Das Bundesinnenministerium hat einen Referentenentwurf vorgelegt, der staatlichen Behörden neue Befugnisse zur aktiven Cyberabwehr geben soll. Was technisch dahintersteckt — und warum die Materie deutlich komplizierter ist, als Gesetzesentwürfe es meist klingen lassen.
Ende Februar 2026 veröffentlichte das Bundesinnenministerium den Referentenentwurf zum Gesetz zur Stärkung der Cybersicherheit. Der Kerngedanke: Staatliche Behörden sollen künftig aktiv in Angreiferinfrastruktur eingreifen dürfen, um laufende Cyberangriffe zu stoppen. Klingt erstmal vernünftig. Die Realität der IT-Sicherheit sieht allerdings deutlich unordentlicher aus.
Mal ehrlich: Wer sich regelmäßig mit Incident Response beschäftigt, wird beim Lesen solcher Entwürfe mindestens einmal die Stirn runzeln. Nicht weil der Ansatz grundsätzlich falsch wäre. Sondern weil die technische Komplexität moderner Cyberangriffe in politischen Dokumenten systematisch unterschätzt wird — und das hat Konsequenzen.
Adam Marrè, CISO beim Cybersicherheitsunternehmen Arctic Wolf, bringt es auf den Punkt. Er begrüßt grundsätzlich, dass Regierungen handlungsfähiger werden wollen — setzt aber klare technische Grenzen der Diskussion.
Der häufigste Denkfehler in der Debatte um aktive Cyberabwehr ist der folgende: Man stellt sich vor, ein Angreifer sitzt an einem Rechner und schickt von dort Schadsoftware los. Der Staat greift ein, sperrt den Rechner — fertig. Diese Vorstellung hat mit der Realität moderner Angriffe wenig zu tun.
Tatsächlich werden für Cyberangriffe in aller Regel keine eigenen Server genutzt. Stattdessen kapern Angreifer vorhandene Infrastruktur: Heimrouter, schlecht gesicherte Unternehmensserver, kompromittierte Cloud-Instanzen. Diese Geräte sind nicht im Besitz der Täter. Sie gehören unbescholtenen Unternehmen, Organisationen oder Privatpersonen — die oft nicht einmal wissen, dass ihre Systeme Teil einer Angriffsinfrastruktur geworden sind.
Marrè formuliert das nüchtern: „Viele Geräte, von denen Angriffe ausgehen, sind nicht die Systeme der Täter, sondern bereits übernommene Systeme von Unternehmen, Organisationen oder Privatpersonen. Maßnahmen zur Unterbindung solcher Aktivitäten müssen deshalb mit großer technischer Sorgfalt erfolgen, um unbeabsichtigte Auswirkungen auf legitime Systeme zu vermeiden.“
Konkret heißt das: Wenn der Staat in eine Angriffsinfrastruktur eingreift, greift er unter Umständen in die IT-Systeme eines deutschen Mittelständlers ein — oder eines Krankenhauses. Die Konsequenzen können gravierend sein. Datenverluste, Systemausfälle, rechtliche Grauzonen. Das ist kein theoretisches Szenario.
Wer schon einmal einen größeren Cyberangriff analysiert und Schutzmaßnahmen sowie Reaktionsmöglichkeiten durchgespielt hat, weiß: Diese Vorgänge verlaufen selten geradlinig. Ransomware-Gruppen etwa arbeiten mit hochspezialisierten Zulieferern — Initial Access Broker, die Zugangsdaten beschaffen, Malware-as-a-Service-Anbieter, Geldwäschenetzwerke. Die eigentliche Angriffsinfrastruktur ist über Dutzende Länder verteilt.
Marrè beschreibt dieses Phänomen präzise: „Cyberangriffe verlaufen zudem selten linear. Sie nutzen oft verteilte Infrastrukturen über viele Länder hinweg, kombinieren kompromittierte Geräte, Clouddienste und legitime Plattformen und verändern sich sehr schnell.“
Das Wort „sehr schnell“ ist hier entscheidend. Eine Command-and-Control-Infrastruktur, die heute aktiv ist, kann morgen schon auf neue Server umgezogen sein. Legitime Plattformen wie GitHub, Telegram oder cloud-basierte Speicherdienste werden regelmäßig für Angriffskommunikation missbraucht — nicht weil die Betreiber das dulden, sondern weil es technisch möglich ist und Schutzmechanismen untergräbt. Gegen solche Strukturen staatlich vorzugehen, ohne Kollateralschäden zu riskieren, ist eine echte Herausforderung.
Das Meinungsbild zum Referentenentwurf ist gespalten. Auf der einen Seite: Wer angesichts professionalisierter Cyberkriminalität und staatlich gesteuerter Angriffe — Stichwort APT-Gruppen aus Russland, China, Nordkorea — untätig bleibt, macht sich mitschuldig. Die Idee, dass der Staat nur defensiv reagieren darf, während Angreifer ungehindert agieren, hat etwas Absurdes.
Auf der anderen Seite haben Datenschützer und Bürgerrechtler erhebliche Einwände. netzpolitik.org spricht von einer „gefährlichen Offensive“ und kritisiert unklare Ermächtigungsgrundlagen, fehlende parlamentarische Kontrolle und das Risiko, dass die neuen Befugnisse über ihren ursprünglichen Zweck hinaus eingesetzt werden könnten. Das ist keine unbegründete Sorge — die Geschichte staatlicher Überwachungsbefugnisse zeigt, dass einmal eingeräumte Kompetenzen selten wieder eingeschränkt werden.
Hinzu kommt eine praktische Frage: Welche Behörde soll diese aktiven Maßnahmen eigentlich durchführen? Das BSI? Das BKA? Der BND? Die Aufgabenverteilung im deutschen Cybersicherheitsapparat ist bereits heute nicht immer klar, und ein neues Gesetz löst das Koordinationsproblem nicht automatisch.
Die Diskussion um aktive Cyberabwehr trifft auf ein Unternehmensumfeld, das bereits erheblichen regulatorischen Druck verspürt. NIS2 und die Sicherheit in der Lieferkette haben in den vergangenen Monaten viele Compliance-Abteilungen auf Trab gehalten. Jetzt kommen mögliche staatliche Eingriffsbefugnisse hinzu — und damit neue Unsicherheiten.
Denn für Unternehmen stellt sich eine unbequeme Frage: Was passiert, wenn staatliche Behörden in eigene Systeme eingreifen, weil diese (unbemerkt) Teil einer Angriffsinfrastruktur geworden sind? Wer haftet für entstehende Schäden? Welche Informationspflichten bestehen? Der Referentenentwurf gibt darauf bisher keine befriedigenden Antworten.
Marrè betont genau diesen Punkt: „Unternehmen und Organisationen müssen in der Lage sein zu verstehen, was in ihren Systemen geschieht und wie sie darauf reagieren können.“ Das klingt selbstverständlich — ist es aber nicht. Viele mittelständische Unternehmen haben weder die internen Ressourcen noch die Tools, um Kompromittierungen zeitnah zu erkennen. Wenn staatliche Behörden dann in deren Infrastruktur eingreifen, fehlt oft schlicht der technische Kontext, um zu verstehen, was überhaupt passiert ist.
Ein zentrales Thema in Marrès Einschätzung ist Transparenz — und hier liegt ein wesentlicher Unterschied zwischen guter und schlechter Sicherheitspolitik. Offensive Maßnahmen, die im Verborgenen ablaufen, schaffen keine Sicherheit. Sie schaffen Misstrauen, Unsicherheit über die eigene Rechtssituation und — schlimmstenfalls — neue Angriffsflächen.
„Deshalb ist es entscheidend, dass offensive Maßnahmen eng mit klaren technischen Prozessen, Transparenz und einer starken Zusammenarbeit zwischen Behörden, Betreibern und Sicherheitsanbietern verbunden sind“, sagt Marrè. Das ist eine klare Forderung: Eingriffe in IT-Infrastruktur müssen dokumentiert, kommuniziert und auf Basis definierter Prozesse durchgeführt werden. Kein Wildwest, auch nicht für staatliche Akteure.
Diese Forderung ist berechtigt. Die internationale Erfahrung zeigt, dass staatliche Hackback-Operationen — etwa in den USA oder Israel — dann am wirksamsten sind, wenn sie in enge operative Kooperation mit der Privatwirtschaft eingebettet sind. Informationen über Angreiferinfrastruktur, Indicators of Compromise, Schwachstellen: All das liegt nicht exklusiv beim Staat, sondern bei den Sicherheitsunternehmen, die täglich mit realen Angriffen konfrontiert werden.
Jenseits der juristischen und technischen Detailfragen gibt es eine grundlegendere Frage: Was ist das eigentliche Ziel von Cybersicherheitspolitik? Wenn es darum geht, einzelne Angriffe zu stoppen, dann mag aktive Cyberabwehr ein sinnvolles Werkzeug sein. Wenn das Ziel aber ist, Cybersicherheit nachhaltig zu verbessern und eine sichere digitale Welt zu gestalten, dann reicht ein einzelnes Gesetz nicht aus.
Marrè formuliert ein Konzept von Cyberresilienz, das über staatliche Eingriffsbefugnisse weit hinausgeht: „Langfristige Cyberresilienz entsteht dort, wo mehrere Faktoren zusammenkommen: schnelle Erkennung von Angriffen, koordinierte Reaktion zwischen allen beteiligten Akteuren und robuste Schutzmechanismen in den betroffenen Organisationen selbst. Staatliche Maßnahmen können dabei eine wichtige Rolle spielen. Sie entfalten ihre volle Wirkung jedoch erst, wenn sie Teil eines umfassenden Sicherheitsökosystems sind.“
Das ist eine kluge Einordnung — und gleichzeitig eine implizite Kritik an Gesetzentwürfen, die technische Lösungen versprechen, ohne die Gesamtarchitektur der Sicherheit zu adressieren. Schnelle Erkennung von Angriffen setzt voraus, dass Unternehmen überhaupt in Monitoring-Systeme investieren können und dürfen. Koordinierte Reaktion setzt voraus, dass Informationen zwischen Behörden und Privatwirtschaft tatsächlich fließen — was bisher an Bürokratie, Haftungsfragen und mangelndem Vertrauen scheitert. Robuste Schutzmechanismen in Organisationen selbst setzen voraus, dass Cybersicherheit als Investition und nicht als Kostenfaktor verstanden wird.
Wäre es fair, den Referentenentwurf grundsätzlich abzulehnen? Nein. Die Grundüberlegung ist richtig: Wer ausschließlich defensiv agiert, verliert gegen einen agilen Gegner. Staatliche Behörden brauchen klare Rechtsgrundlagen, um auch präventiv und aktiv handeln zu können. Die Alternative — ein digitaler Rechtsraum, in dem staatliche Akteure bei laufenden Angriffen tatenlos zusehen — wäre keine gute Option.
Aber ein Gesetz ist kein Allheilmittel. Die kritischen Fragen, die Marrè und andere Experten aufwerfen, müssen im Gesetzgebungsprozess beantwortet werden:
Das sind keine kleinen Detailfragen. Sie berühren das Herzstück des Gesetzentwurfs.
Startseite
Deutschland ist nicht das erste Land, das sich mit diesen Fragen auseinandersetzt. Die USA haben mit dem Cybersecurity and Infrastructure Security Agency Act und verschiedenen Executive Orders ein Modell entwickelt, das staatliche Eingriffsbefugnisse mit Informationsaustausch und Privatwirtschaftskooperation verbindet. Großbritannien setzt auf das National Cyber Security Centre als zentrale Koordinierungsstelle. Beide Modelle haben Stärken und Schwächen.
Was in den erfolgreichen Ansätzen auffällt: Sie behandeln die Sicherheitscommunity nicht als nachgeordneten Dienstleister, sondern als gleichwertigen Partner. Threat Intelligence, die täglich in privaten Security Operations Centers entsteht, ist oft aktueller und präziser als staatliche Informationen. Ein Cybersicherheitsgesetz, das diese Ressource nicht systematisch einbindet, verschenkt erhebliches Potenzial.
Marrès Forderung nach „enger Abstimmung zwischen staatlichen Stellen, Betreibern und der Sicherheitscommunity“ klingt wie eine Selbstverständlichkeit. In der Praxis deutscher Sicherheitspolitik ist sie es nicht.
Zum Schluss noch ein Punkt, der in der Debatte oft zu kurz kommt: Gute Cybersicherheitsgesetze setzen technische Kompetenz beim Gesetzgeber voraus. Nicht nur bei den ausführenden Behörden — auch im parlamentarischen Prozess. Wenn Abgeordnete nicht verstehen, wie Botnetze funktionieren, wie Command-and-Control-Infrastrukturen aufgebaut sind oder was ein „False Positive“ bei einem aktiven Eingriff bedeuten kann, ist die Gefahr groß, dass politische Kompromisse zu technisch untauglichen Regelungen führen.
Das ist keine Kritik an einzelnen Personen. Es ist ein systemisches Problem — und eines, das durch frühzeitige Einbindung technischer Experten in den Gesetzgebungsprozess adressiert werden kann. Der Referentenentwurf ist ein erster Schritt. Er braucht jetzt eine Diskussion, die seiner technischen Komplexität gerecht wird.
Adam Marrè bringt die notwendige Balance auf den Punkt: „Angesichts der zunehmenden Zahl schwerer Cyberangriffe ist es nachvollziehbar, dass Regierungen ihre Möglichkeiten zur Abwehr digitaler Bedrohungen erweitern wollen.“ Aber: „Eingriffe in komplexe IT-Infrastrukturen [sind] technisch sehr anspruchsvoll — insbesondere dann, wenn kompromittierte Systeme selbst Teil einer Angriffsinfrastruktur geworden sind.“
Ob der Entwurf diesen Anspruch erfüllt, wird sich im weiteren Gesetzgebungsverfahren zeigen. Die Vorzeichen sind gemischt.
