Rechtsunsicherheiten beim Arbeiten mit Hackerwerkzeugen

Wenn es darum geht, Dual-Use-Software legal zu nutzen, bietet das deutsche Computerstrafrecht Administratoren und Pentestern noch immer nicht genug Sicherheit.

Artikel verschenken

4

06.08.2025, 15:00 Uhr

Lesezeit: 11 Min.

c't Magazin

Von

Verena Ehrl

Rechtsunsicherheiten beim Arbeiten mit Hackerwerkzeugen
Im Dschungel des Computerstrafrechts
Die Sache mit der Zugangssicherung
Beweislast, Mitverschulden, Regress

Grundsätzlich haben IT-Sicherheitsexperten und Netzangreifer vieles gemeinsam. Das betrifft insbesondere ihr Handwerkszeug, nämlich Datenflussanalyse- und andere Softwaretools. Während die einen dies für Penetration Tests ("Pentests") nutzen, um Schwachstellen im eigenen Netz oder in den Systemen ihrer Auftraggeber zu suchen, verfolgen die anderen kriminelle Ziele.

Die Ambivalenz typischer Netzanalysetools bringt das dem Militärbereich entlehnte Schlagwort "Dual Use" recht gut zum Ausdruck: In der Hand eines Administrators, der Tests an einem System durchführt, für das er verantwortlich ist, kann ein Softwarewerkzeug wie "Mimikatz" legalen Einsatz finden. Es ebnet allerdings ebenso gut Angreifern den Weg bei illegalen Aktionen.

Die Gesetzeslage in Deutschland ist für die legale Arbeit von Sicherheitsexperten unzureichend; sie müssen auf sehr vieles achten, um sich nicht straf- oder zivilrechtlichem Ärger auszusetzen.
Die Ampelkoalition hat während ihrer Regierungszeit eine vielfach geforderte Reform des Computerstrafrechts in Gang gesetzt, aber durch das vorzeitige Ende der Legislaturperiode liegt diese jetzt noch immer auf Eis.
Außer dem Ausspähen und Abfangen von Daten steht auch das Vorbereiten solcher Handlungen unter Strafe; laut Gesetz betrifft das insbesondere das Herstellen und Verbreiten von Software mit diesen Zwecken.

Dual-Use-Softwarewerkzeuge sind rechtlich schwer zu fassen. Weder ihr Erwerb noch ihr Besitz ist grundsätzlich untersagt. Straf- und Zivilrecht melden sich erst dann, wenn jemand diese Tools einsetzt, um Rechtsbrüche zu begehen. Derjenige riskiert dann eine Strafe oder er sieht sich zivilrechtlichen Ansprüchen ausgesetzt – oft droht ihm beides.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

PC-Bauvorschlag: High-End-Allrounder mit Ryzen 9000 und Radeon RX 9070 XT

Unser leistungsfähiger, aber leiser Bauvorschlag tritt in zwei Varianten an. Sie können ihn für Gaming, KI-Anwendungen sowie Foto- und Videobearbeitung nutzen.

Darum ist die Hybridheizung fast nie die beste Lösung

Die Hybridheizung steht als eine Standardlösung im Gebäudeenergiegesetz. Mittlerweile hat die Wärmepumpe allerdings auch im Bestand längst überholt.

Nextcloud mit Apps erweitern: Fotoverwaltung, Aufgaben, Notizen und Kochbuch

Mit Nextcloud Hub bauen Nutzer ihren eigenen Cloud-Speicher. Apps machen ihn zur Schaltzentrale mit Fotoverwaltung, Notizfunktion, Kochbuch – und vielem mehr.

Elektroauto lädt an bidrektionaler Wallbox

Kaufberatung: Wallboxen mit Gleich- und Wechselstrom für bidirektionales Laden

Bidirektionales Laden nimmt auch in Deutschland langsam an Fahrt auf. Wir zeigen, welche passenden Wallboxen verfügbar und angekündigt sind.

Streamingsoftware: Wie man Music Assistant installiert und einrichtet

Music Assistant vereinfacht das Streaming, indem es verschiedene Anbieter und Lautsprecher unter einer Oberfläche vereint.

Weißer Grabstein, weiße Kreuze, dahinter ein Regenbogen

Analyse: Projektsterben in der Cloud-Native-Welt

Open-Source-Lizenzen werden ersetzt, populäre Projekte beendet und Images entfernt. Die Anzeichen verdichten sich: Die goldenen Cloud-Native-Zeiten sind vorbei.