Gesetzentwurf zur Stärkung der Cybersicherheit - digitale Gegenwehr oder riskanter Kurswechsel?

Stephan Witt

Stephan Witt

4 min read
Ein verschließbares Gartentor, mitten im Wald - ohne Zaun
Symbolbild Cybersicherheit - Foto: Stephan Witt

Es war nur eine Frage der Zeit. Nach Jahren der Debatte hat das Bundesinnenministerium Ende Februar 2026 einen Referentenentwurf vorgelegt, der Deutschland den Weg zu staatlich legitimierten Eingriffen im Cyberraum ebnen soll: das „Gesetz zur Stärkung der Cybersicherheit“, das heute vom Kabinett gebilligt wurde. Ob das wirklich sinnvoll ist? Vielleicht ist es sinnvoll, eine Legitimation zu haben, ich zweifle jedoch an der Umsetzung.

BKA, Bundespolizei und BSI sollen künftig nicht mehr nur Angriffe abwehren, sondern unter bestimmten Voraussetzungen auch aktiv in fremde IT-Systeme eingreifen dürfen – etwa Kommunikationsverbindungen unterbrechen, Datenverkehr umleiten oder kompromittierte Infrastruktur neutralisieren.

Der Anlass ist real. Cyberangriffe auf Parteizentralen, Bundesbehörden und kritische Infrastruktur häufen sich. Bitkom schätzt den volkswirtschaftlichen Schaden durch Cybercrime auf rund 267 Milliarden Euro jährlich.

Gleichzeitig wirft der Schritt von rein defensiver IT-Sicherheit hin zu aktiver Cyberabwehr grundlegende Fragen auf – technisch, rechtlich und politisch.

Was das Gesetz konkret vorsieht

Der Begriff „Hackback" wird politisch und technisch uneinheitlich verwendet. Der aktuelle Referentenentwurf bewegt sich eher im Bereich staatlicher aktiver Cyberabwehr als bei klassischen offensiven Gegenschlägen gegen eindeutig identifizierte Angreifer.

Der Entwurf selbst verwendet den Begriff „Hackback" nicht. Stattdessen spricht das Bundesinnenministerium von „aktiver Cyberabwehr" und „besonderen Abwehrmaßnahmen gegen Angriffe auf die Sicherheit in der Informationstechnik" (§ 41a BPolG-neu, § 62b BKAG-neu).

Die vorgesehenen Befugnisse reichen – je nach Auslegung – von DNS- und Kommunikationsmaßnahmen bis hin zu Eingriffen in kompromittierte Systeme, etwa dem Unterbrechen von Command-and-Control-Verbindungen oder dem Verändern einzelner Datenbestände.

Zudem soll das BSI erweiterte Anordnungsbefugnisse gegenüber DNS-Anbietern und Telekommunikationsdienstleistern erhalten. Für die Umsetzung plant das Innenministerium erheblichen Personalaufbau: allein 264 neue Stellen beim BKA, 90 bei der Bundespolizei und 21 beim BSI – bis 2030.

Das Gesetz markiert damit eine strategische Verschiebung: weg vom alleinigen Fokus auf Prävention und Resilienz hin zu einer stärker proaktiven Cyberabwehr.

Die Gefahren: Wenn der Gegenschlag die Falschen trifft

Das Kernproblem: Angreifer nutzen selten ihre eigene Infrastruktur

Das fundamentalste technische Problem bleibt die Attribution.

Professionelle Angreifer operieren häufig über kompromittierte oder vorgeschaltete Drittinfrastruktur:

  • Heimrouter von Privatpersonen, die zu Botnetzen zusammengeschaltet wurden,
  • gemietete Cloud-Server bei westlichen Anbietern,
  • kompromittierte Rechner in Universitäten, Krankenhäusern oder mittelständischen Unternehmen,
  • VPN-Ketten und Proxysysteme quer über den Globus.

Ein Angriff, der scheinbar aus Nordkorea stammt, könnte tatsächlich über einen infizierten Heimrechner in Hannover geroutet worden sein. Wer eine solche Infrastruktur im Rahmen aktiver Cyberabwehr abschaltet oder manipuliert, riskiert daher, nicht den eigentlichen Angreifer zu treffen – sondern ein weiteres Opfer.

Genau diese Problematik räumt der Entwurf indirekt ein: Die geplanten Eingriffsbefugnisse richten sich ausdrücklich auch gegen sogenannte „Opfersysteme" – also Systeme, die von Angreifern missbraucht werden, ohne dass deren Betreiber davon wissen.

Das können gekaperte Heimrouter sein, aber auch Systeme kritischer Infrastruktur.

Risiken für kritische Infrastruktur

Die Arbeitsgruppe KRITIS, die sich auf die Sicherheit kritischer Infrastrukturen spezialisiert hat, warnt in ihrer Stellungnahme eindringlich vor diesem Szenario.

Auch Betreiber kritischer Infrastrukturen könnten ohne eigenes Wissen von Angreifern instrumentalisiert und damit selbst Ziel staatlicher Maßnahmen werden.

Ein nicht abgestimmter Eingriff in Konfigurationsdaten, Netzwerkparameter oder Kommunikationsverbindungen könne dort unmittelbare Betriebsstörungen auslösen – bis hin zu Versorgungsausfällen.

Gerade in hochsensiblen Bereichen wie Energieversorgung, Gesundheitswesen oder Industrieautomation können selbst technisch begrenzte Eingriffe erhebliche Nebenwirkungen entfalten.

„Gefahr im Verzug" und der Richtervorbehalt

Der Entwurf sieht grundsätzlich einen Richtervorbehalt für Eingriffe in private Systeme vor. Bei „Gefahr im Verzug" soll jedoch die Behörde selbst entscheiden können.

Kritiker befürchten, dass dieser Ausnahmetatbestand in dynamischen Cyberlagen häufig zur Anwendung kommen könnte.

Damit hat der Staat deutlich mehr Eingriffsbefugnisse in den digitalen Raum. Was kann schon schief gehen?

Verfassungsrechtlich umstritten

Zwar verfügt der Bund bereits heute über umfangreiche Cyberbefugnisse – etwa über das BKAG, das BSI-Gesetz oder Kompetenzen der Bundespolizei.

Kritiker sehen jedoch die geplante Erweiterung insbesondere bei unklar definierten Gefahrenlagen mit „außen- und sicherheitspolitischer Bedeutung" als verfassungsrechtlich problematisch an.

Staatsrechtler fordern daher vor einer dauerhaften gesetzlichen Verankerung offensiver Cyberbefugnisse eine offene verfassungsrechtliche Grundsatzdebatte – möglicherweise einschließlich der Frage, ob hierfür langfristig eine Grundgesetzänderung notwendig wäre.

Sicherheitslücken als strategisches Dilemma

Offensive Cyberfähigkeiten können zudem Anreize schaffen, Sicherheitslücken nicht sofort offenzulegen oder zu schließen.

Kritiker sehen darin einen Zielkonflikt zwischen staatlicher Gefahrenabwehr und allgemeiner IT-Sicherheit: Was Behörden potenziell für operative Maßnahmen nutzen möchten, kann zugleich auch Kriminellen oder fremden Nachrichtendiensten offenstehen.

Die internationale Dimension

Cyberoperationen enden selten an Staatsgrenzen.

Sobald deutsche Behörden in Systeme eingreifen, die sich physisch im Ausland befinden oder dort betrieben werden, entstehen zusätzlich völkerrechtliche Fragen.

Unklar bleibt etwa, ab wann solche Maßnahmen bereits als Eingriff in die digitale Souveränität anderer Staaten gelten.

Internationale Standards hierzu entwickeln sich zwar weiter, ein verbindlicher internationaler Konsens existiert bislang jedoch nicht. Ohne enge Abstimmung mit Partnerstaaten könnten aktive Cybermaßnahmen deshalb außenpolitische Spannungen oder Eskalationen verursachen.

Wie eine verantwortungsvolle Umsetzung aussehen könnte

Angenommen, die Politik entscheidet sich dennoch für diesen Kurs – welche Mindestvoraussetzungen müssten erfüllt sein?

Technisch

Robuste und mehrfach verifizierte Attribution wäre die wichtigste Voraussetzung.

Kein Eingriff ohne belastbare technische Zurechnung, die durch mehrere unabhängige Quellen bestätigt wurde. Das erfordert automatisierte Threat-Intelligence-Systeme, internationale Kooperation und manuelle forensische Verifikation.

Solche Prozesse dauern häufig Stunden oder Tage – nicht Minuten.

Reversible Werkzeuge mit klar definierten Abbruchbedingungen: keine sich selbst verbreitende Schadsoftware, keine Löschoperationen ohne Notfallprotokoll. Die technische Entwicklung solcher präziser Instrumente erfordert hochspezialisierte Teams und intensive Red-Team-Übungen.

Isolierte Einsatzumgebungen, vollständig getrennt von regulären Behördennetzen, mit lückenloser Protokollierung aller Aktionen und strikten Need-to-know-Zugriffsregeln.

Organisatorisch und rechtlich

Klare Schwellenwerte: Ab wann ist ein Cyberangriff schwerwiegend genug, um aktive Gegenmaßnahmen zu rechtfertigen?

Der aktuelle Entwurf beantwortet diese Frage bislang nur begrenzt.

Parlamentarische Kontrolle: Hackbacks sind politische Handlungen mit potenziell weitreichenden außenpolitischen Konsequenzen. Eine parlamentarische Vorab-Genehmigung oder zumindest die unverzügliche Unterrichtung des Parlamentarischen Kontrollgremiums (PKGr) wäre unabdingbar.

Internationale Abstimmung: Da Cyberoperationen zwangsläufig andere Staaten berühren, braucht es vorab vereinbarte Notifikationsprozesse mit Verbündeten. Ohne diese riskiert Deutschland, selbst als Angreifer wahrgenommen zu werden.

Der Bundesrechnungshof hatte bereits im Sommer 2025 festgestellt, dass die IT des Bundes selbst „nicht auf aktuelle Bedrohungen vorbereitet" sei und die Cybersicherheitsarchitektur sich durch einen „Dschungel von Institutionen und Zuständigkeiten" auszeichne. Wer 264 neue BKA-Stellen für offensive Operationen schafft, bevor die eigene Verteidigung steht, setzt die Prioritäten falsch.

Fazit: Gute Absichten, hohe Risiken

Das „Gesetz zur Stärkung der Cybersicherheit" reagiert auf ein reales Problem. Staatliche Stellen stehen unter wachsendem Druck, auf schwere Cyberangriffe schneller und wirksamer reagieren zu können.

Gleichzeitig zeigt die Debatte, wie komplex aktive Cyberabwehr in der Praxis ist.

Attributionen bleiben fehleranfällig, Angreifer missbrauchen regelmäßig fremde Infrastruktur, und selbst technisch präzise Eingriffe können erhebliche Kollateralschäden verursachen. Die Kritik am Entwurf kommt dabei nicht nur von grundsätzlichen Gegnern staatlicher Cybermaßnahmen, sondern auch von IT-Sicherheitsexperten, Infrastrukturbetreibern und Verfassungsrechtlern.

Sinnvoll erscheinen daher allenfalls eng begrenzte, klar kontrollierte Maßnahmen als absolute Ultima Ratio – mit hohen rechtlichen Hürden, belastbarer parlamentarischer Kontrolle und transparenter Aufsicht.

Der digitale Gegenschlag bleibt jedenfalls kein Ersatz für robuste, resiliente und moderne IT-Infrastrukturen.

Solange der Bund selbst laut Bundesrechnungshof erhebliche Defizite bei der eigenen Cybersicherheit aufweist, dürfte genau dort weiterhin die wichtigste Baustelle liegen.

Read more