Ein unbedachter Klick, ein aus dem Internet heruntergeladenes Skript, das Ausnutzen einer augenscheinlichen Sicherheitslücke – und plötzlich stehen die Ermittlungsbehörden mit einem Durchsuchungsbeschluss vor der Tür. Wenn der Vorwurf der Computerkriminalität und des Hackings im Raum steht, befinden Sie sich als Beschuldigter in einer juristisch und existenziell äußerst prekären Situation. Sie suchen nun verständlicherweise nach belastbaren Antworten und einer klaren strategischen Orientierung für Ihren konkreten Fall.
Der Vorwurf des „Hackens“ ist keinesfalls ein Kavaliersdelikt oder eine bloße Bagatelle, die sich mit einem einfachen Bußgeld aus der Welt schaffen ließe. Hacken beschreibt das elektronische Eindringen in fremde Computersysteme auf Wegen, die ohne oder sogar explizit gegen den Willen des Berechtigten beschritten werden. Hierbei agieren Ermittlungsbehörden mit erheblichem Nachdruck, da die Strafverfolgung durch die weltweite Vernetzung, die Nutzung von Botnetzen und weitreichende Anonymisierungsmöglichkeiten vor komplexen Herausforderungen steht. Bewahren Sie in dieser Ausnahmesituation zwingend Ruhe und machen Sie gegenüber den Beamten keine unüberlegten Angaben. Im Folgenden ordnen wir Ihre Situation rechtlich ein und zeigen Ihnen auf, was im Strafverfahren auf Sie zukommen kann und worauf es bei Ihrer Verteidigung nun entscheidend ankommt.
Die rechtliche Einordnung: Wann wird das Nutzen von Sicherheitslücken zum Straftatbestand?
Die rechtliche Bewertung von Hacking-Vorwürfen kreist in der juristischen Praxis zentral um den Straftatbestand des Ausspähens von Daten gemäß § 202a des Strafgesetzbuches (StGB). Es geht bei dieser Norm nicht primär um den Schutz von Urheberrechten oder konkreten Vermögenswerten, sondern einzig um das sogenannte formelle Geheimhaltungsinteresse desjenigen, der die legitime Verfügungsgewalt über die jeweiligen Daten besitzt. Doch wie wird dieser hochkomplexe juristische Rahmen auf Ihren konkreten Fall projiziert?
Was sind Daten im Sinne des § 202a Abs. 1 StGB?
Nicht alles, was Sie am heimischen Bildschirm sehen oder im Internet abrufen, sind Daten im strengen strafrechtlichen Sinne des Ausspähens. Das Gesetz versteht hierunter ausschließlich Informationen, die für eine Datenverarbeitungsanlage codiert sind und elektronisch, magnetisch oder in sonstiger Weise nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Das bedeutet, dass die Daten erst durch eine Transformation mittels technischer Hilfsmittel für den Menschen sinnlich erfassbar gemacht werden müssen. Darunter fallen nicht nur klassisch gespeicherte Dateien auf Festplatten, CDs oder USB-Sticks, sondern beispielsweise auch solche Daten, die gerade zwischen zwei Systemen übermittelt werden oder sogenannte Systemdateien.
Entscheidend für eine Strafbarkeit ist zudem ein weiteres Kriterium: Die Daten dürfen ausdrücklich nicht für Sie bestimmt sein. Der rechtmäßige Inhaber muss zum Zeitpunkt der Tat den Willen haben, dass Ihnen diese speziellen Informationen nicht zur Verfügung stehen. Allein die allgemeine Zugänglichkeit von Daten reicht hierfür nicht aus, um eine Strafbarkeit zu begründen.
Wie müssen die Daten gesichert sein, oder: Ist auch der Zugriff auf „ungesicherte“ Daten strafbar?
Eine zentrale und oft erfolgversprechende Verteidigungslinie in Hacking-Verfahren ist die akribische Begutachtung der vom Systembetreiber eingesetzten Zugangssicherung. Das Gesetz verlangt für eine Strafbarkeit nach § 202a StGB zwingend, dass die betreffenden Daten gegen unberechtigten Zugang besonders gesichert sein müssen. Dies ist eine bewusste Eingrenzung des Gesetzgebers, um absolute Bagatellfälle aus dem Strafrecht auszuklammern. Der Zugriff auf gänzlich ungesicherte Daten erfüllt den Tatbestand des Ausspähens von Daten somit nicht.
Eine solche besondere Zugangssicherung liegt erst dann vor, wenn Vorkehrungen getroffen wurden, die den Zugriff auf die Daten faktisch ausschließen oder zumindest nicht unerheblich erschweren. Dies kann durch systemimmanente technische Vorkehrungen wie Verschlüsselungen, Passwörter, Firewalls oder biometrische Erkennungsverfahren geschehen. Loggen Sie sich jedoch lediglich in ein offenes, unverschlüsseltes WLAN-Netzwerk ein, um im Internet zu surfen (das sogenannte Schwarz-Surfen), fällt dies mangels Überwindung einer besonderen Zugangssicherung nicht unter das Ausspähen von Daten. Auch eine Sicherung, die nur einen bloßen Nebeneffekt darstellt oder lediglich die unbefugte Nutzung der Hardware an sich verhindern soll – wie etwa der Magnetstreifen beim Skimming von Zahlungskarten –, genügt den strengen gesetzlichen Anforderungen in der Regel nicht.
Muss man zwingend eine Verschlüsselung knacken, um sich strafbar zu machen?
Der Gesetzgeber knüpft die Strafbarkeit explizit an das unbefugte Verschaffen des Zugangs zu den Daten unter Überwindung der Zugangssicherung. Sie müssen die Sicherung bei Ihrem Vorgehen also objektiv außer Kraft setzen oder umgehen. Dies dokumentiert aus Sicht der Justiz die strafwürdige kriminelle Energie. Das bloße Ausnutzen von fremden Daten, bei denen die Durchbrechung des Schutzes ohne jeden nennenswerten Aufwand möglich ist – etwa weil Freigabedaten bereits vom Inhaber fahrlässig in die Systemkonfiguration eingestellt wurden –, reicht hierfür in der Regel nicht aus. Erforderlich ist vielmehr, dass die Überwindung einen gewissen technischen oder zeitlichen Aufwand erfordert oder Sie als Täter zu einer Zugangsart gezwungen werden, die der Verfügungsberechtigte erkennbar verhindern wollte.
Werden jedoch klassische Hacking-Methoden wie der Einsatz von Keyloggern (Programmen, die Tastatureingaben heimlich aufzeichnen), Trojanern, Backdoorprogrammen oder das zielgerichtete Abtasten von Systemen durch Portscanning genutzt, ist das Merkmal der Überwindung regelmäßig erfüllt. Ein rein durch Täuschung erlangtes Passwort, etwa beim klassischen Phishing per E-Mail, fällt hingegen oft aus dem Anwendungsbereich des § 202a StGB heraus. Der Grund hierfür ist dogmatischer Natur: Das Passwort wird vom Opfer selbst herausgegeben und nicht unter Überwindung einer technischen Sicherung erlangt. Allerdings können hierbei stattdessen rasch Betrugsdelikte im Raum stehen.
Welche strafrechtlichen Konsequenzen hat das Hacken?
Sollte sich der Vorwurf des Ausspähens von Daten in einem Ermittlungs- oder späteren Gerichtsverfahren erhärten, sieht das Gesetz einen Strafrahmen von einer Geldstrafe oder einer Freiheitsstrafe von bis zu drei Jahren vor. Die exakte Strafhöhe hängt im Strafrecht immer von den individuellen Umständen und den Folgen Ihres Einzelfalls ab. Bei Ersttätern oder weniger folgenschweren Fällen werden häufig Geldstrafen verhängt, wobei die Anzahl der Tagessätze stark variieren kann.
Da das Thema Hacking in der Praxis oft ein weites Feld an Handlungsweisen umfasst, können je nach Ihrer genauen Vorgehensweise sehr schnell auch noch weitere, teils empfindliche Straftatbestände verwirklicht sein. Haben Sie beispielsweise in laufende, nichtöffentliche Datenübermittlungen eingegriffen und diese unter Anwendung technischer Mittel abgefangen (beispielsweise durch das Mitlesen von fremden E-Mails oder Voice-over-IP-Telefonaten), droht nach § 202b StGB eine Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe. Wenn im Zuge des Eindringens Daten unbrauchbar gemacht, unterdrückt, verändert oder gar gelöscht wurden, ermitteln die Behörden parallel wegen Datenveränderung gemäß § 303a StGB. Auch Vorwürfe wie Computerbetrug, Nötigung oder Erpressung – klassischerweise beim Einsatz von Ransomware, die fremde Bildschirme sperrt und Lösegeld fordert – sind im Hacking-Kontext an der Tagesordnung.
Darüber hinaus müssen Sie mit erheblichen strafprozessualen und wirtschaftlichen Nebenfolgen rechnen. Die Ermittlungsbehörden sind berechtigt, Ihre zur Tat benutzte Hardware sicherzustellen und das Gericht kann im Urteil deren dauerhafte Einziehung anordnen. Das bedeutet, dass Ihre teuren Gerätschaften, Server, Festplatten oder Computer dauerhaft in das Eigentum des Staates übergehen und für Sie unwiederbringlich verloren sind.
Häufige Fragen (FAQ-Sektion)
Ist Hacking in einen anderen Computer in jedem Fall strafbar?
Nein, nicht jedes Eindringen in ein fremdes Computersystem zieht zwingend eine strafrechtliche Verfolgung nach sich. Die Strafbarkeit des Ausspähens von Daten erfordert immer, dass Sie im juristischen Sinne „unbefugt“ handeln. Diese Unbefugtheit entfällt, wenn Sie berechtigt agieren, also beispielsweise die ausdrückliche Einwilligung des Systeminhabers haben. Dies ist der klassische Fall des sogenannten „White-Hat-Hackings“, bei dem IT-Sicherheitsexperten im Auftrag eines Unternehmens gezielt nach Schwachstellen im IT-Schutzkonzept suchen, um diese Lücken aufzuzeigen. Liegt ein solcher nachweisbarer Auftrag vor, handeln Sie mit Billigung des Berechtigten und machen sich nicht strafbar. Wurden Sie jedoch nicht beauftragt und dringen auf eigene Faust ein, bewegen Sie sich im strafbaren Bereich.
Ist das Vorbereiten von Hacking oder der bloße Umgang mit Hacker-Tools strafbar?
Ja, der Gesetzgeber hat die Strafbarkeit im Bereich der Computerkriminalität massiv vorverlagert. Durch den § 202c StGB (Vorbereiten des Ausspähens und Abfangens von Daten) ist es strafbar, Passwörter oder Computerprogramme herzustellen, sich zu verschaffen, zu verkaufen oder zu verbreiten, deren objektiver Zweck die Begehung einer Hacking-Straftat ist. Sogenannte reine „Hacker-Tools“, die primär für illegale Zwecke konstruiert wurden, fallen hierunter. Wichtig für Ihre Verteidigung ist hierbei jedoch eine essenzielle Einschränkung durch das Bundesverfassungsgericht: Programme, die sowohl legalen Administrationszwecken als auch illegalen Zwecken dienen können (sogenannte Dual-Use-Tools), fallen nicht unter diese Strafvorschrift. Sie sind nur dann erfasst, wenn sie mit der gezielten und objektiv manifestierten Absicht entwickelt oder vertrieben wurden, Straftaten zu begehen.
Was tun bei einer Hausdurchsuchung und Beschlagnahme des Computers wegen Ausspähen von Daten?
Wenn Kriminalbeamte mit einem richterlichen Durchsuchungsbeschluss in den frühen Morgenstunden vor Ihrer Tür stehen, ist die psychologische Ausnahmesituation für jeden Betroffenen enorm. In diesem Moment gilt die wichtigste Verteidigungsregel überhaupt: Schweigen Sie konsequent zu den erhobenen Vorwürfen. Sie sind als Beschuldigter in keiner Weise verpflichtet, an Ihrer eigenen Überführung mitzuwirken. Die Beamten dürfen Ihre elektronischen Geräte beschlagnahmen, um sie später durch IT-Spezialisten auf auswertbares Datenmaterial untersuchen zu lassen. Leisten Sie niemals physischen Widerstand gegen die Mitnahme Ihrer Geräte, da dies zu weiteren Strafverfahren wegen Widerstands gegen Vollstreckungsbeamte führen würde. Sie müssen jedoch keine Passwörter, PIN-Codes oder Verschlüsselungskeys freiwillig aushändigen. Kontaktieren Sie umgehend einen im Strafrecht und in der IT-Kriminalität versierten Verteidiger. Wir fordern für Sie die Ermittlungsakte an, prüfen akribisch die Rechtmäßigkeit der Maßnahmen und erarbeiten eine robuste Strategie, um Ihre Rechte kompromisslos zu schützen.
