Hackback-Gesetz: Darf der Staat jetzt zurückschlagen?
Wenn der Staat zurückhackt
Immer wieder trifft es Organisationen, die sich kaum wehren können: Der Arbeiter-Samariter-Bund im Saarland verliert Daten von Beschäftigten und Kunden. Ein Ex-BND-Vize fällt auf Phishing rein. Eine Einrichtung für Menschen mit Behinderungen in Essen wird erpresst. Diese Vorfälle passieren nicht in fernen Ländern, sondern hier, in den vergangenen Wochen.
Die Antwort des Bundesinnenministeriums darauf liegt seit Ende Februar als Referentenentwurf vor: das „Gesetz zur Stärkung der Cybersicherheit". Kern des Entwurfs: Bundespolizei, BKA und BSI sollen künftig nicht nur verteidigen, sondern aktiv zurückschlagen dürfen. Datenverkehr umleiten, kompromittierte Systeme abschalten, Daten auf fremden Computern löschen oder verändern. Im Fachjargon nennt man das „Hackback".
Was genau steht im Entwurf?
Der Referentenentwurf ändert drei Gesetze gleichzeitig: das Bundespolizeigesetz (BPolG), das BKA-Gesetz (BKAG) und das BSI-Gesetz (BSIG).
BKA: Internationale Cyber-Gefahrenabwehr
Das BKA soll eine komplett neue Aufgabe bekommen: die Abwehr von IT-Gefahren mit „außen- und sicherheitspolitischer Bedeutung" (§ 3a BKAG). Konkret darf es künftig Datenverkehr umleiten oder blockieren, Daten auf IT-Systemen „erheben, löschen oder verändern" (§§ 62b–62g BKAG). Das gilt auch für private Systeme, wenn es um Gefahren für „die Vertraulichkeit und Integrität informationstechnischer Systeme einer großen Anzahl von Personen" geht.
Praktisch bedeutet das: Das BKA könnte gehackte Router im Heimnetz eines Bürgers abschalten, ohne den Besitzer vorher zu informieren. Oder Command-and-Control-Server im Ausland lahmlegen, von denen Angriffe auf deutsche Netze ausgehen.
Bundespolizei: Gleiche Werkzeuge, eigene Zuständigkeit
Die Bundespolizei bekommt mit § 41a BPolG ähnliche Befugnisse: IT-Systeme abschalten, Datenverkehr umleiten, in Systeme eingreifen und Daten löschen. Die Kompetenz gilt dort, wo die Bundespolizei ohnehin zuständig ist – also bei grenzüberschreitender Kriminalität oder dem Schutz von Bundesorganen.
BSI: Von der Analyse zum Eingriff
Das BSI bekommt eine erweiterte Rolle, die weit über Beratung hinausgeht:
- DNS-Eingriffe: Das BSI darf gegenüber Domain-Registries und Registraren anordnen, Nameserver-Einträge zu ändern. Technisch heißt das: Eine schädliche Domain kann umgeleitet werden, damit das BSI den Datenverkehr analysiert – klassisches „Sinkholing".
- Threat Hunting: Das BSI darf in Bundesbehörden und kritischen Einrichtungen proaktiv nach Vorbereitungsmaßnahmen von Angreifern suchen, bevor ein Schaden eintritt.
- DNS-Schutzpflicht: Große DNS-Anbieter müssen ihren Kunden Schutz vor „schädlichen Domains" anbieten, wenn das BSI entsprechende Informationen veröffentlicht.
- Längere Datenspeicherung: Protokolldaten dürfen bis zu 18 Monate gespeichert und pseudonymisiert ausgewertet werden.
Was Kritiker sagen
Die Reaktionen aus der IT-Sicherheits-Community sind einhellig scharf.
AG KRITIS: Kollateralschäden garantiert
Die Arbeitsgruppe KRITIS, die sich mit der Sicherheit kritischer Infrastrukturen beschäftigt, hat in einer Stellungnahme schwere Bedenken angemeldet. Ihr zentrales Argument: Kritische Infrastrukturen wie Energieversorger oder Transportunternehmen könnten von Angreifern als Opfersysteme missbraucht werden – und wären damit selbst Ziel der Behörden.
Das würde ohne Wissen des Betreibers passieren. Die Behörden hätten sogar die Befugnis, Daten zu verändern oder zu löschen. Ein nicht abgestimmter Eingriff in Konfigurationsdaten, Systemparameter oder Netzwerkverbindungen kann dort unmittelbare Betriebsstörungen auslösen und bis zum Versorgungsausfall für die Bevölkerung führen. Genau dieses Risiko geht der Entwurf nicht ein.
Herpig (interface): Grundgesetzdebatte fällig
Sven Herpig, Leiter für Cybersicherheitspolitik beim Policy-Institut interface, geht noch weiter. Der Anwendungsbereich sei strukturell weit gezogen, die Eingriffe in private IT-Systeme eine qualitative Erweiterung staatlicher Befugnisse im digitalen Raum. Wegen der Intensität und Reichweite der Maßnahmen sei eine „offene verfassungsrechtliche Grundsatzdebatte" nötig, möglicherweise einschließlich einer Grundgesetzänderung.
eco e.V.: Internetwirtschaft alarmiert
Auch der Verband der Internetwirtschaft (eco e.V.) hat den Entwurf scharf kritisiert. Besonders problematisch: Domain-Umleitungen haben keine aufschiebende Wirkung. Wer eine Anordnung des BSI anfechten will, kann das zwar tun – die Domain ist aber in der Zwischenzeit schon umgeleitet. Für Unternehmen bedeutet das: Eingriffe in die eigene Infrastruktur ohne Vorwarnung.
Bundesrechnungshof: Erst mal eigene IT fixen
Ein Bericht des Bundesrechnungshofs aus dem Sommer 2025 lässt sich nicht ignorieren: Die IT des Bundes selbst sei „nicht auf die aktuellen Bedrohungen vorbereitet", es gebe Mängel bei Detektion und Resilienz, die Cybersicherheitsarchitektur sei ein „Dschungel von Institutionen und Zuständigkeiten". Für Experten wie Herpig ein klares Signal: Erst Grundlagen schaffen, bevor man offensive Fähigkeiten aufbaut.
375 neue Stellen und was sie kosten sollen
Der Entwurf rechnet mit erheblichem Personalaufwand: 264 Stellen beim BKA, 90 bei der Bundespolizei und 21 beim BSI bis 2030. Herpig kritisiert dies als Widerspruch zu politischen Versprechen von Bürokratieabbau und Ausgabendisziplin – besonders angesichts der bestehenden Mängel bei der eigenen IT-Sicherheit des Bundes.
Was bedeutet das für kritische Infrastrukturen?
Für Betreiber kritischer Einrichtungen wie Rettungsdienste, Hilfsorganisationen, Krankenhäuser oder Kommunen bringt das Gesetz konkrete Risiken:
- Eigene Systeme könnten Ziel werden. Wer von Angreifern als Springbrett missbraucht wird, kann selbst zum Ziel behördlicher Maßnahmen werden – ohne Vorwarnung.
- Kein Mitspracherecht. Offenbarungsverbote bedeuten: Betreiber erfahren möglicherweise erst im Nachhinein, dass in ihren Systemen eingegriffen wurde.
- DNS-Pflichten. Organisationen mit eigener IT-Infrastruktur müssen sich auf Anordnungen des BSI vorbereiten, die die Erreichbarkeit ihrer Dienste betreffen können.
- Erweiterte Meldepflichten. Betreiber kritischer Anlagen müssen ihre Systeme zur Angriffserkennung direkt an das BSI anbinden und kontinuierlich Daten übermitteln.
Fazit
Die Cyberbedrohung ist real. Niemand bestreitet, dass die bisherigen Abwehrmechanismen nicht ausreichen. Die Frage ist aber, ob die richtige Antwort darin besteht, dass Behörden in fremde IT-Systeme eingreifen, Daten verändern und Dienste abschalten – möglicherweise auch bei unschuldigen Dritten.
Der Entwurf steht in der Kritik, verfassungsrechtliche Grundfragen auszuklammern, technische Risiken zu unterschätzen und mehr Bürokratie zu schaffen, wo eigentlich bessere Grundlagen fehlen. Solange die eigene IT des Bundes nach Einschätzung des Bundesrechnungshofs nicht auf aktuelle Bedrohungen vorbereitet ist, stellt sich die Frage: Brauchen wir erst mehr Angreifer oder erst bessere Verteidiger?
Die Antwort darauf wird der Bundestag geben müssen.
Was Betreiber kritischer Infrastrukturen jetzt tun sollten
Bis das Gesetz verabschiedet wird, lohnt sich Vorbereitung. Konkret bedeutet das:
- Incident-Response-Plan prüfen: Wer noch keinen hat, sollte jetzt einen aufsetzen. Wer einen hat, sollte ihn gegen die neuen Befugnisse testen – was passiert, wenn Behörden unbemerkt in eigenen Systemen eingreifen?
- Kontakt zum BSI aufbauen: Direkte Ansprechpartner beim BSI sind jetzt schon wertvoll, sobald Threat-Hunting-Pflichten greifen, werden sie unverzichtbar.
- Stellungnahme einreichen: Der Referentenentwurf befindet sich im Beteiligungsverfahren. Fachverbände wie die AG KRITIS haben bereits reagiert – auch einzelne Organisationen können sich äußern.
- Eigenes Monitoring verstärken: Wer Angriffe auf eigene Systeme früh erkennt, vermeidet, zum Opfersystem zu werden, in das Behörden eingreifen müssen.