Cyberdome - Schutzschirm, Forschungsprojekt, Wirkplattform
Der Begriff „Cyberdome" suggeriert einen Schutzschirm. Tatsächlich ist es aktuell ein Programm im Werden, über das auf mehreren Bühnen gerungen wird - in Dialogformaten, auf der Fachkonferenzen und im sicherheitspolitischen Begleitdiskurs. Die vier Stränge lassen sich nebeneinanderlegen: die staatliche Erklärung, ein forschungsgetriebenes Nutzenversprechen, eine zivilgesellschaftliche Warnung und das Zusammenspiel von Verteidigung und Wissenschaft.
Staatliche Strang: die offizielle Darstellung
Die federführenden Bundesstellen sprechen bewusst von einem Programm, nicht von einem Projekt. Ausgangspunkt ist der Kabinettsbeschluss vom 27. August 2025, der das Bundesinnenministerium beauftragte, ein Realisierungskonzept für eine teilautomatisierte Erkennung und Abwehr von Cyberangriffen zu erarbeiten (Bundestags-Drucksache 21/4306). Das Konzept soll bis Ende 2026 vorliegen und dann haushalterisch beschlossen werden (BSI). Inspiriert von einem ausländischen Vorbild, soll dennoch eine eigene Architektur entstehen.
Nach offizieller Darstellung folgt das Vorhaben keinem Top-down-Ansatz, sondern setzt auf Beteiligung: Zuerst sollen Bedarfsträger und „Bedarfsdecker" befragt werden - Wirtschaft, Behörden, Kommunen, perspektivisch Bürger. Das Programm ruht auf drei Säulen: einer Sensorik zur Erkennung von Angriffsvektoren und Schwachstellen in öffentlichen Netzen, bei KRITIS-Betreibern und freiwillig Teilnehmenden; einem dezentralen Analyseverbund - kein zentrales Datensilo, sondern mehrere Analysezentren, deren Ergebnisse „unter konzeptioneller Berücksichtigung von Datenschutz und Pseudonymität" bereitgestellt werden; und einem offenen Ökosystem mit normierten Schnittstellen, an das sich Hersteller, KMU und im Idealfall sogar Endgeräte der Bürger anschließen können sollen (BSI). Erklärtes Ziel ist das Zusammenführen: Heute laufen Schwachstellen-Advisories, Scanbefugnisse, das CERT-Bund und die KRITIS-Aufsicht weitgehend nebeneinander; der Cyberdome soll sie verbinden, etwa indem ein KRITIS-Betreiber im Portal Lagemeldung, Schwachstellenwarnung, Scan-Ergebnis und Indikatoren gebündelt sieht. Mit den öffentlichen IT-Dienstleistern von Ländern und Kommunen startete im März 2026 eine erste Kooperation zur erweiterten Datensensorik.
Zur Reaktion bleibt die Darstellung zurückhaltend: genannt werden Take-downs inländischer Server, DNS-Sperrlisten als freiwilliges Provider-Angebot und Deception über Honeypots. Offensive oder destruktive Maßnahmen seien ausdrücklich nicht Teil des Cyberdome; dafür entstehe parallel ein eigener Gesetzentwurf.
Wissenschaftlicher Strang: das Nutzenversprechen
Auf der PITS, die unter dem Leitthema „Cyber-Sicherheit als Schlüssel zu nationaler Resilienz" Verwaltung, Wissenschaft und Wirtschaft zusammenbrachte, wurde ein forschungsgetriebener Befund vorgetragen, der den Dome als umfassendes Verteidigungssystem für ein ganzes Land denkt - von der Prävention über Erkennung und Eindämmung bis zur Wiederherstellung. Das stärkste Argument ist ökonomisch: Den geschätzten 2,2 Milliarden Euro Cyber-Schäden eines Jahres steht eine staatliche Investition in Milliardenhöhe gegenüber; schon 15 Prozent verhinderter Schäden ergäben rechnerisch einen erheblichen Return on Investment. Beleg ist eigene Forschung: ein monatlicher Scan der wichtigsten Webseiten weltweit, aus dem sich Lagebilder ableiten lassen - etwa, dass rund ein Drittel der wichtigsten deutschen Webseiten eine Schwachstelle aufweise. Kern dieser Lesart ist das Gemeinsame: Ein einzelnes Institut erreicht beim Provider wenig; ein nationaler Verbund mit den Daten vieler - Großkonzerne, Telekommunikation, Logistik, Behörden - mehr. Der Mehrwert, nicht der Zwang, solle die Teilnahme tragen.
Zivilgesellschaftlicher Strang: die Warnung
Demgegenüber steht eine Warnung aus den Reihen ehrenamtlich arbeitender Fachleute. Drei Linien tragen die im Panel eingebrachte konfrontative Kritik. Redundanz: Vieles, was der Cyberdome verspricht, leiste der Staat bereits über das Nationale Cyber-Abwehrzentrum und vorhandene Befugnisse; bevor man eine Milliarde in eine neue Struktur gebe, müsse man analysieren, warum die vorhandene nicht liefert. Reaktionsgrenzen: Gegen fremde Server im Ausland verbieten Völkerrecht und Grundgesetz aktives Handeln unterhalb der Verteidigungsschwelle; angreifende Server sind fast nie die des Angreifers, sondern gekaperte Systeme Dritter, und eine zentrale Datenbank „was läuft wo" wäre ein nicht zu schützendes Hochwertziel. Unsichere Grundlage: Der KRITIS-Schwellenwert von 500.000 versorgten Menschen sei 2016 gegriffen und nie evaluiert worden, Interdependenzen nie systematisch analysiert; reine Webseiten-Scans träfen am Kern vorbei, weil eine Unternehmenswebseite nichts über die Sicherheit der kritischen Anlage auf der OT-Ebene aussage. Öffentlich ist die Position zugespitzt worden - bis zur Warnung vor einem „Maut-2.0-Desaster" und der Sorge, am Ende entstehe vor allem ein „schönes Dashboard" (Tagesspiegel).
Verteidigungs-wissenschaftlicher Strang: Erkennung oder Wirkung
Jenseits dieser Bühne wirkt eine vierte Konstellation, in der Verteidigung und Wissenschaft zusammenwirken - hier bewusst abstrahiert und an keiner einzelnen Institution festgemacht. Auf der einen Seite die militärische Dimension des Cyber- und Informationsraums, die als eigene Teilstreitkraft Teil des Nationalen Cyber-Abwehrzentrums ist. Auf der anderen Seite eine sicherheits- und verteidigungsbezogene Forschung, die seit Jahren ein Leitbild der „aktiven defensiven Cyberabwehr" entwickelt und einen europäischen Paradigmenwechsel konstatiert und aktive Cyberabwehr in mehrere Maßnahmenklassen ordnet - von der Manipulation des Internetverkehrs bis zum Eingriff in angreifende Systeme (Fraunhofer SIT). Hier verschiebt sich die Leitfrage von der Erkennung zur Wirkung. Die Eckpunkte vom August 2025 nennen ausdrücklich eine Vertiefung der zivil-militärischen Zusammenarbeit, gemeinsame Übungen und den Ausbau der Cyberabwehrbefugnisse - inklusive der Ankündigung, die Infrastruktur von Angreifern „zu stören, auch zu zerstören", auch außerhalb Deutschlands und idealerweise vor einem Angriff (Golem). Abstrahiert berührt „aktive Abwehr" die Mandatsfrage - Verteidigung gegen Angriffe aus dem Ausland ist verfassungsrechtlich Sache von Parlament und Militär, nicht der Polizei -, das Sicherheitsdilemma der Vorwärtsverteidigung und die Bündnisdimension.
Wo die Stränge dasselbe wollen
Bei aller Reibung gibt es Konvergenz. Alle vier teilen das Lagebild: Die Bedrohung ist real, die Zuständigkeit zersplittert, ein gemeinsames Bild gilt als Fortschritt. Den Hackback lehnen die Stränge im Kern ab - offiziell ausgeklammert, wissenschaftlich skeptisch, zivilgesellschaftlich rechtlich begründet, verteidigungs-wissenschaftlich überwiegend defensiv; der schärfste Widerspruch verläuft daher nicht zwischen ihnen, sondern gegenüber dem politischen Begleitdiskurs, der Wirkung ins Ausland in Aussicht stellt. Und sie wollen dasselbe Ziel: wirksame Detektion auf geteilter Datenbasis, getragen von Freiwilligkeit und Mehrwert. Die Differenz liegt im Wie, kaum im Wohin: Wo der wissenschaftliche Strang über Aggregation und Anreiz argumentiert, antwortet die zivilgesellschaftliche Warnung mit Redundanzanalyse, Befugnisgrenzen und der Forderung, vorhandene Strukturen und Meldepflichten zuerst wirksam zu machen - ein Weg, der sich mit der NIS-2-Umsetzung (24-Stunden-Meldepflicht, persönliche Haftung des Managements) bereits abzeichnet.
Trägt die Skepsis angesichts der Bedrohungslage?
Die Lage ist ernst: Das BSI bezeichnet die IT-Sicherheitslage 2025 als „weiterhin auf angespanntem Niveau" und sieht „keinen Grund zur Entwarnung" (BSI-Lagebericht); Sicherheitsbehörden verzeichnen zunehmend hybride Bedrohungen mit Bezug zu staatlichen Akteuren. Für die zivilgesellschaftliche Position spricht ihre empirische Anschlussfähigkeit: Die offizielle Vorfallzählung erfasst nur Anlagen oberhalb fester Schwellenwerte, kleinere bleiben unsichtbar. Dagegen spricht, dass eine dynamische Lage für den zügigen Aufbau zusätzlicher Detektionsfähigkeit spricht und „erst analysieren" Zeit kosten kann. Welcher Weg der Bedrohungslage besser gerecht wird, bleibt eine politische Abwägung.
Was Staat, Wirtschaft und Gesellschaft davon haben
Für den Staat liegt der mögliche Gewinn weniger in einer neuen Behörde als in der Synchronisation des Vorhandenen - unter der Bedingung, das bestehende Abwehrzentrum vorher zu evaluieren. Für die Wirtschaft hängt der Nutzen an Freiwilligkeit und Mehrwert: Ein offenes Ökosystem kann Sicherheitskosten senken und Frühwarnung breiter verfügbar machen, sofern der Anschluss Schutz bringt und nicht nur Meldepflicht und zentrale Daten kein neues Hochwertziel werden. Für die Gesellschaft steht das Vertrauen im Mittelpunkt: Pseudonymität, dezentrale Analyse und die Trennung von Schutz und Angriff gelten als Voraussetzung dafür, dass resilientere Versorgung entsteht, ohne dass der Schutzschirm zur Überwachungsinfrastruktur wird. Welche Gewichtung der Bedrohungslage angemessen ist, entscheiden nicht die Fachrunden, sondern der politische Prozess.
