11. Juli 2026

Zero-Day-Meldepflicht fürs BSI: Prof. Kipker warnt vor Vertrauensbruch

Der Referentenentwurf zur Reform des Nachrichtendienstrechts würde das Bundesamt für Sicherheit in der Informationstechnik (BSI) verpflichten, dem BND bekannte Zero-Day-Schwachstellen zu melden, noch bevor überhaupt ein Patch existiert. In einem Kommentar für heise online erklärt Prof. Dr. Dennis-Kenji Kipker, warum das dem gesetzlichen Auftrag der Behörde widerspricht und die IT-Sicherheits-Community nachhaltig verunsichern könnte.

Mit dem vom Bundesinnenministerium vorgelegten, rund 700 Seiten starken Reformentwurf zeichnet sich nach Einschätzung von CII-Research Director Prof. Dr. Dennis-Kenji Kipker ein besorgniserregender Kurswechsel in der digitalen Sicherheitspolitik ab. Nachrichtendienste sollen künftig früher im Gefahrenvorfeld tätig werden dürfen, der grundrechtliche Kernbereichsschutz wird eingeschränkt, und selbst unbeteiligte Dritte können stärker in staatliche Aufklärungsmaßnahmen einbezogen werden. In dieses Bild fügt sich die geplante Kooperationspflicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gegenüber dem Bundesnachrichtendienst (BND) ein: Inländische öffentliche Stellen sollen dem BND künftig Informationen einschließlich personenbezogener Daten übermitteln dürfen, sobald tatsächliche Anhaltspunkte für eine Erforderlichkeit zur Auslandsaufklärung vorliegen. Für das BSI ist dabei sogar ausdrücklich eine Verpflichtung vorgesehen.

Besonders kritisch bewertet Prof. Kipker die Begründung des Entwurfs, die erst einige Hundert Seiten später offenlegt, worum es dem BMI eigentlich geht: Die Zeitspanne zwischen interner Bearbeitung einer Schwachstelle, Meldung an Hersteller und Bereitstellung eines Patches soll künftig genutzt werden, um Zero-Days für nachrichtendienstliche Zwecke auszunutzen, im Entwurf nur nüchtern als Schwachstellen „in Wert bringen“ umschrieben. Damit gerät das BSI in einen fundamentalen Widerspruch zu seinem gesetzlichen Auftrag als zentrale Stelle für Informationssicherheit auf nationaler Ebene, denn es soll Informationen über Lücken weiterreichen, deren zügige Schließung eigentlich seine Kernaufgabe wäre. Der Reformentwurf beraubt somit das BSI seiner Glaubwürdigkeit und zerstört seine Vertrauensfunktion als Mittler zwischen Staat und Zivilgesellschaft.

Prof. Kipker warnt deshalb vor den praktischen Folgen für Cybersicherheit in Deutschland: Sicherheitsforschende, Betreiber:innen kritischer Infrastrukturen und NIS2-Verpflichtete könnten sich künftig zweimal überlegen, ob sie entdeckte Schwachstellen noch mit dem BSI teilen, solange unklar bleibt, ob eine gemeldete Lücke rasch geschlossen oder stattdessen für nachrichtendienstliche Operationen offengehalten wird. Damit stehe am Ende nicht mehr, sondern weniger Cybersicherheit für Deutschland auf dem Spiel. Prof. Kipkers Appel: Der Gesetzgeber sollte diesen Konstruktionsfehler im Reformentwurf unbedingt korrigieren, um einen dauerhaften Rückschritt für Cybersicherheit und digitale Souveränität in Deutschland zu vermeiden.

Den vollständigen Kommentar finden Sie hier.

Weitere Meldungen

Jetzt partizipieren

Fördermitglied werden

Mitglied werden – Gemeinsam digitale Sicherheit gestalten Werden Sie Teil eines starken Netzwerks aus Expert:innen, Vordenker:innen und engagierten Organisationen, die sich für eine sichere digitale Zukunft einsetzen.

Bewerbung als Young Talent

Die meisten Ideen scheitern nicht an Talent, sie scheitern an fehlenden Ressourcen. Innovation braucht Raum. Forschung braucht Unterstützung. Kreativität braucht ein Umfeld, in dem sie gedeihen kann. Unser Young Talents-Programm unterstützt durch unser starkes Netzwerke und die gemeinsame Expertise.

Bewerbung als Mitarbeiter:in

Wir forschen, wo andere aufhören – an der Schnittstelle von Innovation, Sicherheit und digitaler Resilienz. Unsere Mission: die Welt von morgen gegen die Bedrohungen von heute schützen. Dafür suchen wir kluge Köpfe mit Neugier, Weitblick und dem Mut, neue Wege zu gehen.
Think visionary.
Act together.
Secure tomorrow.
©2026 cyberintelligence.institute
ImpressumDatenschutz
Tel: +49 69 505034 602
info[at]cyberintelligence.institute