hacken-lernen.net
Recht & Ethik

Was ist beim Hacken erlaubt?

Eine vertrauensbildende Übersicht: Welche Lernaktivitäten sind in Deutschland klar legal - und wo beginnt strafbares Verhalten? Diese Seite ersetzt keine Rechtsberatung, sondern hilft dir, sicher zu lernen.

Inhaltsverzeichnis7 Abschnitte

Klar erlaubt

Diese Aktivitäten sind ohne juristisches Risiko möglich und bilden die Basis jeder seriösen Security-Karriere:

  • Eigene Geräte, eigene VMs, eigenes Lab-Netzwerk
  • CTF-Plattformen wie TryHackMe, Hack The Box, PortSwigger Academy
  • Bug-Bounty-Programme strikt innerhalb des veröffentlichten Scopes
  • Schriftlich beauftragte Pentests und Security Reviews
  • Passive OSINT mit frei verfügbaren, öffentlichen Informationen
  • Lesen, Verstehen, Schreiben und Lehren von Security-Wissen

Klar verboten

Diese Handlungen sind nach deutschem Recht strafbar - auch ohne Schaden, auch beim ersten Mal, auch „nur zum Testen”:

  • Aktive Scans gegen fremde IPs ohne Erlaubnis
  • Zugriff auf fremde Accounts - auch mit „gefundenem” Passwort
  • Schadsoftware verbreiten, anbieten oder bewusst vorbereiten (§ 202c)
  • Daten ausspähen oder abfangen (§§ 202a, 202b)
  • Datenveränderung oder Computersabotage (§§ 303a, 303b)
  • Tests an Webseiten Dritter ohne ausdrückliche, schriftliche Freigabe

Drei Begriffe, die in der Praxis entscheiden

  • Erlaubnis - schriftlich, eindeutig, von einer dazu befugten Person
  • Scope - was genau, mit welchen Methoden, in welchem Zeitraum
  • Dokumentation - jede Handlung nachvollziehbar protokollieren

Wer professionell testet, hat alle drei Punkte schriftlich geregelt und kann später jeden Zugriff erklären.

Wenn du zufällig etwas findest

Du surfst, kaufst online ein oder nutzt einen Dienst und bemerkst eine Schwachstelle. Reflex: nicht weiter probieren. Stattdessen:

  • Beobachtung notieren - ohne weiter zu testen
  • Security-Kontakt suchen (security.txt, Impressum, Bug-Bounty-Seite)
  • Sachlich, knapp und verschlüsselt melden
  • Dem Betreiber Zeit zur Behebung lassen
  • Keine Drohungen, keine Forderungen, kein Druck

Nächste Lernschritte

Responsible DisclosureBug-Bounty-RegelnEigenes Hacking-LabIst Hacken lernen legal?

FAQ

Ist Hacken lernen in Deutschland legal?

+

Ja. Lernen, Lesen und Üben in eigenen Systemen, legalen Labs, CTFs oder mit ausdrücklicher schriftlicher Erlaubnis sind erlaubt. Strafbar ist das aktive Eingreifen in fremde Systeme ohne Auftrag.

Was bedeutet 'Scope' im Bug-Bounty?

+

Scope ist die exakte Liste an Systemen, Domains und Methoden, die getestet werden dürfen. Alles außerhalb des Scopes ist tabu, auch wenn es technisch erreichbar wäre.

Darf ich passive OSINT-Recherchen durchführen?

+

Frei verfügbare, öffentlich zugängliche Informationen darfst du recherchieren. Sobald du aktiv mit fremden Systemen kommunizierst, Daten ausspähst oder versuchst, Zugang zu erlangen, wird es kritisch.

Was ist Responsible Disclosure?

+

Ein strukturierter Prozess, bei dem du eine gefundene Schwachstelle vertraulich meldest, dem Betreiber Zeit zur Behebung gibst und erst danach (oft koordiniert) veröffentlichst. Ziel ist Verbesserung, kein Druck.