Shooting the Messenger : Kanzlei Hoenig Berlin

18. Mai 2026

Shooting the Messenger

Sophokles hat es vor fast 2.500 Jahren auf den Punkt gebracht. Und seitdem hat sich nicht allzu viel geändert:

„στέργει γὰρ οὐδεὶς ἄγγελον κακῶν ἐπῶν“
„Niemand liebt den Boten, der schlechte Nachrichten bringt.„
Sophokles, [Antigone], ca. 440 v. Chr.

Wer unangenehme Wahrheiten überbringt, läuft Gefahr, selbst zum Problem erklärt zu werden. In der Antike drohte dem Boten der Tod. Heute droht ihm eine Strafanzeige.

Der Fall „CDU connect“: Wenn der Dank ausbleibt

Mai 2021. Lilith Wittmann, Softwareentwicklerin, IT-Sicherheitsforscherin und Krawall-Influencerin, schaut sich die Wahlkampf-App der CDU an – „CDU connect“, gedacht zur Koordination des Haustürwahlkampfs. Was sie findet, ist ernüchternd: Die App ist eine offene Datenschleuder.

Über eine schlicht ungeschützte API lassen sich die persönlichen Daten von rund 18.500 Wahlkampfhelferinnen und -helfern abrufen – Namen, E-Mail-Adressen, Fotos. Dazu kommen 1.350 Datensätze von CDU-Unterstützerinnen und -Unterstützern mit Adresse, Geburtsdatum und – besonders heikel – politischen Einstellungen. Hunderttausende Datensätze aus dem Haustürwahlkampf, bei dem Parteimitglieder notiert haben, was die Leute an der Tür so denken. Alles öffentlich abrufbar, ohne Login, ohne Passwort, ohne irgendetwas zu überwinden.

Wittmann macht das Richtige: Sie meldet die Lücke nach dem sogenannten Responsible-Disclosure-Verfahren – erst an die CDU selbst, dann an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Berliner Datenschutzbeauftragten.

Responsible Disclosure ist so etwas wie das ungeschriebene Ehrenkodex der IT-Sicherheitswelt: Lücke finden, Betroffene informieren, Zeit zum Patchen lassen, dann erst öffentlich machen. Kein Datenklau, kein Erpressungsversuch, kein öffentlicher Pranger ohne Vorwarnung.

Der Dank der CDU: eine Strafanzeige.

CDU-Bundesgeschäftsführer Stefan Hennewig erstattet im Juli 2021 Strafanzeige gegen Wittmann beim Berliner LKA – Cybercrime-Abteilung, Dezernat 724. Zuvor soll er ihr angeboten haben, für die CDU zu arbeiten, und eine Schweigeverpflichtung verlangt haben. Beides lehnte Wittmann ab. Die Ermittlungen stützten sich auf den sogenannten Hackerparagrafen.

Was dann passierte, ist eine kleine Geschichte über die Kompetenzen des deutschen IT-Strafrechts. Denn die Staatsanwaltschaft Berlin stellte das Verfahren im August 2021 ein – nicht etwa weil die CDU die Anzeige (nach öffentlichem Druck) angeblich zurückgezogen hatte, sondern weil schlicht kein Straftatbestand vorlag: Die Daten waren überhaupt nicht geschützt. Öffentlich zugängliche Daten kann man nicht hacken. Es fehlt also an einer wesentlichen Tatbestandsvoraussetzung.

Die CDU hingegen bekam in der Folge Besuch von der Berliner Datenschutzbehörde wegen möglicher DSGVO-Verstöße.

Der Chaos Computer Club zog die richtige Konsequenz: Er kündigte an, der CDU künftig keine Sicherheitslücken mehr zu melden. Man könne es sich nicht leisten, für ehrenamtliche Hilfe mit Strafverfolgung belohnt zu werden.

Der Hackerparagraf – drei Normen, ein Problem

Wenn von „dem Hackerparagrafen“ die Rede ist, meint man meistens einen Komplex aus drei Vorschriften im Strafgesetzbuch, die 2007 – maßgeblich auf Betreiben der damaligen großen Koalition aus CDU/CSU und SPD – eingeführt wurden:

§ 202a StGB – Ausspähen von Daten

Das ist die Kernvorschrift. Strafbar macht sich, wer sich „unbefugt“ Zugang zu Daten verschafft, die „nicht für ihn bestimmt“ und „gegen unberechtigten Zugang besonders gesichert“ sind. Der Strafrahmen des § 202a StGB: bis zu drei Jahre Freiheitsstrafe oder Geldstrafe.

Das klingt vernünftig. Das Problem liegt im Detail: Was heißt „besonders gesichert„? Ein einfaches Login reicht nach herrschender Meinung. Aber was, wenn – wie im CDU-Fall – erst gar keine Sicherung vorhanden ist? Dann fehlt es an einem wesentlichen Tatbestandsmerkmal. Deswegen hat die Staatsanwaltschaft das gegen Lilith Wittmann geführte

„Ermittlungsverfahren gemäß § 170 Abs. 2 StPO eingestellt, da nach den
durchgeführten Ermittlungen kein hinreichender Tatverdacht gegen die Beschuldigte besteht.
Die Ermittlungen haben ergeben, dass der Zugriff auf die von der CDU-Connect App gespeicherten Daten aufgrund einer Sicherheitslücke der App möglich war. Eine Überwindung von Sicherheitsmerkmalen oder einer Zugangssicherung war aufgrund der Sicherheitslücke gerade nicht notwendig.
Eine Veröffentlichung der gespeicherten Daten konnte nicht festgestellt werden.„

Spiegelbildlich könnte das aber bedeuten: Wer eine auch nur schwache, aber leicht zu umgehende Sicherung überwindet – selbst wenn er das tut, um eine Lücke zu melden – bewegt sich bereits im Graubereich. Der Tatbestand fragt nicht nach der Absicht, sondern nach dem Zugang.

Dieser Graubereich stellt ein Problem dar, das sowohl für Hacker und also für Rechtsanwender nicht zu greifen ist. Liegt bereits das Überwinden einer besonderen Sicherung vor, wenn – wie in dem CDU-Fall – über eine offene Anwendungsschnittstelle (API) eine schlichte Nummer geschickt werden kann, und man allein dadurch Zugriff auf die Daten hat? Oder beginnt der eindeutig rote Bereich erst, wenn statt dessen auf dem fremden Server ein Code ausgeführt werden muss, um Zugang zu bekommen?

Anzunehmen, hier liegt ein Verstoß gegen den im Strafrecht geltenden Bestimmtheitsgrundsatz vor, ist nicht abwegig.

§ 202b StGB – Abfangen von Daten

Wer sich Daten aus einer nicht für ihn bestimmten Datenübermittlung – zum Beispiel aus einem Netzwerk – verschafft, macht sich nach § 202b StGB strafbar. Das klingt nach dem klassischen Man-in-the-Middle-Angriff. Aber auch legitime Netzwerkanalyse-Tools wie beispielsweise Wireshark können in diesen Bereich fallen, wenn sie im falschen Kontext eingesetzt werden. Das bekannte Dual-Use-Problem.

§ 202c StGB – Vorbereiten des Ausspähens (der eigentliche „Hackerparagraf“)

Das ist die Norm, die am meisten Kritik auf sich zieht. Sie stellt bereits die Vorbereitung der beiden oben genannten Tatbestände unter Strafe: wer „Hackertools“ herstellt, sich verschafft, verkauft oder verbreitet, riskiert bis zu zwei Jahre Freiheitsstrafe.

Das Problem: Was ist ein „Hackertool“? Das Gesetz definiert es als „Computerprogramme, deren Zweck die Begehung einer solchen Tat ist.“ Das klingt präzise und ist es nicht. Ein Portscanner dient der Netzwerkanalyse – und der Vorbereitung von Angriffen. Ein Passwort-Auditing-Tool hilft beim Testen der eigenen Systeme – und beim Knacken fremder. Ein Penetration-Testing-Framework ist das Standardwerkzeug jedes Sicherheitsberaters – und eines Angreifers. Die Tools sind dieselben. Die Absicht unterscheidet sie. Aber die Absicht steht nicht im Gesetz.

Die Kritik: Vier Punkte, die seit 2007 auf dem Tisch liegen

Die Kritik am Hackerparagrafen ist so alt wie der Hackerparagraf selbst. Sie kommt nicht nur aus der Hacker-Community, sondern von Wissenschaftlern, Wirtschaftsverbänden und Strafrechtsexperten. Die wichtigsten Punkte:

1. Das Dual-Use-Problem ist unlösbar konstruiert.

Die meisten Werkzeuge der IT-Sicherheitsforschung sind von Natur aus dual-use: Sie können angreifen und verteidigen. § 202c StPO fragt nach dem „Zweck“ – aber der Zweck liegt im Kopf des Nutzers, nicht im Code. Prof. Dennis-Kenji Kipker, einer der renommiertesten deutschen IT-Rechtler, stellte schon im Jahr 2024 fest, dass die Handlungen von Sicherheitsforschern „regelmäßig bereits objektiv tatbestandsmäßig“ seien. Auf gut Deutsch: Fast jeder, der professionell IT-Sicherheit betreibt, macht sich strafbar, zumindest theoretisch und nach dem puren Gesetzeswortlaut

2. Responsible Disclosure wird bestraft statt belohnt.

Das CDU-connect-Verfahren ist kein Einzelfall. 2021 verurteilte das Amtsgericht Jülich einen IT-Fachmann zu einer Geldstrafe – er hatte eine Sicherheitslücke bei einem Online-Dienstleister gefunden, gemeldet und öffentlich gemacht. Das Unternehmen hatte ihn angezeigt. Ergebnis: Der Dienstleister mit der kaputten Sicherheit geht straffrei aus; der Fachmann, der die Lücke schloss, wird verurteilt.

3. Standortnachteil für die IT-Sicherheitsbranche.

Der Chaos Computer Club dokumentierte 2008, dass einzelne IT-Security-Unternehmen Deutschland verließen und in Nachbarländer wie die Niederlande abwanderten. Sicherheitsforschung findet dort statt, wo man sie nicht kriminalisiert. Deutschland verliert damit Know-how und Schutz gleichermaßen.

4. Die Grauzone schützt niemanden.

Das Paradoxe: Die unklare Rechtslage schützt weder Betroffene vor echten Angriffen noch Forscher vor unberechtigter Strafverfolgung. Sie schafft Unsicherheit auf beiden Seiten und bevorzugt letztlich denjenigen, der einen Verteidiger beauftragt hat oder/und – wie Lilith Wittmann – genug öffentliche Aufmerksamkeit erzeugen kann, damit eine Strafanzeige politisch „teuer“ wird.

Reformbemühungen: Viel geredet, wenig getan

Seit 2007 wird über eine Reform diskutiert. Ernsthaft in Gang gekommen ist etwas erst mit dem Koalitionsvertrag der Ampelregierung 2021, der festschrieb, dass Responsible Disclosure legal sein soll. Das Bundesjustizministerium führte 2023 Symposien mit Experten durch, kündigte Eckpunkte für 2024 an – und legte im Oktober 2024 tatsächlich einen Referentenentwurf vor.

Der Entwurf sieht vor, § 202a StGB um einen neuen Absatz 3 zu ergänzen, der das Handeln im Rahmen von Responsible Disclosure vom Tatbestand ausnimmt – wenn die Absicht darauf gerichtet ist, Sicherheitslücken zu schließen. Das ist (war?) zumindest ein Schritt in die richtige Richtung.

Ob und wann dieser Entwurf Gesetz wird, ist nach dem Ende der Ampelkoalition und dem Regierungswechsel 2025 offen. Ein aktueller Referentenentwurf vom Oktober 2025 zeigt, dass das Thema auf der Agenda geblieben ist – aber die Gesetzgebungsmühlen mahlen langsam.

Was wirklich helfen würde: Drei Vorschläge

Das Problem ist nicht unlösbar. Andere Länder machen es vor. Hier sind drei Änderungen, die aus dem Graubereich einen Rechtsrahmen machen würden:

1. Safe Harbor für Responsible Disclosure – klar definiert.

Wer nach festgelegten Kriterien vorgeht – Meldung an Betroffene und BSI, angemessene Wartefrist, keine Weitergabe der Daten an Dritte – sollte automatisch straflos sein. Ohne dass er seine gute Absicht beweisen muss. Die Beweislastfrage ist entscheidend: Nach allgemeinen strafrechtlichen Grundsätzen muss der Staat die kriminelle Absicht nachweisen, nicht der Beschuldigte seine Unschuld. Beim § 202c wird das faktisch umgekehrt. Ein klar definierter Safe Harbor beseitigt dieses Problem.

Vergleichbare Regelungen existieren in den Niederlanden und – mit Abstrichen – in den USA unter dem Computer Fraud and Abuse Act. Beide Länder haben funktionierendere IT-Sicherheitsökosysteme als Deutschland. Das ist kein Zufall.

2. Objektive Kriterien statt Zweck-Formel bei § 202c StGB.

„Computerprogramme, deren Zweck die Begehung einer solchen Tat ist“ ist als Tatbestandsmerkmal des § 202c StGB zu vage. Nötig wäre entweder eine Positivliste anerkannter Security-Tools oder – besser – eine Negativabgrenzung: Wer ein Tool ausschließlich für eigene Systeme oder im Auftrag des Systembetreibers einsetzt, macht sich nicht strafbar. Der entscheidende Anknüpfungspunkt sollte die Autorisierung durch den Systembetreiber sein, nicht die abstrakte Gefährlichkeit des Tools.

3. Kein Offizialdelikt bei Responsible Disclosure.

Aktuell kann und muss(!) die Staatsanwaltschaft – wie im CDU-Fall – auch nach Rücknahme der Strafanzeige weiterermitteln, wenn sie ein öffentliches Interesse annimmt. Das ist grundsätzlich richtig bei echten Cyberkriminalitätsfällen. Bei dokumentiertem Responsible Disclosure sollte es aber beim Antragsdelikt bleiben: Zieht der Anzeigesteller zurück, weil er erkennt, dass kein Angriff stattgefunden hat, sollte das Verfahren enden.

Fazit: Ein altes Problem, das sich selbst schadet

Sophokles hatte recht. Den Boten zu bestrafen ist menschlich – aber dumm. Es löst das Problem nicht, es verschlimmert es. Wer Sicherheitsforscher kriminalisiert, bekommt keine Sicherheitsforschung mehr. Oder er bekommt sie im Ausland, unter anonymen Pseudonymen, ohne kooperative Meldung an Betroffene.

Der CDU-connect-Fall ist ein Lehrstück: Eine Partei, die den Hackerparagrafen mitbeschlossen hat, setzt ihn gegen jemanden ein, der ihr einen Gefallen getan hat. Das Verfahren endet mit einer Blamage für die CDU und einem Vertrauensverlust für das deutsche IT-Strafrecht.

Lilith Wittmann macht weiter – zuletzt deckte sie 2025 auf, dass die Online-Casino-Gruppe Merkur Ausweiskopien und Behördenschreiben von hunderttausenden Nutzern offen ins Netz gestellt hatte.

Den Boten oder – Gott bewahre – Lilith Wittman zu erschießen hat noch nie ein Problem gelöst. Es ist höchste Zeit, das auch im Strafgesetzbuch festzuhalten.

Weiterführende Quellen und Links: