Wenn über Cybersicherheit gesprochen wird, fällt schnell das Stichwort „Bundeswehrreformen“. Debatten drehen sich um neue Kommandoeinheiten, Aufrüstung in der Cyberabwehr und rechtliche Anpassungen, die militärische Handlungsfähigkeit im digitalen Raum stärken sollen. Ich halte diese Schritte für notwendig — aber bei weitem nicht ausreichend. Cyberangriffe sind kein rein militärisches Problem. Sie greifen in unser tägliches Leben ein, stören Verwaltung, Versorgung, Medien und zivilgesellschaftliche Organisationen. Deshalb müssen wir die Frage breiter stellen: Welche zivilgesellschaftlichen Stärken brauchen wir, um resilient zu sein?

Warum militärische Reformen allein nicht reichen

Die Bundeswehr kann und muss im Bereich der Cyberabwehr eine Rolle spielen, vor allem wenn staatliche Infrastrukturen gezielt und koordiniert angegriffen werden. Aber die Realität zeigt mehrere Grenzen:

  • Die Bundeswehr ist auf enge rechtliche Rahmensetzung angewiesen: Einsätze im Inneren sind restriktiv geregelt, das Wehrrecht schützt Bürgerrechte bewusst sehr stark.
  • Cyberangriffe betreffen oft private Unternehmen, kritische Infrastrukturen und soziale Netzwerke — Bereiche, die nicht in primärer Verantwortung der Streitkräfte liegen.
  • Angriffe sind häufig strategisch, subtil und langwierig: Es geht um Desinformation, Wirtschaftsspionage und Sabotage, nicht nur um „Digitalschläge“, die militärisch beantwortet werden können.
  • Die Geschwindigkeit von Bedrohungen und die Vielfalt der Angriffsvektoren machen eine rein hierarchische, militärisch organisierte Antwort schwerfällig.

    • Militärische Cyberkräfte sind wichtig, etwa zur Abschreckung, zur Abwehr großskaliger staatlicher Operationen oder zur Zusammenarbeit in NATO-Strukturen. Doch sie können nicht die gesamte Sicherheitsarchitektur ersetzen.

    Was zivilgesellschaftliche Stärke konkret bedeutet

    Wenn ich von zivilgesellschaftlichen Stärken spreche, meine ich Fähigkeiten, Strukturen und Kulturen innerhalb von Gesellschaft, Wirtschaft und Verwaltung, die Resilienz gegenüber Cyberbedrohungen erhöhen. Das umfasst mehrere Ebenen:

  • Digitale Grundbildung: Menschen müssen wissen, wie Phishing funktioniert, wie Passwörter sicher sind und warum Updates wichtig sind. Bildung beginnt nicht erst in der IT-Abteilung, sondern in Schulen und Weiterbildungsangeboten.
  • Verlässliche Medienkompetenz: Die Fähigkeit, Desinformation zu erkennen, Quellen zu prüfen und nicht leicht auf manipulierte Inhalte hereinzufallen, ist essenziell.
  • Robuste IT- und Sicherheitsstandards in Unternehmen: Kleine und mittlere Unternehmen (KMU) bilden das Rückgrat der deutschen Wirtschaft — viele sind aber schlecht vorbereitet. Hier braucht es gezielte Förderprogramme und branchennahe Beratung.
  • Transparente Kommunikation von Behörden: Bürgerinnen und Bürger sollten rechtzeitig und verständlich informiert werden, nicht überrumpelt. Vertrauen entsteht durch Offenheit, nicht durch Verschweigen.
  • Starke zivilgesellschaftliche Organisationen: NGOs, Verbraucherschützer und technische Communitys (z. B. lokale Hacker-/Codergruppen) spielen eine Rolle beim Aufdecken von Schwachstellen und beim Aufbau von Gegenwehr.

    • Beispiele aus der Praxis: Was funktioniert

    Ich habe in den letzten Jahren zahlreiche Gespräche mit IT-Expertinnen, Kommunalpolitikern und Betroffenen geführt. Einige konkrete Beispiele zeigen, wie zivilgesellschaftliche Initiativen wirken können:

  • Kommunen, die auf Open-Source-Software und regelmäßige Schulungen setzen, konnten Angriffe schneller isolieren und wiederherstellen.
  • Ein Netzwerk unabhängiger Security Labs unterstützt KMU beim Patch-Management und etabliert einfache Checklisten — kostengünstig und praxisnah.
  • Medienprojekte, die Desinformationskampagnen analysieren und verständlich aufbereiten, erhöhen die Widerstandskraft der Bevölkerung gegenüber manipulativen Inhalten.

    • Marken wie 1Password oder Bitwarden sind keine Wundermittel, aber sie zeigen, wie nutzerfreundliche Sicherheitswerkzeuge breite Anwendung finden können. Öffentliche Förderung sollte solche Lösungen zugänglicher machen.

    Welche Rolle die Wissenschaft und die Tech-Community spielen

    Forschungseinrichtungen und Universitäten sind nicht nur Tickermaschinen für neue Studien. Sie sind Orte, an denen Expertise aufgebaut, vermittelt und in die Gesellschaft getragen wird. Kooperationen zwischen Hochschulen, Kommunen und Unternehmen schaffen Pilotprojekte, die zeigen, wie Resilienz praktisch aussieht.

  • Akademische Forschung kann Risikoanalysen liefern und die Wirksamkeit von Maßnahmen evaluieren.
  • Tech-Communities — inklusive ethischer Hackerinnen und Hacker — sind ein Frühwarnsystem: Responsible Disclosure-Prozesse helfen, Schwachstellen zu schließen, bevor sie ausgenutzt werden.

    • Recht, Datenschutz und Vertrauen

    Viele Menschen befürchten, dass mehr Sicherheit automatisch weniger Datenschutz bedeutet. Hier ist Sensibilität gefragt. Sicherheitsmaßnahmen müssen verhältnismäßig sein und den Grundrechten Rechnung tragen. Transparente Rechtsgrundlagen und unabhängige Datenschutzaufsichten sind deshalb kein Hindernis, sondern Grundlage für Akzeptanz.

  • Gesetze sollten klar regeln, wann Daten für Abwehrzwecke genutzt werden dürfen — und wann nicht.
  • Audits und unabhängige Kontrollinstanzen schaffen Vertrauen.

    • Wie Ehrenamt und lokale Initiativen die Sicherheitsarchitektur stärken

    Ehrenamtliche Strukturen sind oft unterschätzt. Katastrophenschutz, zivilgesellschaftliche Netzwerke und lokale IT-Treffs können im Ernstfall schnell praktisch unterstützen. Das Modell des Freiwilligen sollte auch für digitale Resilienz gedacht werden:

  • Ausbildung von Freiwilligen zu „digitalen Ersthelfern“ in Kommunen.
  • Aufbau lokaler Incident-Response-Teams, die bei Angriffen schnell kommunizieren und technische Erste-Hilfe leisten.
  • Verzahnung von zivilgesellschaftlichen Akteuren mit kommunalen IT-Units und Sicherheitsbehörden.

    • Praktische Empfehlungen, die ich für wirksam halte

    Aus Gesprächen und Recherchen formuliere ich folgende, konkrete Ansatzpunkte:

  • Stärkere Förderung von Bildungsprogrammen zur digitalen Grundkompetenz in Schulen und Volkshochschulen.
  • Gezielte Förderprogramme für KMU, inklusive Gutscheine für Security-Audits.
  • Aufbau einer nationalen Hotline für kleinere Behörden und Organisationen ohne eigene IT-Sicherheitsteams.
  • Förderung von Public-Private-Partnerships, in denen Konzerne, KMU, Wissenschaft und zivilgesellschaftliche Akteure gemeinsam Szenarien üben.
  • Ein „Transparenz- und Rechenschaftsrahmen“ für Behörden bei Cybervorfällen, damit Vertrauen nicht durch Geheimniskrämerei zerstört wird.

    • Diese Maßnahmen ergänzen militärische Kapazitäten, sie ersetzen sie nicht — und vor allem: Sie bringen die Gesellschaft in die Lage, Angriffe früh zu erkennen, die Folgen abzufedern und langfristig weniger attraktiv für Angreifer zu sein. Cyberabwehr ist kein Monopol der Streitkräfte, sondern eine gesamtgesellschaftliche Aufgabe.