BMI: Entwurf eines Gesetzes zur Stärkung der Cybersicherheit - Stand 21.05.2026
Das BMI hat den Entwurf eines Gesetzes zur Stärkung der Cybersicherheit - Stand 21.05.2026 vorgelegt.
Aus dem Entwurf:
A. Problem und Ziel
Cyberangriffe in Deutschland nehmen in Qualität und Quantität zu. Deutschland als führende Wirtschaftsnation in Europa ist verstärkt im Fokus auch hochprofessioneller Cyberangriffe mit großem Wirkpotential. Angesichts der geopolitischen Lage gewinnen auch hybride Bedrohungen zunehmend an Bedeutung.
Der Krieg in der Ukraine verdeutlicht, wie essentiell Cybersicherheit für einen modernen Staat wie Deutschland ist. Die Gewährleistung einer verlässlichen und sicheren Nutzung der Informationstechnologie und der zugrundeliegenden Kommunikationsinfrastruktur ist essentielle Voraussetzung für das Funktionieren des Gemeinwesens. Deutschlands wirtschaftlicher Erfolg und gesellschaftlicher Zusammenhalt sowie die nationale Sicherheit sind mit der Gewährleistung von Cybersicherheit untrennbar verbunden. Angriffe im Cyberraum überwinden mühelos Landes- oder Zuständigkeitsgrenzen und können sich dadurch auf sämtliche Lebensbereiche und Sektoren einschließlich der Kommunikationsinfrastruktur insgesamt auswirken. Gezielte Angriffe auf kritische Infrastrukturen und wichtige Unternehmen, Aktionen von Cyberkriminellen oder Angriffe auf bzw. Sabotage von staatlichen Strukturen sind geeignet, die Funktionsfähigkeit des Gemeinwesens, der Wirtschaft und des Staats- und Verwaltungswesens massiv und anhaltend zu beeinträchtigen.
Dieser sicherheitspolitischen Herausforderung kann nur begegnet werden, indem die Erkennung und Abwehr von Cyberangriffen ausgebaut wird und hierzu wirksame, angemessene und rechtsklare gesetzliche Grundlagen geschaffen werden. Die Aufklärung und die Detektion konkreter Angriffe und langfristig laufender Angriffskampagnen müssen verbessert und die Detektion konkreter Vorbereitungshandlungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgebaut werden. Insbesondere gegen groß angelegte Cyberangriffe mit großem Schadenspotential bieten präventive Maßnahmen in den eigenen IT-Systemen alleine allerdings keinen hinreichenden Schutz. Es müssen daher für die Polizeien des Bundes und das BSI ergänzend Möglichkeiten zur Unterbindung solcher Cyberangriffe geschaffen werden, um gravierende Folgeschäden abwenden oder minimieren zu können.
B. Lösung
Mit Anpassungen im BSI-Gesetz (BSIG) wird dem BSI ermöglicht, die Resilienz der Informationstechnik der Bundesverwaltung im Cyberraum zu erhöhen und die Erkenntnislage zu verbessern. Des Weiteren erhalten die Polizeien des Bundes im Bundeskriminalamtsgesetz (BKAG) und im Bundespolizeigesetz (BPolG) die notwendigen Befugnisse, um eine zukunftsfähige Cyberabwehr aufzubauen.
Die bestehenden Möglichkeiten des BSI, schädlichen Datenverkehr umzuleiten, werden an die geänderten Nutzungsbedingungen angepasst, indem die bestehenden Anordnungsbefugnisse auf weitere zentrale Diensteanbieter erweitert werden. Zugleich werden die Möglichkeiten verbessert, auf maliziöse Domains, die die Bundesverwaltung tangieren, zu reagieren. Zudem wird der Einsatz von Incident Response Teams zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme auch in Fällen des so genannten Prepositionings (d.h. das vorbereitende Platzieren von Hintertüren und Angriffsstrukturen in IT-Systemen) klar geregelt. Ferner wird eine Rechtsgrundlage dafür geschaffen, die für den Betrieb von Angriffserkennungssystemen und die Einschätzung der aktuellen Bedrohungslage erforderliche Datengrundlage durch entsprechende Auskunftsersuchen zu technischen Informationen zu verbessern. Komplementär hierzu soll die Ausbreitung maliziöser Infrastruktur eingedämmt werden, indem Endnutzern ein optionaler Schutz vor maliziösen Domains bereitgestellt wird und, wie bisher bereits Telekommunikationsanbieter, auch Anbieter digitaler Dienste verpflichtet werden, Informationen des BSI über konkrete Gefahren, die ihre Kunden betreffen, an diese weiterzugeben.
Für das Bundeskriminalamt (BKA) und die Bundespolizei werden klare Befugnisse geschaffen, um Cyberangriffe abzuwehren. Dazu gehören insbesondere Befugnisse zur Untersagung des Betriebs informationstechnischer Systeme, zur Umleitung, Einschränkung oder Unterbindung von Datenverkehr sowie zum Auslesen, Löschen und Verändern von gefahrgegenständlichen Daten in informationstechnischen Systemen. Diese neu geschaffenen Befugnisse werden es den Polizeien des Bundes ermöglichen, zusammen mit den bereits bestehenden polizeilichen Befugnissen wie z.B. der Sicherstellung von Servern, eine wirksame Gefahrenabwehr gegen Cyberangriffe umzusetzen.
Die neugeschaffenen Befugnisse erhält das BKA für bereits bestehende gefahrenabwehrrechtliche Aufgaben sowie für die neuen Aufgaben im Bereich der Abwehr von Gefahren durch Angriffe auf die Sicherheit in der Informationstechnik.
Die Bundespolizei erhält diese Befugnisse für alle ihre gefahrenabwehrrechtlichen Aufgaben, nicht für ihre Strafverfolgungsaufgaben.
Aus dem Entwurf:
A. Problem und Ziel
Cyberangriffe in Deutschland nehmen in Qualität und Quantität zu. Deutschland als führende Wirtschaftsnation in Europa ist verstärkt im Fokus auch hochprofessioneller Cyberangriffe mit großem Wirkpotential. Angesichts der geopolitischen Lage gewinnen auch hybride Bedrohungen zunehmend an Bedeutung.
Der Krieg in der Ukraine verdeutlicht, wie essentiell Cybersicherheit für einen modernen Staat wie Deutschland ist. Die Gewährleistung einer verlässlichen und sicheren Nutzung der Informationstechnologie und der zugrundeliegenden Kommunikationsinfrastruktur ist essentielle Voraussetzung für das Funktionieren des Gemeinwesens. Deutschlands wirtschaftlicher Erfolg und gesellschaftlicher Zusammenhalt sowie die nationale Sicherheit sind mit der Gewährleistung von Cybersicherheit untrennbar verbunden. Angriffe im Cyberraum überwinden mühelos Landes- oder Zuständigkeitsgrenzen und können sich dadurch auf sämtliche Lebensbereiche und Sektoren einschließlich der Kommunikationsinfrastruktur insgesamt auswirken. Gezielte Angriffe auf kritische Infrastrukturen und wichtige Unternehmen, Aktionen von Cyberkriminellen oder Angriffe auf bzw. Sabotage von staatlichen Strukturen sind geeignet, die Funktionsfähigkeit des Gemeinwesens, der Wirtschaft und des Staats- und Verwaltungswesens massiv und anhaltend zu beeinträchtigen.
Dieser sicherheitspolitischen Herausforderung kann nur begegnet werden, indem die Erkennung und Abwehr von Cyberangriffen ausgebaut wird und hierzu wirksame, angemessene und rechtsklare gesetzliche Grundlagen geschaffen werden. Die Aufklärung und die Detektion konkreter Angriffe und langfristig laufender Angriffskampagnen müssen verbessert und die Detektion konkreter Vorbereitungshandlungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgebaut werden. Insbesondere gegen groß angelegte Cyberangriffe mit großem Schadenspotential bieten präventive Maßnahmen in den eigenen IT-Systemen alleine allerdings keinen hinreichenden Schutz. Es müssen daher für die Polizeien des Bundes und das BSI ergänzend Möglichkeiten zur Unterbindung solcher Cyberangriffe geschaffen werden, um gravierende Folgeschäden abwenden oder minimieren zu können.
B. Lösung
Mit Anpassungen im BSI-Gesetz (BSIG) wird dem BSI ermöglicht, die Resilienz der Informationstechnik der Bundesverwaltung im Cyberraum zu erhöhen und die Erkenntnislage zu verbessern. Des Weiteren erhalten die Polizeien des Bundes im Bundeskriminalamtsgesetz (BKAG) und im Bundespolizeigesetz (BPolG) die notwendigen Befugnisse, um eine zukunftsfähige Cyberabwehr aufzubauen.
Die bestehenden Möglichkeiten des BSI, schädlichen Datenverkehr umzuleiten, werden an die geänderten Nutzungsbedingungen angepasst, indem die bestehenden Anordnungsbefugnisse auf weitere zentrale Diensteanbieter erweitert werden. Zugleich werden die Möglichkeiten verbessert, auf maliziöse Domains, die die Bundesverwaltung tangieren, zu reagieren. Zudem wird der Einsatz von Incident Response Teams zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme auch in Fällen des so genannten Prepositionings (d.h. das vorbereitende Platzieren von Hintertüren und Angriffsstrukturen in IT-Systemen) klar geregelt. Ferner wird eine Rechtsgrundlage dafür geschaffen, die für den Betrieb von Angriffserkennungssystemen und die Einschätzung der aktuellen Bedrohungslage erforderliche Datengrundlage durch entsprechende Auskunftsersuchen zu technischen Informationen zu verbessern. Komplementär hierzu soll die Ausbreitung maliziöser Infrastruktur eingedämmt werden, indem Endnutzern ein optionaler Schutz vor maliziösen Domains bereitgestellt wird und, wie bisher bereits Telekommunikationsanbieter, auch Anbieter digitaler Dienste verpflichtet werden, Informationen des BSI über konkrete Gefahren, die ihre Kunden betreffen, an diese weiterzugeben.
Für das Bundeskriminalamt (BKA) und die Bundespolizei werden klare Befugnisse geschaffen, um Cyberangriffe abzuwehren. Dazu gehören insbesondere Befugnisse zur Untersagung des Betriebs informationstechnischer Systeme, zur Umleitung, Einschränkung oder Unterbindung von Datenverkehr sowie zum Auslesen, Löschen und Verändern von gefahrgegenständlichen Daten in informationstechnischen Systemen. Diese neu geschaffenen Befugnisse werden es den Polizeien des Bundes ermöglichen, zusammen mit den bereits bestehenden polizeilichen Befugnissen wie z.B. der Sicherstellung von Servern, eine wirksame Gefahrenabwehr gegen Cyberangriffe umzusetzen.
Die neugeschaffenen Befugnisse erhält das BKA für bereits bestehende gefahrenabwehrrechtliche Aufgaben sowie für die neuen Aufgaben im Bereich der Abwehr von Gefahren durch Angriffe auf die Sicherheit in der Informationstechnik.
Die Bundespolizei erhält diese Befugnisse für alle ihre gefahrenabwehrrechtlichen Aufgaben, nicht für ihre Strafverfolgungsaufgaben.