Cyber-Gesetzentwurf: BSI und BKA erhalten Befugnisse zu aktiven Gegenangriffen

Die Bundesregierung will deutsche Sicherheitsbehörden zu aktiven Gegenangriffen im digitalen Raum ermächtigen – und erntet dafür scharfe Kritik.

Das Bundeskabinett hat am Mittwoch einen Gesetzentwurf verabschiedet, der das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundeskriminalamt (BKA) und die Bundespolizei zu weitreichenden Eingriffen in fremde IT-Systeme befugt. Die Behörden sollen künftig Datenverkehr umleiten, auf ausländische Server zugreifen und diese sogar abschalten dürfen – ein Paradigmenwechsel in der deutschen Sicherheitspolitik.

Angesichts der neuen Befugnisse für Behörden und steigender Cyberrisiken müssen Unternehmen ihre IT-Sicherheit ohne teure Investitionen stärken. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken ohne teure Investitionen

Neue Befugnisse für mehr als 450 zusätzliche Stellen

Der Gesetzentwurf markiert eine Abkehr von rein defensiven Maßnahmen. Statt nur zu überwachen und zu analysieren, dürfen die Behörden künftig aktiv werden: Sie können Daten aus fremden Systemen lesen, löschen oder verändern. Auch das Umleiten von Datenverkehr und das Abschalten von Angreifer-Servern wird legalisiert.

Innenminister Alexander Dobrindt betonte bei der Vorstellung des Entwurfs, es gehe um „vorbeugende Gefahrenabwehr", nicht um Vergeltungsschläge. Die Maßnahmen seien ein Signal, dass der Staat bereit sei, sich gegen Cyber-Aggressoren zur Wehr zu setzen.

Für die Umsetzung sind 364 neue Stellen beim BKA, 90 bei der Bundespolizei und 21 beim BSI vorgesehen. Die jährlichen Personal- und Sachkosten werden auf rund 55 Millionen Euro geschätzt.

Kritik aus Wirtschaft und Opposition

Trotz der Beteuerungen der Regierung, das Gesetz erlaube keine „Hackbacks" im Sinne reiner Vergeltung, hagelt es Kritik. Der Digitalverband Bitkom und der Bundesverband der Deutschen Industrie (BDI) sehen verfassungsrechtliche Bedenken. Der BDI warnte vor übermäßigem staatlichem Eingriff und forderte mehr Kooperation zwischen Staat und Wirtschaft statt einseitiger Offensivaktionen.

Auch politisch steht das Vorhaben unter Beschuss. Konstantin von Notz, stellvertretender Fraktionschef der Grünen, kritisierte den Entwurf als unzureichend und schlecht definiert. Er bemängelte unklare Zuständigkeiten und fehlende politische Verantwortlichkeit für Gegenangriffe. Clara Bünger von der Linken bezeichnete den Entwurf gar als „Hackback-Gesetz", das gegen Verfassungsgrundsätze verstoße.

Selbst in der Koalition gibt es Zweifel. Der SPD-Innenexperte Fiedler äußerte Bedenken hinsichtlich der klaren Kompetenzverteilung zwischen den Behörden.

Cybercrime-Zahlen untermauern Handlungsdruck

Die Debatte fällt in eine Zeit steigender Cyberkriminalität. Der am Dienstag veröffentlichte „Bundeslagebild Cybercrime 2025" des BKA zeichnet ein düsteres Bild: 333.922 erfasste Cyberstraftaten – ein leichter Anstieg um 0,2 Prozent. Über 207.000 Fälle stammen aus dem Ausland.

Besonders alarmierend ist die Entwicklung bei Ransomware-Angriffen. Die Zahl der Fälle stieg um zehn Prozent auf 1.041. Die durchschnittliche Lösegeldforderung schnellte um 65 Prozent auf umgerechnet rund 420.000 Euro in die Höhe. Die Gesamtzahlungen erreichten mit umgerechnet etwa 14,3 Millionen Euro fast das Doppelte des Vorjahreswerts. Nur sieben Prozent der betroffenen Organisationen zahlten tatsächlich.

Auch DDoS-Angriffe legten um 25 Prozent auf über 36.000 Fälle zu. Die Zahl hacktivistisch motivierter Attacken stieg sogar um 224 Prozent. Die BKA-Analysten betonen, dass Kriminelle zunehmend Künstliche Intelligenz einsetzen – ein Argument für die Befürworter aktiverer Abwehrmaßnahmen.

Da Kriminelle zunehmend Künstliche Intelligenz einsetzen, stellt die EU-KI-Verordnung neue Regeln auf, die viele Unternehmen noch nicht kennen. Dieser kostenlose Report verschafft Ihnen den Überblick, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen

Neue Pflichten für Unternehmen

Parallel zum Gesetzentwurf wächst der regulatorische Druck auf die Wirtschaft. Das KRITIS-Dachgesetz, das am 16. März 2026 in Kraft trat, betrifft rund 1.300 Betreiber kritischer Anlagen. Sie müssen sich bis zum 17. Juli 2026 beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren, gefolgt von verpflichtenden Risikoanalysen und Resilienzplänen. Bei Verstößen drohen Bußgelder von bis zu 500.000 Euro nach nationalem Recht oder bis zu zwei Prozent des globalen Umsatzes nach dem NIS-2-Rahmen.

Der Cyber Resilience Act (CRA), seit Dezember 2024 in Kraft, stellt ab dem 11. September 2026 erste Meldepflichten für Hersteller digitaler Produkte. Besonders kleine und mittlere Unternehmen stehen vor großen Herausforderungen: Sie müssen „Security by Design" umsetzen und Schwachstellenmanagement betreiben. Das EU-Förderprogramm SECURE stellt zwar 16,5 Millionen Euro bereit, doch Kritiker halten die jährliche Unterstützung von 1,28 Millionen Euro für die CRA-Umsetzung für völlig unzureichend.

Verfassungsrechtliche Hürden und Ausblick

Die Debatte wird durch grundsätzliche Rechtsfragen erschwert. Eine am Dienstag auf dem Verfassungsblog veröffentlichte Analyse zur Drohnenabwehr verdeutlicht die Komplexität: Während die Bundeswehr für militärische Anlagen zuständig ist, bleibt der Schutz ziviler Objekte Aufgabe der Länder- und Bundespolizei. Die Analyse legt nahe, dass bestehende verfassungsrechtliche Rahmen für diese Aufgaben ausreichen – ohne die drastischen Änderungen, die der Cyber-Gesetzentwurf vorsieht.

Der Weg durch den Bundestag wird steinig. Die starke Opposition von Bitkom und BDI sowie verfassungsrechtliche Bedenken – ähnlich denen, die bereits zu Klagen gegen Landesverfassungsschutzgesetze führten – lassen eine Überprüfung durch das Bundesverfassungsgericht erwarten.

Für Unternehmen bleibt die Zeit knapp: Die Registrierungs- und Resilienzfristen des KRITIS-Dachgesetzes im Juli und die ersten Meldepflichten des CRA im September setzen die Wirtschaft unter enormen Druck. Die kommenden Monate werden zeigen, ob die Bundesregierung ihren Wunsch nach einer schlagkräftigeren Cyber-Position mit den rechtlichen und wirtschaftlichen Bedenken ihrer wichtigsten Industriezweige versöhnen kann.

de | wirtschaft | 69428979 |