Diese Seite ist Orientierung - keine Rechtsberatung
Wichtiger Hinweis
Die folgenden Ausfuehrungen sind redaktionell aufbereitete Orientierungshilfen für Einsteiger - keine Rechtsberatung und kein Ersatz für juristische Einschaetzung im konkreten Einzelfall. Im Zweifel gilt: nicht handeln, schriftliche Erlaubnis einholen oder einen Rechtsanwalt hinzuziehen. Gesetze und Auslegungen können sich ändern.
Drei Ebenen unterscheiden: Lernen, Testen, unbefugtes Eindringen
Eine der wichtigsten gedanklichen Trennlinien im Bereich Cybersecurity ist die zwischen drei grundlegend verschiedenen Aktivitäten, die aeusserlich ähnlich aussehen können, rechtlich aber fundamental verschieden sind.
Ebene 1: Lernen. Buecher lesen, Kurse belegen, CTFs bearbeiten, eigene VMs aufsetzen, Schwachstellen-Konzepte verstehen - das alles ist unangetastet legal. Du kannst alles über SQL Injection, Buffer Overflows oder Man-in-the-Middle-Angriffe lernen, ohne je eine Grauzone zu betreten, solange du in deiner eigenen Umgebung bleibst.
Ebene 2: Autorisiertes Testen. Wenn du mit schriftlicher Erlaubnis eines Systembetreibers oder im Rahmen eines Bug-Bounty-Scopes testest, bewegst du dich im Bereich des Ethical Hacking. Die Erlaubnis ist der entscheidende Faktor - sie muss eindeutig, schriftlich und von einer befugten Person erteilt worden sein.
Ebene 3: Unbefugtes Eindringen. Jeglicher Zugriff auf fremde Systeme ohne Erlaubnis - egal wie minimal, egal mit welcher Absicht - faellt unter Straftatbestaende des StGB. Dass du "nur gucken" wolltest oder das System "sowieso offen" war, ist keine Rechtfertigung.
Welche Räume rechtlich sicher sind
Du brauchst keine Grauzone. Die folgenden Umgebungen sind eindeutig legal und bieten dieselben technischen Lerninhalte wie echte Pentest-Aufträge.
| Situation | Erlaubt? | Begründung |
|---|---|---|
| Eigene VM, eigenes Netz | Ja | Du bist Eigentueumer / Betreiber |
| TryHackMe, HackTheBox (Plattform-Maschinen) | Ja | Plattform erteilt explizit Erlaubnis |
| DVWA, Juice Shop, Metasploitable im Heim-Lab | Ja | Absichtlich verwundbar, eigene Umgebung |
| Bug-Bounty strikt im Scope | Ja | Schriftliche Erlaubnis durch Programmbedingungen |
| Pentest mit schriftlichem Auftrag | Ja | Vertrag definiert Scope und Erlaubnis |
| Portscan gegen fremde IP ohne Erlaubnis | Nein | Paragraph 202c (Vorbereitung) |
| Login-Versuche gegen fremde Dienste | Nein | Paragraph 202a (Versuch genügt) |
| Bug-Bounty außerhalb des Scopes | Nein | Keine Erlaubnis für Out-of-Scope-Systeme |
| Mündliche Erlaubnis vom Chef | Unsicher | Schriftform empfohlen, Beweislage unklar |
| Schwachstelle zufallig entdeckt, weiter ausgenutzt | Nein | Kein Auftrag, kein Scope, kein Erlaubnis |
Was Paragraphen 202a-c und 303a/b StGB konkret regeln
Die relevanten Straftatbestaende sind nicht schwer zu verstehen, wenn man sie ohne Juristendeutsch erklärt. Wichtig: Dies ist keine Rechtsberatung, sondern eine vereinfachte Darstellung für Lernzwecke.
| Paragraph | Was er verbietet | Praxisbeispiel |
|---|---|---|
| SS 202a | Ausspaehen von Daten durch Überwindung einer Sicherung | Fremdes Passwort umgehen, Session-Token stehlen |
| SS 202b | Unbefugtes Abfangen nicht-öffentlicher Datenuebermittlungen | Fremdes WLAN mitlesen, ARP-Spoofing in fremden Netzen |
| SS 202c | Vorbereitung von 202a/b (Tools, Schadsoftware, Planung) | Portscan ohne Erlaubnis, Exploit gegen Fremdsystem bereitstellen |
| SS 303a | Unbefugtes Verändern, Löschen oder Unterdruecken von Daten | Dateien auf fremdem Server verändern |
| SS 303b | Störung einer wesentlichen Datenverarbeitung (Sabotage) | DoS-Angriff auf Infrastruktur Dritter |
Besonders wichtig: Bei Paragraph 202a genügt bereits der Versuch. Du musst nicht erfolgreich eingedrungen sein. Es reicht, dass du versucht hast, eine Zugangssicherung zu ueberwinden. Das macht "einfach mal probieren" zu einem echten rechtlichen Risiko.
Warum 'nur mal schauen' problematisch ist
Ein weit verbreitetes Missverständnis lautet: "Ich habe nichts gestohlen, nichts beschaedigt - also kann mir nichts passieren." Das Strafrecht sieht das anders. Relevant sind hier drei Konzepte:
Versuchsdelikt: Schon der Versuch, unbefugt auf ein gesichertes System zuzugreifen, ist strafbar - unabhaengig davon, ob der Zugriff gelingt. Ein fehlgeschlagener Brute-Force-Versuch gegen einen fremden Login ist kein straffreier Irrtum.
Vorbereitungshandlung (SS 202c): Das Einrichten von Tools oder das Durchführen eines Portscans mit der Absicht, ein fremdes System anzugreifen, gilt als Vorbereitung - auch wenn der eigentliche Angriff nie stattfindet. Absicht und Ziel können relevant sein.
Dokumentationspflicht bei Pentests: Im professionellen Kontext muss jede Handlung nachvollziehbar protokolliert werden. Das schützt den Tester im Nachhinein - aber nur wenn der Scope vorher schriftlich definiert war. Ohne Dokumentation gibt es keine Entlastung.
Responsible Disclosure als Schutz für dich selbst
Wenn du beim normalen Surfen, als Nutzer einer App oder als Kunde zufallig eine Schwachstelle bemerkst, entscheiden deine nächsten Schritte über dein rechtliches Risiko. Der richtige Weg ist Responsible Disclosure - ein strukturierter Prozess zur vertraulichen Meldung.
- Halte inne: Erprobe die Schwachstelle nicht weiter, auch nicht 'nur einmal'
- Notiere reproduzierbare Schritte ohne weiter einzudringen
- Suche den Sicherheitskontakt: security.txt, Impressum, Bug-Bounty-Seite
- Melde sachlich, präzise und verschlüsselt - ohne Drohungen oder Forderungen
- Gib dem Betreiber angemessene Zeit (üblicherweise 90 Tage) zur Behebung
- Koordiniere eine eventuelle Veröffentlichung erst nach der Behebung
Responsible Disclosure schützt dich rechtlich und baut Reputation auf. Wer Schwachstellen sauber meldet, wird in der Security-Community ernst genommen. Wer Druck macht oder veröffentlicht, bevor der Betreiber reagieren konnte, riskiert Strafanzeige - selbst wenn die Schwachstelle real war.
Dokumentation und Beweissicherung im Lernkontext
Auch beim Lernen in eigenen Labs lohnt sich Dokumentation - nicht nur für den Lerneffekt, sondern als Absicherung. Wenn du zeigen kannst, dass eine Übung in einer isolierten VM-Umgebung stattfand, hast du bei einer hypothetischen Rückfrage eine klare Erklärung. Das ist kein paranoider Gedanke, sondern professionelle Gewohnheit.
- Halte Lab-Aufbauten fest: Netzwerkdiagramm, VM-Konfiguration, eingesetzte Tools
- Schreibe Write-Ups zu jeder Übung: Vorgehen, Befunde, Lerneffekt
- Dokumentiere, welche Plattform oder Erlaubnis die Übung begründet
- Speichere keine Daten aus fremden Systemen - auch nicht in Testumgebungen
- Halte Datum und Uhrzeit fest, wenn du außerhalb eigener Systeme uebst
Diese Gewohnheiten sind außerdem direkte Vorbereitung auf den Berufsalltag. Ein Junior-Pentester, der von Anfang an sauber dokumentiert, faellt positiv auf.
Lernziele - was du nach dieser Seite wissen solltest
Nach dieser Seite solltest du verstehen
- ✓Den Unterschied zwischen Lernen, autorisiertem Testen und unbefugtem Eindringen
- ✓Was Paragraphen 202a, 202b, 202c, 303a und 303b StGB in einfacher Sprache bedeuten
- ✓Welche Übungsumgebungen eindeutig legal sind und warum
- ✓Warum Versuchsdelikte und Vorbereitungshandlungen auch ohne Schaden relevant sind
- ✓Wie Responsible Disclosure funktioniert und warum sie dich schützt
- ✓Warum Dokumentation sowohl rechtliche Absicherung als auch Berufskompetenz ist
Typische Anfängerfehler im rechtlichen Kontext
| Fehler | Warum problematisch |
|---|---|
| "Das System war offen, also darf ich rein" | Fehlende Sicherung ändert nichts am Straftatbestand |
| "Ich habe ja nichts verändert" | SS 202a schutzt Zugriff, nicht nur Veränderung |
| "Mein Chef hat mündlich okay gegeben" | Mündliche Erlaubnis ist schwer beweisbar und reicht nicht |
| "Ich scan nur mal schnell" | Portscan gegen Fremdsystem ist Vorbereitungshandlung |
| Bug-Bounty-Scope nicht gelesen | Out-of-Scope-Tests haben keine Deckung durch das Programm |
| "Nur zu Lernzwecken" als Disclaimer | Absicht ändert Strafbarkeit nicht, Erlaubnis fehlt trotzdem |
Legal-Hinweis
Diese Seite ersetzt keine Rechtsberatung. Im Zweifel gilt: nicht ausführen, schriftliche Erlaubnis einholen oder eine juristische Einschaetzung beauftragen. Wer ohne Auftrag testet, riskiert Geld-, Freiheits- und Reputationsstrafen - unabhaengig vom Lerneffekt. Gesetze und ihre Auslegungen können sich ändern; die Angaben auf dieser Seite spiegeln den Stand zum Zeitpunkt der letzten Redaktion wider.
Nächste Lernschritte
FAQ
Ist es legal, Hacken zu lernen?
+
Ja. Das Lernen, Lesen, Verstehen und Üben von Hacking-Techniken in eigenen Systemen, legalen Labs, CTFs oder mit ausdrücklicher schriftlicher Erlaubnis ist in Deutschland uneingeschränkt erlaubt. Strafbar wird es, sobald du ohne Erlaubnis aktiv in fremde Systeme eingreifst.
Was sagen Paragraphen 202a bis 202c StGB konkret?
+
Paragraph 202a stellt das Ausspaehen von Daten unter Strafe, Paragraph 202b das Abfangen von Daten und Paragraph 202c das Vorbereiten solcher Taten - darunter faellt z. B. das Bereitstellen von Schadsoftware. Auch der Versuch ist strafbar, ein erfolgreicher Zugriff ist nicht erforderlich.
Was bedeutet 'Scope' bei Bug-Bounty oder Pentests?
+
Scope ist die genau definierte Liste an Systemen, Domains, IPs oder Anwendungen, die getestet werden dürfen - inklusive Methoden, Zeiten und Einschränkungen. Alles außerhalb des Scopes ist tabu, auch wenn es technisch erreichbar waere.
Was ist Responsible Disclosure?
+
Ein strukturierter Prozess, in dem du eine gefundene Schwachstelle vertraulich an den Betreiber meldest, ihm angemessene Zeit zur Behebung gibst und erst danach (oft koordiniert) veröffentlichst. Ziel ist Verbesserung der Sicherheit, nicht Druck auf den Betreiber.
Brauche ich einen schriftlichen Vertrag für einen Pentest?
+
Ja, immer. Ein professioneller Pentest läuft auf Basis eines Auftrags mit Scope, Zeitfenster, Notfallkontakten und Haftungsregeln. Ohne diesen Vertrag fehlt die Rechtfertigung für aktive Tests - mündliche Absprachen reichen nicht.
Darf ich öffentlich erreichbare Systeme nur scannen?
+
Nein. Auch ein Portscan kann nach Paragraph 202c als Vorbereitungshandlung gewertet werden, wenn er ohne Erlaubnis erfolgt. Erreichbarkeit ist keine Einladung.
Was ist ein Versuchsdelikt und warum ist das relevant?
+
Ein Versuchsdelikt ist strafbar, auch wenn die Tat nicht vollendet wurde. Bei Paragraph 202a genügt der Versuch des unbefugten Zugriffs - du musst keine Daten tatsächlich erhalten haben. Das bedeutet: Auch ein fehlgeschlagener Login-Versuch gegen ein fremdes System kann strafrechtlich relevant sein.
Schützt mich ein Disclaimer wie 'nur zu Lernzwecken'?
+
Nein. Absichtserklärungen ändern nichts an der rechtlichen Bewertung einer Handlung. Was zählt, ist ob du Erlaubnis hattest - nicht was du dir dabei gedacht hast.