Das Bundeskabinett hat am 27. Mai 2026 den Gesetzentwurf “zur St\u00e4rkung der Cybersicherheit” beschlossen. Am 25. Juni 2026 folgt die erste Lesung im Bundestag. Das Gesetz gibt BSI, BKA und Bundespolizei bisher nie dagewesene Eingriffsbefugnisse in fremde IT-Systeme, darunter faktische Hackbacks. Im Hintergrund stehen alarmierende Zahlen: Das BKA registrierte f\u00fcr 2025 rund 335.000 Cybercrime-F\u00e4lle mit einem Schaden von 202,4 Milliarden Euro f\u00fcr die deutsche Wirtschaft.<\/p>\n\n\n\n
Die Zahlen des BKA-Bundeslagebildes Cybercrime 2025, ver\u00f6ffentlicht am 12. Mai 2026, liefern die Begr\u00fcndung f\u00fcr das neue Gesetz in aller Deutlichkeit. Rund 335.000 Cybercrime-F\u00e4lle im engeren Sinne wurden 2025 registriert. Dabei wurden zwei Drittel der Taten, konkret 207.888, aus dem Ausland oder von unbekannten Tatorten aus begangen. Das gesch\u00e4tzte Schadensvolumen f\u00fcr die deutsche Wirtschaft liegt bei 202,4 Milliarden Euro, was rund 4,5 Prozent des Bruttoinlandsprodukts entspricht.<\/p>\n\n\n\n
Besonders stark stiegen die DDoS-Angriffe: 36.706 F\u00e4lle wurden 2025 registriert, ein Anstieg um 25 Prozent gegen\u00fcber dem Vorjahr. Ransomware-Angriffe nahmen um 10 Prozent auf 1.041 gemeldete Vorf\u00e4lle zu, wobei Deutschland als drittgr\u00f6\u00dfte Volkswirtschaft der Welt weiterhin zu den wichtigsten Angriffszielen im Cyberraum z\u00e4hlt. Gleichzeitig d\u00fcrfte die tats\u00e4chliche Bedrohung aufgrund eines erheblichen Dunkelfeldes deutlich h\u00f6her liegen, betont das BKA ausdr\u00fccklich.<\/p>\n\n\n\n
Das BSI beschreibt in seinem Lagebericht 2025 die IT-Sicherheitslage in Deutschland als “weiterhin auf angespanntem Niveau”. T\u00e4glich wurden im Berichtszeitraum durchschnittlich 119 neue Schwachstellen in IT-Systemen bekannt, ein Wachstum von rund 24 Prozent gegen\u00fcber dem Vorjahreszeitraum. Bitkom beziffert in der Studie Wirtschaftsschutz 2025 den Gesamtschaden durch Datendiebstahl, Industriespionage und Sabotage auf 289,2 Milliarden Euro. 87 Prozent der deutschen Unternehmen berichten von Angriffen, nach 81 Prozent im Vorjahr. Fast drei Viertel der Unternehmen, konkret 73 Prozent, registrierten eine Zunahme von Cyberangriffen.<\/p>\n\n\n\n
Das “Gesetz zur St\u00e4rkung der Cybersicherheit” ist als sogenanntes Mantelgesetz konzipiert. Es \u00e4ndert gleichzeitig drei bestehende Gesetze: das Bundespolizeigesetz (BPolG), das BKA-Gesetz (BKAG) und das BSI-Gesetz (BSIG). Ziel ist es, den Sicherheitsbeh\u00f6rden Befugnisse zu geben, die sie nach Einsch\u00e4tzung des Bundesinnenministeriums technisch bereits aus\u00fcben k\u00f6nnten, f\u00fcr die es aber bisher keine ausreichende gesetzliche Grundlage gab.<\/p>\n\n\n\n
Die Bundesregierung formuliert das Ziel des Gesetzes klar: “Mit dem Gesetzentwurf zur St\u00e4rkung der Cybersicherheit werden die Sicherheitsbeh\u00f6rden in die Situation versetzt, dass sie das, was sie heute technisch k\u00f6nnen, auch rechtlich sicher anwenden k\u00f6nnen.” Konkret soll die Aufkl\u00e4rung und die Erkennung konkreter Angriffe und langfristig laufender Angriffskampagnen verbessert werden. Daneben soll die Entdeckung konkreter Vorbereitungshandlungen durch das BSI ausgebaut werden.<\/p>\n\n\n\n
Der Referentenentwurf wurde am 27. Februar 2026 vom Bundesinnenministerium (BMI) vorgelegt. Nach einer Runde von Verb\u00e4ndeanh\u00f6rungen und interministeriellem Abstimmungsverfahren hat das Bundeskabinett den Regierungsentwurf am 27. Mai 2026 beschlossen. Am 25. Juni 2026 findet die erste Lesung im Bundestag statt. Nach der 20-min\u00fctigen Debatte wurde der Entwurf planm\u00e4\u00dfig dem Innenausschuss als federf\u00fchrendem Ausschuss \u00fcberwiesen.<\/p>\n\n\n\n
Eine der zentralen Neuerungen f\u00fcr das BSI betrifft den Zeitpunkt, ab dem die Beh\u00f6rde aktiv werden darf. Bisher durfte das Bundesamt bei Vorf\u00e4llen in der Bundesverwaltung helfen, wenn ein Schaden bereits eingetreten war. K\u00fcnftig soll das BSI bereits dann einschreiten d\u00fcrfen, wenn lediglich Anhaltspunkte f\u00fcr eine m\u00f6gliche Beeintr\u00e4chtigung vorliegen.<\/p>\n\n\n\n
Das bedeutet in der Praxis: Wenn erkannt wird, dass ein Angriff vorbereitet werden k\u00f6nnte, indem Systeme ausgeforscht werden, kann das BSI bereits aktiv werden. Diese Ausweitung vom reaktiven zum proaktiven Handeln ist der Kern der BSI-Befugniserweiterung. Erg\u00e4nzend erh\u00e4lt das BSI die M\u00f6glichkeit, Dienstleistern wie Domain-Registrierungsstellen anzuordnen, Eintr\u00e4ge umzuleiten, um Schadwirkungen zu begrenzen.<\/p>\n\n\n\n
Zus\u00e4tzlich sollen die sogenannten Mobilen Incident Response Teams (MIRT) des BSI fr\u00fcher eingesetzt werden k\u00f6nnen als bisher. Susanne Dehmel, Mitglied der Gesch\u00e4ftsleitung bei Bitkom, kommentierte das am 27. Mai 2026: “So soll das BSI mit den Mobilen Incident Response Teams die M\u00f6glichkeit erhalten, bereits bei Verdachtsf\u00e4llen fr\u00fchzeitig zu unterst\u00fctzen.” F\u00fcr Unternehmen, die im Ernstfall BSI-Unterst\u00fctzung ben\u00f6tigen, bedeutet das potenziell deutlich schnellere Reaktionszeiten.<\/p>\n\n\n\n
Die politisch und juristisch brisanteste Neuerung des Gesetzes sind die geplanten Hackback-Befugnisse f\u00fcr BKA und Bundespolizei. Der Begriff “Hackback” beschreibt dabei Ma\u00dfnahmen, bei denen eine Cyberbedrohung mit einem technischen Gegenangriff auf das System des Angreifers beantwortet wird. Das BKA w\u00fcrde dem Entwurf zufolge die Aufgabe bekommen, Gefahren f\u00fcr die IT-Sicherheit “bei internationaler Zusammenarbeit oder au\u00dfen- und sicherheitspolitischer Bedeutung” abzuwehren.<\/p>\n\n\n\n
Die konkreten Befugnisse sind weitreichend: Das BKA soll Datenverkehr umleiten oder blockieren d\u00fcrfen sowie Daten auf einem IT-System “erheben, l\u00f6schen oder ver\u00e4ndern” k\u00f6nnen. Diese Eingriffe sollen in bestimmten F\u00e4llen auch auf privat genutzte IT-Systeme anwendbar sein, beispielsweise wenn es um Gefahren geht, die “die Vertraulichkeit und Integrit\u00e4t informationstechnischer Systeme einer gro\u00dfen Anzahl von Personen” betreffen.<\/p>\n\n\n\n
Susanne Dehmel (Bitkom) zieht beim Thema Hackback eine klare Grenze: “Besonders kritisch sind die neuen Eingriffsbefugnisse f\u00fcr Bundespolizei und BKA, die faktisch sogenannte Hackbacks erm\u00f6glichen, also Ma\u00dfnahmen, bei denen eine Cyberbedrohung mit einem Gegenangriff auf das System des Angreifers beantwortet wird.” Bitkom sieht diese Befugnisse als hochproblematischen Bereich der Cyberabwehr, der einer besonders engen parlamentarischen Kontrolle bedarf.<\/p>\n\n\n\n
Die Gesellschaft f\u00fcr Informatik (GI) hat zum Referentenentwurf eine ausf\u00fchrliche Stellungnahme ver\u00f6ffentlicht. Die GI begr\u00fc\u00dft das Ziel, Deutschlands F\u00e4higkeiten zur Abwehr von Cyberangriffen auszubauen, warnt jedoch ausdr\u00fccklich vor den technischen und grundrechtlichen Risiken geplanter aktiver Eingriffsbefugnisse f\u00fcr Sicherheitsbeh\u00f6rden in IT-Systeme und Netzwerkinfrastrukturen.<\/p>\n\n\n\n
Die Arbeitsgemeinschaft KRITIS (AG KRITIS) ist in ihrer Kritik noch sch\u00e4rfer. In einer Stellungnahme vom 12. M\u00e4rz 2026 bezeichnet sie die Hackback-Befugnisse als verfassungswidrig und technisch problematisch. Das Kernproblem: Angreifer im Cyberraum nutzen regelm\u00e4\u00dfig kompromittierte, unbeteiligte Drittger\u00e4te als Sprungbrett. Ein staatlicher Gegenangriff trifft damit nicht den eigentlichen Angreifer, sondern m\u00f6glicherweise ein gehacktes Ger\u00e4t einer unbeteiligten Privatperson oder eines unbeteiligten Unternehmens.<\/p>\n\n\n\n
Ein weiteres verfassungsrechtliches Problem liegt in der Verh\u00e4ltnism\u00e4\u00dfigkeit. Eingriffe in private IT-Systeme ber\u00fchren Grundrechte wie das Fernmeldegeheimnis, das Recht auf informationelle Selbstbestimmung und das vom Bundesverfassungsgericht 2008 entwickelte Grundrecht auf Gew\u00e4hrleistung der Vertraulichkeit und Integrit\u00e4t informationstechnischer Systeme. Rechtswissenschaftler sehen erheblichen Kl\u00e4rungsbedarf, und erste \u00dcberlegungen zu einer m\u00f6glichen Verfassungsbeschwerde kursieren bereits in der Zivilgesellschaft.<\/p>\n\n\n\n
Neben den Hackback-Befugnissen schafft das Gesetz zwei weitere f\u00fcr die Wirtschaft relevante Regelungsbereiche. Erstens erhalten DNS-Blocklisten eine gesetzliche Grundlage. Bisher bewegten sich Unternehmen, die freiwillig malware-verteilende oder Phishing-Domains blocken, in einer rechtlichen Grauzone. Mit dem Gesetz bekommen sie Rechtssicherheit f\u00fcr den Einsatz solcher Schutzmechanismen.<\/p>\n\n\n\n
Bitkom begr\u00fc\u00dft diese Regelung: “Mit der gesetzlichen Grundlage f\u00fcr DNS-Blocklisten bekommen Unternehmen Rechtssicherheit, wenn sie freiwillig gegen entsprechende Angriffe vorgehen wollen,” erkl\u00e4rt Susanne Dehmel. F\u00fcr die rund 45 Millionen Internetnutzer in Deutschland, von denen laut BSI-Cybersicherheitsmonitor 2026 11 Prozent im vergangenen Jahr Opfer von Cyberkriminalit\u00e4t wurden, k\u00f6nnten DNS-Blocklisten messbaren Schutz bieten. 88 Prozent der Opfer berichten von einem entstandenen Schaden, ein Drittel von finanziellen Verlusten.<\/p>\n\n\n\n
Zweitens f\u00fchrt das Gesetz bu\u00dfgeldbewehrte Mitwirkungs- und Auskunftspflichten f\u00fcr bestimmte Unternehmen ein. Betroffen sind Betreiber kritischer Anlagen, DNS-Dienste-Anbieter sowie Top-Level-Domain-Registries und -Registrare. Diese m\u00fcssen auf Anordnung der Beh\u00f6rden bei Cyberabwehrma\u00dfnahmen aktiv mitwirken und Auskunft erteilen. Zus\u00e4tzlich sollen bestimmte kritische Systeme an das BSI angebunden und kontinuierlich Parameter sowie Verf\u00fcgbarkeitsindikatoren automatisiert \u00fcbermitteln.<\/p>\n\n\n\n
Das “Gesetz zur St\u00e4rkung der Cybersicherheit” ist nicht das erste Sicherheitsgesetz, das 2026 f\u00fcr kritische Infrastrukturen in Deutschland in Kraft tritt. Das sogenannte KRITIS-Dachgesetz, das die EU-Richtlinie 2022\/2557 in deutsches Recht umsetzt, wurde am 29. Januar 2026 vom Bundestag beschlossen, am 6. M\u00e4rz 2026 vom Bundesrat angenommen und am 16. M\u00e4rz 2026 im Bundesgesetzblatt ver\u00f6ffentlicht. Es ist seitdem vollst\u00e4ndig in Kraft.<\/p>\n\n\n\n
Das KRITIS-Dachgesetz fokussiert auf physische Sicherheit und Resilienz: Meldepflichten, Business Continuity Management (BCM), physische Schutzma\u00dfnahmen, Personalanforderungen und Krisenmanagement. Als neue Aufsichtsbeh\u00f6rde fungiert das Bundesamt f\u00fcr Bev\u00f6lkerungsschutz und Katastrophenhilfe (BBK). Verst\u00f6\u00dfe k\u00f6nnen mit Bu\u00dfgeldern von bis zu 1 Million Euro belegt werden.<\/p>\n\n\n\n
Damit entsteht in Deutschland 2026 ein gestaffelter Regulierungsrahmen f\u00fcr kritische Infrastrukturen: Das NIS-2-Umsetzungsgesetz regelt Cybersicherheitspflichten und das Melderegime f\u00fcr kritische und wichtige Einrichtungen. Das KRITIS-Dachgesetz erg\u00e4nzt dies um physische Resilienzpflichten. Das neue Gesetz zur St\u00e4rkung der Cybersicherheit gibt den Beh\u00f6rden aktive Abwehrbefugnisse. Alle drei Regelwerke greifen ineinander, f\u00fcr Compliance-Verantwortliche bedeutet das eine erhebliche Zunahme an gesetzlichen Anforderungen.<\/p>\n\n\n\n
Die Umsetzung des neuen Gesetzes erfordert erhebliche personelle Ressourcen. Das Bundesinnenministerium sch\u00e4tzt, dass bis zum Jahr 2030 insgesamt 375 neue Stellen in den drei betroffenen Beh\u00f6rden entstehen werden. Aufgeteilt nach Beh\u00f6rden ergibt sich folgendes Bild: Allein beim BKA sollen 264 neue Personen f\u00fcr die Umsetzung ben\u00f6tigt werden. Bei der Bundespolizei werden 90 neue Stellen erwartet, beim BSI 21 zus\u00e4tzliche Positionen.<\/p>\n\n\n\n
Das ist ein erhebliches Investitionssignal in staatliche Cyberf\u00e4higkeiten. Der Gro\u00dfteil der 375 Stellen d\u00fcrfte auf IT-Spezialisten, Cybersecurity-Experten und juristische Fachkr\u00e4fte entfallen. Auf dem angespannten Arbeitsmarkt f\u00fcr IT-Sicherheitsfachkr\u00e4fte k\u00f6nnte die Rekrutierung eine Herausforderung werden. Das BSI schloss am 16. Juni 2026 eine neue Kooperationsvereinbarung mit dem Land Schleswig-Holstein, um Cybersicherheitsf\u00e4higkeiten in Bund und L\u00e4ndern gemeinsam auszubauen. Solche f\u00f6deralen Kooperationsmodelle k\u00f6nnten helfen, Ressourcen effizienter zu b\u00fcndeln und Doppelstrukturen zu vermeiden.<\/p>\n\n\n\n
Die Reaktionen auf das Gesetz sind gespalten. Positiv bewertet wird der Ansatz, existierende technische F\u00e4higkeiten der Beh\u00f6rden auf eine rechtssichere Grundlage zu stellen und DNS-Blocklisten zu legalisieren. Kritisch gesehen werden fast durchg\u00e4ngig die Hackback-Befugnisse und die weitreichenden Eingriffsm\u00f6glichkeiten in private Systeme.<\/p>\n\n\n\n
Der Bundesverband der Deutschen Industrie (BDI) hat eine eigene Stellungnahme zum Entwurf ver\u00f6ffentlicht. Er betont die Notwendigkeit, den Wirtschaftsstandort Deutschland besser zu sch\u00fctzen, mahnt aber gleichzeitig Verh\u00e4ltnism\u00e4\u00dfigkeit und Rechtssicherheit f\u00fcr Unternehmen an. Die bu\u00dfgeldbewehrten Mitwirkungspflichten k\u00f6nnten besonders f\u00fcr mittelst\u00e4ndische KRITIS-Betreiber zu einer erheblichen Compliance-Last werden.<\/p>\n\n\n\n
Die Gesellschaft f\u00fcr Informatik bringt einen weiteren technischen Einwand vor: Aktive Eingriffe in Netzwerkinfrastrukturen k\u00f6nnen unbeabsichtigte Kollateralsch\u00e4den verursachen. Das Internet ist ein vermaschtes, interdependentes System, in dem ein Eingriff an einer Stelle unvorhergesehene Effekte an anderer Stelle ausl\u00f6sen kann. Diese Systemkomplexit\u00e4t spricht f\u00fcr sehr enge gesetzliche H\u00fcrden bei aktiven Ma\u00dfnahmen und f\u00fcr eine parlamentarische Kontrolle aller Einzelf\u00e4lle.<\/p>\n\n\n\n
Die parlamentarische Beratung des Gesetzentwurfs hat am 25. Juni 2026 mit der ersten Lesung im Bundestag begonnen. Nach der 20-min\u00fctigen Debatte wurde der Entwurf dem Innenausschuss als federf\u00fchrendem Ausschuss \u00fcberwiesen. In den kommenden Wochen und Monaten folgen die Ausschussberatungen, in deren Rahmen Sachverst\u00e4ndige angeh\u00f6rt werden und \u00c4nderungsantr\u00e4ge eingebracht werden k\u00f6nnen.<\/p>\n\n\n\n
Nach erfolgreicher Ausschussberatung folgen die zweite und dritte Lesung im Bundestag sowie die Befassung des Bundesrates. Vorbehaltlich einzelner Anbieterpflichten soll das Gesetz am Tag nach der Verk\u00fcndung im Bundesgesetzblatt in Kraft treten. Realistisch betrachtet ist mit einem Inkrafttreten im Herbst 2026 oder Anfang 2027 zu rechnen, sofern die parlamentarischen Beratungen ohne gr\u00f6\u00dfere Verz\u00f6gerungen verlaufen.<\/p>\n\n\n\n
Die politische Lage beg\u00fcnstigt eine z\u00fcgige Verabschiedung: Cybersicherheit genie\u00dft im Deutschen Bundestag partei\u00fcbergreifende Unterst\u00fctzung als Thema. Die konkrete Ausgestaltung der Hackback-Befugnisse wird in den Ausschussberatungen jedoch noch kontrovers diskutiert werden, und \u00c4nderungsantr\u00e4ge, die diese Befugnisse einschr\u00e4nken, gelten als wahrscheinlich.<\/p>\n\n\n\n
Deutschland ist nicht das einzige EU-Land, das \u00fcber aktive Cyberabwehrbefugnisse nachdenkt. Die Niederlande haben bereits 2023 Hackback-Befugnisse f\u00fcr Nachrichtendienste beschlossen. Frankreich hat im Rahmen seines milit\u00e4rischen Programmgesetzes offensive Cyberf\u00e4higkeiten f\u00fcr staatliche Akteure ausgebaut. In Deutschland war die Rechtslage bisher besonders zur\u00fcckhaltend, was das neue Gesetz fundamental \u00e4ndern w\u00fcrde.<\/p>\n\n\n\n
Auf EU-Ebene bildet die NIS-2-Richtlinie den gemeinsamen Rahmen f\u00fcr Cybersicherheitspflichten. Der EU Cyber Resilience Act, der 2025 in Kraft trat, erg\u00e4nzt dies um Anforderungen an die Cybersicherheit vernetzter Produkte. Das neue deutsche Gesetz zur St\u00e4rkung der Cybersicherheit geht \u00fcber den EU-Mindestrahmen hinaus und setzt auf nationale aktive Abwehrf\u00e4higkeiten, die EU-weit bisher keine einheitliche Entsprechung haben.<\/p>\n\n\n\n
F\u00fcr Unternehmen, die als Betreiber kritischer Anlagen, DNS-Dienstleister oder TLD-Registries eingestuft sind, bringt das Gesetz konkrete neue Pflichten. Die wichtigste: Auf beh\u00f6rdliche Anordnung m\u00fcssen diese Unternehmen bei Cyberabwehrma\u00dfnahmen mitwirken und Auskunft erteilen. Das Nichtbefolgen einer solchen Anordnung wird als Ordnungswidrigkeit mit Bu\u00dfgeld geahndet, wobei die genaue Bu\u00dfgeldh\u00f6he im Gesetzgebungsverfahren noch festgelegt wird.<\/p>\n\n\n\n
Zus\u00e4tzlich m\u00fcssen bestimmte kritische Systeme an das BSI angebunden werden und kontinuierlich sowie automatisiert Parameter und Verf\u00fcgbarkeitsindikatoren \u00fcbermitteln. Das ist im Kern ein dauerhaftes Monitoring, das technische Anpassungen in der Infrastruktur der betroffenen Betreiber erfordern kann. Compliance-Verantwortliche sollten jetzt pr\u00fcfen, ob ihr Unternehmen in den Anwendungsbereich des Gesetzes f\u00e4llt.<\/p>\n\n\n\n
F\u00fcr Digitaldienstleister im weiteren Sinne gilt: Die bisher nur f\u00fcr Telekommunikationsanbieter geltende Pflicht, Informationen des BSI \u00fcber konkrete Gefahren f\u00fcr ihre Kunden weiterzugeben, wird auf Anbieter digitaler Dienste ausgeweitet. Das betrifft potenziell eine erhebliche Zahl von Cloud-Diensten, SaaS-Anbietern und Plattformbetreibern mit Nutzern in Deutschland. Rechtliche Beratung zum genauen Anwendungsbereich ist dringend empfohlen.<\/p>\n\n\n\n