Der Straftatbestand des Vorbereitens des Ausspähens und Abfangens von Daten nach § 202c StGB ist ein zentraler Bestandteil des deutschen Cybercrime-Strafrechts. Die Vorschrift stellt bereits bestimmte Vorbereitungshandlungen unter Strafe, wenn sie darauf gerichtet sind, Straftaten wie das Ausspähen von Daten oder das Abfangen von Daten zu ermöglichen. Anders als bei vielen anderen Delikten wird damit nicht erst der eigentliche Angriff auf Daten bestraft, sondern bereits der Umgang mit bestimmten Hacker-Werkzeugen.
Nach § 202c StGB macht sich strafbar, wer eine Straftat nach den §§ 202a oder 202b StGB vorbereitet, indem er Passwörter oder sonstige Zugangsdaten, die den Zugang zu Daten ermöglichen, herstellt, sich verschafft, verkauft, verbreitet oder sonst zugänglich macht. Gleiches gilt für Computerprogramme, deren Zweck die Begehung solcher Taten ist. Die Vorschrift zielt damit insbesondere auf sogenannte Hacking-Tools ab, die dazu verwendet werden können, Zugangssicherungen zu überwinden oder Datenkommunikation auszuspähen.
Die Strafandrohung beträgt Freiheitsstrafe bis zu einem Jahr oder Geldstrafe.
Voraussetzungen der Strafbarkeit
Für eine Strafbarkeit nach § 202c StGB reicht es nicht aus, dass jemand ein technisches Programm besitzt, das theoretisch auch für Cyberangriffe genutzt werden könnte. Entscheidend ist vielmehr, dass die Handlung darauf gerichtet ist, eine Straftat nach § 202a oder § 202b StGB vorzubereiten.
Die Vorschrift erfasst insbesondere zwei Fallgruppen. Zum einen betrifft sie den Umgang mit Passwörtern oder sonstigen Zugangsdaten, die den Zugang zu fremden Systemen ermöglichen. Wer beispielsweise fremde Login-Daten sammelt, weiterverkauft oder gezielt verbreitet, kann sich strafbar machen.
Zum anderen erfasst § 202c StGB Computerprogramme, deren Zweck die Begehung von Ausspäh- oder Abfangdelikten ist. Darunter können etwa Programme zum automatisierten Knacken von Passwörtern, zum Scannen von Sicherheitslücken oder zum Abfangen von Netzwerkkommunikation fallen. Maßgeblich ist dabei, ob die Software nach ihrer Zweckbestimmung auf die Begehung entsprechender Straftaten ausgerichtet ist.
Typische Konstellationen aus der Praxis
In der strafrechtlichen Praxis treten Ermittlungsverfahren nach § 202c StGB häufig im Zusammenhang mit anderen Cybercrime-Delikten auf. Ermittlungsbehörden stoßen etwa bei Hausdurchsuchungen auf Hacker-Software oder auf Sammlungen gestohlener Zugangsdaten. Auch der Handel mit solchen Daten in einschlägigen Internetforen oder im Darknet kann strafrechtliche Ermittlungen auslösen.
Besonders relevant ist die Vorschrift im Umfeld von sogenannten Credential-Leaks, bei denen große Mengen von Login-Daten verbreitet oder weiterverkauft werden. Auch das gezielte Sammeln und Weitergeben von Zugangsdaten zu Unternehmenssystemen kann unter § 202c StGB fallen.
Strafverteidigung bei Vorwürfen nach § 202c StGB
In der strafrechtlichen Praxis ist die Abgrenzung zwischen legaler IT-Tätigkeit und strafbarer Vorbereitung von Cybercrime häufig schwierig. Viele Programme, die theoretisch für Hackerangriffe genutzt werden können, werden auch von IT-Sicherheitsforschern, Administratoren oder Penetration-Testern eingesetzt. Entscheidend ist daher regelmäßig die Frage, ob eine konkrete Ausrichtung auf die Begehung von Straftaten nachweisbar ist.
Für die Verteidigung kann insbesondere relevant sein, zu welchem Zweck Programme genutzt wurden, in welchem Kontext Zugangsdaten gespeichert waren und ob tatsächlich eine Vorbereitungshandlung im Sinne des Gesetzes vorliegt. Eine genaue Analyse der digitalen Beweismittel und der technischen Zusammenhänge ist dabei regelmäßig unverzichtbar.