Kommt jetzt endlich Bewegung in das Thema Computerstrafrecht und vor allem in den Paragraphen § 202a ff. (sogenannter Hackerparagraph) des Strafgesetzbuches (StGB)? Das BSI verlangt eine schnelle Novellierung des Computerstrafrechts. Und seit Oktober 2025 gibt es wohl einen Referentenentwurf, der diskutiert wird.
Das Computerstrafrecht, und vor allem die Abschnitte a, b und c des Paragraphen 202 des Strafgesetzbuchs, die sich mit der Vorbereitung zum Ausspähen von Daten befassen, steht seit vielen Jahren in der Kritik. Es gibt nicht nur Kritik von Seiten der Hacker-Community, sondern auch aus der Wissenschaft, der Wirtschaft und sogar von Strafrechtsexperten.
Kriminalisierung von White-Hat-Hackern
Ein zentraler Kritikpunkt ist die Kriminalisierung von Hacking mit guter Absicht, sogenannten ethischen Hackern. Aktuell ist auch diese Form des Hacking strafbar. Dabei gerät man schneller in die Mühlen der Justiz als gedacht.
Der Modern Solutions-Fa(i)ll
Ich hatte ja hier im Blog ausgiebig den Fall Modern Solutions begleitet, der für einen Entwickler ziemlich schief ging. Bei seinem Auftrag für einen Kunden stieß dieser Entwickler in der Software von Modern Solutions auf eine veritable Sicherheitslücke (siehe Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar) und machte dies, nachdem er beim Anbieter nicht wirklich bezüglich einer Beseitigung weiter kam, öffentlich.
Daraus wurde ihm, sowie einem Blogger, der das Ganze veröffentlichte, juristisch ein Strick gedreht. Denn Modern Solutions stellte Strafanzeige und die Staatsanwaltschaft Köln setzte alle juristischen Hebel in Bewegung, um zu einer rechtsgültigen Verurteilung des Entwicklers zu kommen. Der Blogger, der den Sachverhalt in einem Beitrag dokumentierte, hatte ein Verfahren wegen "Datenhehlerei" am Hals – wie dieses aus ging, weiß ich nicht. Der rechtsgültig in letzter Instanz verurteilte Enwickler ging mit seinem Anliegen zwar bis zum Bundesverfassungsgericht, scheiterte dort aber.
Unter dem Strich bleiben dem Mann 3.000 Euro Geldbuße, eine Vorstrafe, sowie die aufgelaufenen Anwalts- und Gerichtskosten, nur, weil er eine gefundene Sicherheitslücke öffentlich machte. Die Urteilsbegründung der Juristen mutet dabei auch seltsam weltfremd an – wenn man auf eine Sicherheitslücke stößt, darf man quasi nicht einmal nachschauen, ob man an die Daten herankommt und das Ganze mit einem Screenshot dokumentieren, weil man dann ja Daten ausgespäht hat – selbst, wenn diese Daten nur durch ein fest in einer Konfigurations- oder Programmdatei gespeichertes und so einfach auslesbares Kennwort gesichert sind.
Absurdistan in Reinkultur, aber so ist es juristisch in Deutschland durch StGB 202 a – c festgelegt. Und dies ist dem Entwickler im Modern Solutions-Fall auf die Füße gefallen. Staatsanwaltschaft und einige Juristen mögen sich möglicherweise gefeiert haben, weil ein Verfahren gewonnen wurde. Aber der IT-Sicherheitskultur in Deutschland hat man einen Bärendienst erwiesen – Security by Obscurity feiert fröhliche Urstände, und die Gefahr, dass dies öffentlich wird, wurde juristisch gebannt.
Kritik von Fachleuten und Interesse an ethischem Hacking
Fachleute kritisierten bereits seit langem die nur noch als "verunglückt" zu bezeichnende Gesetzeslage. Eigentlich war von der letzten Bundesregierung eine Novellierung des Computerstrafrechts unter Justizminister Marco Buschmann geplant. Wegen des Bruchs der Koalition blieb dieser Referentenentwurf, der nach meinen Kenntnissen aber an vielen grundsätzlichen Problemen nichts geändert hat, in den Schubladen des Justizministeriums stecken.
Initiativen wie Bug Bounty Programme und Disclosure Policies, gelebte Praxis in anderen Ländern, zeigen, dass die Industrie durchaus ein Interesse daran hat, von ethischen Hackern zu profitieren, die Schwachstellen verantwortungsbewusst aufdecken und melden.
Seit Ende Oktober 2025 ist nun ein Gesetzesentwurf im Umlauf, welcher die Modernisierung des Computerstrafrechts vorsieht, entnehme ich dem Artikel Was lange währt, wird endlich gut? Die Modernisierung des Computerstrafrechts von Prof. Dennis Kipker und Florian Handke beim Chaos Computer Club (CCC).
Auf der verlinkten Webseite ist ein Vortrag zum Sachstand der Novellierung des Computerstrafrechts als MP4-Datei herunterladbar. Dieser Vortrag gibt einen Einblick in die Entwicklung dieses Gesetzesentwurfs, den aktuellen Stand der Debatte und die nächsten Schritte, heißt es in der Beschreibung.
Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller
Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen
IT-Experte, der Modern Solutions Schwachstelle öffentlich gemacht hat, muss nun doch vor Gericht
Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor
Hauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024
Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)
Landgericht Aachen bestätigt Urteil gegen Entdecker einer Modern Solution-Schwachstelle
Sachstand im "Modern Solution"-Verfahren
Modern Solution-Urteil: Verurteilter IT-Spezialist reicht Verfassungsbeschwerde ein
'Modern Solutions'-Urteil: Verfassungsbeschwerde abgelehnt
