Zuletzt aktualisiert am 1. April 2026
Am 24. November haben SPD, Grüne und FDP („Ampelkoalition“) ihren Koalitionsvertrag vorgestellt. Die IT-Sicherheit soll darin wieder einen höheren Stellenwert bekommen. Statt der Verschärfung der Überwachung der Bürger wie es in den letzten Jahren zu beobachten war, soll es nun wieder in die andere Richtung gehen.
Was genau unter der Ampelkoalition die Ziele im Bereich der IT-Sicherheit sein sollen, erfahren Sie hier.
Rolle des BSI in der IT-Sicherheit
Der Koalitionsvertrag legt fest, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) „unabhängiger“ werden soll. Was mit dieser Formulierung genau gemeint ist, ist noch unklar. Jedenfalls wird das BSI wohl nicht zu einer obersten Bundesbehörde ernannt werden.
Staatliche Stellen sollen allerdings verpflichtet sein, bekannte Sicherheitslücken beim BSI zu melden. Außerdem sollen ihre IT-Systeme regelmäßig extern überprüft werden. Das BSI soll die Sicherheitslücken dann den Unternehmen melden. Das Ziel soll es immer sein, Schwachstellen schnellstmöglich zu schließen. Es solle nicht dazu kommen, dass sich der Staat Sicherheitslücken ankaufe oder offenhalte.
Würden diese Ziele umgesetzt, würde die Ampelkoalition im Bereich IT-Sicherheit sogar noch über das vom Bundesverfassungsgericht (BVerfG) zuletzt geforderte hinausgehen. Das BVerfG hatte den Sicherheitsbehörden nämlich zuletzt im Juli erlaubt „eine Quellen-Telekommunikationsüberwachung mittels einer unbekannten Schutzlücke durchzuführen“.
In der Vergangenheit haben deutsche Behörden allerdings nur selten Spionageprogramme mit Hilfe von Sicherheitslücken auf Endgeräten untergebracht. Deshalb sollte der Verzicht darauf nicht allzu schwer fallen.
White Hacking für IT-Sicherheit unter der Ampelkoalition
Im Vertrag der Ampelkoalition heißt es zur IT-Sicherheit weiter, dass „White Hacking“, also in der Sprache des Koalitionsvertrages das „Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren“ legal werden soll. Dazu wäre eine Anpassung des „Hackerparagraphen“ im Strafgesetzbuch (§ 202c StGB) erforderlich.
Die Durchführung von Hackbacks gegen mutmaßliche Cyberangreifer wird allerdings abgelehnt.
Staatstrojaner und Online-Durchsuchung
Der Einsatz von staatlicher Überwachungssoftware soll nicht komplett verboten werden. Allerdings sollen die Voraussetzungen dafür in Zukunft höher sein. In diesem Rahmen will die Ampelkoalition auch die Vorgaben des BVerfG umsetzen. Zu dem Thema der Überprüfung der Befugnis des Verfassungsschutzes zum Einsatz solcher Staatstrojaner finden sich im Koalitionsvertrag allerdings nur sehr vage Formulierungen.
Zitis
Die Ampelkoalition hält fest, dass eine gesetzliche Grundlage für die umstrittene Hackerbehörde Zitis zu schaffen ist. So will sie garantieren, dass das Parlament und die Datenschutzaufsichtsbehörden Zitis lückenlos kontrollieren können.
Bei der Entwicklung von Überwachungstools finden sich scheinbar keine Änderungen.
Keine dauerhafte Überwachung
Der Koalitionsvertrag positioniert sich klar gegen eine flächendeckende Videoüberwachung und das Einsetzen von Gesichtserkennungssoftware. Dies ist in jedem Fall positiv hervorzuheben. Die Ampelkoalition fordert: „Das Recht auf Anonymität sowohl im öffentlichen Raum als auch im Internet ist zu gewährleisten“. Es geht sogar so weit, dass die Parteien fordern, dass biometrische Identifikationen in der Öffentlichkeit und staatliche Scoring Systeme auf europäischer Ebene zu verbieten sind.
Vorratsdatenspeicherung soll in jedem Fall nur „anlassbezogen“ erfolgen dürfen. Die genaue Ausgestaltung ist hier noch unklar. Es könnte auf eine Art von Quick-Freeze-Regelung hinauslaufen, die bereits im Gespräch war. Jedoch wird hier auch wohl noch ein Urteil des Europäischen Gerichtshofs (EuGH) abgewartet.
Instrumente der Ampelkoalition zur IT-Sicherheit
Um Cyberangreifer und ähnliche Täter zu identifizieren, will die Ampelkoalition für mehr IT-Sicherheit unter Schonung der Grundrechte auf Login-Fallen zurückgreifen. Dazu sollen die Behörden entsprechende Anfragen an Anbieter stellen dürfen, die dann die aktuellen IP-Adressen preisgeben. So sollen in Zukunft auch pseudonymisierte Nutzer „grundrechtsschonend und freiheitsorientiert“ identifiziert werden können.
Um insgesamt den Freiheitsrechten genug Rechnung zu tragen, soll außerdem eine Überwachungsgesamtrechnung bis Ende 2023 durchgeführt werden. Diese soll „eine unabhängige wissenschaftliche Evaluation der Sicherheitsgesetze und ihrer Auswirkungen auf Freiheit und Demokratie im Lichte technischer Entwicklungen“ zum Inhalt haben. Hier bleibt abzuwarten, welche Auswirkungen dies auf die Praxis haben wird.
Keine Uploadfilter zur IT-Sicherheit unter der Ampelkoalition
Die Ampelkoalition lehnt verpflichtende Uploadfilter „zum Schutz der Informations- und Meinungsfreiheit“ ab. Vor dem Hintergrund des Art. 17 der EU-Urheberrechtsrichtlinie erscheint diese Formulierung unklar.
Jedenfalls wendet sich die Ampelkoalition offen gegen „allgemeine Überwachungspflichten, Maßnahmen zum Scannen privater Kommunikation und eine Identifizierungspflicht“ wie sie von der EU vorgesehen sind. Ob damit Maßnahmen wie die geplante Chatkontrolle verhinderbar sind, wird sich erst noch zeigen müssen.
Fazit
Insgesamt betrachtet sieht der Koalitionsvertrag der Ampelkoalition zur IT-Sicherheit Vielversprechendes vor. Wie immer bei Koalitionsverträgen bleibt aber abzuwarten, ob und wie eine tatsächliche Umsetzung erfolgt.
Falls Sie Hilfe im Bereich der Informationssicherheit brauchen kontaktieren Sie uns, wir unterstützen Sie gern bei der technischen und organisatorischen Umsetzung in Ihrer Firma.
Bewertung der IT-Sicherheitspolitik im Rückblick
Rückblickend lässt sich feststellen, dass die Ampelkoalition im Bereich der IT-Sicherheit einige wichtige Impulse gesetzt hat, auch wenn nicht alle ambitionierten Ziele vollständig umgesetzt werden konnten. Die Stärkung der Rolle des BSI als zentrale Cybersicherheitsbehörde, die Förderung von Ende-zu-Ende-Verschlüsselung und die Einführung eines Rechts auf Verschlüsselung waren wichtige Signale. Gleichzeitig hat die Diskussion um Hintertüren in Verschlüsselungssystemen und die Vorratsdatenspeicherung gezeigt, dass der Konflikt zwischen Sicherheit und Freiheit in der digitalen Welt weiterhin ungelöst bleibt.
Umsetzungsstand und aktuelle Entwicklungen
Die ambitionierten IT-Sicherheitsziele des Koalitionsvertrags haben in der Praxis zu verschiedenen gesetzgeberischen Initiativen geführt. Besonders hervorzuheben ist die Umsetzung der NIS-2-Richtlinie in deutsches Recht, die erhebliche Auswirkungen auf die IT-Sicherheitsanforderungen für Unternehmen und öffentliche Einrichtungen hat. Die Richtlinie erweitert den Kreis der betroffenen Organisationen erheblich und verschärft die Meldepflichten bei Sicherheitsvorfällen.
Für Unternehmen bedeutet dies konkret, dass sie ihre IT-Sicherheitsmaßnahmen überprüfen und gegebenenfalls anpassen müssen. Die Anforderungen betreffen nicht nur große Konzerne, sondern zunehmend auch mittelständische Unternehmen. Insbesondere Betreiber kritischer Infrastrukturen und wichtige Einrichtungen müssen umfassende technisch-organisatorische Maßnahmen implementieren und regelmäßig nachweisen.
Schwachstellenmanagement und Responsible Disclosure
Ein zentrales Versprechen des Koalitionsvertrags war die Einführung eines effektiven Schwachstellenmanagements. Sicherheitslücken in Software und Hardware sollten nicht mehr von staatlichen Stellen für Überwachungszwecke zurückgehalten, sondern zeitnah den Herstellern gemeldet werden. Dieses Prinzip des Responsible Disclosure ist ein wichtiger Baustein für die allgemeine IT-Sicherheit, da offene Schwachstellen ein erhebliches Risiko für alle Nutzer darstellen.
In der Praxis hat sich gezeigt, dass die Umsetzung dieses Vorhabens auf verschiedene Widerstände stößt. Die Sicherheitsbehörden argumentieren, dass sie auf die Nutzung von Schwachstellen für die Strafverfolgung und Gefahrenabwehr angewiesen seien. Der Spannungsbereich zwischen Sicherheit durch Verschlüsselung einerseits und den Bedürfnissen der Strafverfolgung andererseits bleibt ein ungelöstes Problem der deutschen Netzpolitik. Die Debatte wird durch die zunehmende Bedrohung durch staatlich unterstützte Hackergruppen weiter verschärft, die gezielt kritische Infrastrukturen angreifen und damit die Dringlichkeit effektiver Cybersicherheitsmaßnahmen unterstreichen.
Auswirkungen auf den Datenschutz in Unternehmen
IT-Sicherheit und Datenschutz sind untrennbar miteinander verbunden. Die verstärkten IT-Sicherheitsanforderungen wirken sich unmittelbar auf die datenschutzrechtlichen Pflichten von Unternehmen aus. Nach Art. 32 DSGVO müssen Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die steigenden regulatorischen Anforderungen an die IT-Sicherheit können dabei als Orientierungshilfe für das angemessene Schutzniveau dienen.
Unternehmen, die sowohl ihre IT-Sicherheit als auch ihren Datenschutz auf dem neuesten Stand halten wollen, profitieren von einer ganzheitlichen Beratung. Ein Datenschutzkonzept, das die aktuellen gesetzlichen Anforderungen berücksichtigt, schafft nicht nur Rechtssicherheit, sondern erhöht auch die Widerstandsfähigkeit gegen Cyberangriffe und Datenpannen. Gerade für mittelständische Unternehmen ist es wichtig, frühzeitig die richtigen Weichen zu stellen, bevor die verschärften Regulierungen greifen. Die Erfahrung zeigt, dass Unternehmen, die frühzeitig in IT-Sicherheit und Datenschutz investieren, nicht nur Bußgelder und Reputationsschäden vermeiden, sondern auch einen echten Wettbewerbsvorteil erlangen. In einer zunehmend digitalisierten Wirtschaft ist ein hohes Sicherheitsniveau ein entscheidendes Qualitätsmerkmal, das von Geschäftspartnern und Kunden gleichermaßen geschätzt wird.
Professionelle Datenschutz-Unterstützung für Ihr Unternehmen
Als erfahrene Datenschutzexperten unterstützen wir Sie bei allen Anforderungen der DSGVO. Unsere Leistungen im Überblick:
- DSGVO-Beratung – Individuelle Beratung für Ihr Unternehmen
- Verarbeitungsverzeichnis – Professionelle Erstellung und Pflege
- Technisch-organisatorische Maßnahmen – TOM nach DSGVO
- Datenschutz-Schulungen – Mitarbeiterschulungen und Awareness
→ Jetzt unverbindlich beraten lassen
Als erfahrene Datenschutzexperten unterstützt die DATUREX GmbH aus Dresden Unternehmen bei allen Fragen rund um Datenschutz und DSGVO-Compliance. Unsere TÜV-zertifizierten Berater stehen Ihnen mit individueller Beratung, praxisnahen Lösungen und langjähriger Erfahrung zur Seite. Vereinbaren Sie jetzt Ihre kostenlose Erstberatung und profitieren Sie von unserem Expertenwissen für Ihr Unternehmen.
Benötigen Sie Unterstützung bei der Umsetzung der DSGVO in Ihrem Unternehmen? Die DATUREX GmbH aus Dresden bietet Ihnen als zertifizierter Datenschutzdienstleister umfassende Beratung — von der initialen Bestandsaufnahme über die Erstellung aller erforderlichen Dokumentationen bis hin zur kontinuierlichen Betreuung als externer Datenschutzbeauftragter. Profitieren Sie von unserer langjährigen Erfahrung und vereinbaren Sie noch heute ein kostenloses Erstgespräch unter 0351/79593513 oder per E-Mail an datenschutz@externer-datenschutzbeauftragter-dresden.de.