Deutschlands Cyber-Sicherheitsstrategie: Viel Papier, wenig Wirkung?

Im Februar 2011 beschloss die Bundesregierung die „Cyber-Sicherheitsstrategie für Deutschland". Das Papier, vorgestellt von Bundesinnenminister Thomas de Maizière, sollte Deutschland fit machen für die Bedrohungen des digitalen Zeitalters. Seitdem wurde die Strategie mehrfach fortgeschrieben – zuletzt 2021. Doch mehr als ein Jahrzehnt später drängt sich eine unbequeme Frage auf: Was ist aus all den ambitionierten Ankündigungen eigentlich geworden?

Die Strategie im Überblick

Die ursprüngliche Cyber-Sicherheitsstrategie von 2011 definierte zehn strategische Bereiche, darunter der Schutz kritischer Infrastrukturen, die Stärkung der IT-Sicherheit in der öffentlichen Verwaltung und die Bekämpfung von Cyberkriminalität. Es wurde das Nationale Cyber-Abwehrzentrum gegründet und ein Nationaler Cyber-Sicherheitsrat etabliert.

Die Fortschreibung von 2016 erweiterte den Fokus auf die Digitalisierung der Wirtschaft und die Stärkung der Cyber-Sicherheitsforschung. 2021 kam die dritte Version mit vier Leitlinien: Cybersicherheit als gemeinsame Aufgabe, Stärkung der digitalen Souveränität, sichere Digitalisierung und messbare Ziele.

Auf dem Papier klingt das alles vernünftig. In der Praxis sieht die Bilanz jedoch ernüchternd aus.

Die Realität: Angriff um Angriff

Während die Bundesregierung Strategien schreibt, wird Deutschland systematisch angegriffen – und die Verteidigung versagt regelmäßig:

• 2015: Der Hackerangriff auf den Deutschen Bundestag kompromittiert das gesamte IT-Netz des Parlaments. 16 Gigabyte Daten werden entwendet.
• 2021: Der Landkreis Anhalt-Bitterfeld ruft nach einem Ransomware-Angriff den ersten Cyber-Katastrophenfall in der Geschichte Deutschlands aus. Die Verwaltung ist wochenlang lahmgelegt.
• 2023: Die Südwestfalen-IT, ein kommunaler Dienstleister für über 70 Kommunen, wird durch einen Ransomware-Angriff für Monate außer Gefecht gesetzt. Hunderttausende Bürger können keine Verwaltungsleistungen nutzen.
• 2024: Das BSI meldet im Lagebericht eine „besorgniserregende Bedrohungslage" mit über 250.000 neuen Malware-Varianten pro Tag.

Diese Liste ließe sich fortsetzen. Sie zeigt: Die Strategie hat Deutschland nicht sicherer gemacht. Sie hat Gremien geschaffen, Berichte produziert und Verantwortlichkeiten definiert – aber die tatsächliche Cyber-Resilienz des Landes nicht spürbar verbessert.

Der internationale Vergleich: Wo Deutschland versagt

Besonders peinlich wird es, wenn man über die Landesgrenzen schaut. Andere Länder – teilweise mit einem Bruchteil des deutschen BIP – haben deutlich mehr erreicht:

Estland gilt als Vorreiter der digitalen Verwaltung. Nach einem verheerenden Cyberangriff durch russische Hacker im Jahr 2007 baute das kleine baltische Land seine gesamte digitale Infrastruktur neu auf. Heute hat Estland eines der sichersten E-Government-Systeme der Welt, nutzt Blockchain-Technologie für staatliche Daten und betreibt ein „Data Embassy"-Konzept, bei dem Backups der gesamten Staatsinfrastruktur in verbündeten Ländern lagern. Deutschland diskutiert derweil noch über die Einführung der elektronischen Patientenakte.

Israel hat mit der Unit 8200 und dem Israel National Cyber Directorate (INCD) eine Cybersicherheits-Ökosystem aufgebaut, das weltweit seinesgleichen sucht. Der Cybersicherheitssektor des Landes erwirtschaftet jährlich über 10 Milliarden Dollar und produziert mehr Cybersecurity-Startups als ganz Europa zusammen. Israel investiert etwa 7,5 Prozent seines BIP in Forschung und Entwicklung – Deutschland gerade einmal 3,1 Prozent.

Die USA haben nach der Colonial-Pipeline-Attacke 2021 mit einer Executive Order Mindeststandards für die Cybersicherheit aller Bundesbehörden und deren Zulieferer durchgesetzt – und zwar mit Fristen und Konsequenzen. In Deutschland gibt es das IT-Sicherheitsgesetz 2.0, dessen Umsetzung die betroffenen KRITIS-Betreiber allerdings weitgehend selbst interpretieren dürfen.

Warum Deutschland nicht vorankommt

Die Gründe für Deutschlands Rückstand sind strukturell und politisch:

Föderalismus als Bremse: Cybersicherheit ist in Deutschland auf Bund, Länder und Kommunen verteilt. Das BSI hat eine beratende Funktion, aber keine Weisungsbefugnis gegenüber Landesbehörden. Jedes Bundesland kocht sein eigenes Sicherheitssüppchen. In Israel gibt es eine zentrale Behörde mit klarer Durchgriffsautorität.

Fachkräftemangel in der Verwaltung: Während Google, Amazon und Microsoft die besten Security-Experten mit Gehältern jenseits der 200.000 Euro abwerben, bietet der deutsche öffentliche Dienst Stellen nach TVöD E13 an – rund 55.000 Euro brutto. Wer würde da freiwillig in eine Behörde wechseln?

Bürokratische Beschaffung: Die Beschaffung von IT-Sicherheitslösungen für Bundesbehörden dauert im Durchschnitt 18 bis 24 Monate. In dieser Zeit hat sich die Bedrohungslandschaft längst verändert. Estland beschafft über ein agiles Digital-Procurement-System in Wochen.

Fehlende Konsequenzen: Es gibt kaum Sanktionen für Behörden oder KRITIS-Betreiber, die Mindeststandards nicht einhalten. Das IT-Sicherheitsgesetz setzt auf Kooperation statt Durchsetzung. In den USA drohen empfindliche Strafen und der Ausschluss von Bundesaufträgen.

Was sich ändern muss

Deutschland braucht keine neue Strategie. Deutschland braucht Umsetzung. Konkret:

• Zentrale Zuständigkeit: Eine Bundesbehörde mit Weisungsbefugnis für Cybersicherheit – analog zum INCD in Israel oder der CISA in den USA. Das BSI muss von einer Beratungsstelle zu einer Durchsetzungsbehörde werden.
• Wettbewerbsfähige Gehälter: Der öffentliche Dienst muss für IT-Sicherheitsexperten Sondertarife schaffen. Estland hat das vorgemacht – dort verdienen Cybersecurity-Spezialisten im Staatsdienst marktübliche Gehälter.
• Agile Beschaffung: IT-Sicherheit kann nicht mit denselben Prozessen beschafft werden wie Büromöbel. Es braucht Fast-Track-Verfahren für kritische Sicherheitslösungen.
• Verbindliche Standards mit Konsequenzen: Mindeststandards für alle Behörden und KRITIS-Betreiber – mit regelmäßigen Audits und echten Sanktionen bei Nichteinhaltung.
• Investition in Ausbildung: Deutschland bildet zu wenige Cybersecurity-Fachkräfte aus. Wir brauchen spezialisierte Studiengänge, Bootcamps und eine enge Verzahnung von Forschung und Praxis – nach israelischem Vorbild.

Auch die Privatwirtschaft ist betroffen

Die Schwächen der deutschen Cyber-Sicherheitsstrategie betreffen nicht nur den Staat. Unternehmen – besonders im Mittelstand – leiden unter dem Mangel an klaren Vorgaben und Unterstützung. Laut einer Bitkom-Studie waren 2025 neun von zehn deutschen Unternehmen von Cyberangriffen betroffen. Der jährliche Schaden wird auf über 200 Milliarden Euro geschätzt.

Für SaaS-Unternehmen wie tennisslot.com oder die Projekte, die wir bei Neujeffski Software Development betreuen, bedeutet das: Wir können uns nicht auf staatlichen Schutz verlassen. Wir müssen Cybersicherheit selbst als Kernkompetenz aufbauen – mit modernen Tools, automatisierten Security-Scans und einer Kultur, in der Sicherheit kein Nachgedanke ist, sondern integraler Bestandteil jedes Deployments.

Fazit: Deutschland braucht Taten, keine Strategien

Die Cyber-Sicherheitsstrategie der Bundesregierung ist ein Symptom eines größeren Problems: Deutschland plant gern, setzt aber ungern um. Während Estland nach einem Cyberangriff seine gesamte Infrastruktur neu aufbaute, schreibt Deutschland Strategiepapiere fort. Während Israel ein milliardenschweres Cybersecurity-Ökosystem aufbaut, diskutiert Deutschland über Zuständigkeiten. Während die USA verbindliche Standards durchsetzen, setzt Deutschland auf freiwillige Kooperation.

Die Bedrohungen im Cyberraum warten nicht auf deutsche Gründlichkeit. Sie wachsen exponentiell – und Deutschland fällt weiter zurück. Es ist höchste Zeit, dass aus Strategien Taten werden. Sonst wird die nächste Fortschreibung der Cyber-Sicherheitsstrategie nur eine Fußnote in der Geschichte eines Landes sein, das die digitale Revolution verschlafen hat.