Was ist erlaubt? Und wo endet die Legalität
Cybersecurity-Wissen ist mächtig - und mit dem Wissen kommt die Verantwortung. Hier findest du klare Grenzen zwischen erlaubtem Lernen und strafbaren Handlungen. Keine juristische Abstraktion, sondern konkrete Regeln für deinen Alltag als angehender Security-Profi.
Themen in diesem Bereich
6 GuidesIst Hacken lernen legal?
Die ausführliche Antwort zu §§ 202a-202c und 303a/b StGB mit Beispielen aus der Praxis.
Verantwortungsvolles Offensive Security
Wie du Wissen ethisch einsetzt, Reports verfasst und Vertrauen aufbaust.
Eigenes Hacking-Lab
Legal und isoliert üben mit VirtualBox, Kali Linux und bewusst anfälligen VMs.
CTF-Einstieg
Capture The Flag als legaler und kontrollierter Einstieg in reale Angriffstechniken.
Tools verstehen
Nmap, Wireshark, Burp Suite - legal besitzen, verantwortungsvoll einsetzen.
Karriere als Ethical Hacker
Vom Lernenden zum zertifizierten Pentester oder SOC Analyst - mit Integrität.
Was ist erlaubt?
Diese sechs Bereiche sind in Deutschland legal, solange du die jeweiligen Rahmenbedingungen beachtest. Sie bilden das Fundament eines verantwortungsvollen Lernwegs.
- Tests auf eigenen Geräten und virtuellen Maschinen
- Übungen auf dafür vorgesehenen Plattformen (TryHackMe, Hack The Box, PortSwigger Academy)
- CTF-Wettbewerbe im offiziellen Scope der Veranstalter
- Bug-Bounty-Programme innerhalb des definierten Scopes
- Pentests mit schriftlicher Beauftragung und klarem Regelwerk
- Sicherheitsforschung in isolierten, selbst betriebenen Lab-Umgebungen
Was ist strafbar?
Der unbefugte Zugriff auf fremde IT-Systeme ist nach §§ 202a, 202b, 202c StGB sowie §§ 303a, 303b StGB strafbar - auch wenn du "nur testen" wolltest. Diese sechs Punkte sind keine Graubereiche, sondern klare Straftatbestände.
- Zugriff auf fremde WLANs, Konten oder Server ohne Erlaubnis
- Portscans oder Enumeration fremder Netzwerke ohne Autorisierung
- Bereitstellung oder Verbreitung von Schadsoftware (Exploit-Kits, Malware)
- Tests an Webseiten Dritter ohne explizite, schriftliche Freigabe
- Daten ausspähen oder manipulieren, auch 'nur zum Testen'
- Social Engineering gegen reale Personen ohne deren Einverständnis
Vor jedem Test: Die 5-Fragen-Regel
Wenn du eine dieser Fragen mit "Nein" beantwortest, ist der Test noch nicht berechtigt. Geh keine Abkürzungen - das Risiko ist es nicht wert.
- 1Gehört mir das System, oder habe ich eine schriftliche Erlaubnis des Eigentümers?
- 2Ist das Ziel-Netzwerk explizit für Tests freigegeben (z. B. CTF, Bug-Bounty-Scope)?
- 3Verlasse ich mich ausschließlich auf eigene Infrastruktur oder autorisierte Plattformen?
- 4Dokumentiere ich meine Aktivitäten, falls Rückfragen entstehen?
- 5Habe ich den Scope und die Regeln des Auftraggebers vor dem Test gelesen und verstanden?
Häufige Fragen
Darf ich in Deutschland Hacken lernen?
+
Ja. Das Erlernen von Sicherheitstechniken ist grundsätzlich erlaubt. Strafbar wird es erst, wenn du unbefugt auf fremde Systeme zugreifst, Daten ausspähst oder Schadsoftware bereitstellst. §§ 202a-202c und 303a/b StGB regeln die Grenzen.
Was ist ein 'eigenes Lab' und warum ist es legal?
+
Ein eigenes Lab sind virtuelle Maschinen oder Container auf deiner eigenen Hardware. Du testest Systeme, die dir gehören - das ist vergleichbar mit einem Schloss knacken, das dir selbst gehört. Solange keine fremden Netze oder Geräte involviert sind, liegt keine Straftat vor.
Darf ich Tools wie Nmap oder Metasploit besitzen?
+
Der bloße Besitz oder die private Nutzung auf eigenen Systemen ist in Deutschland nicht verboten. Strafbar wird es, wenn diese Tools gezielt zur Vorbereitung eines Angriffs auf fremde Systeme eingesetzt werden (§ 202c StGB).
Was passiert, wenn ich aus Versehen ein fremdes System scanne?
+
Auch unbeabsichtigte Zugriffe können strafrechtlich relevant sein. Das StGB erfordert keine 'böse Absicht', sondern nur den unbefugten Zugriff. Versehen schützt nicht vor strafrechtlicher Verfolgung - deshalb: nur eigene Systeme, nur autorisierte CTFs, nur schriftlich beauftragte Pentests.
Was ist der Unterschied zwischen CTF und illegalem Hacking?
+
CTFs (Capture The Flag) finden in abgeschlossenen, genehmigten Umgebungen statt. Die Organisatoren erlauben ausdrücklich das Testen der bereitgestellten Systeme. Das ist vergleichbar mit einem Boxkampf im Ring - außerhalb ist es Körperverletzung.
Brauche ich für ein eigenes Lab eine Genehmigung?
+
Nein. Virtuelle Maschinen auf deinem eigenen Rechner, in deinem eigenen Netzwerk, benötigen keine externe Genehmigung. Achte nur darauf, dass dein Lab nicht aus Versehen ins Internet 'leakt' - isoliere es gegebenenfalls vom öffentlichen Netz.