In einem aktuellen Entwurf eines „Gesetzes zur Stärkung der Cybersicherheit“ wird den Schwerpunkt der deutschen Cyberpolitik spürbar in Richtung einer aktiven Gefahrenabwehr im Netz verschoben – mit massiven neuen Befugnissen für BKA, Bundespolizei und BSI, aber auch mit spürbaren Folgen für Unternehmen und offene Fragen für Bürgerrechte.
Neue Eingriffsrechte für BKA und Bundespolizei
Kern des Entwurfs sind neue polizeiliche Abwehrinstrumente speziell für Angriffe auf die „Sicherheit in der Informationstechnik“.
Die Bundespolizei erhält mit § 41a BPolG-neu die Befugnis, IT-Systeme abzuschalten, Datenverkehr umzuleiten oder zu unterbinden und direkt in informationstechnische Systeme einzugreifen, um Daten zu erheben, zu löschen oder zu verändern – auch ohne Wissen der Betroffenen. Vergleichbare Kompetenzen werden im BKAG als neuer Abschnitt 5a verankert (§§ 62b–62g BKAG-neu), ergänzt um eine neue Aufgabe des BKA zur Abwehr von IT-Gefahren mit internationaler oder außen- und sicherheitspolitischer Dimension (§ 3a BKAG-neu).
Eingriffe in private IT-Systeme sind – verfassungsrechtlich erwartbar – an qualifizierte Gefahrenlagen (Bestand und Sicherheit des Bundes oder eines Landes, kritische Einrichtungen, große Personenzahlen, Leib, Leben, Freiheit, bedeutsame Sachen) und einen Richtervorbehalt geknüpft, wobei bei Gefahr im Verzug zunächst die Behördenleitung anordnen darf, die gerichtliche Bestätigung aber binnen drei Tagen nachzuholen ist. Privat definiert der Entwurf nur solche Systeme, die aufgrund Umfang und Vielfalt der Daten Rückschlüsse auf wesentliche Teile der Lebensgestaltung erlauben; Systeme, die im Wesentlichen für Angriffe betrieben werden, gelten ausdrücklich nicht als privat. Eingriffe dürfen auch Dritte „unvermeidbar“ betreffen, und es sind Offenbarungsverbote vorgesehen, die Betroffene und Diensteanbieter über laufende Maßnahmen im Unklaren lassen können.
BSI mit mehr Daten und mehr Durchgriff
Das BSI wird in mehreren Dimensionen gestärkt und zugleich technisch wie rechtlich tiefer in die Netzinfrastruktur gezogen. Im Umfeld der Bundesverwaltung darf das Amt Protokolldaten und an Schnittstellen anfallende URL-bezogene Daten länger speichern (bis zu 18 Monate) und pseudonymisiert automatisiert auswerten, um Schadprogramme und „sonstige erhebliche Gefahren“ zu erkennen; ein Zugriff auf Daten, die länger als drei Monate gespeichert sind, ist nur bei konkreten Erkenntnissen über eine Betroffenheit zulässig, die Depseudonymisierung steht unter einem internen Richtervorbehalt.
Neu ist die Pflicht für Betreiber kritischer Anlagen, ihre Systeme zur Angriffserkennung nicht nur einzusetzen, sondern auch direkt an das BSI anzubinden und kontinuierlich Parameter und Verfügbarkeitsindikatoren automatisiert zu übermitteln; das BSI legt die Anforderungen fest und kann Verstöße sanktionieren (§ 31 BSIG-neu, Bußgeldtatbestand in § 65 BSIG). Ergänzend erhält das BSI die Möglichkeit, auf Ersuchen in Systemen von Bundesbehörden und wichtigen Einrichtungen „Prepositioning“ zu suchen (Threat Hunting) – also vorbereitende Maßnahmen von Angreifern, bevor der eigentliche Schaden eingetreten ist.
Eine qualitativ neue Rolle nimmt das BSI als Akteur gegenüber der DNS- und Domain-Infrastruktur ein: Es darf gegenüber Top-Level-Domain-Registries und Registraren anordnen, Nameservereinträge für bestimmte Domains zu ändern oder umzuleiten, um Schadprogramme und andere Sicherheitsrisiken zu analysieren (§ 16a BSIG-neu). Zudem sind große DNS-Diensteanbieter verpflichtet, ihren Kunden einen DNS-basierten Schutz vor „schädlichen Domains“ anzubieten, wenn das BSI entsprechende Informationen veröffentlicht. Die Maßnahme reicht damit tief in die technische Schicht der Namensauflösung hinein und macht das BSI zur faktischen Instanz für zentral gesteuerte Domain-Eingriffe, wenn „erhebliche Gefahren“ für definierte Schutzgüter vorliegen.
Domainumleitungen als neues Instrument der Cyberabwehr
Der Entwurf macht Domainumleitungen zu einem der schärfsten technischen Werkzeuge staatlicher Cyberabwehr – und stattet sowohl das BSI als auch das BKA mit entsprechenden Kompetenzen aus, wenn auch mit unterschiedlichen Rollen und Zielrichtungen.
Beim BSI zielt die Befugnis auf die Infrastruktur: Das Amt soll gegenüber Top-Level-Domain-Registries und Registraren anordnen können, Nameservereinträge bestimmter Domains zu ändern oder neue Einträge hinzuzufügen, um den Datenverkehr umzuleiten. Ein klassisches Szenario ist das „Sinkholing“: Datenverkehr, der eigentlich zu einer Command-and-Control-Domain eines Botnetzes oder einer Malware-Infrastruktur laufen würde, wird auf einen vom BSI kontrollierten Server umgelenkt. Dort kann analysiert werden, welche Systeme infiziert sind, wie die Schadsoftware funktioniert und wie sich Angriffe eindämmen lassen; zugleich wird die schädliche Infrastruktur zumindest temporär entkoppelt. Ausdrücklich vorgesehen ist, dass das BSI die so umgeleiteten Daten verarbeiten darf, um Informationen über Schadprogramme oder andere Sicherheitsrisiken zu gewinnen, sie aber nach spätestens drei Monaten löschen muss und die Datenschutzaufsicht jährlich über die Zahl der Umleitungen zu informieren hat.
Das BKA dagegen soll Domainumleitungen als Teil eines operativen Abwehrarsenals nutzen können, wenn konkrete Gefahrenlagen vorliegen. § 62d BKAG-neu erlaubt es dem Bundeskriminalamt, bei Angriffen auf die Sicherheit in der Informationstechnik den Datenverkehr an eine vorgegebene Zieladresse umzuleiten, ihn einzuschränken oder zu unterbinden – auch ohne Wissen der Betroffenen und mit Einbeziehung von Telekommunikations- und Diensteanbietern, die zur Mitwirkung verpflichtet werden. Anders als beim BSI geht es hier weniger um generische Analyse von Schadkampagnen, sondern um situationsbezogene Gefahrenabwehr: etwa das kurzfristige Stilllegen einer Infrastruktur, die gerade kritische Netze angreift, oder das gezielte Umlenken von Datenströmen, um einen laufenden Angriff zu neutralisieren oder technisch forensisch abzusichern.
Gemeinsam ist beiden Ansätzen, dass sie tief in die technische Grundversorgung des Netzes eingreifen: Wer über Nameserver oder Routing den Verkehr umleitet, beeinflusst im Ergebnis, welche Ziele im Netz noch erreichbar sind und wer welche Daten empfängt. Beim BSI stehen Stabilisierung, Lageerkenntnis und Schutz breiter Infrastrukturen im Vordergrund, beim BKA der punktuelle Eingriff in konkrete Gefahrenlagen, oft mit Bezug zu schwerer Kriminalität oder hybriden Bedrohungen. Für Unternehmen – insbesondere Provider, DNS-Betreiber und Plattformen – bedeuten diese Normen, dass sie sich auf Anordnungen vorbereiten müssen, die nicht nur Filterungen oder Informationspflichten, sondern unmittelbare Änderungen an ihrer technischen Kerninfrastruktur verlangen können.
Pflichten und Risiken für Unternehmen
Für Unternehmen – speziell Telekommunikationsprovider, DNS-Betreiber, Cloud-Anbieter, Digital-Plattformen und Betreiber kritischer Infrastrukturen – verschärft der Entwurf die Verantwortung entlang der gesamten digitalen Wertschöpfungskette. Telekommunikationsanbieter und Anbieter digitaler Dienste werden verpflichtet, auf Anordnung von BKA und Bundespolizei bei Umleitung, Einschränkung oder Unterbindung von Datenverkehr mitzuwirken und technische Auskünfte zu erteilen; Verstöße können mit Bußgeldern bis zu 10 bzw. 20 Millionen Euro geahndet werden.
Das BSI kann von Telekommunikationsunternehmen und geschäftsmäßigen Anbietern digitaler Dienste „sicherheitsrelevante technische Informationen“ verlangen, die Rückschlüsse auf Schadaktivitäten, Schwachstellen und Bedrohungen erlauben; diese Daten dürfen bis zu 24 Monate für die Aufgabenwahrnehmung genutzt werden. Gleichzeitig werden Betreiber kritischer Anlagen in Richtung einer stärker zentralisierten Angriffserkennung mit Datenabfluss an das BSI gedrängt, während die bisherige Nachweispflicht über die Nutzung solcher Systeme entfällt. Für die Wirtschaft konstatiert der Entwurf selbst einen „moderaten, nicht näher quantifizierbaren“ Erfüllungsaufwand, zugleich werden aber beim BKA, BSI und der Bundespolizei zusätzliche dreistellige Personalbedarfe und erhebliche Sachkosten eingeplant – ein Indiz dafür, dass die operative Umsetzung auf Seiten der Unternehmen keineswegs trivial sein dürfte.
Flankierend schreibt das TDDDG künftig vor, dass Anbieter digitaler Dienste Störungen, die von Systemen ihrer Nutzer ausgehen, erkennen, die betroffenen Nutzer informieren und auf technische Mittel hinweisen müssen; sie dürfen hierfür Teile des Datenverkehrs umleiten, um eine Benachrichtigung zu ermöglichen. Werden sie vom BSI über konkrete Gefahren informiert, sind sie ebenfalls zur Nutzerbenachrichtigung verpflichtet. Damit wird die Rolle privatwirtschaftlicher Plattformen als verlängerter Arm staatlicher Cyberabwehr ausgebaut – mit entsprechenden Anforderungen an Monitoring, Incident Response und Compliance-Strukturen.
Cyberabwehr vs. Grundrechte …?
Der Entwurf ist deutlich um eine Einbettung in die Rechtsprechung des Bundesverfassungsgerichts bemüht, insbesondere zum IT-Grundrecht und zu verdeckten Online-Eingriffen. Eingriffe in private IT-Systeme werden an qualifizierte Schutzgüter und dringende Gefahren geknüpft; der Schutz des Kernbereichs privater Lebensgestaltung soll über Verweisungen auf bestehende Normen gewährleistet werden, zudem sind Protokollierungs-, Benachrichtigungs- und Berichtspflichten gegenüber Bundestag, Datenschutzaufsicht und Betroffenen vorgesehen. Gleichzeitig relativiert der Begründungsteil die Eingriffe, indem betont wird, dass es sich bei den neuen „besonderen Abwehrmaßnahmen“ nicht um Überwachungsmaßnahmen, sondern um reine Gefahrenabwehr handeln solle, bei der personenbezogene Daten nur insoweit relevant seien, wie sie für die Abwehr erforderlich sind.
Gerade an dieser Schnittstelle dürfte sich in der verfassungsrechtlichen Bewertung die Spreu vom Weizen trennen: Praktisch sind Eingriffe wie das Löschen, Verändern oder Auslesen von Daten in kompromittierten Systemen kaum sauber von Überwachungsfunktionen zu trennen, zumal der Entwurf ausdrücklich zulässt, Systeme im Einzelfall als „in Gänze gefahrenverursachend“ zu behandeln und sie gegebenenfalls vollständig unbrauchbar zu machen. Die Kombination aus weitreichenden technischen Befugnissen, Offenbarungsverboten, Druckmitteln gegenüber Infrastrukturanbietern und teilweise langen Speicherfristen erzeugt ein Kontroll- und Interventionsregime, das – bei aller sicherheitspolitischen Plausibilität – in der Praxis intensiv gerichtlicher und parlamentarischer Kontrolle bedarf, um die Schwelle von der Gefahrenabwehr zur verdeckten Überwachung nicht schleichend zu senken.
Handlungsfähigkeit im Cyberraum – zu welchem Preis?
Politisch schließt der Entwurf eine klaffende Lücke, die die Bundesregierung selbst beschreibt: BKA, Bundespolizei und BSI sollen in die Lage versetzt werden, nicht mehr nur reaktiv auf Cyberangriffe zu antworten, sondern auch komplexe, transnationale Infrastruktur von Angreifern aktiv zu stören, Botnetze zu zerschlagen, Schadsoftware zu analysieren und Gefahren schon in der Phase des „Prepositioning“ einzudämmen. Die gesetzliche Architektur vernetzt dafür Sicherheitsbehörden, Behörden der Bundesverwaltung, Kritische-Infrastruktur-Betreiber und digitale Diensteanbieter eng miteinander; Cyberabwehr wird zum gemeinsamen Verbundprojekt von Staat und Wirtschaft – mit dem BSI als technischer Drehscheibe und BKA/Bundespolizei als Akteuren für operative Eingriffe.
Mir machen vorrangig Domainumleitungen und der Umbau der Durchsuchungsrechte beim Dritten, klar ausgerichtet auf Datenträger, erhebliche Sorgen. Der neue Abschnitt 5a betrifft die Bürgerrechte Dritter ganz massiv und verwischt augenscheinlich präventive mit repressiven Aspekten; dass hier bei grundrechtsintensiven Eingriffen wie dem zielgerichteten Eingriff in informationstechnische Systeme kein Richtervorbehalt oder wenigstens eine automatisch nachgeschaltete richterliche Kontrolle vorgesehen ist, ist übel – dagegen wirkt die Umleitung von Domains fast entspannt. In Kombination mit der Durchsuchung des neu formulierten §59 ergeben sich starke Werkzeuge, um unter dem Deckmantel der Gefahrenabwehr zielgerichtet und unkontrolliert Verdachtsmomente zu schaffen. Dabei ist die Mechanik zwar nicht komplex, aber so geschickt konstruiert, dass ich befürchte, dass die Parlamentarier das so nicht bemerken werden.
Wirtschaft und Bürger sehen hier eine Verdichtung der sicherheitsrechtlichen Rahmenbedingungen im digitalen Raum: Unternehmen werden stärker in Cyberabwehrpflichten eingebunden, und für Bürger steigen die Chancen, indirekt von Eingriffen in IT-Systeme oder Domains betroffen zu sein, ohne hiervon zeitnah zu erfahren. Ob die gesetzgeberische Linie – mehr Durchgriff, mehr zentrale Steuerung, mehr technische Eingriffe – mit dem versprochenen Fokus auf verhältnismäßige, rechtsklare und grundrechtskonforme Maßnahmen in der Praxis vereinbar bleibt, wird weniger eine Frage der Normtexte als der späteren Auslegung, Kontrolle und gerichtlichen Begrenzung sein.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Transitorischer Besitz und faktische Verfügungsgewalt beim Finanzagenten - 8. März 2026
- Cyberfähigkeiten von Israel und Iran - 7. März 2026
- Irans Cyberfähigkeiten und Hacker - 7. März 2026
