Autor, Sprecher und Episodenbild
Thorsten Siefert
Technik und Gestaltung
Thorsten Siefert
Es gilt das gesprochene Wort
Der Bundesnachrichtendienst steht vor einer mรถglichen Zeitenwende. Die Bundesregierung diskutiert eine Reform, die den Dienst deutlich operativer machen wรผrde.
Es geht nicht mehr nur um Auswertung und Lagebilder.
Es geht um Sabotage, um Hacking, um Eingriffe in technische Systeme und um die Frage, wie weit ein demokratischer Staat im Geheimen gehen darf.
Genau darรผber sollten wir jetzt sehr nรผchtern sprechen.
Bisher ist der Grundgedanke klar. Der BND ist der Auslandsnachrichtendienst Deutschlands. Er soll Informationen von auรen- und sicherheitspolitischer Bedeutung sammeln und auswerten. Er soll gerade nicht selbst polizeilich handeln. Dieses Trennungsgebot zwischen Nachrichtendienst und Polizei ist in Deutschland kein technisches Detail, sondern eine historische Lehre. Es soll verhindern, dass sich heimliche Aufklรคrung und exekutive Eingriffsmacht in einer Hand bรผndeln.
Neu an der Reform wรคre deshalb nicht, dass der BND schon heute verdeckt arbeitet. Das tut er natรผrlich. Neu wรคre, dass er in bestimmten Lagen zusรคtzliche operative Befugnisse bekommen soll.
Nach den bisher bekannt gewordenen Entwรผrfen geht es um weitergehende Internetรผberwachung, KI-gestรผtzte Auswertung, Gesichtserkennung, Hacking, aktive Cyberabwehr, das Eindringen in Wohnungen zum Einbau von Spionagetechnik und um Sabotage, etwa an gegnerischer Infrastruktur oder an Waffenteilen. Diese Befugnisse sollen an eine sogenannte nachrichtendienstliche Sonderlage gebunden sein, die politisch festgestellt werden mรผsste.
Befรผrworter sagen: Deutschland holt damit nur nach, was andere Partner lรคngst kรถnnen. Der BND solle auf das Niveau relevanter europรคischer Dienste gebracht werden. Auรerdem wolle das Kanzleramt die Abhรคngigkeit von US-Diensten verringern. Das ist sicherheitspolitisch nachvollziehbar. Aber aus dieser Diagnose folgt noch nicht automatisch, dass jede zusรคtzliche Befugnis auch klug ist.
Die Debatte bekam zusรคtzlichen Schub, als BND-Prรคsident Martin Jรคger auf der Mรผnchner Sicherheitskonferenz erklรคrte, Deutschland solle hybride Angriffe Russlands nicht nur beobachten und dokumentieren, sondern so beantworten, dass die Gegenseite Konsequenzen spรผrt. Er sagte auch, der Dienst mรผsse operativer werden. Das ist eine bemerkenswerte Verschiebung. Denn aus Abschreckung wird dann schnell eine Logik des einfach Mitmachens. Und genau da beginnt mein Zweifel.
Mein Einwand ist gar nicht zuerst moralisch. Er ist praktisch. Mehr Befugnisse bringen wenig, wenn es an Personal, Technik und wirksamer Kontrolle fehlt. Der BND hat zwar bereits รผber 6.000 Beschรคftigte. Zugleich sucht er sichtbar in Feldern wie IT, Mathematik, Sprachen und offenen Quellen. Wer operative Cyberfรคhigkeiten, Datenanalyse und menschliche Quellenfรผhrung ausbauen will, braucht nicht nur neue Paragrafen. Er braucht jahrelang aufgebaute Fรคhigkeiten, belastbare Ausbildung und genug Leute, die diesen Job wirklich kรถnnen.
Dagegen lรคsst sich ein ernstes Argument anfรผhren. Peter R. Neumann, Professor of Security Studies am Kingโs College London, betont รถffentlich, deutsche Geheimdienste gehรถrten zu den am engmaschigsten kontrollierten der Welt. Das sollte man nicht leichtfertig abtun. Deutschland hat tatsรคchlich mehrere Kontrollinstanzen, darunter das Parlamentarische Kontrollgremium, die G10-Kommission, den Unabhรคngigen Kontrollrat, Gerichte, Rechnungshof und bisher auch die Datenschutzaufsicht.
Und trotzdem bleibt ein Problem. Kritiker wie Niko Hรคrting warnen, der BND bewege sich vom Nachrichtendienst hin zu einer Sicherheitsbehรถrde mit weitgehenden Eingriffsbefugnissen. In seinem Podcast mit Stefan Brink wird ausdrรผcklich die Abkehr vom Trennungsgebot kritisiert und auch der Vorschlag, die Kontrollfunktion der Bundesdatenschutzbeauftragten zurรผckzudrรคngen.
Diese Sorge ist nicht aus der Luft gegriffen. Anfang Mรคrz 2026 hat das Bundesverwaltungsgericht die Klage der BfDI gegen den BND auf Einsicht in Prรคsidentenanordnungen zu CNE-Maรnahmen als unzulรคssig verworfen. Das Gericht hat also gerade nicht mehr Kontrolle geschaffen, sondern einen Konflikt รผber Kontrollrechte offen sichtbar gemacht.
Deshalb lautet die eigentliche Frage fรผr mich nicht: Dรผrfen wir hรคrter werden? Die wichtigere Frage lautet: Werden wir dadurch sicherer, ohne selbst verwundbarer zu werden?
Wenn der BND kรผnftig nicht nur aufklรคrt, sondern aktiv stรถrt, sabotiert und zurรผckschlรคgt, dann verรคndert sich die Institution grundlegend.
Dann verรคndert sich auch das Verhรคltnis von Geheimhaltung, Kontrolle und politischer Verantwortung. Und in Deutschland sollte man bei genau dieser Verschiebung besonders vorsichtig sein.
Hinzu kommt noch ein zweites Problem, รผber das in diesem Land viel zu selten gesprochen wird: Unsere digitale Verwundbarkeit entsteht nicht nur durch feindliche Staaten oder Hacker von auรen. Sie entsteht durch digitale Lieferketten. In diesem Fall unzรคhlige kleine Software-Bausteine, auf die wir uns im Alltag verlassen, die irgendwo auf der Welt von anderen bereitgestellt werden.
Beispiel NPM. Dies ist vereinfacht gesagt eine riesige Online-Bibliothek fรผr solche Bausteine. Entwickler laden sich dort fertige Teile herunter, damit sie nicht alles selbst programmieren mรผssen.
Axios ist so ein fertiges Teil. Es hilft Programmen dabei, Daten aus dem Internet zu laden oder an Server zu senden. Es ist also kein Nischenprodukt, sondern ein Werkzeug, das in sehr vielen Webseiten, Apps und internen Programmen steckt.
Genau das macht so einen Fall so gefรคhrlich. Wenn ein weit verbreiteter Baustein heimlich manipuliert wird, dann holen sich unter Umstรคnden sehr viele andere Programme diesen Fehler gleich mit ins Haus. In diesem Fall war zeitweise eine verรคnderte Version von Axios im Umlauf. Wer sie in diesem Zeitraum eingebaut hat, konnte sich unbemerkt Schadcode auf den Rechner holen.
Schadcode bedeutet ganz einfach: fremder, schรคdlicher Code lรคuft auf dem eigenen Computer, obwohl man das gar nicht will. So etwas kann Passwรถrter ausspรคhen, Dateien kopieren, weitere Schadprogramme nachladen oder Angreifern eine Art Hintertรผr รถffnen. Der Rechner arbeitet dann nicht mehr nur fรผr seinen Besitzer, sondern im Zweifel auch fรผr den Angreifer.
Fรผr Privatleute kann das bedeuten, dass Zugangsdaten, private Nachrichten oder Bankinformationen abgegriffen werden. Doof.
Fรผr Firmen kann es noch gravierender sein. Dann geht es um Kundendaten, Geschรคftsgeheimnisse, Produktionsablรคufe oder den Zugriff auf ganze interne Netze. Richtig doof.
Und bei Verwaltungen steht im schlimmsten Fall noch mehr auf dem Spiel, nรคmlich sensible Bรผrgerdaten, die Funktionsfรคhigkeit staatlicher IT und letztendlich unser aller Sicherheit. Katastrophal!
Der Punkt ist also: Nicht nur ein direkter Angriff von auรen ist gefรคhrlich. Gefรคhrlich ist auch, wenn wir รผber digitale Lieferketten angreifbar werden. Wenn schon ein kleiner Baustein in einer weit verbreiteten Software so viele andere mitreiรen kann, dann zeigt das, wie verletzlich unsere digitale Infrastruktur inzwischen geworden ist.
Das Entscheidende daran ist nicht nur der technische Ablauf. Entscheidend ist die politische Lehre:
Axios ist keine obskure Bastelbibliothek von Nerds.
Es ist ein Grundbaustein moderner Webentwicklung mit zig Millionen Downloads pro Woche.
Selbst GitHub, eine zentrale Plattform, auf der sehr viele Entwickler weltweit Software verwalten und austauschen, warnte: Wer die betroffene Bibliothek in diesem Zeitraum ganz normal aus dem Netz in sein Projekt รผbernommen hat, konnte sich dabei unbemerkt Schadcode auf den Rechner holen.
Wenn so ein Paket kompromittiert wird, dann trifft das nicht nur einzelne Entwickler.
Dann trifft es Build-Pipelines,
Unternehmen,
Behรถrden
und am Ende die digitale Infrastruktur selbst.
Und genau hier berรผhren sich die Themen BND-Reform und Lieferketten fรผr Softwareprodukte.
Wenn wir auf hybride Angriffe vor allem mit mehr offensiven Fรคhigkeiten antworten, geraten wir in dieselbe Spirale wie alle anderen.
Dann suchen auch wir nach Zero Days um Schadsoftware verbreiten zu kรถnnen.
Dann wird jedes fremde System zur potenziellen Waffe.
Dann wรคchst der Druck auf genau die offenen รkosysteme, von denen wir selbst tรคglich abhรคngen.
Nein, die Lehre aus Axios sollte daher nicht sein, Open Source sei das Problem. Die Lehre ist: Wer digitale Souverรคnitรคt will, muss die Lieferkette hรคrten, Entwickler besser schรผtzen, Abhรคngigkeiten prรผfen, Reproduzierbarkeit fรถrdern und in robuste europรคische Software-รkosysteme investieren.
Darum wรคre mein Schluss ein anderer als der Ruf nach dem hรคrteren Geheimdienst.
Ja, Deutschland muss sich gegen hybride Angriffe wehren kรถnnen.
Ja, ein Auslandsdienst darf nicht blind und zahnlos sein. Aber Sicherheit entsteht nicht nur durch die Fรคhigkeit zum Gegenschlag. Sie entsteht auch durch Resilienz, durch Kontrolle und durch die Entscheidung, nicht jede Logik des Gegners zu รผbernehmen.
Der Auslandsgeheimdienst der Bundesrepublik sollte nicht einfach nur werden wie alle anderen.
Nein, die Bundesrepublik sollte zeigen, dass ein demokratischer Staat sich verteidigen kann, ohne seine eigenen Grenzen zu verlernen.