Das Bundeskabinett hat am 27. Mai 2026 den Gesetzentwurf “zur Stärkung der Cybersicherheit” beschlossen. Am 25. Juni 2026 folgt die erste Lesung im Bundestag. Das Gesetz gibt BSI, BKA und Bundespolizei bisher nie dagewesene Eingriffsbefugnisse in fremde IT-Systeme, darunter faktische Hackbacks. Im Hintergrund stehen alarmierende Zahlen: Das BKA registrierte für 2025 rund 335.000 Cybercrime-Fälle mit einem Schaden von 202,4 Milliarden Euro für die deutsche Wirtschaft.
Aktuelle Bedrohungslage: 335.000 Angriffe, 202 Milliarden Euro Schaden
Die Zahlen des BKA-Bundeslagebildes Cybercrime 2025, veröffentlicht am 12. Mai 2026, liefern die Begründung für das neue Gesetz in aller Deutlichkeit. Rund 335.000 Cybercrime-Fälle im engeren Sinne wurden 2025 registriert. Dabei wurden zwei Drittel der Taten, konkret 207.888, aus dem Ausland oder von unbekannten Tatorten aus begangen. Das geschätzte Schadensvolumen für die deutsche Wirtschaft liegt bei 202,4 Milliarden Euro, was rund 4,5 Prozent des Bruttoinlandsprodukts entspricht.
Besonders stark stiegen die DDoS-Angriffe: 36.706 Fälle wurden 2025 registriert, ein Anstieg um 25 Prozent gegenüber dem Vorjahr. Ransomware-Angriffe nahmen um 10 Prozent auf 1.041 gemeldete Vorfälle zu, wobei Deutschland als drittgrößte Volkswirtschaft der Welt weiterhin zu den wichtigsten Angriffszielen im Cyberraum zählt. Gleichzeitig dürfte die tatsächliche Bedrohung aufgrund eines erheblichen Dunkelfeldes deutlich höher liegen, betont das BKA ausdrücklich.
Das BSI beschreibt in seinem Lagebericht 2025 die IT-Sicherheitslage in Deutschland als “weiterhin auf angespanntem Niveau”. Täglich wurden im Berichtszeitraum durchschnittlich 119 neue Schwachstellen in IT-Systemen bekannt, ein Wachstum von rund 24 Prozent gegenüber dem Vorjahreszeitraum. Bitkom beziffert in der Studie Wirtschaftsschutz 2025 den Gesamtschaden durch Datendiebstahl, Industriespionage und Sabotage auf 289,2 Milliarden Euro. 87 Prozent der deutschen Unternehmen berichten von Angriffen, nach 81 Prozent im Vorjahr. Fast drei Viertel der Unternehmen, konkret 73 Prozent, registrierten eine Zunahme von Cyberangriffen.
Das Gesetz im Überblick: Was sich konkret ändert
Das “Gesetz zur Stärkung der Cybersicherheit” ist als sogenanntes Mantelgesetz konzipiert. Es ändert gleichzeitig drei bestehende Gesetze: das Bundespolizeigesetz (BPolG), das BKA-Gesetz (BKAG) und das BSI-Gesetz (BSIG). Ziel ist es, den Sicherheitsbehörden Befugnisse zu geben, die sie nach Einschätzung des Bundesinnenministeriums technisch bereits ausüben könnten, für die es aber bisher keine ausreichende gesetzliche Grundlage gab.
Die Bundesregierung formuliert das Ziel des Gesetzes klar: “Mit dem Gesetzentwurf zur Stärkung der Cybersicherheit werden die Sicherheitsbehörden in die Situation versetzt, dass sie das, was sie heute technisch können, auch rechtlich sicher anwenden können.” Konkret soll die Aufklärung und die Erkennung konkreter Angriffe und langfristig laufender Angriffskampagnen verbessert werden. Daneben soll die Entdeckung konkreter Vorbereitungshandlungen durch das BSI ausgebaut werden.
Der Referentenentwurf wurde am 27. Februar 2026 vom Bundesinnenministerium (BMI) vorgelegt. Nach einer Runde von Verbändeanhörungen und interministeriellem Abstimmungsverfahren hat das Bundeskabinett den Regierungsentwurf am 27. Mai 2026 beschlossen. Am 25. Juni 2026 findet die erste Lesung im Bundestag statt. Nach der 20-minütigen Debatte wurde der Entwurf planmäßig dem Innenausschuss als federführendem Ausschuss überwiesen.
BSI erhält Frühwarnbefugnisse: Eingriff schon bei Verdacht
Eine der zentralen Neuerungen für das BSI betrifft den Zeitpunkt, ab dem die Behörde aktiv werden darf. Bisher durfte das Bundesamt bei Vorfällen in der Bundesverwaltung helfen, wenn ein Schaden bereits eingetreten war. Künftig soll das BSI bereits dann einschreiten dürfen, wenn lediglich Anhaltspunkte für eine mögliche Beeinträchtigung vorliegen.
Das bedeutet in der Praxis: Wenn erkannt wird, dass ein Angriff vorbereitet werden könnte, indem Systeme ausgeforscht werden, kann das BSI bereits aktiv werden. Diese Ausweitung vom reaktiven zum proaktiven Handeln ist der Kern der BSI-Befugniserweiterung. Ergänzend erhält das BSI die Möglichkeit, Dienstleistern wie Domain-Registrierungsstellen anzuordnen, Einträge umzuleiten, um Schadwirkungen zu begrenzen.
Zusätzlich sollen die sogenannten Mobilen Incident Response Teams (MIRT) des BSI früher eingesetzt werden können als bisher. Susanne Dehmel, Mitglied der Geschäftsleitung bei Bitkom, kommentierte das am 27. Mai 2026: “So soll das BSI mit den Mobilen Incident Response Teams die Möglichkeit erhalten, bereits bei Verdachtsfällen frühzeitig zu unterstützen.” Für Unternehmen, die im Ernstfall BSI-Unterstützung benötigen, bedeutet das potenziell deutlich schnellere Reaktionszeiten.
Hackback: BKA und Bundespolizei sollen zurückschlagen dürfen
Die politisch und juristisch brisanteste Neuerung des Gesetzes sind die geplanten Hackback-Befugnisse für BKA und Bundespolizei. Der Begriff “Hackback” beschreibt dabei Maßnahmen, bei denen eine Cyberbedrohung mit einem technischen Gegenangriff auf das System des Angreifers beantwortet wird. Das BKA würde dem Entwurf zufolge die Aufgabe bekommen, Gefahren für die IT-Sicherheit “bei internationaler Zusammenarbeit oder außen- und sicherheitspolitischer Bedeutung” abzuwehren.
Die konkreten Befugnisse sind weitreichend: Das BKA soll Datenverkehr umleiten oder blockieren dürfen sowie Daten auf einem IT-System “erheben, löschen oder verändern” können. Diese Eingriffe sollen in bestimmten Fällen auch auf privat genutzte IT-Systeme anwendbar sein, beispielsweise wenn es um Gefahren geht, die “die Vertraulichkeit und Integrität informationstechnischer Systeme einer großen Anzahl von Personen” betreffen.
Susanne Dehmel (Bitkom) zieht beim Thema Hackback eine klare Grenze: “Besonders kritisch sind die neuen Eingriffsbefugnisse für Bundespolizei und BKA, die faktisch sogenannte Hackbacks ermöglichen, also Maßnahmen, bei denen eine Cyberbedrohung mit einem Gegenangriff auf das System des Angreifers beantwortet wird.” Bitkom sieht diese Befugnisse als hochproblematischen Bereich der Cyberabwehr, der einer besonders engen parlamentarischen Kontrolle bedarf.
Verfassungsrechtliche und technische Risiken: Experten schlagen Alarm
Die Gesellschaft für Informatik (GI) hat zum Referentenentwurf eine ausführliche Stellungnahme veröffentlicht. Die GI begrüßt das Ziel, Deutschlands Fähigkeiten zur Abwehr von Cyberangriffen auszubauen, warnt jedoch ausdrücklich vor den technischen und grundrechtlichen Risiken geplanter aktiver Eingriffsbefugnisse für Sicherheitsbehörden in IT-Systeme und Netzwerkinfrastrukturen.
Die Arbeitsgemeinschaft KRITIS (AG KRITIS) ist in ihrer Kritik noch schärfer. In einer Stellungnahme vom 12. März 2026 bezeichnet sie die Hackback-Befugnisse als verfassungswidrig und technisch problematisch. Das Kernproblem: Angreifer im Cyberraum nutzen regelmäßig kompromittierte, unbeteiligte Drittgeräte als Sprungbrett. Ein staatlicher Gegenangriff trifft damit nicht den eigentlichen Angreifer, sondern möglicherweise ein gehacktes Gerät einer unbeteiligten Privatperson oder eines unbeteiligten Unternehmens.
Ein weiteres verfassungsrechtliches Problem liegt in der Verhältnismäßigkeit. Eingriffe in private IT-Systeme berühren Grundrechte wie das Fernmeldegeheimnis, das Recht auf informationelle Selbstbestimmung und das vom Bundesverfassungsgericht 2008 entwickelte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Rechtswissenschaftler sehen erheblichen Klärungsbedarf, und erste Überlegungen zu einer möglichen Verfassungsbeschwerde kursieren bereits in der Zivilgesellschaft.
DNS-Blocklisten und Mitwirkungspflichten für Unternehmen
Neben den Hackback-Befugnissen schafft das Gesetz zwei weitere für die Wirtschaft relevante Regelungsbereiche. Erstens erhalten DNS-Blocklisten eine gesetzliche Grundlage. Bisher bewegten sich Unternehmen, die freiwillig malware-verteilende oder Phishing-Domains blocken, in einer rechtlichen Grauzone. Mit dem Gesetz bekommen sie Rechtssicherheit für den Einsatz solcher Schutzmechanismen.
Bitkom begrüßt diese Regelung: “Mit der gesetzlichen Grundlage für DNS-Blocklisten bekommen Unternehmen Rechtssicherheit, wenn sie freiwillig gegen entsprechende Angriffe vorgehen wollen,” erklärt Susanne Dehmel. Für die rund 45 Millionen Internetnutzer in Deutschland, von denen laut BSI-Cybersicherheitsmonitor 2026 11 Prozent im vergangenen Jahr Opfer von Cyberkriminalität wurden, könnten DNS-Blocklisten messbaren Schutz bieten. 88 Prozent der Opfer berichten von einem entstandenen Schaden, ein Drittel von finanziellen Verlusten.
Zweitens führt das Gesetz bußgeldbewehrte Mitwirkungs- und Auskunftspflichten für bestimmte Unternehmen ein. Betroffen sind Betreiber kritischer Anlagen, DNS-Dienste-Anbieter sowie Top-Level-Domain-Registries und -Registrare. Diese müssen auf Anordnung der Behörden bei Cyberabwehrmaßnahmen aktiv mitwirken und Auskunft erteilen. Zusätzlich sollen bestimmte kritische Systeme an das BSI angebunden und kontinuierlich Parameter sowie Verfügbarkeitsindikatoren automatisiert übermitteln.
Das KRITIS-Dachgesetz: Physische Sicherheit seit März 2026 geregelt
Das “Gesetz zur Stärkung der Cybersicherheit” ist nicht das erste Sicherheitsgesetz, das 2026 für kritische Infrastrukturen in Deutschland in Kraft tritt. Das sogenannte KRITIS-Dachgesetz, das die EU-Richtlinie 2022/2557 in deutsches Recht umsetzt, wurde am 29. Januar 2026 vom Bundestag beschlossen, am 6. März 2026 vom Bundesrat angenommen und am 16. März 2026 im Bundesgesetzblatt veröffentlicht. Es ist seitdem vollständig in Kraft.
Das KRITIS-Dachgesetz fokussiert auf physische Sicherheit und Resilienz: Meldepflichten, Business Continuity Management (BCM), physische Schutzmaßnahmen, Personalanforderungen und Krisenmanagement. Als neue Aufsichtsbehörde fungiert das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Verstöße können mit Bußgeldern von bis zu 1 Million Euro belegt werden.
Damit entsteht in Deutschland 2026 ein gestaffelter Regulierungsrahmen für kritische Infrastrukturen: Das NIS-2-Umsetzungsgesetz regelt Cybersicherheitspflichten und das Melderegime für kritische und wichtige Einrichtungen. Das KRITIS-Dachgesetz ergänzt dies um physische Resilienzpflichten. Das neue Gesetz zur Stärkung der Cybersicherheit gibt den Behörden aktive Abwehrbefugnisse. Alle drei Regelwerke greifen ineinander, für Compliance-Verantwortliche bedeutet das eine erhebliche Zunahme an gesetzlichen Anforderungen.
375 neue Stellen für BSI, BKA und Bundespolizei bis 2030
Die Umsetzung des neuen Gesetzes erfordert erhebliche personelle Ressourcen. Das Bundesinnenministerium schätzt, dass bis zum Jahr 2030 insgesamt 375 neue Stellen in den drei betroffenen Behörden entstehen werden. Aufgeteilt nach Behörden ergibt sich folgendes Bild: Allein beim BKA sollen 264 neue Personen für die Umsetzung benötigt werden. Bei der Bundespolizei werden 90 neue Stellen erwartet, beim BSI 21 zusätzliche Positionen.
Das ist ein erhebliches Investitionssignal in staatliche Cyberfähigkeiten. Der Großteil der 375 Stellen dürfte auf IT-Spezialisten, Cybersecurity-Experten und juristische Fachkräfte entfallen. Auf dem angespannten Arbeitsmarkt für IT-Sicherheitsfachkräfte könnte die Rekrutierung eine Herausforderung werden. Das BSI schloss am 16. Juni 2026 eine neue Kooperationsvereinbarung mit dem Land Schleswig-Holstein, um Cybersicherheitsfähigkeiten in Bund und Ländern gemeinsam auszubauen. Solche föderalen Kooperationsmodelle könnten helfen, Ressourcen effizienter zu bündeln und Doppelstrukturen zu vermeiden.
Reaktionen aus Industrie, Wissenschaft und Zivilgesellschaft
Die Reaktionen auf das Gesetz sind gespalten. Positiv bewertet wird der Ansatz, existierende technische Fähigkeiten der Behörden auf eine rechtssichere Grundlage zu stellen und DNS-Blocklisten zu legalisieren. Kritisch gesehen werden fast durchgängig die Hackback-Befugnisse und die weitreichenden Eingriffsmöglichkeiten in private Systeme.
Der Bundesverband der Deutschen Industrie (BDI) hat eine eigene Stellungnahme zum Entwurf veröffentlicht. Er betont die Notwendigkeit, den Wirtschaftsstandort Deutschland besser zu schützen, mahnt aber gleichzeitig Verhältnismäßigkeit und Rechtssicherheit für Unternehmen an. Die bußgeldbewehrten Mitwirkungspflichten könnten besonders für mittelständische KRITIS-Betreiber zu einer erheblichen Compliance-Last werden.
Die Gesellschaft für Informatik bringt einen weiteren technischen Einwand vor: Aktive Eingriffe in Netzwerkinfrastrukturen können unbeabsichtigte Kollateralschäden verursachen. Das Internet ist ein vermaschtes, interdependentes System, in dem ein Eingriff an einer Stelle unvorhergesehene Effekte an anderer Stelle auslösen kann. Diese Systemkomplexität spricht für sehr enge gesetzliche Hürden bei aktiven Maßnahmen und für eine parlamentarische Kontrolle aller Einzelfälle.
Zeitplan: Ausschussberatungen und Inkrafttreten
Die parlamentarische Beratung des Gesetzentwurfs hat am 25. Juni 2026 mit der ersten Lesung im Bundestag begonnen. Nach der 20-minütigen Debatte wurde der Entwurf dem Innenausschuss als federführendem Ausschuss überwiesen. In den kommenden Wochen und Monaten folgen die Ausschussberatungen, in deren Rahmen Sachverständige angehört werden und Änderungsanträge eingebracht werden können.
Nach erfolgreicher Ausschussberatung folgen die zweite und dritte Lesung im Bundestag sowie die Befassung des Bundesrates. Vorbehaltlich einzelner Anbieterpflichten soll das Gesetz am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. Realistisch betrachtet ist mit einem Inkrafttreten im Herbst 2026 oder Anfang 2027 zu rechnen, sofern die parlamentarischen Beratungen ohne größere Verzögerungen verlaufen.
Die politische Lage begünstigt eine zügige Verabschiedung: Cybersicherheit genießt im Deutschen Bundestag parteiübergreifende Unterstützung als Thema. Die konkrete Ausgestaltung der Hackback-Befugnisse wird in den Ausschussberatungen jedoch noch kontrovers diskutiert werden, und Änderungsanträge, die diese Befugnisse einschränken, gelten als wahrscheinlich.
Deutschland im EU-Vergleich: Nationale Abwehrinitiativen
Deutschland ist nicht das einzige EU-Land, das über aktive Cyberabwehrbefugnisse nachdenkt. Die Niederlande haben bereits 2023 Hackback-Befugnisse für Nachrichtendienste beschlossen. Frankreich hat im Rahmen seines militärischen Programmgesetzes offensive Cyberfähigkeiten für staatliche Akteure ausgebaut. In Deutschland war die Rechtslage bisher besonders zurückhaltend, was das neue Gesetz fundamental ändern würde.
Auf EU-Ebene bildet die NIS-2-Richtlinie den gemeinsamen Rahmen für Cybersicherheitspflichten. Der EU Cyber Resilience Act, der 2025 in Kraft trat, ergänzt dies um Anforderungen an die Cybersicherheit vernetzter Produkte. Das neue deutsche Gesetz zur Stärkung der Cybersicherheit geht über den EU-Mindestrahmen hinaus und setzt auf nationale aktive Abwehrfähigkeiten, die EU-weit bisher keine einheitliche Entsprechung haben.
Auswirkungen für KRITIS-Betreiber und Digitaldienstleister
Für Unternehmen, die als Betreiber kritischer Anlagen, DNS-Dienstleister oder TLD-Registries eingestuft sind, bringt das Gesetz konkrete neue Pflichten. Die wichtigste: Auf behördliche Anordnung müssen diese Unternehmen bei Cyberabwehrmaßnahmen mitwirken und Auskunft erteilen. Das Nichtbefolgen einer solchen Anordnung wird als Ordnungswidrigkeit mit Bußgeld geahndet, wobei die genaue Bußgeldhöhe im Gesetzgebungsverfahren noch festgelegt wird.
Zusätzlich müssen bestimmte kritische Systeme an das BSI angebunden werden und kontinuierlich sowie automatisiert Parameter und Verfügbarkeitsindikatoren übermitteln. Das ist im Kern ein dauerhaftes Monitoring, das technische Anpassungen in der Infrastruktur der betroffenen Betreiber erfordern kann. Compliance-Verantwortliche sollten jetzt prüfen, ob ihr Unternehmen in den Anwendungsbereich des Gesetzes fällt.
Für Digitaldienstleister im weiteren Sinne gilt: Die bisher nur für Telekommunikationsanbieter geltende Pflicht, Informationen des BSI über konkrete Gefahren für ihre Kunden weiterzugeben, wird auf Anbieter digitaler Dienste ausgeweitet. Das betrifft potenziell eine erhebliche Zahl von Cloud-Diensten, SaaS-Anbietern und Plattformbetreibern mit Nutzern in Deutschland. Rechtliche Beratung zum genauen Anwendungsbereich ist dringend empfohlen.
Datentabelle: Cybercrime-Kennzahlen Deutschland 2024 vs. 2025
| Kennzahl | 2024 | 2025 | Veränderung |
|---|---|---|---|
| Cybercrime-Fälle (BKA) | 131.391 | ca. 335.000 | stark gestiegen |
| Ransomware-Angriffe (gemeldet) | ca. 950 | 1.041 | +10 % |
| DDoS-Angriffe (BKA) | ca. 29.000 | 36.706 | +25 % |
| Wirtschaftsschaden Cyberangriffe | 178,6 Mrd. € | 202,4 Mrd. € | +13,3 % |
| Gesamtschaden (inkl. Sabotage) | 266,6 Mrd. € | 289,2 Mrd. € | +8,5 % |
| Neue IT-Schwachstellen pro Tag (BSI) | ca. 96 | 119 | +24 % |
| Betroffene Unternehmen (Bitkom) | 81 % | 87 % | +6 Prozentpunkte |
Quellen: BKA Bundeslagebild Cybercrime 2025 (Mai 2026), BSI Lagebericht 2025, Bitkom Wirtschaftsschutz 2025.
Übersicht: Deutsche Cybersicherheitsgesetze 2026 im Vergleich
| Regelwerk | Status (Juni 2026) | Zuständige Behörde | Kernpflichten | Max. Bußgeld |
|---|---|---|---|---|
| NIS-2-Umsetzungsgesetz | In Kraft | BSI | Risikomanagement, Meldepflicht, Audits | 10 Mio. € / 2 % Umsatz |
| KRITIS-Dachgesetz | In Kraft (März 2026) | BBK | Physische Resilienz, BCM, Meldepflicht | 1 Mio. € |
| Gesetz zur Stärkung der Cybersicherheit | Im Bundestag (1. Lesung 25.6.2026) | BSI, BKA, BPol | Mitwirkungspflichten, BSI-Anbindung, Hackback | Noch festzulegen |
| EU Cyber Resilience Act | Übergangsfrist läuft | Marktaufsichtsbehörden | Cybersicherheit vernetzter Produkte | 15 Mio. € / 2,5 % Umsatz |
| EU CER-Richtlinie (via KRITIS-Dachgesetz) | In Kraft (März 2026) | BBK | Resilienz kritischer Infrastrukturen | 1 Mio. € |
5 Prognosen: Was das Gesetz für Deutschland bedeutet
1. Das Gesetz wird 2026 oder Anfang 2027 verabschiedet. Die breite parlamentarische Unterstützung für Cybersicherheitsthemen und der Druck durch die anhaltend hohe Bedrohungslage sprechen für eine zügige Verabschiedung. Änderungsanträge zu den Hackback-Befugnissen sind wahrscheinlich, werden aber das Kernkonzept nicht kippen.
2. Die Hackback-Befugnisse werden juristisch angefochten. Bürgerrechtsorganisationen werden das Gesetz voraussichtlich vor dem Bundesverfassungsgericht anfechten. Die verfassungsrechtlichen Bedenken der GI und AG KRITIS sind substanziell genug, um ein Musterverfahren anzustrengen. Ein vorläufiger Stopp einzelner Bestimmungen per einstweiliger Verfügung ist nicht auszuschließen.
3. Föderale Cyberzentren werden ausgebaut. Die BSI-Kooperation mit Schleswig-Holstein vom 16. Juni 2026 ist erst der Anfang. Das Gesetz legt die rechtliche Grundlage für eine engere Verzahnung zwischen Bundesbehörden und Länderbehörden. Ähnliche Kooperationsvereinbarungen mit weiteren Bundesländern werden in den nächsten 12 bis 18 Monaten folgen.
4. Der Compliance-Druck auf KRITIS-Betreiber steigt erheblich. Mit NIS-2-Umsetzungsgesetz, KRITIS-Dachgesetz und dem neuen Gesetz kumulieren sich Anforderungen. Betreiber kritischer Infrastrukturen, die bisher nicht ausreichend investiert haben, geraten spätestens 2027 unter Behördendruck. Das treibt den Markt für KRITIS-Compliance-Beratung und entsprechende Sicherheitstechnologie.
5. Deutschland übernimmt eine EU-Vorreiterrolle bei aktiver Cyberabwehr. Wenn das Gesetz in Kraft tritt, wird Deutschland innerhalb der EU eine Vorreiterrolle bei aktiven Cyberabwehrmaßnahmen einnehmen. Das könnte andere EU-Staaten zu ähnlichen Regelungen veranlassen und die Diskussion um offensive EU-Cyberbefugnisse auf EU-Ebene neu entfachen.
Verwandte Artikel
- NIS-2 Deutschland: 29.500 Firmen, €10 Mio. Strafe [2026]
- EU Cyber Resilience Act: 85 Tage bis Meldepflicht, €15M Strafe [2026]
- BKA 2025: 333.922 Cyberfälle, €202 Mrd. Schaden [2026]
- DACH: Cyberangriffe um 124 % gestiegen, 82 % treffen Deutschland [2026]
- Operation Endgame: 3 Phasen, 1.425+ Server, €21 Mio. [2026]
FAQ: Gesetz zur Stärkung der Cybersicherheit
Was ist das Gesetz zur Stärkung der Cybersicherheit?
Das “Gesetz zur Stärkung der Cybersicherheit” ist ein deutsches Bundesgesetz, das als Mantelgesetz die bestehenden Gesetze BPolG, BKAG und BSIG ändert. Es gibt BSI, BKA und Bundespolizei erweiterte Befugnisse zur Erkennung, Abwehr und aktiven Bekämpfung von Cyberangriffen. Das Bundeskabinett hat den Entwurf am 27. Mai 2026 beschlossen, die erste Lesung im Bundestag fand am 25. Juni 2026 statt.
Was bedeutet Hackback im Kontext dieses Gesetzes?
Hackback bezeichnet Maßnahmen, bei denen eine Cyberbedrohung mit einem technischen Gegenangriff auf das System des Angreifers beantwortet wird. Das neue Gesetz erlaubt BKA und Bundespolizei, unter bestimmten Voraussetzungen Datenverkehr umzuleiten oder zu blockieren sowie Daten auf Angreifersystemen zu erheben, zu löschen oder zu verändern. Kritiker sehen darin verfassungsrechtliche Risiken, da Angreifer häufig unbeteiligte Drittgeräte als Sprungbrett nutzen.
Welche Unternehmen sind von den neuen Pflichten betroffen?
Direkt betroffen sind Betreiber kritischer Anlagen, DNS-Dienste-Anbieter sowie Top-Level-Domain-Registries und -Registrare. Diese müssen auf behördliche Anordnung bei Cyberabwehrmaßnahmen mitwirken und ihre Systeme an das BSI anbinden. Zudem werden Informationspflichten über Cybergefahren auf alle Anbieter digitaler Dienste ausgeweitet, nicht nur auf Telekommunikationsanbieter wie bisher.
Was ist der Unterschied zwischen dem neuen Gesetz und dem KRITIS-Dachgesetz?
Das KRITIS-Dachgesetz (in Kraft seit März 2026) regelt die physische Sicherheit und Resilienz kritischer Infrastrukturen, etwa BCM, physische Schutzmaßnahmen und Krisenmanagement. Zuständige Aufsichtsbehörde ist das BBK. Das neue Gesetz zur Stärkung der Cybersicherheit fokussiert dagegen auf digitale Cyberabwehr und gibt BSI, BKA sowie Bundespolizei aktive Eingriffsbefugnisse. Beide Gesetze ergänzen das NIS-2-Umsetzungsgesetz.
Wann tritt das Gesetz in Kraft?
Nach der ersten Lesung am 25. Juni 2026 folgen Ausschussberatungen, zweite und dritte Lesung sowie Bundesrat. Das Gesetz soll vorbehaltlich einzelner Anbieterpflichten am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. Realistisch ist ein Inkrafttreten im Herbst 2026 oder Anfang 2027, je nach Verlauf der parlamentarischen Beratungen.
Wie viele neue Stellen schafft das Gesetz?
Das Bundesinnenministerium schätzt, dass bis 2030 insgesamt 375 neue Stellen entstehen: 264 beim BKA, 90 bei der Bundespolizei und 21 beim BSI. Der Großteil der Stellen entfällt auf IT-Spezialisten und Cybersicherheitsexperten, die die neuen operativen Abwehrbefugnisse ausüben sollen.
Unterscheidet sich das Gesetz von der NIS-2-Regulierung?
Die NIS-2-Richtlinie und das deutsche NIS-2-Umsetzungsgesetz verpflichten Unternehmen zu Risikomanagement, Meldepflichten und Sicherheitsmaßnahmen, also zu defensiver Cybersicherheit. Das neue Gesetz zur Stärkung der Cybersicherheit gibt dagegen staatlichen Behörden aktive Abwehr- und Eingriffsbefugnisse. Es adressiert damit die offensive Seite der Cyberabwehr, für die es in Deutschland bisher keine ausreichende gesetzliche Grundlage gab.
Quellen: Bundestag, Regierungsentwurf zur Stärkung der Cybersicherheit (Juni 2026) | BKA, Bundeslagebild Cybercrime 2025 (Mai 2026) | Bitkom, Stellungnahme Cybersicherheitsgesetz (Mai 2026) | Netzpolitik.org, Gesetzentwurf zur Stärkung der Cybersicherheit (März 2026) | OpenKRITIS, KRITIS-Dachgesetz (2026) | BSI, Lagebericht IT-Sicherheit in Deutschland 2025
