Am 24. Mai 2007 hat der Bundestag mit den Stimmen von Schwarz-Rot, der FDP und der Grünen bei Gegenstimmen der PDS-Fraktion und Jörg Taus, forschungs- und medienpolitischer Sprecher der SPD-Fraktion, das „41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität“ (Bundestagsdrucksache 16/3656) verabschiedet. Die Gesetzesnovellierung soll, so die Gesetzesbegründung, Regelungslücken vor allem im Bereich des „Hacking“ und der Computersabotage (§ 303b StGB) schließen. Mit den Änderungen sollen auch die Vorgaben des Europarates zur Computerkriminalität, die so genannte „Cybercrime Convention“ vom 23. 11. 2001, und die Verpflichtung des Europarates vom 24. 2.2005 zur Bekämpfung schwerer Formen der Computerkriminalität erfüllt werden.

Siehe   Text des 41. Strafrechtsänderungsgesetz zur
                Bekämpfung der Computerkriminalität

und      Entwurf eine Strafrechtsänderungsgesetzes zur Bekämpfung der            Computerkriminalität vom 30.11.2006, Bundestag-Drucksache 16/3656

Nach dem bisherigen § 202a StGB (Ausspähen von Daten) machte sich strafbar, „wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft“. Künftig macht sich bereits strafbar, wer den unberechtigten Zugang zu besonders gesicherten Daten „freihackt“; sich die Daten tatsächlich zu verschaffen ist nicht mehr erforderlich. Der Tatbestand der Computersabotage (§ 303b StGB) wurde dadurch erweitert, dass nicht wie bisher nur Betriebe, Unternehmen und Behörden vor Angriffen geschützt werden, sondern auch private Informations- und Kommunikationstechnik „von wesentlicher Bedeutung“ mit in den Schutz des Strafrechts einbezogen ist.

Neu aufgenommen wurden die §§ 202b (Abfangen von Daten) und 202c (Vorbereiten des Ausspähens und Abfangens von Daten). § 202b stellt unter Strafe, wer sich unter Anwendung von technischen Mitteln aus einer nicht-öffentlichen Datenübermittlung (z.B. E-Mail, Telefax oder Telefon) und aus elektronischen Abstrahlungen einer DV-Anlage Daten verschafft. Auf Kritik ist im Gesetzgebungsverfahren vor allem der § 202c gestoßen, der bereits das Herstellen, Überlassen, Verbreiten oder Verschaffen so genannter „Hacker-Tools“ unter Strafe stellt. Der Computer-Chaos-Club beispielsweise befürchtet, dass durch diese Vorschrift Sicherheitsberatern und Netzwerkexperten das erforderliche Werkzeug zur Analyse und Aufdeckung von Sicherheitslöchern entzogen oder unter Strafe gestellt wird. Auch könnte die Forschungsfreiheit im Computer-Sicherheitsbereich eingeschränkt werden. CCC-Sprecher Andy Müller-Magun: „Testangriffe zum Auffinden von Sicherheitslöchern sind für die IT-Sicherheit wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, Crashtests zu verbieten“.

Im Gesetzgebungsverfahren hatte auch der Bundesrat Kritik geäußert. So fordert er in seiner Stellungnahme vom 3.11.2006 (Bundesratsdrucksache 676/06) den Bundestag auf, unter anderem zu prüfen, „ob die Ausgestaltung des § 202c StGB beim gutwilligen Umgang mit allgemeinen Programmier-Tools, -Sprachen oder sonstigen Softwareprogrammen sowie `Hacker-Tools´ zur Sicherheitsprüfung von IT-Systemen ausreichend vor ungewollter Kriminalisierung schützt und ob der § 202c StGB-E um eine konkrete Aufnahme des Tatbestands des `Phising´ (Versuch, via E-Mail den Empfänger durch irreführende und manipulierte Angaben und Inhalte zur Herausgabe von Zugangsdaten und Passwörtern zu bewegen) erweitert werden kann“. 

Die von vielen Verbänden und Spezialisten, etwa in der öffentlichen Anhörung am 21. März 2007 im Rechtsausschuss des Bundestages, vorgebrachte Kritik und eingebrachten Änderungsvorschläge vermochten den Gesetzgeber aber nicht zu einer Änderung des Gesetzentwurfs zu bewegen. In der Bundesratssitzung am 6. Juni 2007 hatten die Bundesratsmitglieder auf Empfehlung des Rechts- und des Wirtschaftsausschusses, entgegen der vor einem Jahr noch vorgetragenen Kritik, keine Einwände mehr. Nachdem das Gesetz am 10. August 2007 im Bundesgesetzblatt (BGBl. I Seite 1786) veröffentlicht wurde ist es seit dem 11. August in Kraft.