Nach § 202c des deutschen Strafgesetzbuches (StGB) ist das Vorbereiten des Ausspähens und Abfangens von Daten ein Tatbestand, der mit einer Freiheitsstrafe von maximal zwei Jahren belegt werden kann. Der 2007 verabschiedete Paragraf stellt die Beschaffung und Verbreitung von Zugangscodes zu zugangsgeschützten Daten unter Strafe, sowie auch die Herstellung und den Gebrauch von Werkzeugen, die dafür genutzt werden könnten. Unter bestimmten Umständen gelten dabei auch die Herstellung und Verbreitung von „Hackertools“ als strafbar, da sie als „Vorbereitung einer Straftat“ gelten. Umgangssprachlich wird § 202c aus diesem Grund als Hackerparagraf bezeichnet.

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.

IT-Branchenverbände und Sicherheitsexperten kritisieren die sehr vage Definition, welche Software bereits als „Hackertool“ gilt. Hauptpunkt der Kritik ist, dass allein die Tatsache, dass ein Programm oder eine Information theoretisch zum Eindringen in fremde Computer genutzt werden könnte, dessen Herstellung, Beschaffung, Verkauf oder Verbreitung illegal macht. Bislang bestehen keine Ausnahmeregelungen, die den Einsatz für legale Zwecke erlauben, wie zum Beispiel bei der Forschung im Bereich der Antivirenprogramme. Daher sind auch Sicherheitsexperten, Programmierer und Internetseiten vom Hackerparagrafen betroffen, selbst wenn diese nicht beabsichtigen Nutzerdaten zu missbrauchen. Die European Expert Group for IT Security geht davon aus, dass gutartige Tätigkeiten im Sinne von IT-Sicherheitsmaßnahmen nach diesem Paragrafen nicht strafbar sind, wenn sie ausführlich dokumentiert werden.