Cybersicherheitsgesetz : Cybersicherheit braucht mehr Staat – aber nicht weniger Rechtsstaat

Der Referentenentwurf für ein Gesetz zur Stärkung der Cybersicherheit markiert einen sicherheitspolitischen Richtungswechsel, der dringend notwendig ist. Der Entwurf reagiert auf eine Lage, in der Cyberangriffe längst nicht mehr nur technische Störungen, sondern machtpolitische Instrumente und wirtschaftliche Druckmittel sind. Dabei benennt der Entwurf das Problem selbst ungewöhnlich klar: Angriffe im Cyberraum überwinden Zuständigkeits- und Landesgrenzen mühelos, treffen kritische Infrastrukturen, Unternehmen und staatliche Stellen zugleich und können das Gemeinwesen massiv beeinträchtigen. Genau darin liegt die Schlüsselerkenntnis: Das Gesetz verabschiedet sich von der stillschweigenden Annahme, Cybersicherheit lasse sich ausschließlich durch Prävention aufseiten der Betroffenen stärken. Prävention bleibt unverzichtbar, aber sie genügt angesichts einer veränderten geopolitischen Situation und Bedrohungslage offenkundig nicht mehr.

Wer die Lage nüchtern betrachtet, kommt an diesem Befund kaum vorbei. Das Bundeskriminalamt (BKA) weist in seinem jüngsten „Bundeslagebild Cybercrime“ für das Jahr 2024 131.391 in Deutschland verübte Cybercrime-Fälle aus, bei 201.877 Straftaten handelt es sich um Auslandstaten. Der Digitalverband Bitkom schlägt mit seiner Wirtschaftsschutzstudie 2025 eine ähnliche Richtung ein. Er stellt nicht nur fest, dass der Schaden durch Cyberangriffe auf 202,4 Milliarden Euro angewachsen ist. Zusätzlich verzeichnet der Verband zunehmende Aktivitäten auch bei ausländischen Nachrichtendiensten. Die digitale Sicherheitslage ist messbar ernster geworden. Ein Staat, der im Analogen Gefahren abwehrt, Infrastruktur schützt und Straftaten verhindert, kann sich im Digitalen nicht dauerhaft auf Warnhinweise und nachgelagerte Unterstützung ausruhen.

Cybersicherheitsgesetz im Grundsatz richtig

Hier setzt der Entwurf an. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll in herausgehobenen Fällen nicht erst tätig werden, wenn ein Schaden bereits eingetreten ist, sondern schon bei Anzeichen eines sogenannten „Prepositioning“. Gemeint sind damit vorbereitende Handlungen von Angreifern in IT-Systemen. Parallel erhalten BKA und Bundespolizei eigene cyberspezifische Eingriffsbefugnisse. Sie sollen den Betrieb von IT-Systemen untersagen, Datenverkehr umleiten oder unterbinden sowie Daten in Systemen erheben, löschen oder verändern dürfen. Der Staat soll damit aus einer weitgehend passiv-unterstützenden Beraterrolle in eine handlungsfähigere digitale Gefahrenabwehr kommen.

Das ist im Grundsatz richtig. Cyberschutz kann nicht mehr allein auf die Resilienz der Opfer abgewälzt werden, denen vielfach noch die personellen, strukturellen und wirtschaftlichen Kapazitäten fehlen. Deshalb erwarten Unternehmen, Kommunen oder Betreiber kritischer Infrastrukturen zu Recht mehr als Lagebilder und Checklisten. Sie erwarten, dass Sicherheitsbehörden unter klaren gesetzlichen Voraussetzungen technisch eingreifen, um Schaden zu begrenzen.

Befugniserweiterung im internationalen Kontext

Zentral ist es, diesen Befugnisausbau nicht reflexhaft mit militärisch verstandenen Hackbacks gleichzusetzen. Der Entwurf bewegt sich nicht im Feld militärisch geführter digitaler Gegenschläge als Vergeltungs- oder Strafmaßnahme gegen ausländische Gegner. Das wäre völkerrechtlich umstritten und verfassungsrechtlich in Deutschland nur unter erheblichen Hürden denkbar. Der vorliegende Entwurf zielt auf gefahrenabwehrrechtliche, punktuelle und funktionsgebundene Maßnahmen. Nur im Ausnahmefall darf es verdeckte technische Eingriffe in Systeme geben, wobei dafür die juristischen Hürden besonders hoch anzusetzen sind.

Insbesondere vor dem Hintergrund einer gemeinsamen europäischen Cybersicherheitsarchitektur ist der eingeschlagene Weg nicht isoliert. Andere Staaten stärken seit Jahren die operative Seite ihrer Cyberabwehr, flankieren nationale CERT-Strukturen mit polizeilichen Möglichkeiten zur digitalen Gefahrenabwehr. Der Entwurf trägt diesem Befund Rechnung, wenn er internationale Zusammenarbeit ausdrücklich adressiert und beim BKA neue Aufgaben für Cybergefahren mit außen- und sicherheitspolitischer Bedeutung schafft.

Schutzlücken offenbaren Überarbeitungsbedarf

Allerdings wird die Akzeptanz für das Gesetz bei Unternehmen, der Bevölkerung und der Sicherheitsgemeinschaft am Ende nicht daran gemessen werden, ob er Behörden mehr Instrumente gibt, sondern ob er diese Instrumente überprüfbar und missbrauchsfest einhegt. Hier bleibt man hinter dem zurück, was für wirklich rechtsstaatlich austarierte offensive Cyberbefugnisse erforderlich wäre. Er enthält zwar Hürden, etwa den Richtervorbehalt für bestimmte Eingriffe in private informationstechnische Systeme, Benachrichtigungs- und Protokollierungspflichten sowie Verweise auf den Schutz des privaten Kernbereichs. Dennoch zeigen sich im Detail Schutzlücken.

Ein erstes Beispiel betrifft die Asymmetrie der Kontrolle. Für einschneidende Maßnahmen – etwa die Untersagung des Betriebs IT-Systeme oder die Umleitung, Unterbindung und Aufzeichnung von Datenverkehr – sieht der Entwurf einen vorgelagerten Richtervorbehalt nicht vor. Dabei können gerade diese Maßnahmen erhebliche Folgen für Dritte mit sich bringen, besonders wenn über Provider, Dienste oder geteilte Infrastrukturen eingegriffen wird. Wenn der Entwurf zulässt, dass andere Personen unvermeidbar betroffen sind, dann wäre es folgerichtig, wenigstens für besonders folgenschwere Betriebsuntersagungen oder Interventionen in den Internetverkehr zusätzliche Verfahrensschritte vorzusehen.

Ein zweites Beispiel betrifft Transparenz und nachgelagerte Kontrolle. Bei den neuen BSI-Befugnissen zu Nameserverumleitungen ist nur vorgesehen, dass die oder der Bundesdatenschutzbeauftragte jährlich über die Gesamtzahl angeordneter Umleitungen informiert wird. Das ist als Mindestkontrolle zu wenig. Wer in Kommunikationsbeziehungen, Domains oder digitale Infrastrukturen eingreift, sollte zusätzlich einem fallbezogenen, unabhängigen Kontrollregime unterliegen. Gerade bei verdeckten Maßnahmen, wie wir sie im aktuellen Gesetzentwurf vorfinden, ist nicht nur die Zulässigkeit des Einstiegs, sondern auch die Pflicht zum frühestmöglichen Ausstieg rechtsstaatlich entscheidend.

Offensive Cyberfähigkeiten bleiben Ultima Ratio

Deshalb sollte die anstehende Verbändeanhörung genutzt werden, um den Entwurf in rechtstaatlicher Hinsicht zu präzisieren. Offensive Cyberfähigkeiten mögen heute in Teilen notwendig sein. Aber sie dürfen nur als ultima ratio eingesetzt werden. Ein moderner Staat braucht im Cyberraum mehr Handlungsfähigkeit, aber keine digitale Exekutive im Blindflug.

Dennis-Kenji Kipker ist Gründer und Research Director des Cyberintelligence Institute mit Sitz in Frankfurt am Main und Berlin. Das CII betreibt Forschung zur Stärkung von digitaler Resilienz und Cybersicherheit und engagiert sich für den Transfer in Wirtschaft, Verwaltung und Gesellschaft.