Cyber-Verteidigung: Kabinett gibt BSI und BKA Offensiv-Befugnisse

Die Bundesregierung hat einen historischen Schritt gewagt: Künftig dürfen Sicherheitsbehörden direkt in digitale Infrastrukturen eingreifen.

Das Bundeskabinett gab am Mittwoch grünes Licht für ein neues Gesetzespaket zur aktiven Cyber-Verteidigung. Es erweitert die Befugnisse von BSI, BKA und Bundespolizei massiv. Die Behörden können künftig IT-Systeme stilllegen, Datenverkehr umleiten und sogar Daten löschen oder verändern. Bislang war dem BKA ein solch aktives Eingreifen nur bei internationalem Terrorismus erlaubt.

Angesichts der massiv steigenden Cyber-Bedrohungen und neuer staatlicher Eingriffsbefugnisse ist ein proaktiver Schutz für Firmen unerlässlich. Dieses kostenlose E-Book zeigt Ihnen, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne teure Investitionen erfüllen. IT-Sicherheit stärken und Unternehmen proaktiv schützen

„Der Staat muss zurückschlagen können“

Bundesinnenminister Alexander Dobrindt machte deutlich, worum es geht: „Der Staat muss in der Lage sein, zurückzuschlagen, Bedrohungen zu neutralisieren und die Infrastruktur der Angreifer zu zerstören.“ Für die neuen Aufgaben sollen 37 zusätzliche Stellen in den betroffenen Behörden geschaffen werden.

Doch der Vorstoß stößt auf heftige Kritik. Der Digitalverband Bitkom warnt vor erheblichen Risiken. „Gegenangriffe könnten massive Kollateralschäden verursachen“, heißt es. Besonders die Gefahr von Fehlzuordnungen sei groß – ein Gegenschlag könnte unschuldige Dritte treffen. Auch der BDI fordert mehr Zusammenarbeit mit der Privatwirtschaft statt staatlicher Alleingänge.

Verfassungsgericht als nächste Hürde

Parallel zeichnet sich juristischer Widerstand ab. Die FDP-Fraktion in Nordrhein-Westfalen hat im Mai 2026 Verfassungsbeschwerde gegen ein neues Landesgesetz zur Sicherheit eingereicht. Kritiker monieren den Echtzeit-Zugriff auf öffentliche Videokameras, den Einsatz von KI bei Überwachungsmaßnahmen und die Überwachung von Kontaktpersonen ohne konkreten Verdacht. Rechtsexperten erwarten, dass das Urteil weitreichende Folgen für die Pläne des Bundes haben könnte.

Cyberkriminalität auf Rekordniveau

Der Gesetzesvorstoß kommt nicht von ungefähr. Der Bundeslagebericht Cybercrime 2025 des BKA verzeichnete 333.922 Straftaten – ein leichter Anstieg von 0,2 Prozent. Besonders besorgniserregend: 207.888 Fälle hatten ihren Ursprung im Ausland.

Die Zahl der Ransomware-Angriffe stieg um zehn Prozent auf 1.041 Fälle. 90 Prozent der Opfer waren kleine und mittelständische Unternehmen. Zwar zahlten nur sieben Prozent der Betroffenen Lösegeld – doch die durchschnittliche Forderung schnellte um 65 Prozent auf umgerechnet rund 420.000 Euro in die Höhe. Die Gesamtsumme der gezahlten Lösegelder verdoppelte sich auf etwa 14,3 Millionen Euro.

Auch DDoS-Angriffe nahmen massiv zu: Im Netz der Deutschen Telekom verzeichneten die Behörden einen Anstieg um 25 Prozent auf over 36.000 Vorfälle. Noch drastischer fiel der Zuwachs bei Hacktivisten-Angriffen aus – hier betrug das Plus satte 224 Prozent.

Neue Gesetze, neue Pflichten für Unternehmen

Die Unternehmen stehen ohnehin vor einem regulatorischen Tsunami. Das KRITIS-Dachgesetz, seit dem 16. März 2026 in Kraft, betrifft rund 1.300 Betreiber kritischer Infrastrukturen. Sie müssen sich bis zum 17. Juli 2026 beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren und innerhalb von neun Monaten umfassende Risikoanalysen vorlegen.

Neben der physischen Infrastruktur rückt auch der Einsatz von Künstlicher Intelligenz zunehmend in den Fokus der Gesetzgeber. Ein kostenloser Leitfaden hilft Ihnen, die Anforderungen des EU AI Acts zu verstehen und die notwendigen Schritte zur Risikodokumentation rechtzeitig umzusetzen. Umsetzungsleitfaden zum EU AI Act kostenlos herunterladen

Die EU-NIS2-Richtlinie und der Cyber Resilience Act machen Cybersicherheit zur Chefsache. Eine Studie von G Data zeigt: 77 Prozent der Geschäftsführer fühlen sich persönlich für die IT-Sicherheit verantwortlich. Bei Abteilungsleitern sind es nur noch 60 Prozent, bei einfachen Angestellten gerade einmal 34 Prozent. Die Haftungsrisiken sind enorm: Das KRITIS-Dachgesetz sieht Bußgelder von bis zu 500.000 Euro vor, NIS2-Verstöße können mit bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes geahndet werden.

Technische Standards und digitale Souveränität

Das BSI hat am 7. April 2026 die aktualisierten C5:2026-Kriterien für Cloud-Computing veröffentlicht. Sie umfassen 168 Anforderungen in 17 Bereichen und decken nun auch Container-Management und Post-Quanten-Kryptografie ab. Ab dem 1. Juni 2027 sind sie verpflichtend.

Ein Schritt in Richtung digitaler Souveränität gelang am 26. Mai 2026: Die T Cloud Public der Deutschen Telekom wurde in das GovTech-Rahmenwerk für Cloud- und KI-Dienste aufgenommen. Bundes-, Landes- und Kommunalbehörden können nun Cloud-Ressourcen ohne langwierige Ausschreibungen beziehen – mit der Garantie, dass alle Daten in deutschen Rechenzentren nach BSI-C5- und DSGVO-Standards verarbeitet werden.

Unternehmen überfordert

Trotz aller Fortschritte: Viele Firmen kommen mit dem Tempo nicht mit. Von den 29.500 Unternehmen, die sich unter NIS2 registrieren müssen, hatten bis zum 6. März 2026 erst 11.000 ihre Pflicht erfüllt. Und eine Bitkom-Studie vom 22. Mai 2026 zeigt: 97 Prozent der Unternehmen empfinden den Aufwand für die DSGVO als hoch, 69 Prozent sagen, die Regeln hätten das Training von KI-Modellen erschwert.

Ausblick

Die deutsche Cybersicherheitspolitik wird offensiver. Mit dem Kabinettsbeschluss rüstet sich der Staat für direkte Eingriffe in digitale Bedrohungen. Ob diese Befugnisse verfassungsrechtlich Bestand haben, werden die kommenden Monate zeigen.

Für die Wirtschaft zählen die nächsten Wochen: Bis Mitte Juli müssen KRITIS-Betreiber ihre Registrierung abgeschlossen haben. Ab dem 11. September 2026 greifen dann die ersten Meldepflichten des Cyber Resilience Acts. Der Druck auf die Vorstände, Sicherheit und Rechtstreue als Kernaufgabe zu begreifen, war noch nie so groß wie heute.

de | wirtschaft | 69427155 |