Jetzt Mitglied werden!
eRecht24.de

Was ist der Hacker-Paragraph?

Das Ausspähen von Daten und Nutzen von Sicherheitslücken: Ist Hacken strafbar?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(20 Bewertungen, 2.10 von 5)

Das Wichtigste in Kürze

  • Als Hacker-Paragraphen werden §§ 202a ff. sowie §§ 303a f. Strafgesetzbuch (StGB) bezeichnet.
  • Die Hacker-Paragraphen stehen seit Inkrafttreten im Jahre 2007 stark in der Kritik, da sie streng genommen auch die Arbeit der Sicherheitsforscher strafbar machen.
  • Seit 2024 gibt es bereits einen Entwurf für ein Strafrechtsänderungsgesetz des Justizministeriums, welcher vor allem das Ausspähen von Sicherheitslücken vom Tatbestand ausnehmen soll.
Ich möchte mich umfassend informieren Ich möchte mein Business absichern

Worum geht's?

Im Laufe der letzten Jahre hat sich die Cyberkriminalität immer weiter erhöht. Im Jahr 2024 konnte das Bundeskriminalamt über 130.000 Fälle von Cybercrime verzeichnen. Hinzu kommen über 200.000 Straftaten, die aus dem Ausland oder von einem unbekannten Ort ausgeübt worden sind. Der durch Bitkom e.V. festgestellte Schaden durch Cyberattacken betrug 2024 178,6 Mrd. Euro. Und hierbei handelt es sich nur um bekannte Fälle. Die Dunkelziffer wird weitaus höher liegen.

Der sogenannte Hacker-Paragraph definiert die Strafbarkeit von Computerkriminalität. Warum der Hacker-Paragraph seit seiner Einführung im Jahr 2007 unter Kritik steht und warum Sicherheitsforscher sich strafbar machen, wenn sie Sicherheitslücken aufdecken, lesen Sie in diesem Artikel.

 

1. Der Hacker-Paragraph: Rechtliche Grundlagen zur Strafbarkeit von Hackern

Die Hackerparagraphen umfassen vor allem § 202a, § 303a und § 202c Strafgesetzbuch. In § 202c StGB geht es um das Vorbereiten des Ausspähens und Abfangens von Daten. Ende Mai 2007 wurde der Hacker-Paragraph im Strafrecht vom Deutschen Bundestag mehrheitlich verabschiedet. Das einundvierzigste Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (41. StrÄndG) trat am 07. August 2007 in Kraft.

Unter Strafe stehen die Beschaffung von Zugangscodes für geschützte Daten sowie die Herstellung und der Gebrauch von sogenannten Hacker-Tools, um an die Daten zu gelangen. Der Gesetzestext von § 202c Abs. 1 StGB lautet wie folgt

“Wer eine Straftat nach § 202a oder §202b vorbereitet, indem er

  1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§202a Abs. 2) ermöglichen, oder
  2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit einer Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.”

Dabei verweist § 202c StGB insbesondere auf den Hackerparagraf § 202a StGB (Ausspähen von Daten):

“(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.”

und § 202b StGB (Abfangen von Daten). Auch die Datenveränderung gemäß § 303a StGB sowie die Computersabotage gemäß § 303b StGB werden als Hacker-Paragraphen bezeichnet.

WUSSTEN SIE’S SCHON?

Bereits seit der Verabschiedung des Hacker-Paragraphen steht er in der Kritik. Kritisiert wird die vage Definition der Hacker-Tools sowie des Begriffes “Daten”. Dadurch stellt die Sicherheitsforschung, die sich vor allem mit der Entdeckung von Schwachstellen im Rahmen der Cybersicherheit befasst, ebenfalls einen Tatbestand dar. Die Arbeit der Sicherheitsforscher würde dadurch stark behindert und eingeschränkt.

Um die IT-Sicherheit weiterhin gewährleisten zu können und Sicherheitsforscher durch den Hacker-Paragraphen nicht abzuschrecken, soll zukünftig das Aufspüren von Sicherheitslücken in IT-Systemen nicht mehr strafbar sein. Um das Computerstrafrecht zu modernisieren, hat das Justizministerium im November 2024 einen Gesetzesentwurf zur Änderung des Strafgesetzbuches veröffentlicht. Der Gesetzentwurf soll vor allem die Hacker-Paragraphen ändern.

2. Arten von Computerkriminalität: Wann ist Hacken strafbar?

Es gibt verschiedene Arten von Computerkriminalität. Wir haben die gängigsten für Sie zusammengefasst und erläutern, wann nach aktueller Rechtslage eine Strafbarkeit vorliegt und wann nicht.

Denial of Service Attack

Die sogenannte Denial-of-Service- oder DoS-Angriffe machen sich meist Schwächen im TCP/IP-Protokoll zunutze, um die Server mit einer Masse von Datenpaketen zu überfluten, die das System wegen des Speicherüberlaufs zum Absturz bringen. Von einem DoS-Angriff waren in der Vergangenheit bereits bekannte Server von Amazon, Yahoo oder eBay betroffen.

WAS SIND DDOS-ANGRIFFE?

Bei Distributed Denial-of-Service-Angriffen kommt nicht nur ein System beim Angriff zum Einsatz, sondern eine Vielzahl von unterschiedlichen Systemen. Die hohe Anzahl der angreifenden Rechner (meistens mehrere hundert bis tausend) ist dabei besonders wirksam.

Der Schutz vor DDoS-Angriffen ist schwierig, da der Zielrechner die Daten erst erhalten muss, um sie zu analysieren. Hier ist es dann meistens aber schon zu spät und der Rechner ist infiltriert und schlimmstenfalls außer Gefecht gesetzt.

Mittlerweile sind die Hacker-Tools, die für DoS-Angriffe genutzt werden, so ausgefeilt, dass der Angreifer nur schwer zu ermitteln ist. Der Weg der Anfragen wird verschleiert und die Attacken sind nur möglich durch Schwachstellen, Bugs in Programmen oder Betriebssystemen oder eine zu große Menge an Anfragen.

Die Strafbarkeit des Handelns ist auf Basis einer Einzelfallbewertung zu beurteilen. Eine Strafbarkeit wegen Sachbeschädigung scheidet aber in den meisten Fällen aus, da es an einer körperlichen Einwirkung auf die Sache (den Server) fehlt.

Sören Siebert
Sören SiebertRechtsanwalt

Für diese Fälle wurden eigentlich die §§ 303a, 303b StGB geschaffen. § 303a StGB setzt voraus, dass Daten gelöscht, unterdrückt, unbrauchbar gemacht oder verändert werden. Da die Daten auf dem Server nicht gelöscht, unbrauchbar gemacht oder verändert werden, bleibt allenfalls das Unterdrücken von Daten übrig. Dann muss sich der Vorsatz des Täters aber auch darauf beziehen, dass die auf dem Server gespeicherten Daten vom Berechtigten nicht mehr verwendet werden können.

  • 303b StGB, die Computersabotage, erfordert, dass der Täter einen Datenverarbeitungsvorgang von wesentlicher Bedeutung stört. Dies kann zum einen durch eine Tat nach § 303a StGB geschehen (was, wie gerade dargestellt, schwer zu begründen ist). Zum anderen kann dies auch durch Zerstören, Beschädigen, unbrauchbar Machen, Beseitigen oder Verändern von Datenträgern oder Datenverarbeitungsanlagen erfolgen.

INTERESSANT

Wurde weder an den Datenträgern noch an den Datenverarbeitungsanlagen etwas verändert, gestaltet sich die Rechtslage schwierig. Hier könnte der Tatbestand der Erpressung gemäß § 253 Abs. 1 StGB in Frage kommen, sofern sich der Hacker durch den DoS-Angriff am Geschädigten bereichert.

Warez

Warez ist illegal verbreitetes urheberrechtlich geschütztes Material, welches über Computernetzwerke verteilt wird. Kopierschutz und Passwortabfrage wurden dabei üblicherweise entfernt. Hierbei kann es sich um Software, Filme, eBooks und Musik handeln.

Anfang der 2000er wurde diese Form der Urheberrechtsverletzung vor allem als Filesharing bekannt. Hierbei kommt neben ganz beträchtlichen zivilrechtlichen Schadensersatzansprüchen eine strafrechtliche Verantwortlichkeit gemäß § 106 UrhG in Betracht.

Computerviren

Computerviren sind Schadprogramme, die über Anhänge in E-Mails, Downloads oder über präparierte Webseiten ins Internet gelangen und sich auf dem Computer einnisten. Dabei stehlen die Schadprogramme Daten, schädigen die Geräte oder beeinträchtigen die Funktion. Beim Einschleusen von Viren in fremde Systeme kommt eine Strafbarkeit nach §§ 303a, 303b StGB in Betracht.

ACHTUNG!

Probleme könnten bei der Zurechenbarkeit entstehen, wenn der Nutzer die Viren nicht direkt zugesandt bekommen hat, sondern die Viren selbst (etwa in Verbindung mit Programmen aus dem Internet) heruntergeladen hat. Aber auch wenn der Verletzte selbst eine Mitschuld trägt, bleibt der Schädiger in der Regel weiterhin verantwortlich.

Port-Scan-Angriffe

Über die Ports eines Webservers werden Verbindungen zwischen einzelnen Servern oder zwischen Server- und Client-Rechnern aufgebaut. Für jeden Dienst im Internet wird ein eigener Port geöffnet. Ein Port-Scan ermöglicht es, zu überprüfen, welche der Ports gerade geöffnet sind, um diese offenen Ports gegebenenfalls für einen Angriff auf den Rechner zu nutzen.

Sobald der Port-Scan zum Ausspähen von Daten genutzt wird, kommt eine Strafbarkeit nach § 202a StGB in Betracht. Auch die Nutzung eines Port-Scans, um Computersabotage nach § 303b StGB zu betreiben, kann strafbar sein. Es hängt beim Port-Scan stark von der Intention der Nutzung ab, ob eine Strafbarkeit gegeben ist oder nicht. Die reine Nutzung von Port-Scans ist nicht strafbar.

Fake-Shop-Betrug

Im Internet kursieren zahlreiche Fake-Online-Shops, die mit günstigen Angeboten von Markenware werben und teilweise sogar gefälschte Siegel nutzen, um das Vertrauen von Nutzern und potentiellen Kunden aufzubauen. Der Kunde schließt einen vermeintlichen Vertrag mit dem Online-Shop ab und gibt dazu seine personenbezogenen Daten inkl. Zahlungsinformationen ein.

So versuchen die Betrüger an die personenbezogenen Daten und an das Geld des Nutzers zu kommen. Hier kann sich der Täter entweder gemäß § 263a des Computerbetruges oder gemäß § 263 StGB wegen Betruges strafbar machen.

AUFGEPASST!

Wegen des Erfordernisses der Täuschung in § 263 StGB kommt dies nur in Betracht, wenn beim Vertragsschluss eine natürliche Person getäuscht wird und daraufhin eine Vermögensverfügung vornimmt. Wird ein Datenverarbeitungsvorgang manipuliert und keine Person getäuscht, greift der Tatbestand des § 263a StGB, der Computerbetrug.

Phreaking

Unter dem Begriff Phreaking ist das Knacken von Kreditkartennummern oder Telefonsystemen zu verstehen. Dadurch ist es möglich, auf Kosten anderer zu telefonieren oder Waren zu bestellen, die über die geknackte Kreditkartennummer abgerechnet werden.

Wird die Bestellung durch eine EDV-Anlage aufgenommen, kommt eine Strafbarkeit gemäß § 263a StGB wegen Computerbetruges in Betracht, werden Mitarbeiter des Unternehmens in den Bestellvorgang eingebunden, kann eine Betrugsstrafbarkeit gemäß § 263 StGB vorliegen.

Zum Artikel

LESE-TIPP

Weiterführende Informationen zu anderen Betrugsmaschen im Internet lesen Sie in unserem Artikel “Identitätsdiebstahl, Phishing, Scam & Co. im Internet: Betrug erkennen und vermeiden”.

Zum Artikel

3. Welche strafrechtlichen Konsequenzen hat das Hacken?

Je nach Straftatbestand kommen unterschiedliche rechtliche Konsequenzen auf die Hacker zu. Hier noch einmal alle Strafen der jeweiligen Hacker-Paragraphen in der praktischen Übersicht:

  • § 202a StGB Ausspähen von Daten: Geldstrafe oder Freiheitsstrafe bis zu drei Jahre
  • § 202b StGB Abfangen von Daten: Geldstrafe oder Freiheitsstrafe bis zu zwei Jahren
  • § 202c StGB Vorbereiten des Ausspähens und Abfangen von Daten: Geldstrafe oder Freiheitsstrafe bis zu zwei Jahren
  • § 202d StGB Datenhehlerei: Geldstrafe oder Freiheitsstrafe bis zu drei Jahren
  • § 253 StGB Erpressung: Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren
  • § 263 StGB Betrug: Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren
  • § 263a StGB Computerbetrug: Geldstrafe oder Freiheitsstrafe bis zu drei Jahren
  • § 303a StGB Datenveränderung: Geldstrafe oder Freiheitsstrafe bis zu zwei Jahren
  • § 303b StGB Computersabotage: Geldstrafe oder Freiheitsstrafe bis zu drei Jahren

Hacker müssen in der Regel mit einer Geldstrafe rechnen. Im Wiederholungsfall oder bei besonders schweren Straftaten kann je nach Straftatbestand auch eine Freiheitsstrafe von bis zu fünf Jahren drohen.

4. Was wird zur Bekämpfung von Computerkriminalität getan?

Hacker agieren dynamisch und entwickeln sich stetig weiter. Die technischen Methoden werden ausgefuchster, es gibt immer wieder neue Betrugsmaschen, auf die sich Nutzer und Unternehmen vorbereiten müssen. Und vor allem in Zeiten der künstlichen Intelligenz sind der Cyberkriminalität kaum Grenzen gesetzt.

Das Bundeskriminalamt versucht es daher mit einer aktiven Cyberabwehr, die mit Hackern Schritt halten soll. Hier kommt vor allem das Strafrechtsänderungsgesetz des Justizministeriums sowie die Forderung aus dem Koalitionsvertrag zum Ausbau von Fähigkeiten zur aktiven Cyberabwehr ins Spiel.

Besonders das Aufdecken von Sicherheitslücken durch IT-Sicherheitsforscher darf dann nicht mehr unter das Computerstrafrecht fallen. Dies wurde im Gesetzesentwurf berücksichtigt. Dafür müssen Sicherheitsforscher drei Voraussetzungen erfüllen, um sich nicht mehr strafbar zu machen:

  1. Sie müssen in der Absicht handeln, eine Sicherheitslücke festzustellen und diese
  2. an den Betreiber, Hersteller oder das BSI melden.
  3. Außerdem muss das technische Vorgehen erforderlich sein, um eine Sicherheitslücke festzustellen.

Mit dem neuen Gesetzentwurf kann es gelingen, die Cyberkriminalität weiter einzudämmen. Aber auch hier werden bereits kritische Stimmen laut, denen der Gesetzentwurf nicht weit genug geht. Es bleibt abzuwarten, ob und inwiefern es zur Änderung des Strafrechts kommen wird.

5. Wie schütze ich mein Unternehmen vor Hackern und Datenklau?

Der beste Schutz vor Cyberkriminalität und Hackerangriffen im Unternehmen ist die Sensibilisierung Ihrer Mitarbeiter. Achten Sie darauf, regelmäßige Schulungen zur IT-Sicherheit im Unternehmen durchzuführen. Besonders im Rahmen der Internetkriminalität werden ständig neue Betrugsmaschen bekannt, auf die Sie Ihre Mitarbeiter hinweisen sollten, um Risiken und Gefahren zu vermeiden.

PRAXIS-TIPP

Achten Sie darauf, dass Ihre Mitarbeiter die neueste Software benutzen und regelmäßige Software-Updates durchführen. Das Antivirenprogramm sowie die Firewall sollten stets aktuell gehalten werden. Hat Ihr Unternehmen eine IT-Abteilung, kümmert sich das Team um ausreichende Sicherheitsstandards sowie um IT-Schulungen. Haben Sie kein internes IT-Team, sollten Sie sich externe Hilfe organisieren.

6. Fazit

Beim Hacker-Paragraphen handelt es sich vor allem um die §§ 202a, 202b, 202c StGB und im weitesten Sinne um alle anderen Paragraphen aus dem Strafgesetzbuch, die in einem Zusammenhang mit Cyberkriminalität und Hackerangriffen stehen. Seit 2007 sind die §§ 202a ff. StGB in Kraft und sind bereits seitdem umstritten.

Seit 2024 gibt es vom Justizministerium bereits einen Gesetzentwurf, um den Hacker-Paragraph anzupassen und vor allem die Arbeit von Sicherheitsforschern, die nach Sicherheitslücken fahnden, zu legalisieren. Auch im Koalitionsvertrag steht, dass die aktive Cyberabwehr gestärkt und verbessert werden soll. Wann dies passiert, bleibt bis dahin abzuwarten.

Grundsätzlich ist Cyberkriminalität, wozu unter anderem das Abfangen und Ausspähen von Daten sowie der Computerbetrug und die Computersabotage zählen, illegal und kann strafrechtlich verfolgt werden. Hackern drohen Geldstrafen oder Freiheitsstrafen von bis zu fünf Jahren.

Als Unternehmen sollten Sie Ihre Mitarbeiter in Hinblick auf die Gefahren von Cyberkriminalität sensibilisieren. Regelmäßige Mitarbeiterschulungen bieten sich dafür an. Achten Sie ansonsten auf ausreichende IT-Sicherheit auf allen Systemen und Geräten.

Mit eRecht24 Premium können Sie Ihr Unternehmen zudem rechtlich absichern.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

7. FAQ

1. Wann ist Hacken strafbar?

Hacken ist strafbar, wenn unbefugt in fremde IT-Systeme eingedrungen wird, Daten ausspioniert, manipuliert oder zerstört werden. Rechtsgrundlage sind insbesondere §§ 202a ff. StGB und §§ 303a f. StGB. Strafbar ist also nicht nur der Angriff, sondern auch der Besitz spezieller Hacker-Tools.

2. Was bedeutet Paragraph 246 StGB?

246 StGB (Unterschlagung) kann im Kontext von Hacking greifen, wenn jemand durch unbefugten Zugriff erlangte Daten oder digitale Inhalte wie sein Eigentum behandelt und sich diese rechtswidrig aneignet. Auch wenn keine physische Wegnahme erfolgt, kann die Aneignung fremder Daten als strafbare Unterschlagung gewertet werden.

3. Was ist Paragraph 136?

Wenn jemand wegen Hacking verdächtigt wird, greift § 136 StPO bei der ersten Vernehmung durch Polizei oder Staatsanwaltschaft. Der Beschuldigte muss darüber belehrt werden, dass er schweigen darf, keine Angaben zur Sache machen muss und das Recht auf einen Anwalt hat. Das schützt Verdächtige vor Selbstbelastung.

4. Was sagt der Paragraph 242 aus?

242 StGB (Diebstahl) kann beim Hacking relevant werden, wenn ein Täter nicht nur unbefugt in Systeme eindringt, sondern dabei auch fremde Daten oder digitale Inhalte stiehlt. Zwar sind Daten keine klassischen „beweglichen Sachen“, doch wenn durch den Angriff Zugangsgeräte, Datenträger oder digitale Güter entwendet werden, kann dies als Diebstahl gewertet werden. In der Praxis wird der Datenzugriff aber meist über speziellere Vorschriften wie § 202a StGB (Ausspähen von Daten) oder § 303a StGB (Datenveränderung) verfolgt.

 

Caroline Schmidt
Caroline Schmidt, B.A.
SEO-/SEA-Managerin (IHK) & Online-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über fünf Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details