In Stuttgart, auf der KOMI-Zukunftswerkstatt, fällt ein Satz, der wie ein Sicherheitslagebild in einem Halbsatz klingt: Früher habe man „mit den Einsen und Nullen“ politisch wenig anfangen können – heute bestimmt die Binärwelt, ob Krankenhäuser arbeiten, Fabriken ausliefern, Stadtwerke heizen. Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrats Deutschland e.V., spricht im Smarter-Service-Interview mit Bernhard Steimel nicht über Technik, sondern über Herrschaft: über Kontrolle, Abhängigkeit und die Frage, wer im Ernstfall handlungsfähig bleibt. Cybersicherheit wird damit zu dem, was sie längst ist – eine Kernmaterie der Sicherheits- und Ordnungspolitik, nur ohne klar gezogene Ressortgrenzen.
Dünns Rückblick auf die Gründungszeit des Vereins (2012) ist weniger Nostalgie als Diagnose: Das Problem war nicht fehlendes Know-how, sondern fehlende Relevanzzuschreibung. Sicherheit wurde – wie so oft – erst dann Thema, wenn etwas „passiert ist“. Inzwischen „sehen wir tagtäglich, dass wir verwundbar sind“, und zwar nicht nur in militärischen Konflikten, sondern im zivilen Alltag: Produktion, Energie, Gesundheit, Mittelstand. Diese Aufzählung wirkt banal, bis man den ökonomischen Takt der Verwundbarkeit versteht: Dünn verweist auf die Liquiditätslogik kleiner und mittlerer Unternehmen – nach wenigen Tagen Stillstand drohen Engpässe, dann wird aus dem Cybervorfall ein Existenzrisiko. Die digitale Verwundbarkeit ist damit nicht mehr nur ein Risiko im Betrieb, sondern ein Risiko für den Betrieb.
Berlin: viel Gesetz, viel Symbolik, viel Erwartungsmanagement
Berlin reagiert – endlich – mit der Wucht der Normsetzung. Das NIS-2-Umsetzungsgesetz ist im Bundesgesetzblatt verkündet. Parallel wird der Schutz Kritischer Infrastrukturen als Resilienzfrage neu vermessen: Der Bundestag hat Ende Januar 2026 das KRITIS-Dachgesetz (Umsetzung der EU-Richtlinie 2022/2557) beschlossen. Wer die deutsche Sicherheitspolitik kennt, erkennt das Muster: Erst wird ein Problem als „gesamtstaatlich“ beschrieben, dann wird es „gesetzlich“ geordnet, schließlich hofft man, dass Ordnung schon Wirkung erzeugt.
Dünn hält dagegen: Regulatorik sei „ganz nett“, aber kompliziert – und sie verführt zum gefährlichsten Reflex der Verwaltungsrepublik: Zuständigkeit mit Schutz zu verwechseln. Wer glaubt, man rufe nach einem Angriff „die Behörden wie bei einem Fahrraddiebstahl“, werde enttäuscht. Das ist nicht Behörden-Bashing, sondern Hinweis auf ein asymmetrisches Setting: Angreifer skalieren mit geringem Aufwand, Verteidiger benötigen Ressourcen, Zuständigkeiten, Forensik, Verfahren – und Zeit. Selbst dort, wo Cyber-Kompetenz konzentriert ist, hängt die Praxis in der Fläche: bei Polizeidienststellen, Schwerpunktstaatsanwaltschaften, bei der Frage „wo gehe ich hin?“ – und was dann realistisch passiert.
Gleichzeitig setzt Berlin auf sichtbare Projekte, die politisch nach Schutzglocke klingen: die Kooperation mit Israel und der Aufbau eines „Cyber Dome“ werden als Antwort auf hybride Bedrohungen ins Schaufenster gestellt. Wer hier nur Marketing wittert, unterschätzt den politischen Zweck solcher Vorhaben: Sie signalisieren Ernsthaftigkeit – und sie schaffen Kooperationskanäle, die im Krisenfall schneller tragen als jeder neu geschaffene Paragraf. Aber Symbolik ist nur dann strategisch klug, wenn sie in operative Fähigkeit übersetzt wird: gemeinsame Übungen, Lageaustausch, Frühwarnung, Incident Response. Dass es dazu kommen soll, ist erkennbar – zuletzt wurde eine gemeinsame Abwehrübung als erster konkreter Schritt aus dem Pakt kommuniziert.
Und noch ein Berliner Großthema schiebt sich in Dünns Argumentation: die Reform-Debatte um Nachrichtendienste und ihre Befugnisse. Reuters berichtet Anfang Februar 2026 über Pläne, die Fähigkeiten der Dienste angesichts hybrider Bedrohungen auszubauen – bis hin zu operativen Eingriffsmöglichkeiten; zugleich bleibt der Konflikt zwischen Wirksamkeit und rechtsstaatlicher Kontrolle scharf. Dünn formuliert das in der Sprache der Abhängigkeit: Ohne „Five Eyes“ fehle oft die entscheidende Information. Digitale Souveränität ist dann nicht zuerst Cloud-Politik, sondern Erkenntnisfähigkeit – wer nicht sieht, kann nicht schützen.
Die Praxis: Resilienz ist keine Kampagne, sondern Architektur
Wenn Berlin die Bühne ist, dann ist die Praxis der Maschinenraum. Dünns zentrale Forderung zielt auf eine Kulturverschiebung: Betreiber müssen Systeme „selber härten“, sie müssen investieren – wie beim Brandschutz, wie beim Airbag. Der Vergleich ist bewusst: Brandschutz ist nicht beliebt, aber er ist internalisiert; er ist Bestandteil der Bauordnung und des Verantwortungsgefühls. Cyberschutz dagegen wird noch zu oft als IT-Thema delegiert. Dünn insistiert auf der eigentlichen Haftungs- und Verantwortungsordnung: Nicht „der ITler“ trägt die Letztverantwortung, sondern die Geschäftsführung. Das ist der Punkt, an dem Cybersicherheit aus dem Maschinenraum in den Vorstand gehört – nicht als PowerPoint, sondern als Risiko- und Fortbestandsfrage.
Resilienz bedeutet bei Dünn vor allem: weg von der fragilen Zentralität. Er spricht von Dezentralisierung – Rechenzentren verteilen, Energieversorgung in „Inseln“ denken, Ketteneffekte brechen. Das ist sicherheitspolitisch bemerkenswert, weil es an ein altes Prinzip erinnert: Redundanz statt Optimierung. Die Effizienzlogik der letzten Jahrzehnte – „lean“, „just in time“, „single point of failure“ in der Lieferkette, „single provider“ in der Cloud – kollidiert mit der Logik der Widerstandsfähigkeit. Resilienz kostet, weil sie Überkapazität, Diversität und Übung verlangt.
Was heißt das konkret, jenseits der wohlfeilen Formel „Resilienz und Resilienz“?
Erstens: Sicherheitsmanagement als Betriebsdisziplin.
Nicht „Compliance“, sondern Handlungsfähigkeit: Asset-Inventar, klare Abhängigkeiten (auch von Dienstleistern), definierte Wiederanlaufpläne, geübte Krisenstäbe. Backups sind erst Backups, wenn der Restore unter Zeitdruck funktioniert. OT-Netze sind erst getrennt, wenn die Trennung in der Realität hält – inklusive der berüchtigten „Spillover-Effekte“, die man vorher gern wegdefiniert.
Zweitens: Mittelstandsfähige Verteidigung.
NIS-2 und KRITIS-Regeln erweitern den Adressatenkreis – aber Regulierung ohne Befähigung produziert Papier-Sicherheit. Wenn man ernst meint, dass der Mittelstand „Rückgrat“ ist, braucht er niedrigschwellige Unterstützung: sektorale Austauschformate, praxistaugliche Baselines, förderfähige Managed-Security-Angebote, und vor allem: Beratung, die nicht in Audit-Sprache spricht. Sonst wird „Souveränität“ zur Zumutung.
Drittens: Staatliche Fähigkeit dort stärken, wo der Markt nicht liefert.
Dazu gehören Forensik-Kapazitäten, Ermittlungs- und Strafverfolgungsfähigkeit, schnellere Verfahren für internationale Rechtshilfe, aber auch Lagezentren, die nicht nur warnen, sondern koordinieren. Dünns Hinweis auf die Überlastung und Unterausstattung in der Fläche ist hier der wunde Punkt: Ein Staat kann Verantwortlichkeit nicht einfordern, wenn seine eigenen Reaktionsketten erkennbar nicht tragen.
Viertens: Security by Design als Beschaffungs- und Entwicklungsprinzip.
Dünns Bild ist nachrichtenstark, weil es so undeutsch wirkt: „schnelle Autos“ ohne „Bremsen“. Gemeint ist: Digitalisierungspolitik, die neue Software ausrollt, ohne Sicherheitsarchitektur mitzudenken, baut Schulden in die Zukunft ein. Das ist keine technische, sondern eine governance-politische Frage: Wer beschafft wie? Welche Mindeststandards gelten? Welche Lieferketten sind vertrauenswürdig? Wer trägt das Risiko, wenn „billig“ später „teuer“ wird?
Digitale Souveränität: weniger Autarkie, mehr Entscheidungsmacht
Die deutsche Debatte über digitale Souveränität neigt zum Missverständnis: Souveränität wird mit Autarkie verwechselt. Dünn beschreibt sie nüchterner als „Kontrolle“ über eigene Systeme – also als Entscheidungsmacht im Normal- und Krisenbetrieb. Das führt in ein unbequemes Feld: Abhängigkeiten von Plattformen, von Cloud-Hyperscalern, von Update-Zyklen, von Sicherheitsinformationen aus Partnerdiensten. Der entscheidende Satz ist deshalb nicht technisch, sondern strategisch: „Deutschland ist ohne Europa nichts.“ Wer den Cyberraum ernst nimmt, muss europäisch orchestrieren – weil Angriffe grenzenlos sind, weil Attribution schwierig ist, weil Abwehrfähigkeiten skaliert werden müssen.
Das erklärt auch, warum Dünn die Trennung zwischen innerer und äußerer Sicherheit als Problem markiert: Hybride Bedrohungen ignorieren deutsche Zuständigkeitsgeometrie. Der Berliner Reflex, neue Einheiten zu gründen, ist verständlich – aber Dünn spricht von „disruptiv“ neu bauen, nicht von „alte Straßen“ neu asphaltieren. In FAZ-Sprache: Die Republik versucht, mit Verwaltungsmodernisierung an Symptomen zu kurieren, während die Systemarchitektur aus dem letzten Jahrhundert stammt.
Das politische Paradox: Der Wille ist da – aber er muss sich messen lassen
Zum Ende des Interviews wird Dünn fast optimistisch: Politik habe erkannt, dass Bedrohung real ist; man denke „komplex, holistisch“ – nicht nur in Panzerzahlen, sondern in gesellschaftlicher Funktionsfähigkeit. Das ist tatsächlich ein Fortschritt: Resilienz ist ein Gegenentwurf zur Event-Politik. Nur: Erkenntnis ist noch keine Fähigkeit. Und Fähigkeit entsteht nicht durch Bekanntmachung, sondern durch Investition in Architektur, Personal, Übung, Redundanz – und durch die Bereitschaft, unbequeme Reformen anzugehen, die an Grundrechten, Föderalismus und Zuständigkeiten rühren.
Wenn man aus Stuttgart eine sicherheitspolitische Quintessenz nach Berlin mitnehmen will, dann diese: Cybersicherheit ist keine Branche und kein Projekt, sondern eine Bedingung staatlicher und wirtschaftlicher Souveränität. Wer sie als IT-Frage behandelt, bekommt IT-Antworten – und scheitert an der Wirklichkeit. Wer sie als Sicherheitsfrage behandelt, muss liefern: in Gesetzen, ja. Aber vor allem in der Praxis, dort, wo der Strom fließt, die Produktion läuft – und wo „die Frage nicht ob, sondern wann“ keine rhetorische Figur ist, sondern ein Betriebszustand.
