Warum der Cyberpakt mit Israel die deutsche KRITIS-Logik neu justiert

Der 29. Januar 2026 markiert einen stillen, aber fundamentalen Wendepunkt der deutschen Sicherheitspolitik. Während im Bundestag an diesem Tag die entscheidende Lesung des KRITIS-Dachgesetzes stattfindet – jenes Rechtsrahmens, der physische und digitale kritische Infrastrukturen erstmals systematisch zusammenführt –, zeigt sich bereits, dass die sicherheitspolitische Realität weiter reicht als das Gesetzblatt.

Nur wenige Tage zuvor, am 11. und 12. Januar 2026, hatte Bundesinnenminister Alexander Dobrindt in Jerusalem mit der israelischen Staatsführung einen neuen Sicherheits- und Cyberpakt unterzeichnet. Zwischen der Berliner Gesetzgebung und der Jerusalemer Diplomatie spannt sich damit eine strukturelle Frage, die über tagespolitische Ereignisse hinausweist: Reicht ein All-Gefahren-Ansatz auf dem Papier aus, wenn operative Realität Entscheidungen im Millisekundenbereich erzwingt?

Der Trigger: Hybride Sabotage als Systemtest

Die Dringlichkeit dieser Frage ist nicht mehr abstrakt. Am 3. Januar 2026 legte ein Brandanschlag der sogenannten Vulkangruppe Teile des Stromnetzes im Berliner Südwesten lahm. In Lichterfelde und Zehlendorf kam es zu massiven Versorgungsunterbrechungen. Der Angriff war physisch. Seine sicherheitspolitische Wirkung jedoch war systemisch. Er machte sichtbar, wie eng physische Sabotage, digitale Steuerungssysteme und gesellschaftliche Stabilität heute miteinander verflochten sind.

Zusätzliche Schärfe erhält dieser Befund durch ein politisch relevantes Detail. Das Bundesinnenministerium verfehlte die selbst gesetzte Frist zur Vorlage der nationalen Resilienz-Strategie, die ursprünglich bis zum 17. Januar 2026 vorliegen sollte. Während strategische Leitplanken in Berlin ausbleiben, schafft Dobrindt in Israel operative Bezugspunkte. Diese Asymmetrie legt das zentrale Zeit-Dilemma der deutschen Sicherheitsarchitektur offen: Strategie verzögert sich, während operative Realität eskaliert.

Entscheidend ist dabei nicht der Anschlag selbst, sondern die Folgelogik. In einer israelischen Sicherheitsarchitektur würde eine physische Sabotage an kritischer Energieinfrastruktur unmittelbar eine systemweite Überprüfung digitaler Steuerungs-, Kommunikations- und Backup-Ebenen auslösen – nicht aus der Gewissheit eines Cyberangriffs, sondern aus der Grundannahme hybrider Koppelung. In Deutschland hingegen setzt zunächst eine sequenzielle Zuständigkeitsklärung ein. Genau in dieser zeitlichen Lücke liegt die eigentliche sicherheitspolitische Relevanz des Vorfalls.

KRITIS-Dachgesetz: Stark in der Vorsorge, begrenzt im Moment des Einschlags

Das KRITIS-Dachgesetz ist ein ordnungspolitischer Meilenstein. Es folgt konsequent dem All-Gefahren-Ansatz: Naturkatastrophen, Sabotage, Terrorismus und Cyberangriffe werden gleichrangig als Risiken betrachtet. Betreiber kritischer Infrastrukturen werden zu Prävention, Redundanzen, Risikoanalysen und strukturiertem Meldewesen verpflichtet. Resilienz wird damit erstmals systematisch eingefordert und rechtlich verankert.

Doch genau in dieser Systematik liegt zugleich die strukturelle Grenze des Gesetzes. Es organisiert präzise, was vor einem Ereignis vorbereitet und was nach einem Ereignis dokumentiert werden muss. Die Phase dazwischen – der laufende Angriff, die Eskalation, das gleichzeitige Zusammenwirken physischer und digitaler Effekte – bleibt bewusst außerhalb seines Mandats. Das KRITIS-Dachgesetz ist ein Gesetz der Vorsorge, nicht der operativen Abwehr.

Diese Begrenzung markiert keine Schwäche, sondern eine bewusste Grenzziehung des deutschen Sicherheitsverständnisses. Sie trennt regulatorische Verantwortung von staatlicher Eingriffsfähigkeit. Genau an dieser Schnittstelle setzt der Cyberpakt mit Israel an – nicht als Ersatz des Gesetzes, sondern als Antwort auf den Moment, in dem Vorsorge allein nicht mehr ausreicht.

Der Cyber Dome: Ein modulares Baukastensystem

Der von Alexander Dobrindt geprägte Begriff des Cyber Dome beschreibt kein geschlossenes Schutzschild, sondern ein modulares Baukastenprinzip. Ziel ist der Aufbau einer integrierten Abwehrarchitektur, die sich flexibel und lageabhängig an konkrete Bedrohungsszenarien anpassen lässt – jenseits starrer Zuständigkeits- oder Sektorlogiken.

Zentraler Baustein dieses Ansatzes ist der Aufbau eines gemeinsamen KI- und Cyberinnovationszentrums mit israelischen Partnern. Dort sollen die im KRITIS-Dachgesetz geforderten Risikoanalysen nicht lediglich aggregiert, sondern in operative Entscheidungslogiken überführt werden. Aus statischen Compliance-Dokumenten entstehen dynamische Playbooks, die unter Zeitdruck handlungsfähig machen und sektorübergreifend wirken.

Dass es sich dabei nicht um theoretische Überlegungen handelt, sondern um konkret benannte Kooperationsfelder, bestätigen aktuelle Fachberichte zur deutsch-israelischen Vereinbarung. Der Pakt umfasst ausdrücklich den Aufbau gemeinsamer KI- und Cyberinnovationsstrukturen, den Schutz kritischer Energieversorgungsnetze, die Absicherung vernetzter Mobilitätssysteme sowie Technologien zur Erkennung und Abwehr von Drohnen. Der Cyber Dome ist damit nicht als singuläre Plattform konzipiert, sondern als modularer Verbund aus digitalen, physischen und KI-gestützten Abwehrkomponenten, die je nach Bedrohungslage kombiniert werden können.

Zum Baukasten gehören folgerichtig auch physische Schutzkomponenten. Israel bringt hier Erfahrung in der automatisierten Überwachung kritischer Objekte ein, etwa durch Drohnendetektion, Sensorik und KI-gestützte Mustererkennung. Umspannwerke, Verkehrsknoten und Anlagen vernetzter Mobilität werden damit nicht nur digital gehärtet, sondern auch physisch-automatisiert überwacht. Der Cyber Dome schließt so die klassische Lücke zwischen traditionellem Objektschutz und moderner Cyberabwehr.

Zeit-Dilemma und Active Defense

An dieser Stelle prallen zwei sicherheitspolitische Logiken aufeinander. Das KRITIS-Dachgesetz operiert mit Fristen, Berichtswegen und abgestuften Eskalationsmechanismen. Der Cyber Dome hingegen zielt auf Echtzeitreaktion. Moderne hybride Angriffe entfalten ihre Wirkung schneller, als formalisierte Entscheidungsprozesse greifen können. Die zeitliche Asymmetrie zwischen Angriff und Reaktion wird damit selbst zum sicherheitsrelevanten Faktor.

Aus dieser Diskrepanz ergibt sich zwangsläufig die Debatte um Active Defense. Der Cyber-Dome-Ansatz schließt die politisch umstrittene Option ein, laufende Angriffe durch gezielte Maßnahmen gegen die Infrastruktur der Angreifer zu unterbrechen. Diese sogenannte Hackback-Debatte berührt den Kern des deutschen Verfassungsverständnisses: die Trennung von Polizei, Nachrichtendiensten und militärischer Gewalt, Fragen der Zuständigkeit sowie die Grenzen staatlicher Eingriffsbefugnis im digitalen Raum.

Israel operiert in diesem Feld mit deutlich größerer exekutiver Freiheit und einer auf operative Wirkung ausgerichteten Entscheidungsarchitektur. Deutschland hingegen sucht noch nach einer rechtsstaatlich belastbaren Übersetzung für digitale Gegenwehr. Der Cyberpakt löst diesen Konflikt nicht – er macht ihn unausweichlich.

Souveränität, Abhängigkeit und operative Realität

Kritiker des Pakts verweisen zu Recht auf Risiken. Die Integration externer Technologien wirft Fragen der digitalen Souveränität auf, insbesondere wenn KI-Systeme als Black Boxes operieren. Auch die Übertragbarkeit israelischer Lösungen auf föderale, historisch gewachsene deutsche Infrastrukturen ist keineswegs trivial.

Hinzu kommen praktische Hürden. Der deutsche Föderalismus erschwert zentrale Steuerung, der Fachkräftemangel begrenzt die Umsetzungsfähigkeit vieler KRITIS-Betreiber, und nicht jede technologische Innovation lässt sich kurzfristig in bestehende Betriebsmodelle integrieren.

All das relativiert den Cyberpakt nicht – es kontextualisiert ihn.

Fazit: Sicherheit zwischen Anspruch und Wirklichkeit

Der Cyberpakt mit Israel ist kein Ersatz für das KRITIS-Dachgesetz und kein Bruch mit dem Rechtsstaat. Er ist ein Versuch, operative Wirklichkeit und regulatorische Ordnung wieder näher zusammenzuführen.

Deutschland steht 2026 vor einer unbequemen Erkenntnis: Resilienz entsteht nicht allein durch Regeln, sondern durch die Fähigkeit, sie unter Zeitdruck wirksam werden zu lassen. Das KRITIS-Dachgesetz schafft Ordnung. Der Cyberpakt tastet sich an die Frage heran, wie diese Ordnung im Ernstfall handlungsfähig bleibt.

Ob dieser Spagat gelingt, entscheidet sich nicht in Jerusalem, sondern in der deutschen Umsetzung – organisatorisch, rechtlich und politisch. Sicherheit ist damit weniger eine Frage des Wollens als des Aushaltens von Spannungen, die sich nicht auflösen lassen, sondern nur verantwortungsvoll managen.