Deutschland hat lange so getan, als sei der Cyberraum eine Sphäre der Warnmeldungen, Lagebilder und nachgelagerten Strafverfahren. Erst der Angriff, dann die Analyse, dann die Attribution, dann die politische Befassung, dann ein neues Papier zur Resilienz. Diese Abfolge war bequem, weil sie den Staat handlungsfähig erscheinen ließ, ohne ihn in die riskante Zone operativer Gegenwehr zu führen.
Mit dem Gesetzentwurf zur Stärkung der Cybersicherheit ändert sich der Ton. Bundespolizei, BKA und BSI sollen bei schweren Cyberangriffen mehr Befugnisse erhalten. Es geht um das Abschalten gefährlicher Server, das Blockieren oder Umleiten von Datenströmen, das Löschen oder Verändern schädlicher Dateien. Auch Eingriffe ohne Wissen der Betroffenen stehen im Entwurf. Der Anlass ist die verschärfte Bedrohungslage durch hybride Angriffe, Spionage, Sabotage und Operationen aus Russland. Die Debatte dazu läuft bereits scharf, wie die Reaktionen auf den Handelsblatt-Beitrag zeigen.
Resilienz reicht nicht mehr
Der Begriff Resilienz hat in Deutschland eine große Karriere gemacht. Er klingt verantwortungsvoll, sanft, technisch kontrolliert. Doch im Kern beschreibt er die Fähigkeit, Angriffe auszuhalten. Man repariert, lernt, härtet nach, baut Redundanzen auf. Das ist notwendig. Es ersetzt aber keine Abschreckung.
Christian Hummert von der Cyberagentur hat die Lage mit dem Bild der beschädigten Wohnungstür beschrieben. Wer täglich Angriffe erlebt, kauft irgendwann nicht mehr allein die stabilere Tür. Er geht gegen die Quelle der Angriffe vor. Genau darum kreist die Debatte über Hackbacks. Der Begriff ist schlecht, weil er nach Rache klingt. Der Vorgang selbst gehört dennoch auf die sicherheitspolitische Agenda.
Deutschland darf im Cyberraum keine Republik der Schadensmeldungen bleiben. Wer kritische Infrastruktur angreift, Krankenhäuser, Energieversorgung, Bahnhöfe, Flughäfen, Behörden oder demokratische Institutionen ins Visier nimmt, muss mit aktiver Unterbrechung rechnen. Abschreckung entsteht durch glaubhafte Fähigkeit, durch Tempo, durch Zugriff, durch koordinierte technische und rechtliche Verfahren.
Der Rechtsstaat darf handlungsfähig sein
Die Einwände gegen aktive Cyberabwehr verdienen Beachtung. Attribution ist schwierig. Angriffe laufen über gekaperte Systeme Dritter. Botnetze bestehen aus Geräten ahnungsloser Nutzer. Ein falscher Eingriff kann Kollateralschäden erzeugen, diplomatische Folgen auslösen oder Beweismittel zerstören. Eingriffe in das Fernmeldegeheimnis berühren den Kern grundrechtlicher Schutzräume.
Aus diesen Risiken folgt keine staatliche Lähmung. Sie verlangen klare Regeln. Hackbacks und aktive Abwehrmaßnahmen brauchen hohe Eingriffsschwellen, richterliche Anordnung, parlamentarische Kontrolle, technische Protokollierung, nachträgliche Überprüfbarkeit und eindeutige Zuständigkeiten. Jede Maßnahme muss begrenzt, dokumentiert und überprüfbar sein. Gerade deshalb gehört aktive Cyberabwehr ins Gesetz.
Der Rechtsstaat verliert nicht seine Würde, weil er im Cyberraum handlungsfähig wird. Er verliert sie eher, wenn er seine Bürger, Unternehmen und Infrastrukturen sehenden Auges Angriffen aussetzt, die längst keine bloßen IT-Vorfälle mehr sind. Cyberangriffe sind Teil hybrider Machtpolitik. Sie treffen Stromnetze, Lieferketten, Krankenhäuser, Medien, Verwaltungen und Wahlen. Wer darauf allein mit Ermahnungen und Forensik antwortet, verwechselt Rechtstreue mit Ohnmacht.
Das Ende der Firewall-Politik
Die alte Vorstellung von Cybersicherheit war defensiv. Mauern bauen, Systeme härten, Firewalls konfigurieren, Backups pflegen. All das bleibt unverzichtbar. Doch der Gegner operiert längst entlang ganzer Ketten: Dienstleister, Cloud-Anbieter, Identitätsdienste, Kommunikationsplattformen, industrielle Steuerungen, Desinformation, Erpressung, Spionage.
Die Beiträge auf ichsagmal.com und Smarter-Service.com verweisen auf genau diese Verschiebung. Cyberabwehr ist keine isolierte Behördenaufgabe mehr. Sie betrifft digitale Souveränität, militärische Lagebilder, zivile Infrastruktur, Plattformmacht, industrielle Abhängigkeiten und politische Entscheidungsfähigkeit. Ein Staat, der im Ernstfall erst Zuständigkeiten sortiert, verliert Zeit. Zeit ist im Cyberraum kein Verwaltungsproblem. Zeit ist Macht.
Der Gesetzentwurf greift diese Realität auf. Das BSI soll stärker in laufende Abwehrmaßnahmen eingebunden werden. Telekommunikations- und Digitalunternehmen sollen sicherheitsrelevante technische Daten liefern müssen. Betreiber kritischer Infrastruktur sollen Systeme zur Angriffserkennung einsetzen und automatisiert melden. Diese Elemente zeigen, dass Cybersicherheit aus der Sphäre freiwilliger Empfehlung herauswächst.
Hackback als staatlich gebundene Notwehr
Hackbacks müssen kommen. Endlich. Aber sie dürfen kein digitaler Racheakt sein. Sie müssen als staatlich gebundene Notwehr konzipiert werden: begrenzt auf schwere Angriffe, eingebettet in klare Verfahren, kontrolliert durch unabhängige Instanzen, technisch reversibel, soweit möglich, und politisch verantwortet.
Die Frage lautet nicht, ob Deutschland sich operative Fähigkeiten leisten darf. Die Frage lautet, ob Deutschland sich weitere Jahre ohne solche Fähigkeiten leisten kann. Russland, China, kriminelle Gruppen und staatlich geduldete Akteure testen jeden Tag die Belastbarkeit westlicher Gesellschaften. Sie nutzen die Langsamkeit liberaler Systeme als Angriffsfläche. Genau dort muss der Staat schneller werden, ohne seine Bindung an das Recht preiszugeben.
Deutschland braucht keine martialische Cyberrhetorik. Es braucht Einsatzregeln, Personal, Technik, Lagebilder, Übung, parlamentarische Kontrolle und den Willen, Angriffe in Echtzeit zu stoppen. Cyberabwehr darf nicht an der Firewall enden. Sie muss dort beginnen, wo Angriffe vorbereitet, gesteuert und wiederholt werden.
Der Gesetzentwurf ist deshalb kein Ausrutscher in Richtung Sicherheitsstaat. Er ist der verspätete Versuch, staatliche Schutzpflichten in den digitalen Raum zu übersetzen. Freiheit braucht im Cyberraum mehr als Datenschutz und Empörung. Sie braucht einen Staat, der handeln kann, bevor der Schaden politisch, wirtschaftlich und gesellschaftlich irreversibel wird.
Christian Hummert über Hackbacks: „Irgendwann muss man sagen: Jetzt ist Schluss“
Deutschland diskutiert wieder über aktive Cyberabwehr. Bundespolizei, BKA und BSI sollen bei schweren Cyberangriffen mehr Befugnisse erhalten. Es geht um das Blockieren von Datenströmen, das Abschalten gefährlicher Server und das Unterbrechen laufender Angriffe. Der Begriff Hackback bleibt politisch aufgeladen. Christian Hummert, Forschungsdirektor der Cyberagentur, hält die bisherige Debatte für falsch geführt. Resilienz allein reiche nicht aus, meint er. Der Staat müsse lernen, Angriffe früher zu erkennen, zu antizipieren und im Ernstfall auch Angriffsstrukturen zu unterbrechen.
Resilienz klingt gut, bleibt aber passiv
Herr Hummert, Sie haben den Begriff Resilienz kritisiert. Weshalb reicht er Ihnen nicht?
Resilienz ist mir zu passiv. Resilienz heißt: Da kommt ein Angriff, ich kann ihn gut aushalten, lerne vielleicht daraus und stelle mich danach besser auf. Aber das bedeutet immer auch, dass ich den Angriff erst einmal ertragen muss.
Was wäre die Alternative?
Wir müssen präventiver werden und besser antizipieren. Man kann das mit einem Einbruch vergleichen. Würde jemand jeden Tag versuchen, in Ihre Wohnung einzubrechen und dabei Ihre Tür beschädigen, würden Sie irgendwann nicht mehr allein eine festere Tür kaufen. Sie würden weitere Maßnahmen ergreifen.
Angriffe aus Russland und China verändern die Lage
Welche Szenarien müssen stärker in den Blick genommen werden?
Die Angriffsszenarien entwickeln sich weiter. In St. Petersburg und in China gibt es ganze Cybertruppen, die Fake News verbreiten und weitere Operationen durchführen. Dazu kommt der Einsatz moderner KI-Systeme.
Was bedeutet das für Desinformation?
Wir kommen an einen Kipppunkt. KI kann schneller Fake News erzeugen, als wir Menschen sie erkennen können. Und KI lernt aus Daten. Sobald mehr als die Hälfte der Daten im Internet gefälscht ist, verschwimmt die Grenze zwischen wahr und falsch. Dann wird Fake zur vermeintlichen Wahrheit. Das ist eine Gefahr für die Demokratie.
Braucht es deshalb bessere Früherkennung?
Ja. Früherkennung ist zentral. Wir arbeiten viel mit Szenarien und mit dem Blick in die Zukunft. Man muss mögliche Entwicklungen gedanklich vorwegnehmen, bevor sie Realität werden.
Cyberdome und die Frage echter Fähigkeiten
Der Bundesinnenminister hat den Begriff Cyberdome ins Spiel gebracht. Ist ein solches Projekt wichtig?
Ja, solche Initiativen sind wichtig. Deutschland braucht mehr Cybersicherheit. Entscheidend ist, was hinter solchen Begriffen tatsächlich passiert. Namen allein helfen nicht. Am Ende zählt, ob wir dadurch wirklich sicherer werden.
Wo steht Deutschland im internationalen Vergleich?
Im OECD-Vergleich liegt Deutschland bei der Cybersicherheit auf Platz 15. Das ist besser, als ich erwartet hätte. Für einen G7-Staat sollte aber ein Platz unter den Top Ten der Anspruch sein. Dafür müssen wir uns noch erheblich strecken.
Hackback klingt nach Rache, aktive Abwehr nach Verantwortung
In der politischen Debatte wird über Hackbacks häufig ablehnend gesprochen. Wie bewerten Sie das?
Die Diskussion läuft aus meiner Sicht nicht gut. Wir reden über Hackbacks und lehnen sie dann ab. Das kann man machen. Aber der Begriff Hackback klingt nach Rache: Du hast mein Förmchen kaputt gemacht, jetzt mache ich dein Förmchen kaputt.
Wie müsste die Debatte geführt werden?
Es geht um aktive Cyberabwehr. Nehmen wir an, wir wissen, dass von einer bestimmten Stelle in Russland immer wieder Cyberangriffe ausgehen. Dann muss man darüber reden, ob man dieses Netzwerksegment proaktiv abklemmen kann.
Das wäre ein deutlicher Schritt über reine Verteidigung hinaus.
Ja. Die Diskussion wird mit der neuen Bundesregierung wiederkommen, ganz gleich, wie wir das nennen: Cyberabwehr, aktive Abwehr oder vigilantes Verhalten. Noch einmal: Wird jeden Tag Ihre Wohnungstür beschädigt, kaufen Sie irgendwann keine weitere Tür. Sie sagen irgendwann: Jetzt ist Schluss.
Zusammenarbeit mit der Hackerszene bleibt schwierig
Sollte Deutschland stärker mit der Hackerszene zusammenarbeiten, etwa mit dem Chaos Computer Club?
Die Ressentiments sind groß, gerade bei zivilgesellschaftlichen Akteuren. Vielleicht ändert sich das durch die Zeitenwende. Aber ich habe seit meinem Start bei der Cyberagentur viele Vorwürfe gehört, von „Hackerbehörde“ bis „Ihr finanziert Sicherheitslücken“. Das tun wir ausdrücklich nicht.
Wie realistisch ist eine engere Kooperation?
Das ist ein weiter Weg. Vertrauen entsteht nicht über Nacht. Aber Deutschland muss über Fähigkeiten reden. Andere Staaten rekrutieren gezielt Hacker. Russland und China verfügen über Strukturen, die für staatliche Interessen arbeiten. Wir können diese Realität nicht ignorieren.
Der Staat braucht Tempo, Technik und klare Grenzen
Die Aussagen von Christian Hummert führen in den Kern der deutschen Cyberdebatte. Der Begriff Hackback blockiert viele Gespräche, weil er nach Vergeltung klingt. Doch hinter der sprachlichen Abwehr steht eine reale sicherheitspolitische Frage: Wie lange kann ein Staat Angriffe auf seine Infrastruktur hinnehmen, ohne die Quelle der Angriffe selbst zu adressieren?
Hummerts Position läuft auf eine kontrollierte aktive Cyberabwehr hinaus. Nicht Selbstjustiz im Netz, nicht digitale Rache, nicht unkontrolliertes Eindringen in fremde Systeme. Gemeint ist die Fähigkeit, Angriffsstrukturen zu erkennen, zu unterbrechen und im Ernstfall technische Wirkung zu erzielen. Dafür braucht es Rechtssicherheit, klare Zuständigkeiten, parlamentarische Kontrolle, richterliche Eingriffsschwellen und hohe technische Kompetenz.
Deutschland hat lange auf Abwehr, Wiederherstellung und Strafverfolgung gesetzt. Diese Instrumente bleiben notwendig. Doch gegen staatlich gesteuerte oder staatlich geduldete Angriffe reichen sie allein nicht mehr aus. Wer kritische Infrastruktur, Behörden, demokratische Prozesse und gesellschaftliche Kommunikation attackiert, kalkuliert die Langsamkeit liberaler Systeme ein.
Die Hackback-Debatte kehrt deshalb zurück. Sie wird nicht verschwinden, weil die Bedrohung nicht verschwindet. Die entscheidende Frage lautet, ob Deutschland sie weiter als Reizwort behandelt oder daraus eine rechtsstaatlich gebundene Fähigkeit entwickelt. Hummerts Antwort fällt eindeutig aus: Reine Resilienz ist zu wenig. Irgendwann muss der Staat Angriffe stoppen, bevor der nächste Schaden entsteht.