Cyberabwehr: Kabinett gibt BSI und BKA Befugnisse zum aktiven Eingreifen

Das Kabinett hat am Mittwoch ein Gesetz auf den Weg gebracht, das Sicherheitsbehörden weitreichende Befugnisse zur aktiven Abwehr von Cyberangriffen einräumt. BSI, BKA und Bundespolizei dürfen künftig selbst eingreifen – statt nur zu warnen.

Von der Beratung zum Eingreifen

Bisher durften deutsche Sicherheitsbehörden bei Hackerangriffen nur zuschauen und analysieren. Das ändert sich nun grundlegend. Der Gesetzentwurf erlaubt es BKA, Bundespolizei und dem Bundesamt für Sicherheit in der Informationstechnik (BSI), aktiv in laufende Attacken einzugreifen. Konkret bedeutet das: Die Behörden dürfen Datenverkehr umleiten oder blockieren, IT-Systeme herunterfahren und sogar Daten auf entfernten Servern löschen oder verändern.

Angesichts der neuen gesetzlichen Befugnisse und der verschärften Bedrohungslage müssen Unternehmen ihre IT-Sicherheit heute proaktiv gestalten. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Sicherheitslücken schließen und gleichzeitig alle neuen rechtlichen Anforderungen erfüllen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen

Bislang waren solche Eingriffe nur bei der Terrorismusbekämpfung erlaubt. Innenminister Alexander Dobrindt betonte, der Staat müsse seine Bürger schützen und „zurückschlagen können". Er stellte jedoch klar, dass es nicht um Vergeltungsschläge gehe, sondern um „aktive Gefahrenabwehr". Die Regierung wolle Bedrohungen bereits im Entstehen beseitigen.

Das BSI bekommt zudem erweiterte Befugnisse zur Datensammlung und -analyse. Die Behörde darf künftig nach Aktivitäten fahnden, die auf einen bevorstehenden Angriff hindeuten. Telekommunikationsfirmen und Digitalkonzerne werden verpflichtet, BSI-Informationen über konkrete Gefahren direkt an ihre Nutzer weiterzuleiten.

Für die Umsetzung der neuen Aufgaben schafft der Bund 37 neue Stellen in den betroffenen Behörden.

Neue Pflichten für Unternehmen

Das aktive Verteidigungsgesetz ist nicht der einzige regulatorische Brocken, der auf die deutsche Wirtschaft zukommt. Bereits am 16. März trat das KRITIS-Dachgesetz in Kraft. Rund 1.300 Betreiber in elf kritischen Sektoren müssen nun umfassende Resilienzpläne vorlegen, Risikoanalysen durchführen und Konzepte zur Personalsicherheit etablieren.

Die Fristen sind knapp bemessen: Betroffene Unternehmen müssen sich bis zum 17. Juli 2026 beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Bei Verstößen drohen Bußgelder von bis zu 500.000 Euro. Noch teurer wird es, wenn ein Verstoß gleichzeitig gegen die NIS2-Richtlinie verstößt – dann sind Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes möglich.

Auch der Technologiesektor steht unter Druck. Der Cyber Resilience Act (CRA) ist zwar bereits seit Ende 2024 in Kraft, doch die ersten Meldepflichten beginnen am 11. September 2026. Experten warnen, dass besonders kleine und mittlere Unternehmen (KMU) verwundbar sind, da Geschäftsführer persönlich haften können. Ein EU-Programm stellt zwar 16,5 Millionen Euro zur Unterstützung bereit, doch die jährliche staatliche Förderung in Deutschland liegt bei lediglich rund 1,28 Millionen Euro.

Bedrohungslage eskaliert

Die Verschärfung der Gesetze kommt nicht von ungefähr. Das BKA verzeichnete 2025 insgesamt 333.922 Cyber-Straftaten – ein leichter Anstieg zum Vorjahr. Besonders besorgniserregend sind die Entwicklungen in einzelnen Kategorien:

Die Zahl der Ransomware-Angriffe stieg um zehn Prozent auf 1.041 Fälle. In 90 Prozent der Fälle waren KMU die Opfer. Die finanziellen Schäden explodieren regelrecht: Zwar zahlten nur sieben Prozent der Betroffenen Lösegeld, doch der durchschnittliche Zahlbetrag schnellte um 65 Prozent auf umgerechnet rund 420.000 Euro in die Höhe. Die gesamten Lösegeldzahlungen beliefen sich auf umgerechnet etwa 14,3 Millionen Euro – fast eine Verdoppelung.

Da gerade kleine und mittelständische Unternehmen immer häufiger zum Ziel massiver Ransomware-Attacken werden, ist ein fundiertes Sicherheitskonzept unverzichtbar. Erfahren Sie im kostenlosen E-Book der Experten, wie Sie Ihr Unternehmen mit einfachen Maßnahmen effektiv vor kostspieligen Angriffen schützen. Gratis-E-Book: Cyber-Bedrohungen erfolgreich abwenden

Auch andere Angriffsformen nehmen dramatisch zu: DDoS-Attacken legten um 25 Prozent zu, hacktivistische Aktivitäten sogar um 224 Prozent. Der Trend setzt sich 2026 fort: Im ersten Quartal stiegen Banking-Trojaner-Fälle um 196 Prozent auf 1,24 Millionen Vorfälle.

Widerstand aus Wirtschaft und Politik

Die Pläne der Regierung stoßen auf erhebliche Kritik. Der Digitalverband Bitkom warnt, dass aggressive Gegenmaßnahmen unbeabsichtigt unbeteiligte Dritte treffen könnten. Der Bundesverband der Deutschen Industrie (BDI) zeigt sich skeptisch gegenüber dem Ausmaß staatlicher Eingriffe in private IT-Systeme.

Auch politisch und juristisch formiert sich Widerstand. Die FDP-Fraktion in Nordrhein-Westfalen hat im Mai Verfassungsbeschwerde gegen ein neues Landesgesetz eingereicht, das seit April in Kraft ist. Kritisiert werden unter anderem der Echtzeitzugriff auf öffentliche Videoüberwachung und die Kontaktüberwachung ohne konkreten Verdacht. Rechtsexperten vermuten, dass das Urteil des Bundesverfassungsgerichts zu diesen Landesbefugnissen auch Auswirkungen auf die bundesweiten Pläne von Minister Dobrindt haben könnte.

Neue Standards für die Cloud

Parallel zu den erweiterten Behördenbefugnissen verschärft der Bund auch die technischen Anforderungen. Im April veröffentlichte das BSI die aktualisierten C5:2026-Kriterien für Cloud-Computing. Sie umfassen 168 Anforderungen in 17 Themenbereichen, darunter neue Vorgaben für Container-Management, vertrauliches Rechnen und Post-Quanten-Kryptografie.

Die Standards sollen als Grundlage für die Einhaltung der NIS2-Richtlinie und des Digital Operational Resilience Act (DORA) dienen. Ab dem 1. Juni 2027 werden die C5-Kriterien verpflichtend. Das kommt zu einer Zeit, in der deutsche Unternehmen bereits über hohe regulatorische Hürden klagen: 97 Prozent der Firmen bewerten den Aufwand für die DSGVO-Einhaltung als hoch, 69 Prozent sehen die bestehenden Datenschutzregeln als Hindernis für die Künstliche Intelligenz.

Ausblick

Die Entscheidung des Bundeskabinetts ist erst der Anfang. Der Gesetzentwurf geht nun in die parlamentarische Beratung, wo eine intensive Debatte erwartet wird. Während die Regierung die aktive Verteidigung als notwendige Weiterentwicklung zum Schutz kritischer Systeme sieht, warnen Kritiker vor Kollateralschäden und der Aushöhlung digitaler Grundrechte.

Der Erfolg der neuen Strategie hängt nicht zuletzt davon ab, ob die 37 neu geschaffenen Spezialistenstellen besetzt werden können. Für die deutsche Wirtschaft bedeutet die Entwicklung eine doppelte Belastung: strengere Regulierungsaufsicht und ein Staat, der zunehmend selbst zum Akteur im digitalen Raum wird. Ob die neuen „Zurückschlag"-Befugnisse die Cyberkriminellen tatsächlich abschrecken oder die juristischen Hürden in Karlsruhe das Vorhaben noch kippen, bleibt abzuwarten.

de | wirtschaft | 69428174 |