Der mit dem "Strafrechtänderungsgesetz zur Bekämpfung der Computerkriminalität" eingeführte Paragraph 202c des Strafgesetzbuches sieht vor, die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr zu sanktionieren. In der Praxis führt die neue Regelung zu einem Verbot von Spezialsoftware, die für die Entdeckung und Analyse von Sicherheitslücken in IT-Systemen notwendig ist. "Sicherheitslücken in IT-Systemen werden seit jeher standardmäßig mit Hacker-Tools getestet", sagt Bitkom-Hauptgeschäftsführer Bernhard Rohleder. Die betroffenen Unternehmen würden sich künftig in einer bedenklichen rechtlichen Grauzone bewegen, so Rohleder weiter. Einzelne Mitarbeiter liefen sogar Gefahr, strafrechtlich belangt zu werden.
Die Überlegung des Gesetzgebers, die Verbreitung von Viren, Spionage-Software und anderen Schadprogrammen unter Strafe zu stellen, ist nach Meinung von Rohleder sinnvoll, die gesetzliche Formulierung ginge aber zu weit, denn sie würde nicht berücksichtigen, dass entsprechende Software-Werkzeuge auch zu Schutzzwecken eingesetzt werden. Die Reichweite des Tatbestandes war bereits im Gesetzgebungsverfahren ein Dauerkritikpunkt. Zahlreiche Sachverständige hatten Nachbesserungen gefordert und hierfür konkrete Vorschläge unterbreitet. Rohleder: "Es gab einen breiten Konsens, dass die Strafvorschrift enger gefasst werden sollte. Die Verweigerungshaltung des Gesetzgebers ist daher nicht verständlich."