Dem Koalitionsvertrag entsprechend soll das „Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, wie in der IT-Sicherheitsforschung, legal durchführbar sein“. Die Schließung von Sicherheitslücken hat allergrößte Bedeutung für die Abwehr von Cyberangriffen durch Kriminelle und durch fremde Mächte. Das Aufspüren von Sicherheitslücken in IT-Systemen gehört zu den typischen Tätigkeiten der IT-Sicherheitsforschung. Für ihre Tätigkeit ist regelmäßig ein Zugriff auf fremde Informations-systeme und Daten notwendig, die sich bereits im praktischen Einsatz befinden. Diese Ausgangslage birgt Strafbarkeitsrisiken, die sich kontraproduktiv auswirken können, weil sie nicht nur von verbotenem, sondern auch von gesellschaftlich erwünschtem Verhalten abschrecken: Die erforderlichen Zugriffshandlungen können jene Straftatbestände erfüllen, die dem Schutz des formellen Datengeheimnisses bzw. der Unversehrtheit von Daten und IT-Systemen dienen (§§ 202a ff., 303a f. des Strafgesetzbuches – StGB).

Um bei § 202a StGB (Ausspähen von Daten) sowie § 202b StGB (Abfangen von Daten) alle strafwürdigen Angriffe angemessen ahnden zu können, sollen Regelbeispiele mit erhöhtem Strafrahmen für besonders schwere Fälle eingeführt werden.