Cyberabwehr-Gesetz: Deutschland plant aktive Eingriffe gegen Angreifer
Wirtschaft und Verbände warnen vor weitreichenden Eingriffen in die Datenhoheit und zusätzlicher Bürokratie
Das Bundeskabinett hat am 27.5. die Vorlage von Bundesinnenminister Alexander Dobrinth zum „Gesetz zur Stärkung der Cybersicherheit“ verabschiedet. Sicherheitsbehörden sollen künftig aktiv in IT-Systeme, Datenverkehr und digitale Infrastrukturen von Angreifern und Opfern ohne deren Wissen eingreifen können. Das erinnert stark an die auch vom BMI kritisierten US-Gesetze wie den Cloud Act.
Nein, es geht nicht um eine Datenmaut für ausländische Verkehrsteilnehmer, vielmehr verschärft die Bundesregierung ihren sicherheitspolitischen Kurs für Datenverkehr im Cyberraum. Mit dem „Gesetz zur Stärkung der Cybersicherheit“ sollen Bundeskriminalamt, Bundespolizei und Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig deutlich weitergehende Befugnisse erhalten. Ziel ist es, Cyberangriffe nicht mehr ausschließlich defensiv zu behandeln, sondern Angreifer aktiv zu stören und laufende Attacken direkt zu unterbinden.
Der Gesetzentwurf wurde am Mittwoch vom Bundeskabinett beschlossen. Hintergrund ist die wachsende Zahl hochprofessioneller Angriffe auf Unternehmen, Behörden und kritische Infrastrukturen. Laut Bundesregierung reichen klassische Schutzmaßnahmen inzwischen nicht mehr aus, um komplexe und langfristig vorbereitete Angriffskampagnen wirksam abzuwehren.
Herr Minister, definiere „Hackback“
Bundesinnenminister Alexander Dobrindt (CSU) formuliert den neuen Ansatz ungewöhnlich offensiv: „Wir schlagen zurück. Wir schalten die Bedrohung aus, wenn wir angegriffen werden. Wir werden Angreifer stören und deren Infrastruktur zerstören können.“
Dobrinth wehrt sich trotz dieser klaren Worte gegen den Vorwurf, es handle sich um einen „Hackback“-Plan. Der Bundesinnenminister versteift sich darauf, dass ein Hackback eine Art „Rache“ beinhalte, hier ginge es jedoch nur um Abwehr. Woher der Innenminister diese Definition nimmt, bleibt ebenso rätselhaft wie unerheblich.
Wichtig ist: Der Entwurf markiert einen deutlichen Strategiewechsel in der deutschen Cyberpolitik. Während Sicherheitsbehörden bislang primär auf Prävention, Beobachtung und Schadensbegrenzung setzten, rückt nun erstmals eine aktive Cyberabwehr stärker in den Mittelpunkt.
BKA und Bundespolizei sollen direkt eingreifen dürfen
Konkret sieht der Entwurf umfangreiche neue Befugnisse für Bundeskriminalamt und Bundespolizei vor. Künftig sollen Behörden unter anderem:
- den Betrieb informationstechnischer Systeme untersagen,
- Datenverkehr umleiten oder blockieren,
- sowie Daten in IT-Systemen auslesen, löschen oder verändern dürfen.
Bundeskriminalamt (BKA) und Bundespolizei erhalten damit die Befugnis zur "Erhebung, Löschung oder Veränderung von Daten auch durch Eingriff mit technischen Mitteln in ein informationstechnisches System ohne Wissen des Betroffenen" (zitiert aus dem Gesetzesentwurf).
Damit sollen Behörden nicht nur laufende Angriffe erkennen, sondern Angreifer unmittelbar technisch stören können. Das Bundesministerium des Innern (BMI) argumentiert, dass moderne Cyberangriffe zunehmend arbeitsteilig, international und hochautomatisiert ablaufen. Besonders staatlich unterstützte Gruppen sowie professionelle Ransomware-Strukturen würden Sicherheitsbehörden vor neue Herausforderungen stellen.
BSI erhält mehr operative Befugnisse, KRITIS mehr Aufgaben
Der Gesetzentwurf des BMI sieht zudem deutlich erweiterte Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Dabei geht es jedoch primär um „Angriffserkennung, Informationsgewinnung, technische Schutzmaßnahmen, sowie Eingriffe auf Infrastruktur- und Dienste-Ebene“.
Das BSI soll künftig zusätzliche Befugnisse gegenüber DNS-Anbietern, digitalen Diensteanbietern, Telekommunikationsunternehmen, sowie KRITIS-Betreibern erhalten. Geplant sind unter anderem neue Anordnungsbefugnisse, erweiterte Informationspflichten, sowie automatisierte Meldesysteme.
Besonders relevant ist dabei das sogenannte „Heartbeat“-Prinzip für kritische Infrastrukturen. KRITIS-Betreiber sollen künftig automatisiert Verfügbarkeitsdaten sowie Informationen aus Angriffserkennungssystemen an das BSI übermitteln. Die Bundesregierung argumentiert, dass dadurch Angriffe früher erkannt und koordinierte Angriffsmuster schneller identifiziert werden könnten.
Angriffserkennung soll zentralisiert werden
Ein weiterer Schwerpunkt liegt auf dem Ausbau des Schadprogramm-Erkennungssystems (SES) des Bundes. Dieses System analysiert Kommunikationsdaten auf verdächtige Muster und soll künftig leistungsfähiger werden.
Das BMI begründet dies mit der zunehmenden Professionalisierung hybrider Bedrohungen. Neben klassischer Cyberkriminalität spielen laut Bundesregierung zunehmend staatlich unterstützte Akteure, Desinformationskampagnen, Sabotage sowie geopolitisch motivierte Angriffe eine Rolle.
Deutschland stehe als führende Industrienation und NATO-Mitglied besonders im Fokus professioneller Cyberoperationen.
Wirtschaft, definiere Hackback
Schon der Ende Februar 2026 verbreitete Referentenentwurf stieß auf scharfe Kritik von Branchenverbänden wie dem Eco: "Maßnahmen, die auf das Löschen oder Verändern von Daten durch technische Mittel abzielen und faktisch als 'Hackback' zu qualifizieren sind, sind aus Sicht der Internetwirtschaft hoch problematisch", schrieb der Eco in seiner Stellungnahme .
Auch die Gesellschaft für Informatik (GI) unterstreicht in ihrer Stellungnahme, dass "IT-Sicherheit präventiv gestaltet werden muss und intrusive Maßnahmen wie sogenannte Hackbacks abzulehnen sind".
Bitkom kritisiert Überregulierung und Sonderwege
Der Digitalverband Bitkom unterstützt zwar grundsätzlich das Ziel, die Cybersicherheit zu stärken, sieht den Entwurf jedoch in Teilen kritisch. In seiner Stellungnahme warnt der Verband vor übermäßigen Eingriffsbefugnissen, zusätzlichen Mitwirkungspflichten, nationalen Sonderregelungen, sowie wachsender Bürokratie.
Besonders problematisch sei, dass der Gesetzentwurf teilweise über bestehende europäische Vorgaben hinausgehe. Dadurch könnten zusätzliche Belastungen für Unternehmen entstehen, ohne dass die tatsächliche Sicherheitslage proportional verbessert werde.
Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, äußert sich wie folgt: „An entscheidenden Stellen schießt der Entwurf […] über das Ziel hinaus. Besonders kritisch sind die neuen Eingriffsbefugnisse für Bundespolizei und BKA, die faktisch sogenannte Hackbacks ermöglichen, also Maßnahmen, bei denen eine Cyberbedrohung mit einem Gegenangriff auf das System des Angreifers beantwortet wird. Weil sich Cyberangriffe technisch häufig nicht zweifelsfrei zuordnen lassen und Täter falsche Spuren legen, drohen unbeteiligte Dritte getroffen zu werden. Dadurch wird die Sicherheit im Internet insgesamt geschwächt.“
Das Ziel einer stärkeren Cybersicherheit sei sich vor allem durch Prävention, resiliente Strukturen und enge Kooperation entlang der digitalen Lieferkette zu erreichen. Darauf gelte es ab jetzt im parlamentarischen Verfahren hinzuwirken. Gesetzliche Eingriffsbefugnisse würden erfahrungsgemäß auf beiden Seiten hohen bürokratischen Aufwand erzeugen, ohne im Einzelfall wirksam zu sein.
Bitkom fordert stattdessen klare Zuständigkeiten, praxistaugliche Umsetzungsregeln, verhältnismäßige Eingriffe und eine stärkere Orientierung an europäischen Standards.
Gerade bei Fristen, technischen Anforderungen und Meldepflichten sieht der Verband noch erhebliche Unklarheiten.
Debatte um digitale Souveränität und Eingriffsbefugnisse
Der Gesetzentwurf berührt zugleich eine grundsätzliche politische Debatte: Wie weit darf staatliche Cyberabwehr gehen?
Befürworter argumentieren, Deutschland müsse angesichts professioneller Angriffe endlich handlungsfähiger werden. Moderne Angreifer würden hochautomatisiert agieren und Schwachstellen gezielt ausnutzen. Rein defensive Sicherheitsmaßnahmen reichten deshalb nicht mehr aus.
Kritiker warnen dagegen vor Eingriffen in digitale Infrastrukturen, Kollateralschäden, Rechtsunsicherheit, sowie möglichen Konflikten mit internationalen Zuständigkeiten. Gerade die Möglichkeit, Datenverkehr umzuleiten oder Systeme aktiv zu manipulieren, gilt unter Sicherheitsexperten als hochsensibel. Denn Cyberoperationen lassen sich technisch häufig nur schwer eindeutig zuordnen.
Die Grünen beispielsweise halten im Entwurf für nicht geklärt, welche Behörde welche Befugnisse bekäme und wer letztlich die Verantwortung bei digitalen Gegenschlägen übernehme. Eine Sprecherin der Linken hält den Entwurf einfach für verfassungswidrig.
Eine hitzige wie wegweisende parlamentarische Debatte scheint vorprogrammiert.