 des Bundesgesetzes vom 19. März 2010 über die Organisation der Strafbehörden des Bundes (StBOG; SR 173.71). 1.3 Anwendbares Recht 1.3.1 Gemäss Art. 2 Abs. 1 StGB wird nach geltendem Recht beurteilt, wer nach dessen Inkrafttreten eine Straftat begangen hat. Massgebend ist der Zeitpunkt der Vornahme der tatbestandsmässigen Handlung (POPP/BERKEMEIER, Basler Kommentar, 4. Aufl. 2019, Art. 2 StGB N. 5). Als Ausnahme bestimmt Art. 2 Abs. 2 StGB, dass eine Tat, die vor Inkrafttreten des Gesetzes begangen wurde, nach

- 11 - SK.2020.35 dem neuen Recht zu beurteilen ist, wenn dieses für den Täter milder ist (lex mitior). 1.3.2 Der Beschuldigten wird vorgeworfen, sich zwischen dem 2. November 2012 und 19. Juni 2015 der mehrfachen unbefugten Datenbeschaffung und des Versuchs dazu (Art. 143 Abs. 1 StGB; Art. 143 Abs. 1 i.V.m. Art. 22 Abs. 1 StGB) sowie des mehrfachen gewerbsmässigen betrügerischen Missbrauchs einer Datenverarbeitungsanlage (Art. 147 Abs. 1 und 2 StGB) schuldig gemacht zu haben. Ausserdem habe sie sich vom 25. März 2015 bis 30. März 2015, vom 26. März 2015 bis 1. April 2015 und vom 18. Juni 2015 bis 22. Juni 2015 der mehrfachen bandenmässigen Geldwäscherei (Art. 305bis Ziff. 1 und 2 lit. b StGB) schuldig gemacht. 1.3.3 Die im Tatzeitpunkt geltenden Straftatbestände gemäss Art. 143 Abs. 1 StGB und Art. 147 Abs. 1 und 2 StGB entsprechen – abgesehen von den mit der Revision des Sanktionenrechts, in Kraft seit 1. Januar 2018, einhergehenden Änderungen (Revision vom 19. Juni 2015; AS 2016 1249) – dem Recht im Urteilszeitpunkt. Dasselbe gilt – mit Ausnahme der vorliegend nicht interessierenden Ergänzung um das Herrühren von Vermögenswerten aus qualifizierten Steuervergehen (eingeführt mit dem Bundesgesetz vom 12. Dezember 2014 zur Umsetzung der 2012 revidierten Empfehlungen der Groupe d’action financière, in Kraft seit 1. Januar 2016, AS 2015 1389) – für den Straftatbestand von Art. 305bis Ziff. 1 und Ziff. 2 lit. b StGB. Anzuwenden ist somit das im Tatzeitpunkt geltende Recht (Art. 2 Abs. 1 StGB). Auf intertemporalrechtliche Fragen, die sich angesichts der erwähnten Revision des Sanktionenrechts stellen, wird an entsprechender Stelle eingegangen (E. 6.1.1). 1.4 Würdigungsvorbehalt 1.4.1 Will das Gericht den Sachverhalt rechtlich anders würdigen als die Staatsanwaltschaft in der Anklageschrift, so eröffnet es dies den anwesenden Parteien und gibt ihnen Gelegenheit zur Stellungnahme (Art. 344 StPO). Ein solcher Würdigungsvorbehalt will sicherstellen, dass das Gericht nicht eine rechtliche Würdigung des Sachverhalts vornimmt, zu der die Beschuldigte nicht hat Stellung nehmen können. 1.4.2 Der Vorsitzende behielt sich mit Schreiben an die Parteien vom 11. Januar 2021 gemäss Art. 344 StPO vor, den unter dem Tatbestand der mehrfachen versuchten unbefugten Datenbeschaffung gemäss Art. 143 Abs. 1 i.V.m. Art. 22 Abs. 1 StGB dargestellten Sachverhalt (Anklagepunkt 1.1.2 [S. 11 ff. der Anklageschrift]) auch unter dem Tatbestand des versuchten betrügerischen Missbrauchs einer Datenverarbeitungsanlage gemäss Art. 147 Abs. 1 i.V.m. Art. 22 Abs. 1

- 12 - SK.2020.35 StGB zu würdigen. Der Würdigungsvorbehalt hatte keine wesentliche Neuausrichtung der Verteidigung zur Folge. Der Vorsitzende gab den Parteien Gelegenheit, sich dazu im Rahmen ihrer Parteivorträge zu äussern, so dass die Parteirechte umfassend gewahrt wurden (TPF pag. 19.720.004). 2. Zum Modus Operandi und zur Aufgabenteilung bei den Vishing-Fällen Der Begriff «Vishing» steht vorliegend für Voice-Phishing und bezeichnet die organisierte Datenbeschaffung via Telefon. Nachfolgend wird der Einfachheit halber Phishing synonym für Phishing/Vishing verwendet. Der gesamte Ablauf der Phishing-Attacken erfolgte innerhalb einer international organisierten Gruppierung in strenger Aufgabenteilung. Im Rahmen der Angriffsvorbereitung für die Voice-Phishing-Attacken sammelten die sog. «Techniker» (IT-Spezialisten) die E-Mail-Adressen der Bankkunden aus dem Internet, an welche sie später die eigentlichen Phishing-Mails versandten. Der getäuschte Bankkunde klickte dann im Phishing-Mail den vermeintlichen Link seiner Bank an und gab auf der gefälschten Phishing-Webseite die verlangten Bankkundendaten ein. Sodann erfolgte in einem zweiten Schritt die Voice-Phishing Kontaktaufnahme durch die «Telefonistinnen» bzw. die «Call-Agentinnen», welche sich als Mitarbeiterinnen des entsprechenden Geldinstituts ausgaben. Sie verwickelten die Gesprächspartner in Diskussionen um die Sicherheit im E-Banking und brachten sie dazu, vertrauliche Daten, insbesondere den Sicherheitscode, zu übermitteln. Die «Telefonistinnen» waren für die Phishing-Fälle unentbehrlich: Nur sie beherrschten die Muttersprache der Opfer und waren so in der Lage, das Vertrauen der getäuschten Bankkunden zu gewinnen und deren E-Banking-Zugangsdaten zu erfragen. Ohne ihren Tatbeitrag wären die Phishing-Fälle nicht möglich gewesen. Mit den Informationen der «Telefonistinnen» loggten sich die weiteren «Mittäter» simultan, d.h. noch während des Telefonats, in den echten E-Mail Banking-Account des Opfers ein und lösten die entsprechenden Onlinetransaktionen auf das Konto der «Money-Mules» aus. Um zu verhindern, dass der Bankkunde den in Auftrag gegebenen Transfer vor der tatsächlichen Überweisung bemerkte, wurde er telefonisch angewiesen, sich in den nächsten 24 Stunden nicht in sein E-Banking-Account einzuloggen, damit das angebliche Sicherheitsupdate abgeschlossen werden könne. Sodann stellten die «Money-Mules» der Täterschaft ihr Bankkonto zur Verfügung, um die illegalen Transaktionen zu ermöglichen. Sie wurden von der Täterschaft kurz vor der geplanten Transaktion informiert, dass ein bestimmter Betrag auf ihr Konto überwiesen wird. Gegen eine Provision von 10 bis 15% leiteten die «Money-Mules» das Geld auf ein von der Täterschaft genanntes Konto weiter oder übergaben es in bar einem für die Täterschaft tätigen «Geldkurier». Die sog. «Organisatoren» koordinierten die Phishing-Scripts, die Rekru-

- 13 - SK.2020.35 tierung und Betreuung der «Telefonistinnen», das Einkassieren und den Transport des inkriminierten Geldes durch die Kuriere sowie die Anwerbung von «Money-Mules». Es handelte sich um die sog. Hintermänner. Aus parallelen Ermittlungsverfahren in Deutschland, den Niederlanden und Belgien ist bekannt, dass die Täterschaft auf dieser Stufe vorwiegend nigerianischer Herkunft war (BA pag. 10-2-98, -101; 10-2-107). 3. Mehrfache unbefugte Datenbeschaffung und Versuch dazu (Art. 143 Abs. 1 StGB; Art. 143 Abs. 1 i.V.m. Art. 22 Abs. 1 StGB) 3.1 Anklagevorwurf 3.1.1 Die Bundesanwaltschaft wirft der Beschuldigten vor, sie habe zwischen dem 2. November 2012 und 19. Juni 2015 als «Call-Agentin» einer international aktiven Tätergruppierung die vertraulichen elektronischen E-Banking-Zugangsdaten (PIN-Codes) von mindestens 57 Personen beschafft, um sich und ihre Mittäter unrechtmässig zu bereichern. Die Tätergruppierung um die Beschuldigte habe zuvor die E-Mail-Adressen der Bankkunden (geschädigten Personen) im Internet gesammelt und diese mit Phishing-E-Mails angeschrieben. Diese E-Mails seien hinsichtlich Gestaltung, Farbgebung und Inhalt den E-Mails der Bank B. oder des Finanzinstituts C. nachgeahmt gewesen. Den angeschriebenen Bankkunden sei vorgetäuscht worden, sie seien von der jeweiligen Bank im Hinblick auf ein E-Banking-Update verfasst worden. Die getäuschten Bankkunden hätten einen in den Phishing-E-Mails enthaltenen Link angeklickt, womit sie auf eine von der Tätergruppierung um die Beschuldigte zuvor installierte Phishing-Webseite umgeleitet worden seien. Die Bankkunden hätten auf der Phishing-Webseite ihre Telefonnummer sowie gewisse Bankkundendaten (Name, Geburtsdatum, Adresse, Kontonummer) eingegeben, welche automatisch an eine auf der Phishing- Webseite hinterlegte E-Mail-Adresse der Tätergruppierung um die Beschuldigte gesandt worden sei. Sodann habe die Beschuldigte zur telefonischen Kontaktaufnahme mit den Bankkunden die «gephishten» Telefonnummern verwendet. Sie habe sich am Telefon gegenüber den Bankkunden als Bankangestellte «Frau Meier» der jeweiligen Bank ausgegeben und bezugnehmend auf die zuvor beschriebenen Phishing-E-Mails vorgegeben, das angekündigte E-Banking-Update durchzuführen. Die Beschuldigte habe die Bankkunden am Telefon unter Verwendung der zuvor «gephishten» Bankkundendaten und mittels Social Engineering (zwischenmenschlicher Manipulation) dazu gebracht, ihre geheimen E-Banking-Zugangsdaten (PIN-Code) zu den jeweiligen Bankkonten mitzuteilen. Sie habe auf diese Weise Kenntnis zu geschützten Daten erhalten, welche sie für ihre Zwecke bzw. zum gewerbsmässigen betrügerischen Missbrauch einer Datenverarbeitungsanlage habe verwenden können. Die E-Banking-Zugangsdaten

- 14 - SK.2020.35 seien nicht für die Beschuldigte bestimmt gewesen und sie sei nicht berechtigt gewesen, über diese Daten zu verfügen oder diese zu verwenden. Die Beschuldigte habe wissentlich und willentlich gehandelt. Insbesondere habe sie gewusst, dass die E-Banking-Zugangsdaten nicht für sie bestimmt und gegen ihren unbefugten Zugriff besonders gesichert gewesen seien. Sie habe ferner in der Absicht gehandelt, sich und ihre Mittäter sowie die «Money-Mules» unrechtmässig zu bereichern. Der Beschuldigten werden konkret die folgenden Phishing-Fälle zum Vorwurf gemacht: (Auflistung gemäss Anklage)

Fall (pag.) Tatzeit Tatort (Tätertelefon) Geschädigte Person (Telefonnummer) Bank (Konto) Deliktsumme (Mule- Konto) 58 (10-02- 0195) 02.11.2012 (11:48 h) Stadt Basel: […] Tel.nr. 1 „AA.“ [Sicherheitsdienst Bank B.] Tel. […] Bank B. […] CHF 19'500.00 […] 1 (B10- 02-01- 0001) 22.11.2012 (09:51 h) Hotel in Baden-Württemberg oder anderswo in der Umgebung von Basel D. AG

Bank B. […] CHF 37'000.00 […] 59 (10-02- 0197) 22.11.2012 (10:56 h) „BB.“ [Sicherheitsdienst Bank B.] Tel. […] Bank B. […] CHF 14'000.00 […] 2 (B10- 02-01- 0005) 22.11.2012 (18:00 h) CC. Tel. […] Bank B. […] CHF 21'000.00 […] 60 (10-02- 0199) 06.12.2012 (15:49 h) Umgebung von Basel „DD.“ [Sicherheitsdienst Bank B.] Tel. […] Bank B. […] CHF 12'700.00 […] 61 (10-02- 0201) 18.12.2012 (09:37 h) Hotel EE. oder anderswo in der Umgebung von Basel „FF.“ [Sicherheitsdienst Bank B.] Tel. […] Bank B. […] CHF 11'500.00 […] 3 (B10- 02-01- 0025) 18.12.2012 (11:51 h) Hotel EE. oder anderswo in der Umgebung von Basel GG.

Bank B. […] CHF 24'000.00 […] 4 (B10- 02-01- 0029) 18.12.2012 (13:05 h) HH.

Bank B. […] CHF 75'000.00 […] 18.12.2012 (13:15 h) CHF 61'000.00 […] 5 (B10- 02-01- 0034) 18.12.2012 (14:15 h) II. Tel. […] Bank B. […] CHF 46'000.00 […] 6 (B10- 02-01- 0057) 18.12.2012 (11:27 h) JJ. Tel. […] Bank B. […] CHF 18'000.00 […] 7 (B10- 02-01- 0064) 19.12.2012 (10:47 h) KK. Tel. […] Bank B. […] CHF 8'500.00 […]

- 15 - SK.2020.35 Fall (pag.) Tatzeit Tatort (Tätertelefon) Geschädigte Person (Telefonnummer) Bank (Konto) Deliktsumme (Mule- Konto) 8 (B10- 02-01- 0085) 27.12.2012 (09:23 h) Umgebung von Basel LL. Tel. […] Bank B. […] CHF 15'500.00 […] MM.

Bank B. […] CHF 3'800.00 Überweisung auf Konto von LL. 9 (B10- 02-01- 0122) 09.01.2013 (12:09 h) Stadt Basel: […] Tel.nr. 2 NN. Tel. […] Bank B. […] CHF 12'500.00 […] 10 (B10- 02-01- 0126) 15.01.2013 (08:27 h) OO. Tel. […] Bank B. […] CHF 45'000.00 […] 11 (B10- 02-01- 0130) 16.01.2013 (09:58 h) Stadt Basel: […] Tel.nr. 2 E. Tel. […] Bank B. […] CHF 17'200.00 […] 12 (B10- 02-01- 0148) 16.01.2013 (10:17 h) F. Tel. […] Bank B. […] CHF 15'100.00 […] 13 (B10- 02-01- 0157) 16.01.2013 (11:21 h) Genossenschaft PP. Tel. […] Bank B. […] CHF 58'000.00 […] 14 (B10- 02-01- 0161) 16.01.2013 (08:55 h) G. Tel. […] Bank B. […] CHF 36'000.00 […] 15 (B10- 02-01- 0176) 16.01.2013 (13:18 h) Stiftung QQ. Tel. […] Bank B. […] CHF 68'000.00 […] 16 (B10- 02-01- 0194) 16.01.2013 (15:08 h) RR. Tel. […] Bank B. […] CHF 13'000.00 […] 17 (B10- 02-01- 0198) 16.01.2013 (15:35 h) TT. Tel. […] Bank B. […] CHF 52'000.00 […] 18 (B10- 02-01- 0219) 16.01.2013 (17:09 h) AAA. Tel. […] Bank B. […] CHF 17'300.00 […] 19 (B10- 02-01- 0241) Phishing 16.01.2013 (09:25 h) BBB. † Tel. […] Bank B. […] CHF 17'500.00 […] E-Banking 23.01.2013 (15:34 h) Umgebung von Basel oder anderswo 20 (B10- 02-01- 0246) 1. Phishing 16.01.2013 (12:07 h) Stadt Basel: […] Tel.nr. 2 I. Tel. […] Bank B. […]

- 16 - SK.2020.35 Fall (pag.) Tatzeit Tatort (Tätertelefon) Geschädigte Person (Telefonnummer) Bank (Konto) Deliktsumme (Mule- Konto) 20 (B10- 02-01- 0246) 2. Phishing E-Banking 31.01.2013 (17:12 h) Umgebung von Basel: Hotel CCC. in Baden-Württemberg oder anderswo in der Nähe der […]strasse Tel.nr. 3 I. Tel. […] Bank B. […] CHF 11'300.00 […] 21 (B10- 02-01- 0260) Phishing 05.02.2013 (12:10 h) Hotel DDD. in Z. (BL) oder anderswo in der Nähe von Z. (BL), Y. (BL) oder X. (BL) Tel.nr. 3 EEE. Tel. […] Bank B. […] CHF 12'000.00 […] E-Banking 12.02.2013 (10:23 h) Umgebung von Basel oder anderswo 22 (B10- 02-01- 0264) 12.02.2013 (11:43 h) J. Tel. […] Bank B. […] CHF 11'000.00 […] CHF 12'000.00 […] 23 (B10- 02-01- 0274) 13.02.2013 (11:31 h) K.

Bank B. […] CHF 10'200.00 […] 24 (B10- 02-01- 0291) 13.02.2013 (12:18 h) L. Tel. […] Bank B. […] CHF 36'000.00 […] 25 (B10- 02-01- 0299) 13.02.2013 (14:58 h) FFF. Bank B. […] CHF 16'200.00 (DE31 7002 0270 0015 0610 64) 26 (B10- 02-01- 0303) 27.02.2013 (09:41 h) Stadt Basel: […] Tel.nr. 2 M. Tel. […] Bank B. […] CHF 14'000.00 […] 27 (B10- 02-01- 0307) 25.06.2013 (15:05 h) Stadt Basel: Hotel GGG.l oder anderswo in der Nähe der […]strasse Tel.nr. 4 HHH. Tel. […] Bank B. […] CHF 32'500.00 […] 28 (B10- 02-01- 0312) 28.08.2013 (09:56 h) Stadt Basel: Hotel GGG. oder anderswo in der Nähe der […]strasse Tel.nr. 5 N. GmbH Tel. […] Bank B. […] CHF 5'300.00 […] 29 (B10- 02-02- 0001) 28.08.2013 (10:33 h) O. Tel. […] Bank B. […] CHF 39'700.00 […] 30 (B10- 02-02- 0009) 28.08.2013 (10:33 h) III. Bank B. […] CHF 25'000.00 Überweisung auf Konto von O. 31 (B10- 02-02- 0017) 28.08.2013 (12:02 h) JJJ. Tel. […] Bank B. […] CHF 18'300.00 […]

- 17 - SK.2020.35 Fall (pag.) Tatzeit Tatort (Tätertelefon) Geschädigte Person (Telefonnummer) Bank (Konto) Deliktsumme (Mule- Konto) 32 (B10- 02-02- 0021) 29.08.2013 (09:21 h) Stadt Basel: Hotel GGG. oder anderswo in der Nähe der […]strasse Tel.nr. 6 KKK. Tel. […] Bank B. […] CHF 3'700.00 […] 33 (B10- 02-02- 0030) 04.09.2013 (10:45 h) Stadt Basel: Hotel LLL. oder anderswo in der Nähe der […]strasse Tel.nr. 6 P. Tel. […] Bank B. […] CHF 28'200.00 […] 34 (B10- 02-02- 0039) 10.03.2015 (13:06 h) Hotel MMM. in Basel oder Hotel DDD in Z. (BL) oder anderswo in der Umgebung von Basel Tel.nr. 7] NNN. Finanzinstitut C. […] CHF 251'002.0 0 […] 35 (B10- 02-02- 0051) 10.03.2015 (14:21 h) OOO. Finanzinstitut C. […] CHF 8'124.00 […] 36 (B10- 02-02- 0054) 10.03.2015 (17:23 h) PPP. Finanzinstitut C. […] CHF 10'900.00 […] CHF 12'456.80 […] 37 (B10- 02-02- 0061) 11.03.2015 (13:10 h) Q.

Finanzinstitut C. […] CHF 7'020.65 […] 38 (B10- 02-02- 0083) 12.03.2015 (14:00 h) Hotel MMM. in Basel oder Hotel DDD. in Z. (BL) oder anderswo in der Umgebung von Basel Tel.nr. 7 QQQ. AG,

Finanzinstitut C. […] CHF 8'500.00 […] 39 (B10- 02-02- 0086) 12.03.2015 (15:39 h) R.

Finanzinstitut C. […] CHF 7'300.00 […] 40 (B10- 02-02- 0093) 24.03.2015 (11:18 h) Stadt Basel: Hotel RRR. oder Hotel LLL. oder anderswo SSS. Tel. […] Finanzinstitut C. […] CHF 23'100.00 […] 41 (B10- 02-02- 0129) 24.03.2015 (12:26 h) Stadt Basel: Hotel RRR. oder Hotel LLL. oder anderswo AAAA. & BBBB.

Finanzinstitut C. […] CHF 11'820.33 […] 42 (B10- 02-02- 0132) 25.03.2015 (13:19 h)

Stadt Basel: Hotel RRR. oder Hotel LLL. oder anderswo in der Nähe der […]strasse Tel.nr. 8 S. Tel. […] Bank B. […] CHF 17'500.00 […] 43 (B10- 02-02- 0144 25.03.2015 (15:08 h) TTT. Finanzinstitut C. […] CHF 15'000.00 […] Finanzinstitut C. […] CHF 3'900.00 […] 44 (B10- 02-02- 0147) 30.03.2015 (15:22 h) Stadt Basel: […]strasse oder anderswo in der Nähe der […]strasse Tel.nr. 8 CCCC. AG Tel. […] Finanzinstitut C. […] CHF 2'982.91 […]

- 18 - SK.2020.35 Fall (pag.) Tatzeit Tatort (Tätertelefon) Geschädigte Person (Telefonnummer) Bank (Konto) Deliktsumme (Mule- Konto) 45 (B10- 02-02- 0150) 14.04.2015 (09:18 h) Stadt Basel: Hotel DDDD. oder anderswo in der Nähe der […]strasse Tel.nr. 9 EEEE. AG Finanzinstitut C. […] CHF 20'852.15 […] 46 (B10- 02-02- 0153) 16.04.2015 (17:16 h) FFFF. Tel. […] Finanzinstitut C. […] CHF 1'076.73 […] 47 (B10- 02-02- 0160) 16.04.2015 (12:12 h) GGGG. Tel. […] Finanzinstitut C. […] CHF 2'000.00 […] 48 (B10- 02-02- 0163) 16.04.2015 (14:52 h) Stadt Basel: Hotel DDDD. oder anderswo in der Nähe der […]strasse Tel.nr. 9 HHHH. Finanzinstitut C. […] CHF 10'800.00 […] 49 (B10- 02-02- 0166) 26.05.2015 (10:48 h) Stadt Basel: Hotel MMM. oder anderswo in der Nähe der […]strasse Tel.nr. 10 IIII. SA

Finanzinstitut C. […] CHF 49'500.00 […] 51 (B10- 02-02- 0179) 1. Phishing 28.05.2015 (14:08 h) Hotel RRR. in Basel Tel.nr. 10 JJJJ. Tel. […] Finanzinstitut C. […] CHF 9'200.00 […] 2. Phishing 01.06.2015 (11:23 h)

[…]strasse in Y. (BL) Tel.nr. 10 E-Banking 01.06.2015 (14:18 h) 50 (B10- 02-02- 0172) Phishing E-Banking 01.06.2015 (11:46 h) […]strasse in Y. (BL) Tel.nr. 10 KKKK. Tel. […] Finanzinstitut C. […] CHF 3'002.65 […] E-Banking (13:25 h) CHF 7'530.00 […] 52 (B10- 02-02- 0186) 16.06.2015 (15:33 h) Amsterdam oder Umgebung LLLL. Finanzinstitut C. […] CHF 49'500.00 53 (B10- 02-02- 0194) 19.06.2015 (13:22 h) MMMM. AG MMMMM. Bank B. […] CHF 87'000.00 […] 3.1.2 Weiter wird der Beschuldigten vorgeworfen, sie habe zwischen dem 30. März 2015 und 27. Mai 2015 bei vier Bankkunden versucht die E-Banking-Zugangsdaten (PIN-Code) zu beschaffen, indem sie die Bankkunden angerufen habe. Es sei allerdings zu keinem Telefongespräch (Phishing-Gespräch) mit den Bankkunden gekommen. Sie habe sich und ihre Mittäter mit den «gephishten» E-Banking- Zugangsdaten unrechtmässig bereichern wollen. Der Beschuldigten werden konkret die folgenden Fälle vorgeworfen:

- 19 - SK.2020.35 Fall (pag.) Tatzeit Tatort (Tätertelefon) Geschädigte Person (Telefonnummer) Bank (Konto) Deliktsumme (Mule-Konto) 54 (B10- 02-02- 0197) 30.03.2015 (17:20 h) Stadt Basel: […]strasse oder anderswo in der Nähe der […]strasse Tel.nr. 8 NNNN. Tel. […] - - 55 (B10- 02-02- 0199) 30.03.2015 (17:02 h) SSS. Tel. […] Finanzinstitut C. (-) - 56 (B10- 02-02- 0201) 27.05.2015 (13:48 h) Stadt Basel: Hotel RRR. oder anderswo in der Nähe der […]strasse Tel.nr. 10 OOOO. Tel. […] Finanzinstitut C. (-) - 57 (B10- 02-02- 0203) 27.05.2015 (11:57 h, 13:51 h, 14:55 h, 16:47 h, 18:27 h) PPPP. Tel. […] Finanzinstitut C. (-) - 28.05.2015 (09:53 h, 13:57 h) 3.2 Tatsächliches 3.2.1 In tatsächlicher Hinsicht ist aufgrund der Akten erstellt und im Wesentlichen unbestritten, dass die Gruppierung um die Beschuldigte mittels Phishing-E-Mails Bankkunden getäuscht und dazu gebracht hat, einen Link anzuklicken, der sie auf vermeintliche Webseiten ihrer Bank geleitet hat. Die Bankkunden haben in der Folge ihre Telefonnummer sowie Bankkundendaten (Namen, Geburtsdatum, Adresse, Kontonummer) in das Formular dieser Phishing-Webseite eingegeben, wodurch diese automatisch auf ein E-Mailaccount der Tätergruppe um die Beschuldigte transferiert wurden (BA pag. 10-2-98, -100; 5-1-3 ff.; B10-2-1-1 ff.; B10-2-2-1 ff.). 3.2.2 In Bezug auf 9 Personen in 10 Fällen (Fälle 40, 42-44, 49, 50 [2 E-Bankings], 53, 59 und 60) hat die Beschuldigte anerkannt, dass sie die auf die beschriebene Weise (vgl. E. 3.2.1) erlangten Telefonnummern in der Folge angewählt hat. Sie hat sich als Bankmitarbeiterin ausgegeben und vorgegeben, dafür zuständig gewesen zu sein, das in den E-Mails angekündigte Systemupdate durchzuführen (TPF pag. 19.721.040; 19.731.007 ff.; BA pag. 13-1-106). Dadurch hat sie die Bankkunden dazu gebracht, ihr die geheimen E-Banking Daten (PIN-Code etc.) mitzuteilen. In Bezug auf vier weitere Personen (Fälle 54-57) soll die Gruppierung um die Beschuldigte die Bankkundendaten auf dieselbe Weise beschafft haben. Sie soll in der Folge versucht haben, telefonisch die betreffenden E-Banking-Zugangsdaten zu beschaffen. Die Beschuldigte bestreitet in den Fällen 54 und 55, dass

- 20 - SK.2020.35 sie die Person gewesen sei, welche die betreffenden Kontaktaufnahmen versucht habe. Die übrigen zwei Fälle bestreitet sie zwar nicht, gestand sie indes nicht ausdrücklich ein (BA pag. 13-1-136). 3.2.3 Aufgrund des Ergebnisses in rechtlicher Hinsicht (vgl. E. 3.4 f.) kann offen bleiben, ob der Nachweis erbracht ist, dass die Beschuldigte in sämtlichen Fällen die Täterin war. 3.3 Rechtliches 3.3.1 Gemäss Art. 143 Abs. 1 StGB macht sich strafbar, wer in der Absicht, sich oder einen anderen unrechtmässig zu bereichern, sich oder einem anderen elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind. 3.3.2 Tatobjekt: Daten a) Der Gesetzgeber hat auf eine Legaldefinition des Begriffs «Daten» verzichtet. Während die Botschaft noch davon sprach, dass Daten «Informationen über einen Sachverhalt [sind, die] maschinell ohne weiteres in eine visuell erkennbare, vor allem lesbare Form zurückgeführt werden können», geht die herrschende Lehre mittlerweile davon aus, dass unter den Daten alle Notate verstanden werden, die Gegenstand menschlicher Kommunikation sein können (ACKERMANN/ VOGLER/BAUMANN/EGLI, Strafrecht, Individualinteressen, 2019, S. 156; WEISSEN- BERGER, Basler Kommentar, 4. Aufl. 2019, Art. 143 StGB N. 8; DONATSCH, StGB Kommentar, Schweizerisches Strafgesetzbuch mit V-StGB-MStG und JStG, 20. Aufl. 2018, Art. 143 StGB N. 1). b) Zudem müssen die Daten «elektronisch oder in vergleichbarer Weise [gespeichert] sein». Als elektronisch gespeichert können an sich nur Daten gelten, die in einem elektronischen Speicher abgelegt sind. Magnetische und optische Speichermedien (Beispiele Harddisk, CD-ROM) sind keine solchen elektronischen Speicher. Daten die sich auf solchen Speichern befinden, können aber als «in vergleichbarer Weise» gespeichert gelten und sind somit ebenfalls von Art. 143 StGB erfasst (ACKERMANN/VOGLER/BAUMANN/EGLI, a.a.O., S. 157). c) Ob unter den genannten Voraussetzungen Zugangsdaten bspw. zu E-Banking-Konti unter den Datenbegriff subsumiert werden können, ist nicht ohne Weiteres klar. Typischerweise sind Passwörter von Phishing-Opfern gerade nicht auf einer Festplatte gespeichert, sondern «physisch» d.h. auf Schriftstücken vorhanden und/oder von der geschädigten Person auswendig gelernt. So wird sie meist erst durch die Phishing-Mails oder ähnliches dazu gebracht, die Zugangsdaten in eine elektronische Form zu bringen und anschliessend dem Täter elektronisch

- 21 - SK.2020.35 zu übertragen (STUCKI, Die Strafbarkeit von Phishing nach StGB, Jusletter, 9. Januar 2012, Rz. 5). Gemäss STUCKI können Zugangsinformationen nicht unter den Datenbegriff subsumiert werden, da zum Zeitpunkt, indem die Täterschaft die Phishing-Mails versendet, diese eine genaue Kombination von Sicherheitselementen von den geschädigten Personen erhalten möchte. Erst die geschädigte Person könne diese Informationen in brauchbarer Art und Weise zur Verfügung stellen. Das Ziel der Täterschaft seien also nicht primär elektronisch gesicherte Daten (STUCKI, a.a.O., Rz. 6). d) Gemäss herrschender Lehre fallen unter den Datenbegriff Daten, die sich in einem automatisierten Datenverarbeitungsprozess befinden (STRATENWERTH/ JENNY/BOMMER, Besonderer Teil I, 7. Aufl. 2010, § 14 N. 26). Nach einer abweichenden Meinung im Schrifttum sollen digital übermittelte Tonaufnahmen wie auch Live-Töne unter den Datenbegriff subsumiert werden können (WEISSENBER- GER, a.a.O., Art. 143 StGB N. 10). Indes soll dies nur unter der Voraussetzung der Fall sein, dass die betreffenden Daten auf dem Weg der automatisierten Datenverarbeitung verwertbar sind oder in eine sinnlich wahrnehmbare Form überführt werden können (WEISSENBERGER, a.a.O.). e) Die Daten dürfen weiter nicht für die Täterschaft «bestimmt» sein. Ausschlaggebend ist dabei, ob nach dem Willen der berechtigten Person, die Daten der Täterschaft für ihre Zwecke zur Verfügung stehen sollen oder nicht (GISIN, Phishing, Kriminalistik 2008, S. 6; WEISSENBERGER, a.a.O., Art. 143 StGB N. 14). Weiter müssen die Daten gegen den Zugriff von unberechtigten besonders geschützt sein (etwa durch Zugangscode, Verschlüsselung). In anderen Worten wird vom Datenberechtigten verlangt, dass er im Rahmen des Zumutbaren und des in der konkreten Situation Üblichen, Massnahmen getroffen hat, um die Daten vor einem unerlaubten Zugriff zu schützen (DONATSCH, a.a.O., Art. 143 StGB N. 4). 3.3.3 Tathandlung: Überwindung eines Hindernisses a) Von einem tatbestandsmässigen Beschaffen ist nach herrschender Lehre dann auszugehen, wenn die Täterschaft die Zugriffsschranken überwunden oder umgangen hat und auf die Daten zugreifen kann (WEISSENBERGER, a.a.O., Art. 143 StGB N. 23; STRATENWERTH/JENNY/BOMMER, a.a.O., § 14 N. 31). Insofern hängt die erforderliche Tathandlung eng mit der Notwendigkeit der Sicherung der Daten zusammen. b) Social Engineering Unter Social Engineering versteht man die zwischenmenschliche Beeinflussung mit dem Ziel, eine Person zu bestimmten Verhaltensweisen zu veranlassen, zum

- 22 - SK.2020.35 Beispiel zur Preisgabe von vertraulichen Informationen (REICHART, Betrugsversuche im Zahlungsverkehr im digitalen Zeitalter, SZW/RSDA 2019, S. 392). Dabei wird zum Beispiel die Hilfsbereitschaft und Gutgläubigkeit einer Person ausgenutzt, mit dem Ziel an Daten zu gelangen oder die Person zu bestimmten Aktionen zu bewegen (Bericht BKP vom Januar 2020, National Risk Assessment [NRA], Betrug und Phishing zwecks betrügerischen Missbrauchs einer Datenverarbeitungsanlage als Vortat zur Geldwäscherei, S. 23). Ob die Täterschaft, welche mittels Social Engineering Daten erhältlich macht, einen Schutzmechanismus überwindet, ist umstritten. Gemäss WEISSENBERGER soll der Tatbestand von Art. 143 StGB auch eine Überwindung von Zugangsschranken mittels Täuschung, Kniffe, List oder dergleichen erfassen. So sei es unerheblich, auf welche Weise eine Sicherung ausgeschaltet werde, sofern eine solche überhaupt bestehe (WEISSENBERGER, a.a.O., Art. 143 StGB N. 24). Ähnlich argumentieren auch GERMANN und WICKI-BIRCHLER: Sofern die mittels Social Engineering erlangten Daten dazu dienen würden, im Nachgang eine technische Schranke zu überwinden, falle das Verhalten unter Art. 143 StGB (GERMANN/WI- CKI-BIRCHLER, Hacking und Hacker im Schweizer Recht, AJP 2020, S. 87; ähnlich MÜLLER, La cybercriminalité économique au sens étroit, Analyse approfondie du droit suisse et aperçu de quelques droits étrangers, Genève 2012, S. 83). AMMANN hingegen geht davon aus, dass kein Schutzmechanismus überwunden werde, wenn die geschädigte Person freiwillig, aufgrund eines Irrtums die Daten bekannt gebe (AMMANN, Sind Phishing-Mails strafbar?, AJP 2006, S. 197). Wie auch PIETH setzt er ein informatikspezifisches Überwinden der Zugangsschranken voraus (AMMANN, a.a.O; PIETH, Strafrecht Besonderer Teil, 2. Aufl. 2018, S.166). 3.4 Subsumtion a) Die Täterschaft beschaffte sich in einer ersten Vorbereitungsphase die Personendaten wie Namen, Telefonnummer, Vertragsnummer, Geburtsdatum und das E-Banking Passwort bei den Bankkunden mittels Spam-E-Mails. Obschon Mittäter diese Daten beschafft haben, ist bei vorliegender Konstellation und auch aufgrund der Formulierung der Anklage nicht ganz klar, ob auch der Beschuldigten dieses Beschaffen der Daten vorgeworfen wird. Die Anklage bei vier Delikten wegen blossen Versuchs der Beschaffung deutet eher daraufhin, dass diese Vorbereitungshandlungen der Mittäter der Beschuldigten nicht mitvorgeworfen werden. Aufgrund des Ergebnisses in rechtlicher Hinsicht kann diese Frage indessen offenbleiben, ob die Vorbereitungshandlungen mitangeklagt sind. b) Die Eingaben der Kontonummern etc. durch die geschädigten Personen auf der Phishing-Website führten dazu, dass die betreffenden Daten (Name, Telefonnummer, Vertragsnummer, Geburtsdatum und E-Banking Passwort) sich in

- 23 - SK.2020.35 elektronischer Form auf dem Cache des Computers der Betroffenen und gleichzeitig auf einem Server bzw. auf dem E-Mailaccount der Täterschaft befanden. Insoweit handelt es sich bei den eingegebenen Personen- und Kontodaten um elektronische Daten im Sinne des Tatbestands (vgl. E. 3.3.2). Anders verhält es sich indes in Bezug auf die per Telefon durch List erlangten E-Banking Zugangsdaten (Benutzername, Passwort und PIN-Code). In dieser zweiten Konstellation dem sog. Social Engineering (vgl. E. 3.3.3b) wurden die PIN-Codes mündlich in einem Telefongespräch übermittelt, sodass als Angriffsobjekt nicht die vom Tatbestand geforderten elektronischen Daten vorliegen. Diesbezüglich mangelt es an der erforderlichen elektronischen Speicherung resp. Übermittlung der betreffenden Daten. Obschon aufgrund der Digitalisierung die Gesprächsinhalte auf digitale Weise übermittelt wurden, fehlt es an dem nach der ratio legis vom Tatbestand erforderlichen Datenverarbeitungsprozess (vgl. STRATENWERTH/JENNY/ BOMMER, a.a.O., § 14 N. 26). Selbst wenn man der Mindermeinung folgt, die auch digital übermittelte Live-Töne als elektronische Daten betrachtet (vgl. E. 3.3.2d), fehlt es in casu an der von dieser Doktrin diesbezüglich geforderten digitalen Transformation der Daten, damit diese als Angriffsobjekt des Tatbestands in Betracht kommen. Hat doch die Beschuldigte die betreffenden Daten rein akustisch durch ihren Telefonanruf bzw. im Gespräch erlangt. c) In Bezug auf die Tatbestandsvoraussetzung der Überwindung einer besonderen Sicherung wurden in der ersten Konstellation die Daten durch die Betroffenen bewusst auf einem Webformular eingegeben, wobei sie irrtümlicherweise davon ausgingen, dass sie die Daten auf einem Server der Bank eingeben. Tatsächlich gaben sie die Daten indes freiwillig – im falschen Glauben sie seien auf der Webseite ihrer Bank – in ein Formular ein, welches die Daten unmittelbar auf elektronische Weise auf einen Server der Täterschaft transferierte. Insofern fehlt es bei diesem Modus Operandi an dem vom Tatbestand geforderten Beschaffen von elektronisch gespeicherten Daten, die gegen den unbefugten Zugriff besonders gesichert sind. Die Informationen wurden erst zu elektronischen Daten, als sie in den Computer eingegeben wurden. Da die Geschädigten die Daten durch die Eingabe selber auf den Server der Täterschaft übertrugen, waren sie zu keinem Zeitpunkt besonders gesichert. Der Tatbestand von Art. 143 Abs. 1 StGB ist somit in der ersten Konstellation – sofern man diese als angeklagt betrachtet – deshalb nicht erfüllt, weil keine besondere Sicherung durch die Täterschaft überwunden wurde. Selbst wenn man in der zweiten Konstellation die Ansicht vertreten würde auch Live-Töne am (digitalen) Telefon, die rein technisch betrachtet bei jedem Empfänger nur automatisiert in eine sinnlich wahrnehmbare Form übertragen werden – würde es sich um tatbeständliche Angriffsobjekte im Sinne von Daten handeln –, fehlte es vorliegend an der Überwindung einer besonderen Sicherung.

- 24 - SK.2020.35 Obschon die erforderlichen Sicherungsmechanismen nicht zwingend elektronisch sein müssen, sondern diese auch physischer Art (z.B. physische Schranken wie Hardware) sein können, fällt eine quasi «intellektuelle Sicherung» im Gedächtnis von Geschädigten, wie sie in casu durch Täuschung überwunden wurde, nach der ratio legis nicht darunter. d) Im Übrigen sei in Bezug auf die in unmittelbarer Folge im Hinblick auf die Durchführung des betrügerischen Missbrauchs einer Datenverarbeitungsanlage verwendeten Daten darauf hingewiesen, dass diesbezüglich ohnehin ein Fall von unechter Konkurrenz vorliegen würde. Zwischen Art. 143 und Art. 147 StGB kann zwar u.U. echte Konkurrenz vorliegen. Zum einen liegt echte Konkurrenz vor, wenn den unbefugt beschafften Daten selber ein ökonomischer Wert zukommt (vgl. FIOLKA, Basler Kommentar, 4. Aufl. 2019, Art. 147 StGB N. 47), was vorliegend nach dem juristisch-ökonomischen Vermögensbegriff offensichtlich nicht der Fall wäre. Zum anderen liegt echte Konkurrenz vor, wenn Daten «zeitlich und ablaufmässig abgeschichtet» zunächst von einem Computersystem entnommen werden, um sie dann in einer Datenverarbeitungsanlage i.S.v. Art. 147 StGB einzusetzen (vgl. FIOLKA, a.a.O., m.Hinw.). Da vorliegend die Daten unmittelbar nach der Erlangung verwendet wurden, würde es hier an der erforderlichen zeitlichen Distanz fehlen. Nach dem Gesagten wäre in Fällen wie diesen die mehrfach unbefugte Datenbeschaffung bereits als mitbestrafte Vortat zum betrügerischen Missbrauch einer Datenverarbeitungsanlage abgegolten. e) In Bezug auf die lediglich versuchten Delikte (Fälle 54-57) wäre der Tatbestand von Art. 143 Abs. 1 i.V.m. Art. 22 Abs. 1 StGB grundsätzlich relevant, sofern die Vorgehensweise des Täters nicht bereits als versuchter betrügerischer Missbrauch einer Datenverarbeitungsanlage zu werten wäre. Wie nachfolgend aufzuzeigen ist, verbietet indes vorliegend der Anklagegrundsatz – trotz Würdigungsvorbehalts – eine Verurteilung nach Art. 147 Abs. 1 i.V.m. Art. 22 Abs. 1 StGB (vgl. E. 4.6.1). 3.5 Da die in Bezug auf Art. 143 Abs. 1 StGB umschriebenen Lebenssachverhalte, die in einem betrügerischen Missbrauch einer Datenverarbeitungsanlage (Art. 147 Abs. 1 StGB) münden – bis auf zwei Fälle (siehe nachfolgend E. 4.4.6.2 [Fälle 26 und 27]) –, zu einer diesbezüglichen Verurteilung führen, hat lediglich in Bezug auf vier Fälle (Fälle 54-57), – die nur als mehrfach versuchte unbefugte Datenbeschaffungen angeklagt sind – ein Freispruch zu erfolgen. 3.6 Im Ergebnis ist die Beschuldigte in Bezug auf Anklageziffer 1.1.2 vom Vorwurf der mehrfachen versuchten unbefugten Datenbeschaffung im Sinne von Art. 143 Abs. 1 i.V.m. Art. 22 Abs. 1 StGB freizusprechen.

- 25 - SK.2020.35 4. Mehrfacher gewerbsmässiger betrügerischer Missbrauch einer Datenverarbeitungsanlage (Art. 147 Abs. 1 und 2 StGB) 4.1 Anklagevorwurf Die Beschuldigte soll zwischen den beiden Deliktszeiträumen vom 2. November 2012 bis 4. September 2013 und vom 10. März 2015 bis 19. Juni 2015 die bei den Bankkunden durch Voice-Phishing erfragten E-Banking-Zugangsdaten direkt an ihre anwesenden Mittäter weitergegeben haben, welche diese Daten zeitgleich dazu verwendet hätten, um am Computer den E-Banking-Zahlungsauftrag zugunsten des jeweiligen «Mule-Kontos» zu erteilen. Sie habe in Mittäterschaft in mindestens 57 Fällen durch unbefugte Verwendung von Daten auf elektronische Datenverarbeitungsvorgänge eingewirkt und soll dadurch versucht haben, Vermögensverschiebungen im Gesamtbetrag von Fr. 1'585'768.22 bei 57 Bankkunden herbeizuführen. Effektiv sei bei 27 Personen ein Schaden von insgesamt Fr. 616'685.56 verursacht worden. In 26 Fällen hätten die Banken die Überweisungen nach den ausgeführten Zahlungsaufträgen gestoppt, bevor die Gelder auf den «Mule-Konten» hätten gutgeschrieben werden können. In fünf Fällen hätten die Banken die erteilten Zahlungsaufträge nicht ausgeführt. Durch die jeweils erteilten Zahlungsaufträge seien die Vermögen der Bankkunden in einer Weise gefährdet worden, dass sie unter wirtschaftlichen Gesichtspunkten zumindest vorübergehend vermindert gewesen seien. Die Beschuldigte soll gewerbsmässig gehandelt haben. Am Verbrechenserlös sei sie anteilsmässig mit mindestens 2-3 % beteiligt gewesen. Sie sei darauf eingerichtet gewesen, mit ihrer deliktischen Tätigkeit relativ regelmässige Einnahmen zu erzielen, die einen namhaften Beitrag an ihren Lebensunterhalt dargestellt hätten. 4.2 Rechtliches 4.2.1 Gemäss Art. 147 Abs. 1 StGB macht sich des betrügerischen Missbrauchs einer Datenverarbeitungsanlage schuldig, wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines anderen herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt. Handelt die Täterschaft gewerbsmässig, so wird sie nach Abs. 2 derselben Bestimmung strenger bestraft. 4.2.2 Der Tatbestand wurde geschaffen, um den sog. Computerbetrug, bei welchem nicht ein Mensch, sondern eine Maschine getäuscht wird und der daher nicht unter den klassischen Betrugstatbestand fällt, erfassen zu können. Die Bestimmung von Art. 147 StGB lehnt sich stark an den Tatbestand des Betruges an.

- 26 - SK.2020.35 Dabei tritt an die Stelle der arglistigen Täuschung und der Erweckung eines Irrtums beim Täuschungsopfer die Datenmanipulation und an die Stelle der Vermögensdisposition des Betrugsopfers die vom Computer vorgenommene Vermögensverschiebung zu Lasten Dritter. 4.2.3 Mit der Variante der «unbefugten Verwendung von Daten» will das Gesetz den Fall erfassen, wo Daten zwar richtig, und dementsprechend unverfälscht, aber von einer unberechtigten Person, welche nicht über die Daten verfügen darf, verwendet werden (BBI 1991 II 1021; TRECHSEL/CRAMERI, Schweizerisches Strafgesetzbuch, Praxiskommentar, 3. Aufl. 2018, Art. 147 StGB N. 6). Typischer Anwendungsfall ist die Benutzung einer Codekarte an einem Geldausgabeautomaten durch den Nichtberechtigten (vgl. BGE 129 IV 315 E. 2.2.1). Weiter erfüllt den Tatbestand gemäss herrschender Lehre auch, wer durch Phishing-Mails gesammelte Daten verwendet, um Überweisungen vom Konto der geschädigten Person zu seinen oder zugunsten eines Dritten zu veranlassen (TRECHSEL/CRAMERI, a.a.O., Art. 147 StGB N. 6; AMMAN, a.a.O., S. 200). 4.2.4 Gemäss bundesgerichtlicher Rechtsprechung sowie herrschender Lehre ist es irrelevant auf welche Art und Weise die Täterschaft die für die Manipulation verwendeten Daten erlangte (Urteil des Bundesgerichts 6B_606/2015 vom 7. Oktober 2015 E. 3.3.2; DONATSCH, Strafrecht III, 11. Aufl. 2018, S. 256; FIOLKA, a.a.O., Art. 147 StGB N. 11). 4.2.5 Die Tatvarianten müssen – analog zum Tatbestandsmerkmal des Irrtums beim Betrug – in der Folge zu einem unrichtigen Ergebnis des Datenverarbeitungsvorgangs führen (ungeschriebenes Tatbestandsmerkmal; vgl. FIOLKA, a.a.O., Art. 147 StGB N. 36). 4.2.6 Die durch das unrichtige Ergebnis ausgelöste Vermögensverschiebung kann in der Auszahlung eines Barbetrages oder etwa in der Gutschrift auf ein Konto liegen. Die Vermögensverschiebung muss wie beim Betrug nach Art. 146 StGB einen Vermögensschaden bewirken (BGE 129 IV 315 E. 2.1; Urteil des Bundesgerichts 6B_606/2015 vom 7. Oktober 2015 E. 3.3.1 m.w.H.). Gemäss konstanter bundesgerichtlicher Rechtsprechung liegt ein Vermögensschaden in einer Verminderung der Aktiven bzw. Vermehrung der Passiven; dasselbe gilt, wenn das Vermögen in einem Masse gefährdet wird, dass es in seinem wirtschaftlichen Wert vermindert ist. Letzteres ist der Fall, wenn der Gefährdung im Rahmen einer sorgfältigen Bilanzierung durch Wertberichtigung oder Rückstellung Rechnung getragen werden muss (BGE 129 IV 124 E. 3.1 m.Hinw.). 4.2.7 Über den Vorsatz hinaus wird in Anlehnung an den Betrug nach Art. 146 StGB im subjektiven Tatbestand zudem noch eine Bereicherungsabsicht gefordert (FIOLKA, a.a.O., Art. 147 StGB N. 40).

- 27 - SK.2020.35 4.2.8 Gewerbsmässigkeit Inhaltlich wird die Gewerbsmässigkeit gleich wie beim Betrug nach Art. 146 StGB umschrieben (FIOLKA, a.a.O., Art. 147 StGB N. 42). Gemäss bundesgerichtlicher Rechtsprechung handelt die Täterschaft gewerbsmässig, wenn sich aus der Zeit und den Mitteln, die sie für die deliktische Tätigkeit aufwendet, aus der Häufigkeit der Einzelakte innerhalb eines bestimmten Zeitraums sowie aus den angestrebten und erzielten Einkünften ergibt, dass die deliktische Tätigkeit nach der Art eines Berufes ausgeübt wird. Die Täterschaft muss die Tat mehrfach begangen haben und dabei die Absicht verfolgen, ein Erwerbseinkommen zu erlangen. Aus ihren Taten muss geschlossen werden können, sie sei weitergehend zu einer Vielzahl von unter den fraglichen Tatbestand fallenden Taten bereit gewesen. Entscheidend ist, ob durch deliktische Handlungen Einkünfte angestrebt werden, die einen namhaften Beitrag an die Kosten zur Finanzierung der Lebensgestaltung darstellen; dann ist die erforderliche soziale Gefährlichkeit gegeben (vgl. Urteile des Bundesgerichts 6B_290/2016 vom 15. August 2016 E. 1.2 m.w.H. und 6B_1302/2020 vom 3. Februar 2021 E. 2.4.1). Dabei kann bereits eine quasi «nebenberufliche» Tätigkeit als Voraussetzung für die Gewerbsmässigkeit genügen (BGE 119 IV 129 E. 3a). Die im gewerbsmässigen Handel liegende erhöhte soziale Gefährlichkeit ist auch gegeben, wenn die deliktische Tätigkeit nicht die einzige oder die hauptsächliche Einnahmequelle des Täters bildet, sondern schon dann, wenn damit lediglich ein Nebenerwerb erzielt wird. Nicht relevant ist die Relation der deliktischen Einnahmen zum ordentlichen Erwerbseinkommen (Urteil des Bundesgerichts 6B_1302/2020 vom 3. Februar 2021 E. 2.4.1). Bei der Gewerbsmässigkeit im Sinne von Art. 147 Abs. 2 StGB handelt es sich um ein persönliches Merkmal im Sinne von Art. 27 StGB (Urteil des Bundesgerichts 6B_207/2013 vom 10. September 2013 E. 1.3.2). Subjektiv setzt Gewerbsmässigkeit insbesondere eigennütziges Handeln voraus und kommt bei fremdnützigem Handeln nur in Betracht, wenn der Täter zumindest mittelbar auch eigene finanzielle Vorteile anstrebt. Entscheidend ist der Nachweis der für die Gewerbsmässigkeit kennzeichnenden Absicht als innere Tatsache. Die Absicht muss auf eine nicht unbedeutende und fortlaufende Einkommensquelle gerichtet sein, weshalb Gewerbsmässigkeit nicht allein aufgrund mehrfacher Tatbegehung hergeleitet werden kann. Damit die Voraussetzungen sachlich-rechtlich überprüft werden können, sind die Umstände, aus denen auf die Absicht gewerbsmässigen Handelns – wie beispielsweise Umfang und Dauer der Tatgewinne, die der Täter erzielen wollte – zu schliessen ist, in den Urteilsgründen präzise darzulegen (Urteil des Bundesgerichts 6B_3/2016 vom 28. Oktober 2016 E. 3.4).

- 28 - SK.2020.35 4.3 Beweismittel 4.3.1 Personalbeweise a) In der Hafteinvernahme vom 23. Juni 2015 wollte sich die Beschuldigte nicht zum Tatvorwurf äussern. Als sie gefragt wurde, ob sie noch etwas beizufügen habe, stellte sie die Gegenfrage: «Haben Sie Beweise»? (BA pag. 13-1-3). b) Bei der Einvernahme vom 24. Juni 2015 sagte sie aus, sie habe an drei «Sitzungen» teilgenommen. Weiter gab sie an, sie habe (am Telefon) «immer» den Aliasnamen «Frau Meier» verwendet und sei am Verbrechenserlös mit 2-3 % beteiligt gewesen (BA pag. 13-1-10 f.). c) In der Einvernahme vom 7. Juli 2015 wurden der Beschuldigten die Telefonaufnahmen in den Phishing-Fällen 58-61 vorgespielt. Im Fall 58 erkannte sie die Stimme, wollte aber dazu nichts sagen. Zu Fall 59 wollte sie gar nichts sagen. Bei den Fällen 60 und 61 glaubte sie, ihre eigene Stimme zu erkennen. Sodann wurden ihr die in den Fällen 42, 44 und 40 geführten Telefongespräche mit den Bankkunden vorgehalten, wobei sie sich als Sprecherin erkannte (BA pag. 13-1- 16 ff.). d) Bei der Einvernahme vom 19. August 2015 gab sie den Phishing-Fall 51 zu, nachdem ihr die Protokolle der Audioüberwachung aus dem Hotel RRR. in Basel vom 28. Mai 2015 vorgelegt wurden. Sie gestand auch ein, in den ein bis zwei vorangehenden Tagen Phishings getätigt zu haben (Fälle 49 und 50). Sie stritt ab, in der Zeit vom 10. bis 12. März 2015 Phishings begangen zu haben (Fälle 34-39). Auf Vorlage einer Liste mit Fällen, bei welchen eine «Frau Meier» als Telefonistin in Erscheinung getreten sein soll, gestand die Beschuldige ein, dass sie die Täterin in den Fällen 2, 6, 8, 11 f., 20, 22, 24, 27, 29, 30, 33 f., 36-39, 42, 45 und 46-48 «sein könnte» (BA pag. 13-1-31 ff.33/ -53 ff.). e) In der Schlusseinvernahme vom 5. Juli 2018 hat die Beschuldigte die Phishing- Fälle 40, 42-51 und 53-57 zugegeben sowie den ihr und ihren Mittätern vorgeworfenen Modus Operandi bestätigt. Die Fälle 1-8, 11-33, 41, 50 und 52 bestritt sie zwar nicht, gestand diese aber auch nicht ausdrücklich ein. Die Fälle 9, 10, sowie 34-39 stritt sie ab. Im Zusammenhang mit dem beim Voice-Phishing verwendeten Aliasnamen erklärte die Beschuldigte, den Namen «Meier» und «Müller» hätten alle «Telefonistinnen» benützt. Sie bejahte, dass ihr Tatbeitrag, d.h. das telefonische Beschaffen der E-Banking-Zugangsdaten für die Tatausführung, d.h. das Bewirken der unbefugten Geldüberweisungen derart wesentlich gewesen sei, dass die Tat damit gestanden oder gefallen sei. An der Tatplanung sei sie aber nicht «gross» beteiligt gewesen (BA pag. 13-1-105 ff.).

- 29 - SK.2020.35 Zur ihrem Beweggrund befragt, gab die Beschuldigte zu, dass sie mit der Absicht gehandelt habe, die erfragten E-Banking-Zugangsdaten zum Bewirken von unbefugten Geldüberweisungen auf «Mule-Konten» zu verwenden. Sie war ausserdem geständig, beim Bewirken der unbefugten Geldüberweisungen mit Bereicherungsabsicht gehandelt zu haben, d.h. insbesondere in der Absicht, zuerst (unmittelbar) die «Money-Mules» und danach (mittelbar) sich selber und ihre Komplizen zu bereichern (BA pag. 13-1-117). Abschliessend zu den beim Voice-Phishing deliktisch verwendeten SIM-Karten befragt, sagte die Beschuldigte aus, sie habe die SIM-Karten für die Phishings immer von ihren Mittätern erhalten; diese seien auch an andere Telefonistinnen weitergegeben worden. (BA pag. 13-1-108/114 f./117/121) f) Bei der ergänzenden Schlusseinvernahme vom 25. Juni 2020 nahm die Beschuldigte Abstand von ihren vorgängigen Geständnissen in den Fällen 44-48, 51 und 53-57. Sie habe den Namen «Frau Meier» benutzt, aber damit hätten auch andere gearbeitet. Es könne sein, dass sie auch den Namen «Müller» verwendet habe (BA pag. 13-1-129/136/143). g) An der Hauptverhandlung vom 21. Januar 2021 war die Beschuldige in Bezug auf 9 geschädigte Personen in 10 Phishing-Fällen (Fälle 40, 42-44, 49, 50 [2 E- Bankings], 53, 59 und 60) geständig. Als sie nach der Tatausführung gefragt wurde, sagte sie aus, es sei ihr jeweils von den «Bossen» drei Wochen im Voraus ein Datum für das Phishing genannt worden. Es habe mehrere «Bosse» gegeben. Sie sei mit den «Bossen» QQQQ. und RRRR. freundschaftlich verbunden gewesen und habe diese auch privat getroffen. Der eine sei Nigerianer. Auf Frage, wie QQQQ. richtig heisse, sagte sie aus, sie wisse den richtigen Namen nicht mehr. Die «Bosse» hätten meistens in Basel Wohnungen oder ein Hotelzimmer gemietet. Manchmal sei sie die einzige Telefonistin gewesen. Zum Modus Operandi befragt, sagte sie aus, neben ihr seien Leute gewesen, welche die Phishing-Mails versandt hätten. Sie habe dann eine Liste mit Personennamen und Telefonnummern erhalten, welche sie angerufen habe. Es habe Leute gegeben, welche auf dem Laptop nach Erhalt der Codes die Transfers gemacht hätten. Sie wisse aber nicht, ob sie am Telefon den Namen «Frau Meier» oder «Frau Müller» benutzt habe. Alle Telefonistinnen hätten die Namen benutzt. Es bedeute übrigens nicht, dass sie «gephisht» habe, wenn sie frei gehabt habe. So sei es vorgekommen, dass sie sich mit den «Bossen» getroffen habe und zum selben Zeitpunkt habe eine andere «Call-Agentin» «gephisht». Sie selber habe die deliktisch verwendeten SIM-Karten nie selber gekauft. Zu ihrem deliktischen Gewinn befragt, bestätigte die Beschuldigte, dass sie 2-3 % des deliktisch erlangten Geldes als Lohn erhalten habe. Das Geld sei natürlich ein Motiv gewesen (TPF pag. 19.731.005-7/10-12/14-16/18/22).

- 30 - SK.2020.35 4.3.2 Sachbeweise 4.3.2.1 Das Beweismaterial besteht vorliegend im Wesentlichen aus den erhobenen technischen Daten im Zusammenhang mit den Phishing-Attacken (Antennenstandorte, IP-Adressen, Gerätekonfigurationen), Überwachungsmassnahmen (rückwirkende und aktive Telefonüberwachungen, Audio- und Videoüberwachungen), Arbeitszeitnachweisen, SIM-Karten, Bankbelegen sowie sichergestellten elektronischen Datenträgern der Beschuldigten (Mobiltelefon und iPad) (BA pag. 10-2-122/124-126/134). Auf den Inhalt der einzelnen Beweismittel wird im einschlägigen Kontext näher eingegangen (siehe unten E. 4.4.5.1 f.). 4.3.2.2 Die polizeilichen Ermittlungen ergaben, dass die Beschuldigte mit QQQQ., von Sierra Leone, und RRRR., von Nigeria, «zusammengearbeitet» hat. Es handelt sich bei den beiden um die Organisatoren im vorliegenden Phishing-Komplex. Die Tätergruppierung hat spätestens ab August 2012 versucht, mit Phishing-E- Mails Kunden der Bank B. und ab Dezember 2014 Kunden des Finanzinstituts C. zur Datenherausgabe zu veranlassen. Die Täter trafen sich in unregelmässigen Abständen in Hotelzimmern oder anderen geeigneten Räumlichkeiten, vorwiegend in der Stadt Basel, um die Voice-Phishings durchzuführen. Es traten bei den Phishing-Fällen verschiedene unbekannte, Schweizerdeutsch sprechende Frauen als Telefonistinnen im Namen der Finanzinstitute auf. In der Schweiz hat sich die Täterschaft von August 2012 bis Juni 2015 unrechtmässig Zugang zu mindestens 210 Konten der Bank B. und 37 Konten des Finanzinstituts C. beschafft und unrechtmässig Transaktionen ausgelöst, wobei die Gesamtsumme der schweizweit ausgelösten Transaktionen ca. Fr. 6,8 Mio betragen hat. Die angerufenen Kunden schöpften in einigen Fällen Verdacht und meldeten sich nach dem Telefongespräch bei ihrem Finanzinstitut, welches die Informationen betreffend den illegalen Zugriff, zusammen mit den verfügbaren technischen Daten (Geschäftskonto, «Mule-Konto», IP-Adresse, Gerätekonfiguration und den Zeitpunkt des Onlinezugriffs der Täterschaft auf die betreffenden Konten) an die Bundeskriminalpolizei (nachfolgend: BKP) übermittelte. Bei den Ermittlungen fiel schon bald eine baseldeutsch sprechende Telefonistin auf, welche den getäuschten Bankkunden gegenüber als «Frau Meier» auftrat, und meistens aus Basel telefonierte. Die BKP beantragte bei einigen der Nummern die aktive Telefonüberwachung sowie die rückwirkenden Verbindungsdaten an. Eine Baseldeutsch sprechende Telefonistin, welche sich bei einer Vielzahl von Voice-Phishings als Mitarbeiterin der Bank B. und des Finanzinstituts C. ausgegeben und unter dem Namen «Meier» die Zugangscodes der Bankkunden erschlichen hat, konnte mittels Telefonüberwachung als A. (Beschuldigte) identifiziert werden. Die gesamte

- 31 - SK.2020.35 Deliktsserie in der Schweiz brach ab, als die Beschuldigte am 22. Juni 2015 verhaftet wurde (BA pag. 10-2-101 f.; 10-2-167). 4.4 Beweiswürdigung 4.4.1 Das Gericht würdigt die Beweise frei nach seiner aus dem gesamten Verfahren gewonnenen Überzeugung (Art. 10 Abs. 2 StPO). Das Gebot soll sicherstellen, dass der Richter nicht verpflichtet ist, etwas als erwiesen zu erachten, wenn es dies nach seiner Überzeugung nicht ist, oder umgekehrt etwas als nicht erwiesen anzusehen, worüber für ihn kein Zweifel besteht (HOFER, Basler Kommentar, 2. Aufl. 2014, Art. 10 StPO N. 58). Überzeugt zeigen darf sich das Gericht nur, wenn es jeden vernünftigen Zweifel ausschliessen kann. Die Überzeugung muss durch gewissenhaft festgestellte Tatsachen und logische Schlussfolgerungen begründet werden; dadurch wird die Herleitung des Beweisergebnisses objektiv nachvollziehbar (HOFER, a.a.O., Art. 10 StPO N. 61). Gemäss Art. 10 Abs. 3 StPO geht das Gericht von der für die beschuldigte Person günstigeren Sachlage aus, wenn unüberwindliche Zweifel daran bestehen, dass die tatsächlichen Voraussetzungen der angeklagten Tat erfüllt sind. Diese Bestimmung konkretisiert den verfassungsmässigen Grundsatz der Unschuldsvermutung (in dubio pro reo; Art. 32 Abs. 1 und Art. 6 Ziff. 2 EMRK). Sie verbietet es, bei der rechtlichen Würdigung eines Straftatbestands von einem belastenden Sachverhalt auszugehen, wenn nach objektiver Würdigung der gesamten Beweise ernsthafte Zweifel bestehen, ob sich der Sachverhalt tatsächlich so verwirklicht hat, oder wenn eine für die beschuldigte Person günstigere Tatversion vernünftigerweise nicht ausgeschlossen werden kann. Indes kann keine absolute Gewissheit verlangt werden; abstrakte und theoretische Zweifel sind kaum je ganz auszuräumen (BGE 144 IV 345 E. 2.2.1 m.w.H.). 4.4.2 Liegen keine direkten Beweise vor, ist nach der Rechtsprechung auch ein indirekter Beweis zulässig. Beim Indizienbeweis wird aus bestimmten Tatsachen, die nicht unmittelbar rechtserheblich, aber bewiesen sind (Indizien), auf die zu beweisende, unmittelbar rechtserhebliche Tatsache geschlossen. Eine Mehrzahl von Indizien, welche für sich allein betrachtet nur mit einer gewissen Wahrscheinlichkeit auf eine bestimmte Tatsache oder Täterschaft hindeuten oder insofern Zweifel offen lassen, können in ihrer Gesamtheit ein Bild erzeugen, das den Schluss auf den vollen rechtsgenügenden Beweis von Tat oder Täter erlaubt (Urteil des Bundesgerichts 6B_1302/2020 vom 3. Februar 2021 E. 1.2.3 mit Hinweisen). Der Indizienbeweis ist dem direkten Beweis gleichgestellt (BGE 144 IV 345 E. 2.2.3.4). Sachverhaltsalternativen sind nur zu prüfen, wenn die Indizienlage widersprüchlich oder ambivalent ist (BGE 144 IV 345 E. 2.2.3.7).

- 32 - SK.2020.35 4.4.3 Im Vorverfahren bestritt die Beschuldigte einige Sachverhalte, an eine Vielzahl von Vorgängen konnte oder wollte sie sich nicht erinnern oder sie bestritt die Begehung beziehungsweise die Beteiligung daran explizit ab. In der ergänzenden Schlusseinvernahme nahm sie wieder Abstand von ihren vorgängigen Geständnissen in den Fällen 44-48, 51-57 (BA pag. 13-1-27/32 f./-109/-112/-114- 117/-144/-146). Zudem wollte sie – trotz ihrer vielen intensiven Kontakte zur nigerianischen Diaspora in Basel – die Namen der Hintermänner nicht kennen, obwohl sie mit ihnen in Hotelzimmern «phishte» und ihnen die durch das Voice- Phishing erlangten PIN-Codes für die Zahlungsaufträge an die Banken übergab (TPF pag. 19.731.006). Ihre Aussagen erfolgten stets zielgerichtet und passten sich im Laufe des Verfahrens ständig der Beweislage an (vgl. oben E. 4.3.1). Dies spricht gegen die Glaubhaftigkeit der Aussagen der Beschuldigten. Insgesamt gestand sie diejenigen Sachverhalte ein (Fälle 40, 42-44, 49-50, 53, 59 und 60), in welchen eine erdrückende Beweis- bzw. Indizienlage vorliegt. Sie ist ebenfalls geständig, was den Modus Operandi betrifft. So kann als erstellt gelten, dass die Tätergruppierung durch die unbefugte Verwendung von Bankdaten auf elektronische Datenverarbeitungsanlagen eingewirkt und dadurch Vermögensverschiebungen zulasten von Bankkunden ausgelöst bzw. auszulösen versucht hat. 4.4.4 Direkte Sach- oder Personalbeweise von Zeugen oder Auskunftspersonen, dass die Beschuldigte in den nicht eingestandenen Fällen «gephisht» hat, liegen nicht vor. Mangels direkter objektiver Beweise bedarf es somit zum Nachweis der Täterschaft einer Indizienkette, die in ihrer Gesamtheit ein Bild erzeugt, das Zweifel ausschliesst, dass sie die Täterin war. 4.4.5 Die Täterschaft der Beschuldigten stützt sich auf folgende Indizien: 4.4.5.1 Allgemeines a) Beweisrelevant sind zunächst die erhobenen Arbeitszeitnachweise bei der damaligen Arbeitgeberin der Beschuldigten, der SSSS. AG. Ein Vergleich der Deliktzeitpunkte mit den Arbeitszeitnachweisen ergibt, dass die Phishing-Telefonate in 60 Fällen erfolgten, als die Beschuldigte arbeitsfrei hatte. Es wäre lebensfremd anzunehmen, dass es eine Koinzidenz sein soll, dass die Beschuldigte – bis auf Fall 50 – immer am Deliktzeitpunkt arbeitsfrei hatte. Vielmehr ist es naheliegend, dass die Beschuldigte nach der jeweiligen Ankündigung der «Sessions» jeweils für die betreffenden Termine freigenommen hat (BA pag. 7-4-0-4, -79; 10-2-171; 10-2-186, -192). b) Als gewichtiges Indiz ist auch der Umstand zu werten, dass sich die Beschuldigte als «Telefonistin» mit dem Aliasnamen «Frau Meier» bei den Bankkunden meldete und ihre Stimme in den aufgezeichneten deliktischen Telefonaten auch erkannt wurde. Die Stimme der Beschuldigten konnte bei insgesamt neun

- 33 - SK.2020.35 Phishing-Telefonaten aufgezeichnet werden. Vier Aufnahmen stammen dabei von der Ermittlungsabteilung der Bank B. (Fälle 58-61 [BA pag. 5-1.28; 13-1-28]), viermal konnten Voice-Phishing-Gespräche (Fälle 42, 44, 54, 55) auf der aktiven Telefonüberwachung mitgeschnitten werden (Beilage 32, CD 19-20) und ein Telefongespräch (Fall 51) konnte via Audioüberwachung im Hotel RRR. in Basel aufgezeichnet werden. Gemäss den Erkenntnissen aus der Überwachung des Fernmeldeverkehrs und den Aussagen der Geschädigten hat die Beschuldigte bei den Phishing-Telefonaten stets den Namen «Meier» verwendet und nie einen anderen Namen benutzt. Die Geschädigten, welche sich an den Aliasnamen «Meier» der «Telefonistin» erinnern konnten, haben deren Dialekt als Baseldeutsch beschrieben, was dem Dialekt der Beschuldigten entspricht (Fälle 6, 11 f., 24, 44; BA pag. B10-2-1-59/132/293; B10-2-148). Ausserdem gibt es keinen Fall, bei welchem sich die Geschädigten an den Namen «Meier» erinnern konnten und gleichzeitig Hinweise vorliegen, welche gegen die Täterschaft der Beschuldigten sprechen würden. Vielmehr bestehen in diesen Fällen – nebst dem Baseldeutsch – verschiedene weitere Indizien, welche für die Beschuldigte als Täterin sprechen: Die überwachten Telefongespräche der «Call-Agentinnen» ergaben keine Hinweise, dass andere «Telefonistinnen» den gleichen Aliasnamen verwendet hätten. Auch konnte die Beschuldige nie einen (echten) Namen einer anderen «Frau Meier» nennen oder nur schon eine konkrete Beschreibung abgeben. Der Einwand der Beschuldigten, es hätten andere «Telefonistinnen» den Aliasnamen «Meier» verwendet ist daher unglaubhaft. Es ist mithin als erstellt zu betrachten, dass sich ausschliesslich die Beschuldigte mit dem Aliasnamen «Meier» bei den Bankkunden meldete (BA pag. 7-4-0-1 ff.; 7-5-0-4 ff.; 10-2- 166 f./170 f./186 ff.). c) Ein weiteres Indiz für die Täterschaft der Beschuldigten ist die zeitliche Häufung der Taten an einzelnen oder darauffolgenden Tagen, welche von ihr als «Sessions» bezeichnet wurden. Deliktscharakteristisch wurden in einer Vielzahl von Phishing-Fällen übereinstimmende IP-Adressen, Geräte (PC, iPad)-Konfigurationen und dieselbe Rufnummer verwendet (gleiche IP-Adressen: Fälle: 1 und 2; Fälle: 3, 6 und 7; Fälle: 11 und 12; Fälle: 16 und 18; Fälle: 29 und 30; Fälle: 35 und 36; Fälle: 37 und 38; Fälle: 40 und 41; Fälle: 46 und 48; Fälle: 44 und 50; gleiche Geräte-Konfigurationen: Fälle: 1 und 2; Fälle 3-6, 11 f., 15 f., 17 und 20; Fälle 7 und 8; Fälle 9, 22 f. und 25; Fälle 14 und 18; Fälle 19, 21 und 24; Fälle 28-30 und 32; Fälle 35, 37, 39 und 41; Fälle 46 f.; gleiche Rufnummern: Fälle: 9- 19 und 26; Fälle: 28-31; Fälle 32 f.; Fälle: 34 f., 37, 39 und 41; Fälle: 42 und 44; Fälle: 46 und 47; Fälle: 50 f. und 57). Da die Beschuldigte in den genannten Fällen 2, 6, 8, 11 f., 20, 22, 24, 29 f., 33, 36, 39, 42, 44 und 51 nachweislich den Aliasnamen «Meier» verwendete, ist die Täterschaft in diesen Phishing-Fällen ebenfalls erstellt (vgl. E. 4.4.5.1 b). Sodann hatten die Organisatoren in den Phishing-Fällen 3-7, 28-31, 33, 35-39 und 49 in Hotels in Basel eingecheckt. Die

- 34 - SK.2020.35 Hotels lagen jeweils im Umkreis der Antennenstandorte, über welche die für die Phishing-Anrufe verwendeten Rufnummern verbunden waren. In diesen Fällen konnte aufgrund des Antennenstandortes nachgewiesen werden, dass sich die Beschuldigte zum Tatzeitpunkt am Tatort befand (BA pag. 10-1-129 ff.). Ferner hat aufgrund der Überwachung des Fernmeldeverkehrs als erstellt zu gelten, dass sie ab dem 10. März 2015 (Fälle 34-61) als alleinige Telefonistin mit den Organisatoren «phishte». Die räumliche und zeitliche Koinzidenz sowie die fallübergreifende Übereinstimmung der genannten Kriterien indizieren ebenfalls die (Mit-)Täterschaft der Beschuldigten. d) Die beim Voice-Phishing verwendeten SIM-Karten wurden unter Verwendung von weiblichen, türkisch oder südländisch klingenden Phantasienamen mit Adressen in der Region Basel gekauft. Die polizeiliche Auswertung der SIM-Karten ergab, dass die einzige SIM-Karte, welche auch von anderen Telefonistinnen verwendet wurden, diejenige mit der Rufnummer Tel.nr. 3 im Fall 20 ist. Alle übrigen SIM-Karten / Rufnummern wurden einzig von der Beschuldigten für die Vishing- Telefonate benutzt (BA pag. 10-2-168; B10-2-3-44/46/48/50/53/96/101/122 f.). Der Einwand der Beschuldigten, sie habe keine SIM-Karten gekauft und andere Telefonistinnen hätten diese auch gebraucht, ist daher als Schutzbehauptung einzustufen. e) Weitere gewichtige Indizien für die Täterschaft bilden Printscreens von Buchungen von Hotelzimmern, in welchen die Phishing-Sessions durchgeführt wurden (Fälle 45-48) sowie von abgeschlossenen Phishing-Vorgängen bzw. erfolgreich durchgeführten Finanztransaktionen (Fälle 56 und 57), die auf dem Smart- Phone der Beschuldigten beschlagnahmt wurden. Sodann belegen WhatsApp- Chat-Protokolle zwischen der Beschuldigten und der unmittelbaren Täterschaft (Fälle 34-39), dass sie mit diesen zum Tatzeitpunkt im Hotel beim «Phishen» zugegen war. 4.4.5.2 Zu den einzelnen vorgeworfenen Phishing-Fällen: Fälle 1 und 2 Ein gewichtiges Indiz für die Täterschaft der Beschuldigten ist der Umstand, dass sie zum Tatzeitpunkt am 22. November 2012 von ihrer Arbeit frei genommen hatte. Der Geschädigte CC. konnte sich im Fall 2 an den Namen «Meier» der angeblichen Bankangestellten am Telefon erinnern. Erstellt ist somit die Täterschaft in diesem Fall, weil nur die Beschuldigte diesen Aliasnamen verwendete (vgl. E. 4.4.5.1b). Da die Gerätekonfigurationen des für die unbefugten Geldüberweisungen verwendeten Computers in den Fällen 1 und 2 identisch sind und die Phishings zeitnah erfolgten, ist ihr auch Fall 1 anzurechnen. Die Annahme, dass

- 35 - SK.2020.35 eine andere Telefonistin «gephisht» haben soll, ist lebensfremd (BA pag. 10-2- 186; B10-2-1-13 ff.). Fälle 3 bis 7 Erwiesen ist, dass der Boss bzw. Komplize QQQQ. der Beschuldigten am 17. Dezember 2012 im Hotel EE. in Basel eincheckte. Dies geht aus entsprechenden Hotelbuchungen hervor. Die Phishing-Fälle wurden unmittelbar nach der Ankunft von QQQQ. am 18./19. Dezember 2012 in Basel begangen. Auffällig ist, dass die Beschuldigte an diesen Tagen Ferien hatte. Es kann aufgrund der zeitlichen Koinzidenz als erstellt gelten, dass sie den arbeitsfreien Tag nutzte, um mit QQQQ. in Basel zu «phishen». Sodann konnte sich im Fall 6 der Geschädigte JJ. an den Namen «Meier» der angeblichen Bankangestellten am Telefon erinnern, welcher der Beschuldigten zuzuordnen ist (vgl. E. 4.4.5.1 b). Die Täterschaft ist somit in all denjenigen Fällen erstellt, welche einen Konnex zu Fall 6 aufweisen. Aufgrund der übereinstimmenden Konfigurationen des für die unbefugten Geldüberweisungen verwendeten Computers (Fälle 3-6, 11, 12, 15-17 und 20 sowie in den Fällen 7 und 8) und IP-Adressen (Fälle 3, 6 und 7) ist dies zweifelfrei in den Fällen 3 bis 5 und 7 der Fall (BA pag. 10-2-105/128/186 f.; B10-2-1- 60; Beilage 32, CD 1). Fälle 8-10 Erstellt ist, dass die Beschuldigte in den Fällen 8 und 9 zum Tatzeitpunkt (27. Dezember 2012 bzw. 15. Januar 2013) von der Arbeit frei genommen hatte. Im Fall 10 erfolgte das Phishing am 15. Januar 2013 morgens um 08:21 Uhr, und somit vor dem Arbeitsbeginn der Beschuldigten. TTTT. konnte sich im Fall 8 explizit an den Namen «Meier» der angeblichen Bankangestellten am Telefon erinnern. Dies spricht in diesem Fall 8 für die Täterschaft der Beschuldigten, da ausschliesslich sie sich mit diesem Aliasnamen meldete (vgl. E. 4.4.5.1 b). Ein gewichtiges Indiz für die Täterschaft der Beschuldigten ist ausserdem der übereinstimmende Antennenstandort in den Fällen 9 und 10. Die Konfiguration des für die unbefugten Geldüberweisungen verwendeten Computers ist im Fall 9 identisch wie im Fall 22, bei welchem sich die Beschuldigte ebenfalls mit dem Aliasnamen «Frau Meier» meldete. Dies spricht für die Täterschaft der Beschuldigten in den Fällen 9 und 10. Aufgrund der zusätzlich übereinstimmenden Geräte-Konfigurationen in den Fällen 7 und 8, sowie des Umstands, dass die im Fall 9 und 10 verwendete SIM-Karte ausschliesslich von der Beschuldigten verwendet wurde, ist die Täterschaft zweifelsfrei erstellt (BA pag. 10-2-130/186/188; B10-2- 1-111; B10-2-1-304; B10-2-4-2 f.).

- 36 - SK.2020.35 Fälle 11-18 Erstellt ist, dass die Beschuldigte zum Tatzeitpunkt am 16. Januar 2013 von der Arbeit frei genommen hatte. Sodann konnten sich die Privatkläger E. und F. in den Fällen 11 und 12 an den von der Beschuldigten verwendeten Aliasnamen «Meier» erinnern. Diesen verwendete, wie bereits ausgeführt wurde, nur die Beschuldigte (vgl. E. 4.4.5.1b). Der Beschuldigten sind somit alle übrigen Fälle zuzurechnen, welche einen Konnex zu den beiden Fällen aufweisen. In sämtlichen Fällen wurden die gleiche SIM-Karte / Rufnummer verwendet, welche ausschliesslich von der Beschuldigten verwendet wurde. Ausserdem sprechen die identischen IP-Adressen in den Fällen 11, 12 und 16 dafür, dass die Beschuldigte als «Telefonistin» tätig war. Schliesslich waren die Gerätekonfigurationen in den Fällen 11, 12, 15-17 identisch wie im Fall 20, bei welchem sich die Beschuldige beim Voice-Phishing mit «Frau Meier» meldete. Überdies war in den Fällen 9-10 und 26 die für die telefonische Beschaffung der E-Banking-Zugangsdaten verwendete Rufnummer Tel.nr. 2 identisch, welche ausschliesslich von der Beschuldigten verwendet wurde. Diese fallübergreifende Übereinstimmung der Indizien spricht klar für die Täterschaft der Beschuldigten (BA pag. 10-2-130/186, -188; B10-2-1-134/152/304; B10-2-4-2 f.). Fälle 19 und 20 Für die Täterschaft der Beschuldigten spricht, dass sie zum Tatzeitpunkt am 23. Januar 2013 (Fall 19) sowie am 31. Januar 2013 (Fall 20) Ferien bzw. arbeitsfrei hatte und sich im Fall 20 mit «Frau Meier» meldete (vgl. E. 4.4.5.1b). Sie verwendete die gleiche Rufnummer wie in den Fällen 9-18, bei welchen ihre (Mit-)Täterschaft nachgewiesen ist. Ausserdem wurde die im Fall 19 verwendete SIM-Karte / Rufnummer ausschliesslich von der Beschuldigten benutzt. Ein weiteres gewichtiges Indiz zum Nachweis ihrer Phishing-Anrufe ist zudem, dass die Gerätekonfiguration im Fall 19 die gleiche ist wie im Fall 24, bei welchem sie mit dem Aliasnamen «Frau Meier» als «Telefonistin» agierte, welcher ihr zuzuordnen ist. Sodann ist die Gerätekonfiguration im Fall 20 dieselbe wie im Fall 12, bei welchem sie sich ebenfalls mit «Frau Meier» meldete. Beweismässig ist daher zweifelsfrei erstellt, dass die Beschuldigte in den Fällen 19 und 20 «gephisht» hat (BA pag. 10-2-130/-186, -188; B10-2-1-254; B10-2-4-2 f.). Fälle 21-25 Erwiesen ist, dass die Beschuldigte zum Tatzeitpunkt am 12./13. Februar 2013 arbeitsfrei (Ferien und Pikettruhetag) hatte. Die Privatkläger J. und L. konnten sich erinnern, dass sich die angebliche Bankangestellte in den Fällen 22 und 24

- 37 - SK.2020.35 mit dem Namen «Frau Meier» meldete. Dieser Aliasname wurde nur von der Beschuldigten verwendet (vgl. E. 4.4.5.1b). Ausserdem ist ihr das Voice-Phishing im Fall 23 anzurechnen ist, zumal der Anruf nur 47 Minuten vor dem Phishing im Fall 24 erfolgte. Aus der unmittelbaren zeitlichen Abfolge der Taten wäre auch hier die Annahme lebensfremd, dass eine andere «Call-Agentin» «gephisht» haben könnte. Erstellt ist ferner, dass die Gerätekonfigurationen in den Fällen 22, 23 und 25 dieselben sind wie im Fall 9, bei welchem ihre Täterschaft nachgewiesen ist. Die Verknüpfung der genannten Indizien spricht klar für ihre Täterschaft der Beschuldigten (BA pag. 10-1-130/-186, -188; B10-2-1-269/-294). Fall 26 Im vorliegenden Fall sprechen lediglich zwei Indizien (arbeitsfrei am Tattag vom 27. Februar 2013; identische Rufnummer wie in den Fällen 9-20) für die Täterschaft der Beschuldigten. Es ist nicht auszuschliessen, dass ausnahmsweise eine andere Telefonistin «gephisht» hat. Der angeklagte Sachverhalt ist daher nicht erstellt (BA pag. 13-1-118; B10-2-4-2 f.; 10-2-188). Fall 27 Im vorliegenden Fall sprechen lediglich zwei Indizien (arbeitsfrei am Tattag vom 25. Juni 2013; Antennenstandort in Basel) für die Täterschaft der Beschuldigten. Auch hier kann zugunsten der Beschuldigten nicht ausgeschlossen werden, dass ausnahmsweise eine andere Telefonistin «phishte». Der angeklagte Sachverhalt lässt sich nicht nachweisen (BA pag. 10-2-188). Fälle 28-32 Beweisrelevant ist zunächst eine WhatsApp-Nachricht, welche die Beschuldigte am 28. August 2013 um 02:37 Uhr morgens von ihrem «Boss» erhielt. Aus dieser geht hervor, dass sie am 28. August 2013 in das Hotel GGG. in Basel bestellt wurde. Es ist aus nachfolgenden Gründen als erstellt zu betrachten, dass es sich um den Treffpunkt für die fünf Phishing-Fälle vom 28./29. August 2013 handelte: Für die Täterschaft der Beschuldigten spricht, dass sie zum Tatzeitpunkt arbeitsfrei hatte und sich in den Fällen 29 und 30 mit dem Aliasnamen «Frau Meier» meldete, welcher ausschliesslich ihr zuzuordnen ist (vgl. E. 4.4.5.1b). Sodann ergab die Auswertung der erhobenen technischen Daten, dass in den Fällen 28 bis 31 die gleiche SIM-Karte mit der gleichen Rufnummer Tel.nr. 5 für die Beschaffung der E-Bankingzugangsdaten verwendet wurde, wobei der Antennenstandort beim Hotel GGG. lag. Die Rufnummer wurde ausschliesslich von der Beschuldigten verwendet. Beweismässig ist somit erstellt, dass sie zum Tatzeitpunkt im Hotel GGG. «phishte». Angesichts der zeitlichen und technischen Koin-

- 38 - SK.2020.35 zidenzen und der erwähnten Indizien kann bei realistischer Betrachtung ausgeschlossen werden, dass eine andere «Call-Agentin» in den Fällen 28 und 31 «gephisht» haben könnte. Schliesslich steht ausser Frage, dass sie auch im Fall 32 «phishte», verwendete sie doch die gleiche Rufnummer wie im Fall 33, bei welchem sie sich mit «Frau Meier» meldete (BA pag. 10-2-117/188 f.; B10-2-4-1-; B10-2-3-115; B10-2-4-6; B10-2-4-7). Fall 33 Beweismässig ist aufgrund einer WhatsApp-Nachricht zwischen der Beschuldigten und ihrem «Boss» vom 4. September 2013, um 05:55 Uhr, erstellt, dass sie am Tattag für das Phishing in das Hotel LLL. in Basel bestellt wurde. Auch in diesem Fall nahm sie sich für die «Phishing-Session» vom 4. September 2013 arbeitsfrei. Ein starkes Indiz für die Täterschaft der Beschuldigten ist weiter, dass sie sich als «Telefonistin» mit «Frau Meier» meldete und das Hotel im Sendebereich der Antennenzelle lag, über welche die ausschliesslich von ihr verwendete Rufnummer Tel.nr. 6 beim Phishing sich verband. Ausserdem stimmt die verwendete Rufnummer mit dem Phishing-Fall 32 überein, bei welchem die (Mit-)Täterschaft der Beschuldigten nachgewiesen ist. Somit ist als erstellt zu betrachten, dass die Beschuldigte mit ihrem «Boss» im Hotel «phishte» (BA pag. 10-2- 110/119/177/189; B10-2-2-33; B10-2-4-1; B10-2-2-22). Fälle 34-39 Erstellt ist, dass die «Bosse» RRRR. und QQQQ. für die Zeit vom 10. bis 13. März 2015 ein Zimmer im Hotel MMM. in Basel gebucht hatten. In diesem Zeitraum wurden die Phishing-Fälle 34 bis 39 durchgeführt. Die Beschuldigte hatte an den Tatdaten vom 10. März 2015 (Fälle 34-37), 11. März 2015 (Fall 37) und 12. März 2015 (Fälle 38 und 39) arbeitsfrei, was ein gewichtiges Indiz für ihre (Mit-)Täterschaft ist. Aufgrund eines Chats zwischen der Beschuldigten mit QQQQ. vom 10. bis 12. März 2015 liegt zunächst nahe, dass sie ihn am Tattag vom 10. März 2015 im Hotel MMM. in Basel besuchte. Es ging im Chat darum, dass ihr «Boss» einen Adapter für seinen Laptop benötigte. Die Beschuldigte antwortete, dass sie «viele davon» an ihrem Arbeitsort habe und dass sie zusammen später ein Taxi nehmen und ein solches Gerät holen gehen können. Der Chat lautet wie folgt: 10.03.2015 (07:57) Boss QQQQ.: «Hello girl yo need to buy adapter for my laptop. Hi.» 10.03.2015 (08:05) Beschuldigte: «I’m already on my way» 10.03.2015 (08.06) Beschuldigte: «I have at my work a lot we can go by taxi and get it later» 10.03.2015 (08:30) Boss QQQQ.: «Where are you? Waiting for you»

- 39 - SK.2020.35 10.03.2015 (08:44) Beschuldigte: «I’m here. Which room?» 11.03.2015 (07:58) Boss QQQQ.: «Hi» 11.03.2015 (07:59) Boss QQQQ.: «Good morning» 12.03.2015 (06:56) Boss QQQQ.: «Hi. Good morning» 12.03.2015 (06:56) Beschuldigte: «I’m there at 8.30» 12.03.2015 (06:56) Boss QQQQ.: «No 8» 12.03.2015 (06:57) Boss QQQQ.: «Pls» 12.03.2015 (06:58) Boss QQQQ.: «Please we have an appointement. Please call. Now» 12.03.2015 (07:12) Beschuldigte: «Sorry! I’m there in 10 min» Zum Aufenthaltszweck ihrer «Bosse» in Basel befragt, erklärte sie am 19. August 2015, dass RRRR. und QQQQ. in der Zeit vom 10. bis 12. März 2015 «nicht nur zum Phishing» nach Basel gekommen seien (BA pag. 13-1-32). In der Schlusseinvernahme vom 5. Juli 2018 bestritt die Beschuldigte die Taten. Sie sei zum Tatzeitpunkt nicht im Hotel MMM. in Basel gewesen. Auf Vorhalt einer WhatsApp Konversation zwischen der Beschuldigten und dem «Boss» QQQQ. vom 10.-12. März 2015 (vgl. oben), welche ihre Behauptung widerlegte, sagte sie: «Scheisse. Aber es kann immer noch sein, dass ich nicht gesphisht habe …» (BA pag. 13-1-113; 10-2-117). Anlässlich der Hauptverhandlung vom 21. Januar 2021 sagte sie weitgehend gleichbleibend aus. Auf Vorhalt der WhatsApp Konversation, wonach hervorgeht, dass sie die Mittäter im Tatzeitraum getroffen hat und nach einem Hotelzimmer fragt, räumte sie ein, dass sie die Beteiligten getroffen habe (TPF pag. 19.731.17). Es kann daher als erstellt gelten, dass sich die Beschuldigte am 10. März 2015 mit ihren «Bossen» im Hotel MMM. traf. Aufgrund der Ergebnisse der Mobiltelefonüberwachung ist ferner nachgewiesen, dass sie am 10. März 2015, um 08.50 Uhr, weiter zum Hotel DDD. in Z. (BL) fuhren. In unmittelbarer Nähe der Antenne, über welche die privaten Mobiltelefone der Beschuldigten am 10. März 2015 zwischen 09.57 und 18:50 Uhr mit dem Netz verbunden waren, befindet sich das Hotel DDD. in Z. (BL). Dass sich die Beschuldige im Hotel DDD. in Z. (BL) befand, geht auch aus dem folgenden Chatverkehr vom 10. März 2015 mit ihrer Schwester hervor: 10.03.2015 (12:08) BBBBB.: «AAAAA.: how come? ...Muesch mir verzelle […]» […] 10.03.2015 (21:35) BBBBB.: «Wells hotel sind denn?»

- 40 - SK.2020.35 10.03.2015 (21:52) Beschuldigte: «Nei CCCCC. und 2 anderi aber mir zwei göhn in e anders in Basel. Sie sind Hotel DDD.» 10.03.2015 (21:54) BBBBB.: «Ja guet DDD. isch au scheisse. Haha» […] 10.03.2015 (21:56) Beschuldigte: «CCCCC. isch sooo lieb hey, ich dänk jedesmol nonun […]» 10.03.2015 (21:57) BBBBB.: «Guet so lieb isch er sicher nid wenn er lüt vrarscht […]. Odr ischer robin hood style? […]» 10.03.2015 (21:58) Beschuldigte: «Ja aber zu sinne lüt sich er ebe schon korräkt und teilt immer alles korräkt. Aber fremdi verarscht er halt, ja genau che […]» Im Ergebnis ist der Nachweis erbracht, dass die Beschuldigte mit QQQQ. im Hotel DDD. in Z. (BL) die Phishings in den Fällen 34-36 vollzog. Sodann sendete im Fall 37 die persönliche Mobiltelefonnummer der Beschuldigten am Tattag vom 11. März 2015, um 12:05 Uhr, via Antenne an der […]strasse. In dieses Sendegebiet fällt der Mobilfunkmast für das Hotel MMM. Das Phishing bzw. die Abbuchung ab dem Bankkonto des Geschädigten erfolgte um 13:10 Uhr. Es kann daher als erstellt gelten, dass die Beschuldigte das Phishing im Fall 37 im Hotel MMM. in Basel vornahm. In den Fällen 38 und 39 sandte die persönliche Mobiltelefonnummer der Beschuldigten am Tattag vom 12. März 2015 an gleicher Adresse. Die Beschuldigte befand sich somit wiederum am Tatort im Hotel MMM. Ein gewichtiges Indiz für die Täterschaft der Beschuldigten ist ausserdem, dass sie sich im Fall 36 mit «Frau Meier» meldete und die IP-Adressen in den Fällen 35 und 36 sowie 37 und 38 identisch sind. Ausserdem war die für die Beschaffung der E-Banking-Zugangsdaten verwendete Rufnummer in den Fällen 34, 37 und 39 identisch, was ebenfalls für die Täterschaft der Beschuldigten spricht, verwendete doch ausschliesslich sie diese (BA pag. 10-2-117 f./131/179, -181 f./190 f.; B10-2-3-38; TPF pag. 19.731.17; B10-2-4-1; B10-2-2-59). Fall 40 Die Beschuldigte ist geständig. Das Geständnis deckt sich mit belastenden Indizien und ist mithin glaubhaft im Sinne von Art. 160 StPO. Sie hatte am Tattag vom 24. März 2015 arbeitsfrei. Sodann wurde die gleiche IP-Adresse wie im

- 41 - SK.2020.35 Phishing-Fall 41 verwendet und die Taten am gleichen Tag begangen. Ausserdem verwendete sie das gleiche «Mule-Konto» wie im Fall 53 [BA pag 10-2-191; B10-2-2-196]). Die (Mit-)Täterschaft der Beschuldigten ist somit erstellt. Fall 41 Erwiesen ist, dass die Beschuldigte im Tatzeitpunkt vom 24. März 2015 arbeitsfrei hatte. Sodann wurde im Fall 40 die gleiche IP-Adresse wie im Fall 41 verwendet und die Taten am gleichen Tag begangen. Da im Fall 40 ein Personalbeweis in Form eines Geständnisses vorliegt, ist als erstellt zu betrachten, dass sie beide Phishings beging. Ausserdem sprechen die identischen Geräte-Konfigurationen in den Fällen 35, 37, 49 und 41 für ihre (Mit-)Täterschaft. Dass bei einer solchen fallübergreifenden Übereinstimmung von Indizien eine andere «Call-Agentin» in Basel im Einsatz gewesen sein soll, wie es die Beschuldigte vorbringt (BA pag. 13-1-112), ist lebensfremd und ist als reine Schutzbehauptung zu werten (BA pag. 10-2-128/190 f.; B10-2-2-93). Fall 42 Die Beschuldigte ist geständig. Das Geständnis deckt sich mit mehreren belastenden Indizien: Sie hatte am Tattag vom 25. März 2015 arbeitsfrei und verwendete als «Call-Agentin» den Aliasnamen «Frau Meier». Ausserdem wurde die im Telefonat mit der Privatklägerin S. verwendete SIM-Karte / Rufnummer ausschliesslich von der Beschuldigten verwendet. Dass sie bei der anschliessenden Kontaktaufnahme mit der «Money-Mule» DDDDD. dieselbe Telefonnummer verwendete, belegt ihre Täterschaft zusätzlich (BA pag. 10-2-110/191; B10-2-2- 135/139; B10-2-4-8; 10-2-3-55 ff.; B10-2-3-71; B10-2-4-9). Fälle 43 und 44 Auch diesbezüglich ist die Beschuldigte geständig. Das Geständnis deckt sich mit belastenden Indizien: Die Beschuldigte hatte an den Tattagen vom 25. und 30. März 2015 arbeitsfrei und verwendete im Fall 44 den Aliasnamen «Meier», welcher ausschliesslich von ihr verwendet wurde. Ausserdem ist auffällig, dass im Fall 44 die gleiche Rufnummer wie im Phishing-Fall 42 verwendet wurde, welchen die Beschuldigte eingestand (BA pag. 10-2-191; B10-2-3-72; B10-2-4-9). Die (Mit-)Täterschaft ist mithin erstellt. Fälle 45-48 Es kann aus nachfolgenden Gründen als erstellt gelten, dass die Phishings vom 14. bis 16. April 2015 während des Aufenthalts der «Bosse» QQQQ. und RRRR. im Hotel DDD. in Basel begangen wurden: Die Beschuldigte gab in der

- 42 - SK.2020.35 Schlusseinvernahme zu, in diesem Hotel Phishing-Anrufe gemacht zu haben. Ein gewichtiges Indiz für die Täterschaft der Beschuldigten ist ferner, dass sie während der «Phishing-Sessions» Ferien hatte und auf ihrem Smartphone die Hotelbuchung für RRRR. gefunden wurde. Dass das für die Phishings verwendete Telefon sowie das private Mobiltelefon der Beschuldigten mit der Rufnummer Tel.nr. 11 in den Fällen 46 und 47 mit demselben Antennenstandort beim Hotel DDDD. in Basel verbunden war, beweist die (Mit-)Täterschaft der Beschuldigten, zumal auch das bei der Beschuldigten sichergestellte iPad am 16. April 2015 (Fälle 46-48) mit dem drahtlosen Netzwerk (WLAN) des Hotels DDDD. in Basel verbunden war. Sodann sprechen die identische Geräte-Konfiguration und übereinstimmend verwendete Rufnummer Tel.nr. 9 in den Fällen 46 und 47 für ihre Täterschaft. Ausserdem verwendete ausschliesslich die Beschuldigte als «Call- Agentin» diese Rufnummer. Vor diesem Hintergrund bestehen keine Zweifel daran, dass die Beschuldigte am 14. und 16. April 2015 in den Fällen 45-48 «gephisht» hat (BA pag. 10-2-116/-125/-185/191 f.; B10-2-2-154/161; B10-2-4-10; B10-2-3-98; B102-2-4-9) Fall 49 Die Beschuldigte anerkennt den Anklagesachverhalt. Das Geständnis deckt sich mit objektiven Beweismitteln: So hatte sie am Tattag vom 26. Mai 2015 arbeitsfrei und auf ihrem sichergestellten Smartphone wurde die E-Banking-Zahlungsbestätigung vom Phishing gefunden. Auf dem Smartphone ist überdies ein Foto mit einer online übermittelten Zahlung in der Höhe von Fr. 49'500.-- ab