Kommt jetzt endlich Bewegung in das Thema Computerstrafrecht und vor allem in den Paragraphen § 202a ff. (sogenannter Hackerparagraph) des Strafgesetzbuches (StGB)? Das BSI verlangt eine schnelle Novellierung des Computerstrafrechts. Und seit Oktober 2025 gibt es wohl einen Referentenentwurf, der diskutiert wird.
Das Computerstrafrecht, und vor allem die Abschnitte a, b und c des Paragraphen 202 des Strafgesetzbuchs, die sich mit der Vorbereitung zum Ausspähen von Daten befassen, steht seit vielen Jahren in der Kritik. Es gibt nicht nur Kritik von Seiten der Hacker-Community, sondern auch aus der Wissenschaft, der Wirtschaft und sogar von Strafrechtsexperten.
Kriminalisierung von White-Hat-Hackern
Ein zentraler Kritikpunkt ist die Kriminalisierung von Hacking mit guter Absicht, sogenannten ethischen Hackern. Aktuell ist auch diese Form des Hacking strafbar. Dabei gerät man schneller in die Mühlen der Justiz als gedacht.
Der Modern Solutions-Fa(i)ll
Ich hatte ja hier im Blog ausgiebig den Fall Modern Solutions begleitet, der für einen Entwickler ziemlich schief ging. Bei seinem Auftrag für einen Kunden stieß dieser Entwickler in der Software von Modern Solutions auf eine veritable Sicherheitslücke (siehe Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar) und machte dies, nachdem er beim Anbieter nicht wirklich bezüglich einer Beseitigung weiter kam, öffentlich.
Daraus wurde ihm, sowie einem Blogger, der das Ganze veröffentlichte, juristisch ein Strick gedreht. Denn Modern Solutions stellte Strafanzeige und die Staatsanwaltschaft Köln setzte alle juristischen Hebel in Bewegung, um zu einer rechtsgültigen Verurteilung des Entwicklers zu kommen. Der Blogger, der den Sachverhalt in einem Beitrag dokumentierte, hatte ein Verfahren wegen "Datenhehlerei" am Hals – wie dieses aus ging, weiß ich nicht. Der rechtsgültig in letzter Instanz verurteilte Enwickler ging mit seinem Anliegen zwar bis zum Bundesverfassungsgericht, scheiterte dort aber.
Unter dem Strich bleiben dem Mann 3.000 Euro Geldbuße, eine Vorstrafe, sowie die aufgelaufenen Anwalts- und Gerichtskosten, nur, weil er eine gefundene Sicherheitslücke öffentlich machte. Die Urteilsbegründung der Juristen mutet dabei auch seltsam weltfremd an – wenn man auf eine Sicherheitslücke stößt, darf man quasi nicht einmal nachschauen, ob man an die Daten herankommt und das Ganze mit einem Screenshot dokumentieren, weil man dann ja Daten ausgespäht hat – selbst, wenn diese Daten nur durch ein fest in einer Konfigurations- oder Programmdatei gespeichertes und so einfach auslesbares Kennwort gesichert sind.
Absurdistan in Reinkultur, aber so ist es juristisch in Deutschland durch StGB 202 a – c festgelegt. Und dies ist dem Entwickler im Modern Solutions-Fall auf die Füße gefallen. Staatsanwaltschaft und einige Juristen mögen sich möglicherweise gefeiert haben, weil ein Verfahren gewonnen wurde. Aber der IT-Sicherheitskultur in Deutschland hat man einen Bärendienst erwiesen – Security by Obscurity feiert fröhliche Urstände, und die Gefahr, dass dies öffentlich wird, wurde juristisch gebannt.
Kritik von Fachleuten und Interesse an ethischem Hacking
Fachleute kritisierten bereits seit langem die nur noch als "verunglückt" zu bezeichnende Gesetzeslage. Eigentlich war von der letzten Bundesregierung eine Novellierung des Computerstrafrechts unter Justizminister Marco Buschmann geplant. Wegen des Bruchs der Koalition blieb dieser Referentenentwurf, der nach meinen Kenntnissen aber an vielen grundsätzlichen Problemen nichts geändert hat, in den Schubladen des Justizministeriums stecken.
Initiativen wie Bug Bounty Programme und Disclosure Policies, gelebte Praxis in anderen Ländern, zeigen, dass die Industrie durchaus ein Interesse daran hat, von ethischen Hackern zu profitieren, die Schwachstellen verantwortungsbewusst aufdecken und melden.
Seit Ende Oktober 2025 ist nun ein Gesetzesentwurf im Umlauf, welcher die Modernisierung des Computerstrafrechts vorsieht, entnehme ich dem Artikel Was lange währt, wird endlich gut? Die Modernisierung des Computerstrafrechts von Prof. Dennis Kipker und Florian Handke beim Chaos Computer Club (CCC).
Auf der verlinkten Webseite ist ein Vortrag zum Sachstand der Novellierung des Computerstrafrechts als MP4-Datei herunterladbar. Dieser Vortrag gibt einen Einblick in die Entwicklung dieses Gesetzesentwurfs, den aktuellen Stand der Debatte und die nächsten Schritte, heißt es in der Beschreibung.
Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller
Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen
IT-Experte, der Modern Solutions Schwachstelle öffentlich gemacht hat, muss nun doch vor Gericht
Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor
Hauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024
Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)
Landgericht Aachen bestätigt Urteil gegen Entdecker einer Modern Solution-Schwachstelle
Sachstand im "Modern Solution"-Verfahren
Modern Solution-Urteil: Verurteilter IT-Spezialist reicht Verfassungsbeschwerde ein
'Modern Solutions'-Urteil: Verfassungsbeschwerde abgelehnt
MVP: 2013 – 2016
Aus der CCC-Quelle: "Ein zentraler Kritikpunkt ist die Kriminalisierung von Hacking mit guter Absicht, sogenannten ethischen Hackern. Aktuell ist auch diese Form des Hacking strafbar. "
Also wie gehabt und nichts Neues: Es soll einer Anzeigenhauptmeisterkultur der Boden bereitet werden, wo jeder Nerd an frei erreichbaren http-Servern seinem Spieltrieb frönen darf.
Diese masslose Selbstüberschätzung von selbsternanntem EDV-Personal, das meint, überall mit dem Hackerhämmerchen draufklopfen zu dürfen, ist bestenfalls erheiternd. Man stelle sich vor, das fände auch in anderen Lebensbereichen statt. Ständig irgendwelche Leute, die ohne Auftrag an Personenaufzügen, Chemieanlagen, Bahngleisen, Gaskesseln, kommunalen Trinkwasserleitungsnetze etc. herumfingern, in der Hoffnung irgendein Katastrophenpotental entdecken zu können. Einfach schlimm und Anzeigenhauptmeister on steroids.
Selbst wenn man unterstellt, dass aus ethischem Hacking langfristig ein gesellschaftlicher Nutzen entstünde, bleibt immer noch das Problem, dass das Gros der selbsternannten Hacker nicht ausreichend qualifiziert ist, um gewissermassen zerstörungsfrei (d. h. insb. auch unter strikter Vermeidung von performance degradation und dergleichen) zu testen.
Nein, das verbieten wir alles! Keiner darf je mehr das in der *.exe unverschlüsselt gespeicherte Passwort zum Datenbankserver auslesen – das ist ganz böse. Gilt genau so für andere Sicherheitslücken – hinschauen verboten! Und wenn das nur streng genug verboten ist, wissen auch die Script Kiddies, OK, Chinesen, Russen, Nordkoreaner, Amerikaner & Co., dass das strenge Verbot natürlich auch für sie gilt.
/S
Wenn es nicht die White-Hat-Hacker machen, dann sicher irgend jemand irgendwann aus den genannten (und weiteren) Gruppen.
Bei Firmen, die glauben, hier mit Verboten und Klagen das Problem lösen zu können, ist es üblicherweise mit der Sicherheit bzw. einer nachhaltigen Sicherheitskultur nicht sehr weit. Denen würde ich nicht mein $WASAUCHIMMER anvertrauen.
Ich bin nicht sicher, ob diese Ausführungen ernst gemeint sind – ernst nehmen kann ich sie jedenfalls nicht.
Wer sich mit der Materie etwas befasst, weiß, dass da nicht irgendwelche Script-Kiddies gemeint sind. Ich brauche mir doch nur anzuschauen, wie es jetzt läuft, wenn einer meiner Leser auf eine Schwachstelle stößt. Ich bekomme die Info teilweise anonym zugespielt, agiere unter dem Presse-Privileg des Quellenschutzes und bin wegen § 202c nicht greifbar, da ich nie auf die Systeme zugreife und auch keine Daten veröffentliche. Oft genug gehe ich dann über einen Landesdatenschutzbeauftragten, um das Problem zu melden. Die Firmen sind dann oft angepisst, weil ggf. DSGVO-Ärger droht – ist aber alles der Situation geschuldet. Und ja, es gibt Länder, wo Bug Bounty-Programme ausgelobt und Leute, die Schwachstellen melden, belohnt werden. Aber nicht in Deutschland.
Und nur mal zum Nachdenken – oder eine KI befragen: Die talentierten oder motivierten Script-Kiddies fragen nicht, ob sie die Befähigung zum Hacken haben, sondern machen einfach mal. Aber nicht, um irgendwelche Schwachstellen zu melden, sondern um zu zeigen, dass sie es können, oder um Kohle zu machen. Nur mal recherchieren, wer die bekannt gewordenen Mitglieder von Lapsus$ sind.
+ Betr. "Ich bin nicht sicher, ob diese Ausführungen ernst gemeint sind – ernst nehmen kann ich sie jedenfalls nicht.":
Ich hätte Sie mal sehen wollen, wenn zu Ihren 'Chemiezeiten' Zivilisten über das Werksgelände gelaufen wären und mit dem Hämmerchen selbstautorisierte Kessel- und Rohrleitungsprüfungen durchgeführt hätten. Nochmals: Die Vorstellung von selbsternannten Sicherheitsforschern, sie seien berufen, sich um die nationale Informationssicherheit zu kümmern, ist völlig irre und hat keinerlei Entsprechungen in anderen Branchen. Da mal drüber nachdenken.
+ Betr. "Die talentierten oder motivierten Script-Kiddies fragen nicht, ob sie die Befähigung zum Hacken haben, sondern machen einfach mal.":
Ziemlich verquere Logik, was kommt als nächstes? Wir legalisieren den Drogenhandel, weil sich die bisherigen Akteure auch von einem Verbot nicht abschrecken liessen?
+ Meine Prognose: Wenn da ein Legalisierungsgesetz kommt, wird man wenige Jahre später über ein "Scheissgesetz" (1) fluchen, weil man völlig verkannte, welche Büchse damit geöffnet wurde.
–
(1) https://www.faz.net/aktuell/wiesbaden-ein-richtiges-scheissgesetz-dobrindt-kritisiert-cannabis-legalisierung-110748748.html
"Nochmals: Die Vorstellung von selbsternannten Sicherheitsforschern, sie seien berufen, sich um die nationale Informationssicherheit zu kümmern, ist völlig irre und hat keinerlei Entsprechungen in anderen Branchen. Da mal drüber nachdenken."
Ähm, nein, eher falsche Zuordnung!
Es geht doch nicht vorrangig um "nationale" Sicherheitsinteressen, auch wenn sich das partiell durchaus auf die auch auswirken mag, sondern hier sehen ganz klar die Unternehmen nur ihre Gewinnerzielungsabsichten in Gefahr durch aufgedeckte Fehler und mglw. dadurch in Konsequenz drohende Nichtgewinner bzw. Verluste.
"Wir legalisieren den Drogenhandel, weil sich die bisherigen Akteure auch von einem Verbot nicht abschrecken liessen?"
Danke für das perfekte Beispiel – nichts anderes ist doch mit dem sog. "Cannabis-Gesetz" geschehen und zeigt jetzt empirisch durch statistische Erhebungen, dass es ebenso unwirksam ist.
Was also ist daran (logisch) "verquer"?
Ich seh das so gute Hacker gibt es nicht… Sicherheitsforscher sind Sicherheitforscher und keine "Hacker"… nur ein toter Hacker ist ein guter Hacker!
Und wer in meine Systeme eindringt oder das versucht ohne das ich ihn dazu beauftragt habe, gehört bestraft. Nationalität Alter Glaube geht mir dabei am Arsch vorbei. Bevor ich einem Hacker auch nur ein Cent zahle, lobe ich eher nen Kopfgeld aus.
Ist aber auch nur meine Sichtweise ;-P
Natürlich gibt es gute Hacker… eben die Leute, die ein Interesse daran haben (bezahlt oder nicht), Lücken zu stopfen anstatt sie auszunutzen, und nach einer geeigneten Frist, die der Software-Ersteller zum Schließen der Lücken nutzen kann, öffentlich zu machen.
Nur Offenheit führt zu Sicherheit. "Security by obscurity" funktioniert einfach nicht, weil die Bösen sich über solche Regeln nur kaputtlachen.
Die Whitehat-Hacker tun der gesamten Gesellschaft einen Dienst, indem sie Kriminellen das Leben schwerer machen.
Sie liefern Ihren Kunden doch ein gutes Produkt.
Was befürchten Sie, wenn es jemand testet?
Er kann ja nichts finden, oder?
Achso.
Das ist die Tempco Logik, Betreiber von Fukushima?
Die haben auch keine strahlungsfesten Roboter gekauft, weil das ja bedeutet hätte, dass sie die Möglichkeit erwogen hätten das das Kraftwerk durchschmelzen könnte.
Und das sie so dämlich waren. direkt an der Küste die Notstromaggregate an der tiefsten Stelle anzubauen, so dass diese als erstes abgesoffen waren wäre möglicherweise einem ethischen Hacker aufgefallen, war aber kein Problem, weil ja niemand von diesem Konstruktions Fehler wusste…
Tolle Banane.
andere Branchen kennen das nicht?
VW hat die Aufdecker des Diesel Abgas Betrugs bestimmt nicht beauftragt, sondern haben dreist weitergelogen. Eingelocht wurden die VW Manager, nicht die Hacker.
Ohne diese Hacker, die so dreist waren, mit einem transportabelen Messgerät die achso guten VW Motoren während der Fahrt zu testen, würde VW mit ihrem Betrug immer noch Milliarden scheffeln und mit ihren defekten Motoren das Leben tausender Menschen verkürzen.
Andre Branchen kennen das nicht?
So so.
Oder die Autodoktoren, die zufällig feststellten, das defekte Bremsklötze eines seriösen Herstellers im seriösen Handel waren, dies dem Hersteller meldeten und der nicht mit einer Straf Anzeige reagierte, sondern Abhilfe schaffte.
Wäre das ein IT Produkt gewesen, so hätte die besser nichts gesagt.
Denn sie wussten da nicht wie der Hersteller reagieren würde, hätten dann das Dilemma, zu wissen dass defekte Bremsklötze im Umlauf sind…
Es ist in anderen Branchen eher umgekehrt, Da ist der freundliche Hacker willkommen und niemand käme auf die Idee, dem ehrlichen Finder mit einer Strafanzeige mundtot zu machen.
Zumal da auch noch keine Lobby entsprechendes völlig kontraproduktives Gesetz durch gebracht hat.
+ Pfff! Zwei Schwalben machen noch keinen Sommer. Im Falle von VW geht die Entdeckung auf ein universitäres Forschungsprojekt (1) zurück, also ein Akteur von ganz anderem Rang als das Heer von Abenteurern und Spielern, die in Bewegung geraten, wenn die Legalisierung wahr werden sollte.
Die Autodoktoren sind in der Handwerksrolle ausgebildete Kfz-Meister somit ebenfalls andere Liga.
+ Betr. "Es ist in anderen Branchen eher umgekehrt,":
Nach zwei randständigen Beispielen aus der Kfz-Branche, meinst Du, eben noch schnell und aus der Luft gegriffen zum Rundumschlag ausholen zu können. Enlarvt!
Aber ganz davon abgesehen: Das Hacken zielt auf das Eigentum anderer, wohingegen im Beispiel Autodoktoren/Brembo die Bremsklötze Eigentum des einsendenden Kunden waren, insofern man auch von einer erweiterten Mängelrüge sprechen könnte.
–
(1) https://theicct.org/sites/default/files/publications/WVU_LDDV_in-use_ICCT_Report_Final_may2014.pdf