Mission Cybernation : Deutschlands Cybersicherheit im Budget-Check

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich dem Aufbau der „Cybernation Deutschland“ verschrieben – dem Ziel, Deutschland digital souverän und widerstandsfähig zu machen. Das Rekordbudget für das BSI, das durch den Bundestag für das Haushaltsjahr 2026 beschlossen wurde, mag auf den ersten Blick positiv stimmen.

Doch wie steht es um die Mittelverwendung und die Finanzierung der Cybernation? Bei genauerem Hinsehen offenbart sich eine Kluft zwischen dem Anspruch und der Realität einer „wehrhaften Demokratie“: Statt strukturelle Reformen anzugehen, flüchtet sich die Bundesregierung in finanzpolitische Kunstgriffe. Es werden hohe Geldsummen veranschlagt, während die institutionelle Basis kaum weiterentwickelt wird und die operative Handlungsfähigkeit erodiert. Dies führt zu einer schleichenden Aushöhlung. Wie kann dem begegnet werden?

Ein strukturelles Dilemma

Die Cybersicherheit in Deutschland steckt in einem strukturellen Dilemma, das sich in zwei widerstreitenden Prinzipien zeigt:

1. Effektive Führung: Die Notwendigkeit einer zentralen Führung und einheitlicher Standards, um hybride Angriffe wirksam und schnell abzuwehren.
2. Föderale Souveränität: Die Wahrung der verfassungsrechtlichen Länderhoheit in Sicherheitsfragen (Art. 30 GG), die einer Zentralisierung entgegensteht.

Erschwerend ist, dass allein auf Bundesebene über 70 Einrichtungen einer dynamischen Bedrohungslage gegenüberstehen.

Budget-Check für 2026

Da diese strukturelle Blockade derzeit politisch kaum lösbar scheint, wählt die Bundesregierung die Flucht nach vorn: den Weg des Geldes. Doch damit verlagert sie die Blockade lediglich von der konstitutionellen auf die finanzielle Ebene. Im Haushaltsjahr 2026 kollidieren nun zwei neue Prinzipien: Die angesichts der „Zeitenwende“ erforderliche politische Haushaltsflexibilität steht der operativen Etatreife gegenüber.

So stellt das Haushaltsjahr 2026 eine Zäsur dar: Das BSI verzeichnet einen Sprung auf 379 Millionen Euro. Dies entspricht einer Steigerung von rund 64 Prozent im Vergleich zum Jahr 2025. Was nach der Kritik der vergangenen Jahre in die richtige Richtung zu weisen scheint, läuft bei genauerer Betrachtung aber auf eine Aushöhlung hinaus:

• Es wird auf den Hebel der Bereichsausnahme der Schuldenbremse gesetzt, um das BSI-Budget weitgehend kreditfinanziert aufzublähen. Bislang sind jedoch keine klaren, einheitlich angewandten Abgrenzungskriterien definiert, welche Ausgaben konkret unter diese Ausnahme fallen: Während also fast alle Ausgaben des BSI dem Topf der Bereichsausnahme zugeordnet sind, sind anderen Sicherheitsbehörden wie der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) von diesem Topf null Prozent zugeordnet. Das frische Geld fließt dabei in erheblichem Maße in Projekte (plus 218 Prozent). Doch der Bundesrechnungshof (BRH) zweifelt die „Etatreife“ dieser Mittel an: In den Vorjahren blieben erhebliche Projektmittel ungenutzt. Es droht ein „Geldstau“ statt Wirkung. Dieses Problem ist also schon seit längerem bekannt.
• Der operative Dauerbetrieb hängt an besetzten Stellen, nicht an Projektbudgets. Und dort erodiert die Substanz. Zwar wächst das BSI künftig noch weiter auf dem Papier (u. a. hunderte geplante Stellen für die Umsetzung der NIS-2-Richtlinie), doch die Realität ist ernüchternd: Im Juli 2025 waren über 15 Prozent der Stellen unbesetzt. Das zusätzliche Budget verpufft, weil die Behörde es nur zum Teil in qualifizierte „Köpfe“ umwandeln kann. Wenn die Mittel massiv steigen, das Personal zur Steuerung und Umsetzung dieser Projekte jedoch fehlt, kann die Verwaltung die am Markt verfügbaren Lösungen gar nicht wirksam implementieren. Erschwerend kommt hinzu, dass ein Teil des Personal­aufwuchses faktisch durch die „pauschale Minderausgabe“ neutralisiert wird. Stellen müssen demnach unbesetzt bleiben, nur um Tarifsteigerungen im öffentlichen Dienst zu decken. Ein Beleg für Effizienzgewinne hinsichtlich der Zusammenarbeit der Referate fehlt bislang. Abgesehen davon kritisiert der BRH die massiv gestiegenen Mietkosten für die Liegenschaften des BSI.
• Gleichzeitig werden essenzielle Vorhaben wie das schon seit mehreren Jahren angekündigte Kompetenzzentrum operative Sicherheitsberatung (KoSi Bund) mangels Priorisierung gestrichen. Dabei ist dieses interne Know-how zwingend erforderlich, um externe Unterstützung überhaupt zielgerichtet steuern und in die Behördenstrukturen integrieren zu können. Ohne diese interne Andockstelle laufen selbst hochwertige externe Projekte Gefahr, isoliert zu bleiben und keine nachhaltige Wirkung zu entfalten.
• Verschärft wird dies durch die fehlende budgetäre Eigenständigkeit: Das BSI hängt quasi am Tropf des Bundesministeriums des Inneren (BMI), wo es in Konkurrenz zu Aufgaben der inneren Sicherheit steht. Außerdem gibt es kein ressortübergreifendes Controlling, das zeigt, wie viel Geld der Bund insgesamt für Cybersicherheit ausgibt. Das BMI kennt weder die Ausgaben der anderen Ressorts noch koordiniert es diese. Damit ist eine strategische Steuerung faktisch unmöglich (siehe interner Bericht des BRH vom Juli 2025).

Diese Punkte tragen im Zusammenwirken zur Aushöhlung bei, denn die Fassade wird gestrichen, das Fundament aber bröckelt weiter.

Internationaler Vergleich: Von Partnern lernen

Andere Staaten haben wichtige Fragen der politischen Steuerung und Mittelverwendung entschieden und beugen einer drohenden Aushöhlung vor:

Israel: Agilität und Community

Israel demonstriert mit seinem Israel National Cyber Directorate (INCD) und mit seiner hohen Effektivität der Cyberabwehr exemplarisch, dass die schiere Anzahl der Behördenmitarbeiter nicht gleichbedeutend mit Qualität ist. So setzt das INCD, welches im Geschäftsbereich des Premierministeramtes verankert ist, mit deutlich weniger festem Personal auf maximale Flexibilität. Das israelische Modell ist aufgrund seiner schnellen Skalierbarkeit durch Reservisten und der Integration von Start-ups in Krisenzeiten ein Vorbild hinsichtlich Anpassungsfähigkeit und Resilienz. Das BSI geht mit der Einbindung der Community in die Fortentwicklung des IT-Grundschutz hin zum „Grundschutz++“ einen richtigen Schritt in Richtung Partizipation. Das kann jedoch nur ein Zwischenschritt sein.

Skandinavische Länder: „Total Defence“ und die zivil-militärische Frage

Während Schweden und Dänemark mit deren jeweiligen „Total Defence“-Ansätzen zivile und militärische Cyberabwehr institutionell verschmelzen, zieht das verfassungsrechtliche Trennungsgebot in Deutschland eine Grenze zwischen BSI und dem Kommando Cyber- und Informationsraum (KdoCIR). Das Nationale Cyber-Abwehrzentrum fungiert zwar als Austauschplattform, ersetzt jedoch keine gemeinsame Führung. Es hat bislang keinen nachweislichen Mehrwert für die Cybersicherheit erbracht. Diese strikte Trennung wahrt staatsrechtliche Prinzipien und stärkt traditionell das Vertrauen der Wirtschaft, droht jedoch von der Realität hybrider Bedrohungen überrollt zu werden. Eine ehrliche Debatte über eine Flexibilisierung des Trennungsgebots und damit der Zuteilung der jeweiligen Budgets ist dringend geboten.

Ein Blick in die USA: Agenda-Setting durch Marktmacht

Die Cybersecurity and Infrastructure Security Agency (CISA) in den USA hat stets eindrucksvoll demonstriert, wie der Staat seine Marktmacht als Großkunde nutzt, um Standards wie „Secure by Design“ in die Software-Lieferketten zu bringen. Doch unter der zweiten Administration von Präsident Donald Trump zeigt sich derzeit ein besorgniserregendes Bild: Die CISA gerät ins Visier ideologischer Kämpfe. Budgets für die Abwehr von Desinformation werden gekürzt. Die Behörde droht durch Deregulierung und politische Säuberungen handlungsunfähig zu werden. Für Deutschland heißt das: Die Marktmacht-Strategie adaptieren als Wachstumsmotor für den Hightech-Standort Deutschland und technologische Souveränität europäisch verfolgen.

Plädoyer für eine Strategie und Maßnahmenumsetzung

Das alles kann nur mit einem klaren Bild für die Lage und einer übergreifenden Strategie gelingen. Deutschlands Sicherheit im Cyberraum braucht in erster Linie also eine strategische Neuausrichtung und Maßnahmen, um die beschriebene Aushöhlung zu stoppen, keinen Finanz-Booster.

• Institutionelle Emanzipation: Ein „Weiter so“ für das BSI im Geschäftsbereich des BMI ist nicht zielführend, da die Cybersicherheit hier in ständiger Ressourcenkonkurrenz zu anderen Sicherheitsbehörden steht. Ob eine Anbindung an das Bundeskanzleramt – analog zum INCD in Israel – oder die Umwandlung in eine unabhängige Oberbehörde der Königsweg ist, muss rechtlich abgewogen und politisch entschieden werden. Letztlich ausschlaggebend ist die finanzielle Unabhängigkeit. Denn eine Reform der institutionellen Einbettung des BSI, etwa als Zentralstelle im Bund-Länder-Verhältnis, bleibt ohne eigenes Budget zahnlos. Hierfür braucht es mittelfristig einen eigenen Einzelplan für das BSI im Haushalt. Nur so fließt das Geld nach fachlicher Notwendigkeit in wirksame Sicherheitsmaßnahmen – ob strategisch oder operativ – und versickert nicht nach politischer Opportunität im administrativen Überbau.
• Diskrepanz im Haushalt auflösen: Die Lücke zwischen dem Bekenntnis der Nationalen Sicherheitsstrategie und der budgetären Realität muss geschlossen werden. Die Lücke ist gekennzeichnet durch überproportionale Aufwendungen für konventionelle Waffensysteme im Verhältnis zu einem nur unzureichend zielgerichteten Cyberbudget. Sicherheits­ausgaben – ob im Kernhaushalt oder in Sondervermögen – müssen koordiniert und konsequent für moderne Cybersicherheit statt für veraltete Technologien eingesetzt werden (siehe hierzu die Forderungen von Spitzenökonomen im März 2025).

Fazit

Die „Mission Cybernation“ entscheidet sich nicht an der Höhe der Bereichsausnahmen in der Schuldenbremse oder dem quantitativen Stellenaufwuchs. Sie entscheidet sich daran, ob die Bundesregierung den Mut aufbringt, strategische Entscheidungen zu treffen, die föderale Kleinstaaterei der Realität im Cyberspace unterzuordnen. Nur so kann eine Aushöhlung verhindert und eine nachhaltige Sicherheitsarchitektur erreicht werden.

Andreas G. Barke ist Consultant bei der HiSolutions AG mit Schwerpunkten auf dem Aufbau und der Verbesserung von Informationssicherheitsmanagementsystemen (ISMS) auf Basis von IT-Grundschutz sowie den Themenfeldern Cybersecurity Regulation und Political Affairs.