Stell dir vor, du meldest deiner Hausverwaltung ein kaputtes Türschloss, damit es repariert wird, und die Hausverwaltung leitet die Information erst einmal an jemanden weiter, der noch ein paar Wochen durch genau dieses kaputte Schloss hindurch will. Genau das plant das Bundesinnenministerium gerade für den digitalen Raum, nur dass die Hausverwaltung in diesem Fall das Bundesamt für Sicherheit in der Informationstechnik ist, kurz BSI, die Behörde, die eigentlich dafür sorgen soll, dass genau solche Lücken schnell geschlossen werden.
Am 10. Juli 2026 hat Innenminister Alexander Dobrindt (CSU) einen Referentenentwurf zur Reform des Nachrichtendienstrechts vorgelegt, rund 650 bis 700 Seiten stark. Der Kernpunkt betrifft ausgerechnet die Behörde, auf deren Neutralität sich jede Patch-Empfehlung und jede Sicherheitswarnung für Privatpersonen, Vereine und kleine Unternehmen stützt. Das BSI soll dem Bundesnachrichtendienst, kurz BND, künftig frühzeitig und teilweise automatisiert melden, wenn es eine Sicherheitslücke entdeckt, und zwar auch dann, wenn es sich um eine sogenannte Zero-Day-Lücke handelt, eine Schwachstelle also, für die noch kein Patch existiert und die Hersteller noch gar nicht kennen. Die Entwurfsbegründung sagt dabei etwas sehr Offenes: Die Zeit bis zur Schließung dieser Lücke kann für „wichtige Arbeit” des BND genutzt werden. Auf Deutsch: Die Lücke bleibt bewusst länger offen, als es reine Sicherheitslogik nahelegen würde, damit der Geheimdienst sie selbst nutzen kann.
Was sich an § 10 BND-Gesetz konkret ändert
Bisher regelt § 10 Absatz 2 des BND-Gesetzes, dass das BSI dem BND Informationen über Sicherheitslücken nur meldet, wenn diese „erhebliche Bedeutung für die Bundesrepublik” haben, eine bewusst hohe Hürde. Der Referentenentwurf senkt diese Schwelle ab und verpflichtet das BSI, technische Details zu entdeckten Schwachstellen „frühzeitig” und „möglichst automatisiert” an den BND weiterzugeben, unabhängig davon, ob bereits ein Patch verfügbar ist. Automatisiert heißt hier: keine Einzelfallprüfung durch einen Menschen mehr, sondern ein technischer Meldeweg, der im Zweifel jede gefundene Lücke durchreicht.
Das klingt nach Verwaltungsdetail, ist aber die eigentliche Nachricht dieses Entwurfs. Bislang war die Meldung an den BND die Ausnahme, für besonders schwerwiegende Fälle. Künftig soll sie der Normalfall werden. Der IT-Sicherheitsrechtler Dennis-Kenji Kipker von der Hochschule Bremen bringt es in einem heise-Kommentar vom 11. Juli 2026 auf den Punkt: Die Neuregelung bedeute die Aufgabe eines mühsam aufgebauten Vertrauensverhältnisses zwischen Staat und IT-Sicherheitscommunity, und sie breche mit dem eigentlichen gesetzlichen Auftrag des BSI als zentraler Anlaufstelle für Informationssicherheit. Sicherheitsforschende, so Kipker, würden sich künftig zweimal überlegen, ob sie eine entdeckte Lücke dem BSI überhaupt noch mitteilen. Wer eine Schwachstelle meldet, um sie schließen zu lassen, will nicht, dass sie stattdessen in einer Geheimdienstschublade landet.
2017 hat die Welt das schon einmal durchexerziert
Was passiert, wenn eine mächtige Behörde eine Zero-Day-Lücke lieber für eigene Zwecke offen hält, statt sie melden zu lassen, ist kein Gedankenexperiment. Die US-amerikanische NSA hatte über Jahre eine Schwachstelle in Windows zurückgehalten, bekannt als EternalBlue, um sie für eigene Operationen zu nutzen. 2017 gelangte dieses Werkzeug über die sogenannte Shadow-Brokers-Leak-Kette in falsche Hände und wurde zur Grundlage der WannaCry-Welle, einer Erpressungssoftware, die binnen Stunden weltweit Krankenhäuser lahmlegte, darunter Teile des britischen Gesundheitsdienstes NHS, dazu Speditionen, Behörden und ganz normale Unternehmen. Keines dieser Opfer war ein Spion oder ein Spionageziel. Sie saßen einfach am falschen Ende einer Lücke, die jemand anderes aus strategischen Gründen offen gehalten hatte.
Genau diese Logik überträgt der deutsche Entwurf jetzt auf den BND, nur ohne die Aufarbeitung, die WannaCry ausgelöst hat. Eine offen gehaltene Lücke unterscheidet nicht zwischen Geheimdienstziel und Verein um die Ecke. Sie liegt einfach da, nutzbar für jeden, der sie zuerst findet, den BND, kriminelle Banden oder ausländische Dienste. Je länger sie offen bleibt, desto größer wird die Zahl derer, die sie finden können.
Ein Gesamtpaket, das weit über Zero-Days hinausgeht
Die Zero-Day-Meldepflicht ist nur ein Baustein eines deutlich größeren Entwurfs. BND-Mitarbeitende sollen künftig bei „unmittelbar bevorstehender Gefahr für ein besonders gewichtiges Rechtsgut” aktiv in laufende Cyberangriffe eingreifen dürfen, etwa durch das Verändern, Löschen oder Umleiten von Daten, sogenannte Hackback-Befugnisse. Der Verfassungsschutz soll zusätzlich Geräte manipulieren, Datenströme umleiten und gezielt Fehlinformationen streuen dürfen. Der BND soll außerdem bis zu 15 Prozent des Datenvolumens in deutschen Telekommunikationsnetzen filtern dürfen, wobei laut netzpolitik.org bereits die technische und rechtliche Kontrollierbarkeit dieser Filterung fraglich ist. Dazu kommt eine automatisierte KI-gestützte Auswertung personenbezogener Daten mit Vorhersagefunktion, der BND soll eigene KI-Modelle trainieren dürfen, und der Verfassungsschutz soll Echtzeit-Gesichtsabgleiche an öffentlichen Orten wie Bahnhöfen oder Einkaufszentren vornehmen dürfen.
Die Kosten sind kein Nebendetail: Für den BND fallen laut Entwurf einmalig mindestens 40 Millionen Euro sowie jährlich 35 Millionen Euro an. Für das Bundesamt für Verfassungsschutz sind es rund 94 Millionen Euro einmalig für die IT-Umstellung und etwa 269 Millionen Euro jährliche Betriebskosten. Die Bundesrepublik baut hier keine kleine Anpassung, sondern eine dauerhafte, sehr teure Überwachungsinfrastruktur.
Warum ausgerechnet jetzt
Der eigentliche Auslöser der Reform hat mit Zero-Days zunächst gar nichts zu tun. Das Bundesverfassungsgericht erklärte am 8. Oktober 2024 die strategische Auslandsüberwachung des BND im Bereich Cybergefahren für teilweise verfassungswidrig, weil unter anderem eine Regelung zur Aussonderung rein inländischer Kommunikation fehlte, die Aufbewahrungsfrist für Überwachungsdokumentation zu kurz war und die Mitglieder der zuständigen Kontrollinstanz, der G-10-Kommission, nur ehrenamtlich statt hauptamtlich tätig waren. Das Gericht setzte dem Gesetzgeber eine Frist zur Neuregelung bis spätestens 31. Dezember 2026.
Das Bundesinnenministerium nutzt dieses Zeitfenster nun für weit mehr als die vom Gericht geforderten Korrekturen. Statt die konkret bemängelten Punkte zu reparieren, bündelt der Entwurf gleich mehrere zuvor separat diskutierte Vorhaben in einem einzigen, sehr umfangreichen Paket, die BSI-Meldepflicht, die Hackback-Befugnisse, die Datenfilterung und den Ausbau biometrischer Überwachung. Die Kabinettsbefassung ist noch vor der parlamentarischen Sommerpause 2026 geplant, die Bundestagsdebatte soll im Herbst beginnen. Wer ein derart umfangreiches Paket in kurzer Zeit durchbringen will, verschafft sich damit auch weniger Zeit für öffentliche und parlamentarische Prüfung, ein Umstand, der selbst zum Kritikpunkt wird.
Wer soll das noch kontrollieren
Als Ersatz für die vom Gericht kritisierte G-10-Kommission sieht der Entwurf einen neuen Unabhängigen Kontrollrat vor, ausgestattet mit gerichtlichen Prüfkompetenzen, die laut Berichterstattung allerdings begrenzt bleiben. Eine Kontrollinstanz, die als Reaktion auf ein Gerichtsurteil zur mangelhaften Kontrolle entsteht, aber selbst wieder mit eingeschränkten Befugnissen ausgestattet wird, sollte eigentlich mehr Aufmerksamkeit bekommen, als sie bisher bekommt.
Wichtig für die Einordnung: Die scheidende Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider hat sich zu diesem konkreten Zero-Day-Entwurf bislang nicht öffentlich geäußert. Ihr vielzitierter Satz, eine gesetzliche Regelung, die einer unabhängigen Behörde Kontrollpflichten auferlegt und ihr dann die Durchsetzung versagt, sei absurd, stammt aus einem anderen, nur thematisch verwandten Verfahren: Das Bundesverwaltungsgericht wies am 4. März 2026 ihre Klage auf Zugang zu BND-Anordnungen über Hacking-Maßnahmen gegen ausländische IT-Systeme ab. Beide Vorgänge gehören zum selben größeren Themenfeld der Geheimdienstkontrolle, es wäre aber falsch, ihre Aussage als direkte Reaktion auf den Zero-Day-Entwurf darzustellen. Ebenso lässt sich trotz gezielter Suche keine tagesaktuelle, konkret auf diesen Entwurf bezogene Stellungnahme von Chaos Computer Club oder Digitalcourage finden, was angesichts der erst wenige Tage zurückliegenden Veröffentlichung nicht überrascht, aber auch nicht bedeutet, dass diese Organisationen der Sache zustimmen. Der CCC hat bereits 2014 den Ankauf von Zero-Day-Exploits durch den BND scharf kritisiert und 2022 gefordert, den Schwarzmarkt für Zero-Days konsequent trockenzulegen, an dieser Haltung hat sich vermutlich wenig geändert.
Ein Blick über den Atlantik zeigt, dass es auch anders geht. Die USA betreiben seit 2014 den sogenannten Vulnerabilities Equities Process, kurz VEP, ein interministerielles Abwägungsverfahren mit der gesetzlichen Grundannahme „disclose by default”: Lücken werden grundsätzlich offengelegt, jede Ausnahme muss vor einem Gremium unter Vorsitz des Nationalen Sicherheitsrats begründet werden. Deutschland hatte ein vergleichbares Verfahren bereits 2018 angedacht, laut einer Studie der Stiftung Wissenschaft und Politik aus dem Jahr 2019, nie aber umgesetzt. Der aktuelle Entwurf geht in die entgegengesetzte Richtung: kein Abwägungsgremium, sondern eine Meldepflicht, die das offene Halten von Lücken für nachrichtendienstliche Zwecke von vornherein einkalkuliert.
Was das für dich bedeutet, wenn du kein Spionageziel bist
Genau hier wird die Sache konkret für Privatpersonen, Vereine und kleine Unternehmen, die mit Geheimdienstarbeit nichts zu tun haben und trotzdem jeden Tag Windows, Router, E-Mail-Server oder Buchhaltungssoftware benutzen. Bislang konntest du dich zumindest theoretisch darauf verlassen, dass eine dem Staat bekannte Sicherheitslücke möglichst zügig den Weg zum Hersteller findet, damit ein Patch entsteht. Wenn eine Behörde jetzt gesetzlich dazu verpflichtet wird, genau diesen Weg zu verzögern, weil ein Geheimdienst zuerst „wichtige Arbeit” damit erledigen will, verlierst du genau diese Verlässlichkeit, ohne dass du das jemals erfährst. Du weißt nie, welche Lücke gerade offen gehalten wird, bis sie entweder geschlossen oder, wie bei EternalBlue, geleakt und massenhaft ausgenutzt wird.
Praktisch bedeutet das: Du kannst dich weniger als bisher darauf verlassen, dass der Staat für dich meldet, was in deiner Software kaputt ist. Also wird alles wichtiger, was du selbst kontrollierst. Sicherheitsupdates zeitnah einspielen, sobald sie verfügbar sind, ohne sie wochenlang aufzuschieben. Die eigene Angriffsfläche verkleinern, indem du nur die Software installierst, die du wirklich brauchst, und schlanke, gut gepflegte Systeme bevorzugst statt aufgeblähter Softwarepakete mit unzähligen Diensten im Hintergrund. Und Verschlüsselung konsequent nutzen, für E-Mails, für Messaging, für Backups, weil eine verschlüsselte Kommunikation auch dann geschützt bleibt, wenn irgendwo eine Lücke offen gehalten wird, durch die jemand mitliest. Der Staat, auf dessen Schutzfunktion du dich verlassen hast, baut sich hier selbst einen Interessenkonflikt ein. Die Konsequenz daraus ist nicht Resignation, sondern mehr Eigenverantwortung für die eigene digitale Infrastruktur.
Wenn du dir jetzt Gedanken machst, wie gut deine eigenen Systeme, dein Verein oder dein kleines Unternehmen tatsächlich gegen genau solche Szenarien abgesichert sind, lohnt sich ein nüchterner Blick von außen. Genau dafür berate ich Privatpersonen, Vereine und kleine Unternehmen: Wo sitzen unnötige Angriffsflächen, wo fehlt Verschlüsselung, wo hakt der Patch-Prozess. Eine Behörde, die Lücken bewusst offen hält, kannst du nicht ändern. Wie schnell du selbst reagierst, wenn eine Lücke bekannt wird, schon.
Reden wir über eure IT-Sicherheit.
Schreib mir eine E-Mail: Kurz beschreiben, was du vorhast oder was dich beschäftigt. Ich melde mich in der Regel innerhalb eines Werktages. hallo@chrislo.de
Kein Kontaktformular, keine Pflichtfelder, keine Datenspur. Einfach schreiben.