Der Staat als Systemfrage
Deutschland besitzt Behörden, Gesetze, Ausschüsse und Strategiepapiere. Was es im Krisenfall oft nicht besitzt, ist Tempo. Das klingt ungerecht, ist aber eine Erfahrung aus vielen Lagen: Wenn mehrere Störungen gleichzeitig auftreten, löst sich das Problem nicht in Ressorts auf, sondern addiert sich zu einer Systemfrage. Cyberangriff, Sabotage, Desinformation, Ausfälle bei Energie, Telekommunikation oder Verkehr – all das fragt nicht zuerst nach Paragrafen, sondern nach Wirkung. Wer erkennt was? Wer entscheidet? Wer handelt? Und wer bringt das System zurück in den Normalbetrieb?
Was „gesamtstaatlich“ wirklich heißt
„Gesamtstaatlich“ ist ein deutsches Lieblingswort, das schnell nach Verwaltungsreform klingt. In der Praxis meint es etwas Konkretes: die Fähigkeit, Bund, Länder und Kommunen so zu koppeln, dass eine Krise nicht an Schnittstellen hängen bleibt. Denn die Zuständigkeiten sind in Deutschland nicht nur verteilt, sie sind auch historisch gewachsen, juristisch geschützt und politisch empfindlich. Das ist im Alltag ein Vorteil. In der Krise kann es ein Problem werden, weil Entscheidungen dann nicht selten über Wege laufen, die für Normalzeiten gebaut wurden.
Ein „Sicherheitsökosystem“ ist deshalb mehr als ein neues Organigramm. Der Begriff ist – bei aller Mode – eigentlich nüchtern: Sicherheit entsteht durch Abhängigkeiten. Sie entsteht vor der Krise durch Aufklärung und Vorsorge, in der Krise durch Führung und Einsatz, nach der Krise durch Wiederanlauf und Reparatur. Wenn einer dieser Abschnitte nicht anschlussfähig ist, wird aus Resilienz Rhetorik.
KRITIS, BOS und Bundeswehr: Drei Welten, eine Lage
In der Befragung spielt das Zusammenspiel mehrerer Akteurswelten eine zentrale Rolle. Das beginnt bei den sogenannten KRITIS, den „kritischen Infrastrukturen“. Damit ist das gemeint, was im Alltag so selbstverständlich funktioniert, dass man es erst beim Ausfall bemerkt: Stromversorgung, Wasser, Telekommunikation, Verkehr, Gesundheitswesen, Finanzsystem. KRITIS ist häufig nicht staatlich organisiert, sondern wird von Unternehmen betrieben, die marktwirtschaftlich arbeiten, aber eine öffentliche Lebensader in der Hand halten. Schon das allein erzeugt eine eigene Spannung: Der Staat trägt Verantwortung, besitzt aber nicht immer die Mittel der direkten Durchgriffsteuerung.
Daneben stehen die BOS, die „Behörden und Organisationen mit Sicherheitsaufgaben“. Das sind Polizei, Feuerwehr, Rettungsdienste, Technisches Hilfswerk, Katastrophenschutz – kurz: die operative Binnenfront des Staates. Und schließlich die Bundeswehr, also die Streitkräfte, deren Rolle im Inneren rechtlich eng gefasst ist, die aber in hybriden Lagen schnell mitbetroffen ist, weil Cyberraum und äußere Sicherheit nicht mehr sauber voneinander zu trennen sind.
Das Problem entsteht dort, wo diese Welten im Ereignisfall nicht dasselbe sehen, nicht dieselben Daten teilen und nicht dieselben Zeithorizonte haben. Ein Sicherheitsökosystem soll genau dieses Dazwischen beherrschbar machen.
Wirkungslogik statt Zuständigkeitslogik
Die Initiatoren der Untersuchung sprechen von „Wirkungslogiken“ statt „Zuständigkeitslogiken“. Das klingt zunächst nach Beratungsdeutsch, beschreibt aber eine schlichte Verschiebung: In der Krise hilft es wenig, zuerst zu klären, wer formal zuständig ist, wenn die Wirkung sofort eintreten muss. Der Strom fällt nicht später aus, nur weil die Genehmigung noch fehlt. Die Wirkungsperspektive fragt zuerst: Was muss jetzt passieren, damit Schaden begrenzt wird? Wer kann das? Wer darf es? Und wie schnell wird aus Dürfen ein Tun?
Dahinter steht ein Gedanke, der in Deutschland erst allmählich politisch salonfähig wird: Sicherheit wird nicht durch perfekte Regeln garantiert, sondern durch funktionierende Abläufe. Regeln sind notwendig, aber ohne Ablaufkompetenz sind sie nur Papier.
Digitale Vernetzung ist keine Modernisierung, sondern Betriebsbedingung
Ein zweiter Schwerpunkt ist die digitale Vernetzung. Auch hier gilt: Das ist kein Technikthema, sondern ein Zeitthema. Wer in getrennten Systemen arbeitet, produziert getrennte Lagebilder. Wer getrennte Lagebilder hat, koordiniert statt zu führen. Und wer nur koordiniert, verliert Minuten – die im digitalen Raum Stundenwirkung entfalten.
„Digital vernetzt“ heißt deshalb nicht, dass irgendwo ein neues Dashboard installiert wird. Es heißt, dass Daten in gleicher Zeit, in gleicher Form und mit klaren Rechten fließen. Es heißt Interoperabilität, also Anschlussfähigkeit von Systemen. Es heißt sichere Kommunikationswege, die nicht im ersten Ausfall verstummen. Und es heißt, dass die Wiederherstellung – also die Rückkehr in den Betrieb nach einem Treffer – nicht als Nachgedanke behandelt wird, sondern als Kernfähigkeit. Resilienz ist dann nicht Tapferkeit, sondern Wiederanlauf.
Ökonomische Sicherheit ist Sicherheitspolitik
Wer Sicherheit heute ausschließlich militärisch denkt, verkürzt. Der Ökonom Christian Growitsch hat in Gesprächen zur ökonomischen Sicherheitspolitik eine Trias formuliert, die sich in jede Sicherheitsarchitektur einschreibt: Rohstoffversorgung, sichere Handelsrouten und technologische Souveränität. Sein Punkt ist, dass eine Volkswirtschaft nur dann handlungsfähig bleibt, wenn sie produzieren, liefern und im Zweifel auch verteidigen kann – und zwar ohne kritische Abhängigkeiten, die im Konfliktfall als Hebel gegen sie genutzt werden.
Damit verschiebt sich der Sicherheitsbegriff in Richtung Infrastruktur, Industriepolitik, Lieferketten, Bildung und Technologie. Das ist unbequem, weil es teure Investitionen verlangt und Prioritäten erzwingt. Es ist aber realistisch, weil die Angriffe der Gegenwart nicht nur Panzer treffen, sondern Kabel, Datenräume, Logistik und Vertrauen.
Hackback: Das Wort ist unerquicklich, das Problem ist real
Die Debatte über Handlungsfähigkeit endet zwangsläufig beim heikelsten Begriff der deutschen Cybersicherheitsdiskussion: Hackback. Gemeint sind Gegenmaßnahmen im Cyberraum, also Eingriffe, die über reines Abwehren hinausgehen und die gegnerische Infrastruktur stören oder neutralisieren können. Der Begriff ist politisch vergiftet, weil er nach Vergeltung klingt.
Christian Hummert von der Cyberagentur hat diese sprachliche Schieflage früh offen angesprochen. Er berichtet von Ressentiments aus Teilen der Hackerszene, in der die Cyberagentur als „Hackerbehörde“ kritisiert werde. Und er setzt dem ein Bild entgegen, das in seiner Banalität alles erklärt: Wenn jemand jeden Tag die eigene Wohnungstür kaputt macht, sagt man irgendwann, jetzt sei Schluss. Die Debatte, so Hummert, werde wiederkommen – unabhängig davon, ob man sie „aktive Cyberabwehr“ nennt oder anders.
Das ist die nüchterne Botschaft: Ein Staat, der nur beobachtet, aber nie unterbricht, wird als kalkulierbares Ziel wahrgenommen. Gleichzeitig bleibt der Preis hoch. Im Cyberraum ist Attribution, also die sichere Zuordnung eines Angriffs zu einem Täter, oft schwierig, weil Angriffe über missbrauchte Drittinfrastruktur laufen. Wer vorschnell „zurückschlägt“, trifft womöglich Unbeteiligte. Ein Sicherheitsökosystem muss deshalb die unbequemen Fragen beantworten, statt sie zu umschiffen: Welche Eingriffsschwelle gilt? Welche Beweisanforderungen? Welche Verhältnismäßigkeit? Welche parlamentarische und richterliche Kontrolle – und in welchem Tempo?
Der Ernstfall ist die Stunde der Schnittstellen
Am Ende läuft alles auf eine einfache Wahrheit hinaus: Ein Staat ist im Ernstfall nicht so stark wie seine beste Behörde, sondern so stark wie seine schlechteste Schnittstelle. Das „gesamtstaatliche Sicherheitsökosystem 2030“ ist deshalb kein schönes Bild, sondern eine Zumutung. Es zwingt dazu, nicht mehr über Zuständigkeiten zu reden, sondern über Ketten. Ketten der Erkenntnis, der Entscheidung, der Reaktion, der Wiederherstellung.
Ob diese Befragung mehr wird als eine kluge Bestandsaufnahme, entscheidet sich nicht am Papierumfang, sondern an der Folgerung: Wird aus Diagnose Fähigkeit? Oder bleibt die Erkenntnis eine Fußnote, bis die nächste Krise die Schwächen wieder vorführt – diesmal ohne Schonfrist?