Der reine Besitz ist nicht strafbar, die Überschrift ist insofern falsch. Es kann davon ausgegangen werden, dass der Vorsatz als Korrektiv, analog §149 StGB herangezogen wird.

Das ist korrekt. Im Text selbst ist der Sachverhalt auch zutreffend dargestellt. Die Überschrift habe ich entsprechend angepasst.

Na ja...

In den letzten Jahren haben wir (beruflich) auch Penetrationstests gemacht, auch (beauftragt, natürlich) bei einigen Behörden.
Nun bin ich da vermutlich, sagt einer der Syndici, abgesichert, da ich ja im Auftrag der Firma handle, und die ja wiederum einen Auftrag vom Betroffenen hat...
Aber: darf ich mir die für die Pentests notwendigen Tools berhaupt noch verschaffen? Wenn ich als Nichtjurist den Gesetzestext lese, eindeutig nein.
Noch besser - Früher haben wir zum Erkennen von Vulnerabilities im Netz uns so früh wie möglich die Exploits bei milw0rm oder ähnlich gezogen und davon nichtdestruktive Varianten abgeleitet. Das fällt ja wohl jetzt auch flach, oder?

Ohne zu sehr ins Detail zu gehen. Die Nutzung eines solchen Tools und das Sichverschaffen erfüllt (mind.) zwei unterschiedliche Straftatbestände. Während der Penetrationtest durch die Einwilligung straffrei sein kann, hat diese auf das Sichverschaffen keine Auswirkung. Soweit das Tool also unter § 202c fällt, kann hier eine Strafbarkeit vorliegen. Und zwar dessen, der sich das Tool verschafft.

Das hatte ich befürchtet... :-(

Damit ist das Thema in DE eigentlich erledigt... Nu ja, dann kann ich den nächsten Pentest ja mal ablehnen, bis das geklärt ist... ;-)