Mehr Cyberabwehr, mehr Eingriffe: Bundesregierung plant weitreichende Sicherheitsreform

Die Bundesregierung hat einen Gesetzentwurf zur Stärkung der Cybersicherheit beschlossen. Hintergrund sind die wachsende Zahl professioneller Cyberangriffe sowie die zunehmende Bedeutung hybrider Bedrohungen. Nach Angaben der Bundesregierung beruhen Sicherheit und Handlungsfähigkeit von Staat, Wirtschaft und Gesellschaft in hohem Maße auf funktionierenden digitalen Prozessen und Infrastrukturen. Deutschland stehe als führende Wirtschaftsnation Europas zunehmend im Fokus staatlicher und nichtstaatlicher Angreifer.
Mit dem neuen Gesetz sollen insbesondere:

• die Erkennung von Cyberangriffen verbessert,
• langfristige Angriffskampagnen früher identifiziert,
• sowie konkrete Vorbereitungshandlungen schneller entdeckt werden.

Dafür sollen Bundespolizei, Bundeskriminalamt und Bundesamt für Sicherheit in der Informationstechnik (BSI) zusätzliche Befugnisse erhalten.

Staat soll stärker in Cyberangriffe eingreifen können

Nach Vorstellung der Bundesregierung reichen rein defensive Schutzmaßnahmen in vielen Fällen nicht mehr aus. Künftig sollen Bundesbehörden unter anderem stärker in der Lage sein schädlichen Datenverkehr umzuleiten, Systeme abzuschalten oder laufende Angriffe aktiv zu unterbinden.
Besonders groß ist die Debatte dabei um sogenannte aktive Eingriffe in informationstechnische Systeme – also Maßnahmen, die faktisch in Richtung „Hackback“-Fähigkeiten gehen könnten. Der Digitalverband Bitkom sieht genau hier erhebliche Risiken.

Bitkom warnt vor „Hackback“-Risiken und Bürokratie

In einer ausführlichen Stellungnahme unterstützt Bitkom grundsätzlich das Ziel einer stärkeren Cybersicherheit. Gleichzeitig kritisiert der Verband die geplanten Eingriffsbefugnisse an mehreren Stellen deutlich. „Wirksame Cybersicherheit sollte vor allem über Kooperation, Prävention und resiliente Strukturen erreicht werden“, heißt es in dem Papier. Der Verband warnt insbesondere davor, dass weitreichende staatliche Eingriffe:

• neue Sicherheitsrisiken schaffen,
• Unternehmen belasten,
• sowie Innovations- und Wettbewerbsfähigkeit beeinträchtigen könnten.

Besonders kritisch bewertet Bitkom die Möglichkeit aktiver Eingriffe in IT-Systeme. „Aktive Gegenmaßnahmen im Cyberraum sind mit erheblichen Risiken verbunden“, schreibt der Verband. Problematisch sei unter anderem die oft unsichere Zuordnung von Angriffen. Es bestehe die Gefahr, dass Maßnahmen nicht die eigentlichen Täter, sondern kompromittierte Systeme unbeteiligter Dritter träfen.

Streit um neue Befugnisse des BSI

Auch die geplante Rolle des Bundesamts für Sicherheit in der Informationstechnik sorgt für Diskussionen. Der Gesetzentwurf sieht unter anderem vor, dass Betreiber kritischer Infrastrukturen bestimmte sicherheitsrelevante Daten automatisiert an das BSI übermitteln sollen. Bitkom kritisiert dabei:

• unklare Datenkategorien,
• zusätzliche nationale Sonderregeln,
• sowie erhebliche technische und organisatorische Belastungen für Unternehmen.

Zudem warnt der Verband vor neuen Angriffsflächen durch zentrale Datenanbindungen. Eine dauerhaft vernetzte Infrastruktur zwischen Unternehmen und Behörden könne selbst zum Ziel von Cyberangriffen werden.

Unternehmen fürchten zusätzliche Belastungen

Nach Einschätzung von Bitkom unterschätzt der Gesetzentwurf die praktischen Folgen für Unternehmen erheblich. „Insbesondere sichere Schnittstellen und zusätzlicher Personalaufwand können erhebliche Kosten verursachen“, heißt es in der Stellungnahme. Kritisch sieht der Verband außerdem neue Mitwirkungspflichten, zusätzliche Compliance-Anforderungen, hohe Bußgeldandrohungen sowie mögliche Doppelregulierungen neben bestehenden EU-Regeln wie NIS2.
Besonders umstritten ist die vorgesehene Bußgeldhöhe: Verstöße gegen bestimmte Mitwirkungspflichten könnten künftig mit bis zu 20 Millionen Euro sanktioniert werden. Bitkom fordert eine Deckelung auf 10 Millionen Euro.

Balance zwischen Sicherheit und digitaler Souveränität

Die Debatte zeigt damit ein grundlegendes Spannungsfeld: Einerseits wächst der politische Druck, Cyberangriffe schneller und offensiver abzuwehren. Andererseits warnen Unternehmen und Digitalwirtschaft vor übermäßigen Eingriffen in IT-Infrastrukturen und Geschäftsprozesse. Bitkom fordert deshalb klare Zuständigkeiten, verhältnismäßige Eingriffsbefugnisse, realistische Umsetzungsfristen sowie stärkere Kooperation zwischen Staat und Wirtschaft.

Versicherungswirtschaft dürfte genau hinschauen

Für Versicherer und Cyberversicherer dürfte die Entwicklung ebenfalls relevant sein. Denn Cyberangriffe zählen inzwischen zu den größten Unternehmensrisiken. Gleichzeitig steigen regulatorische Anforderungen kontinuierlich, während die Frage nach Verantwortlichkeiten im Cyberraum an Bedeutung gewinnt.
Neue gesetzliche Eingriffsmöglichkeiten könnten deshalb auch Auswirkungen auf Haftungsfragen, Incident-Response-Prozesse und Cyberversicherungsbedingungen haben.