Cybernation Deutschland: Was der BSI-Kongress 2026 zeigt – und warum der Mensch nicht das Problem ist
Rund 7.000 Teilnehmende digital, 150 in Bonn vor Ort, zwei Tage, neun Themenblöcke: Der 21. Deutsche IT-Sicherheitskongress des BSI am 15. und 16. April 2026 stand unter dem Motto „Cybernation Deutschland – gemeinsam, sicher, digital“. Was wie ein Fachevent für Sicherheitsspezialisten klingt, war in Wahrheit eine Bestandsaufnahme, die jede Organisation betrifft – von der Stadtverwaltung bis zum Mittelständler, von der Klinik bis zum Sozialträger.
Politik mit Tempo: NIS-2, Cyberdom und Deutschland-Stack
BSI-Präsidentin Claudia Plattner und Bundesinnenminister Alexander Dobrindt eröffneten den Kongress mit einer bemerkenswerten Botschaft: Das NIS-2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten – und das BSI war zeitgleich umsetzungsfähig. Eine seltene Konstellation in der deutschen Gesetzgebungsgeschichte.
Plattner skizzierte den „Cyberdom“ – eine nationale Sicherheitsinfrastruktur, die automatisierte Angriffserkennung, Analyse und Reaktion für kritische deutsche Infrastruktur bündeln soll. Kein einzelnes Unternehmen, keine einzelne Behörde könne sich heute noch allein gegen die Bedrohungslage wappnen. Cybersicherheit sei kein Oktoberthema, sondern tägliche Hygiene.
Wir wollen Systeme bauen, bei denen wirklich unvermeidliche menschliche Fehler nicht in Katastrophen enden.
Präsidentin Bundesamt für Sicherheit in der Informationstechnik
Am zweiten Tag präsentierte Staatssekretär Dr. Markus Richter (BMDS) den „Deutschland-Stack“: eine föderale Standardarchitektur, die Interoperabilität zwischen Bund, Ländern und Kommunen ermöglichen soll, ohne nationale Souveränität preiszugeben. Zentrale Komponenten statt 11.400 Einzellösungen – so lautet seine Formel. Bemerkenswert: Deutschland setze agentenbasierte KI bereits produktiv in komplexen Verwaltungsverfahren ein und sei dafür in Dubai mit einem E-Government-Award ausgezeichnet worden.
BSI-Vizepräsident Thomas Caspers brachte im Wrap-up ein Zahlenbeispiel, das die Dringlichkeit greifbar machte: Ransomware-Angreifer brauchten früher 180 Tage von der Erstinfektion bis zur Verschlüsselung. Heute sind es wenige Tage. Reine manuelle Incident-Response reicht nicht mehr.
Der Mensch ist nicht das Problem – er ist das Ziel
Die intellektuell stärkste Session kam gleich zu Beginn von Dr. Christian Reinhardt (SoSafe), ergänzt durch Prof. Dr. Martina Angela Sasse (Ruhr-Universität Bochum), David Bothe und Marcus Schaper. Reinhardts These: Das verbreitete Framing des Menschen als „Risikofaktor“ ist nicht nur falsch, sondern kontraproduktiv. Richtiger sei – der Mensch ist das Ziel.
Die Begründung ist neurowissenschaftlich: Cyberkriminelle greifen nicht Wissen an, sondern Emotionen. System 1 (schnell, emotional) überschreibt bei starker Aktivierung System 2 (rational) – temporär, aber zuverlässig. Genau dieses Zeitfenster nutzen Phishing-Angriffe.
95 Prozent der Menschen, die auf simuliertes Phishing hereinfallen, klicken innerhalb der ersten 25 Sekunden. Intelligenz schützt dabei nicht – im Gegenteil: Sie wird gezielt umgangen.
Die Konsequenz ist unbequem für alle, die noch jährliche Pflichtschulungen als Awareness-Strategie verkaufen. Wissen ist ungleich Verhalten – in der Fachsprache: Intention-Behavior-Gap. Klassische E-Learnings adressieren System 2, während Angreifer System 1 ausnutzen. Serious Gaming, Micro-Sessions und kontinuierliche Szenario-Arbeit führen laut Studien zu messbar besseren Verhaltensänderungen als zweistündige Compliance-Vorträge.
Awareness braucht mehr Action. Verhalten entsteht durch Erleben, nicht nur durch Wissen.
Director Human Risk Management, SoSafe
Wer das Muster erkennt, merkt: Dieselbe Logik gilt für jede organisatorische Transformation. Sicherheit ist eine Haltungsfrage, keine Informationsfrage.
Sichere KI: Die Schlüsseltechnologie hat eine Schattenseite
KI war der Elefant im Saal – beidseitig. Luise Kranich, BSI-Abteilungsleiterin für Technologiestrategie, ordnete die Dualität ein: KI ist Schlüsseltechnologie der Digitalisierung und gleichzeitig eine Angriffsfläche, die klassische ISMS-Strukturen nicht vollständig erfassen.
Drei Risikovektoren wurden herausgearbeitet: Prompt Injection bei LLMs (rund 86 Prozent Erfolgsquote in Studien), biometrisches Spoofing durch GANs und synthetische Medien aus Diffusionsmodellen. Liam Radetz (Island Technology) verwies auf eine oft übersehene Baustelle: KI-Funktionen sind längst in Enterprise-Browsern angekommen – nur ohne bewusste Sicherheitsentscheidung der Organisationen.
Carmen Dencker und Alexander Fischer (Bundesdruckerei) lieferten einen Gegenentwurf: Small Language Models (SLMs), lokal deploybar, auditierbar, ressourceneffizient. Nicht jede Anwendung braucht ein Mega-Modell aus der Cloud. Andreas Papadaniil (suresecure) adressierte die Gegenfrage: Mehr KI im SOC – Wirksamkeit oder Komplexität? Antwort: beides. KI entlastet, erfordert aber neue Governance.
Eine KI-Browser-Richtlinie ist 2026 kein Nice-to-have. Mitarbeitende nutzen KI-Funktionen längst – die Frage ist nur, ob unter Kontrolle oder als Schatten-IT. Dasselbe gilt für lokale vs. Cloud-Modelle: Für viele interne Anwendungen sind SLMs die bessere Wahl.
Quantum und Confidential Computing: Die Uhr tickt
Dr. Günther Welsch (BSI) eröffnete die technisch dichteste Session mit einer fundamentalen Diagnose: Das klassische Vertrauensmodell der IT-Sicherheit – Vertrauen durch Perimeter, Vertrauen in Betreiber – trägt nicht mehr. Vertrauen müsse durch technisch überprüfbare Sicherheit ersetzt werden.
Zwei Technologien adressieren das auf komplementäre Weise: Post-Quanten-Kryptografie (PQK) sichert Kommunikation gegen zukünftige Quantenangriffe; Confidential Computing schützt Daten auch vor dem Infrastruktur-Betreiber selbst. Das BSI hat beide in den C5-Katalog 2026 aufgenommen.
Bei PQK wird es konkret: Die RSA-Nutzung endet in Deutschland am 31. Dezember 2031. International gleichen sich die Zeitpläne an (USA: 2033, Australien: 2030, UK/Kanada: 2031/2035). Die eigentliche Bedrohung ist aber schon heute real – „Store Now, Decrypt Later“: Angreifer sammeln heute verschlüsselte Daten, um sie in fünf bis fünfzehn Jahren zu entschlüsseln. Für Daten mit langen Vertraulichkeitsanforderungen (Patientenakten, Vertragsdaten, Staatsgeheimnisse) ist das eine Gegenwartsfrage.
Wenn man nicht früh genug anfängt, habe ich eventuell zwei Transitionen, die ich machen muss.
Abschlusspodium Tag 1
Die pragmatische Antwort: Kryptoagilität als Architekturprinzip – Algorithmen müssen austauschbar sein, ohne die Infrastruktur neu zu bauen. Hybride Übergangsstrategien (klassisch + PQK) sind für die nächsten Jahre Standard.
Regulatorische Welle: NIS-2, CRA und DSGVO in der Praxis
Rund 30.000 deutsche Unternehmen sind von NIS-2 direkt betroffen. Die Meldepflichten sind scharf: 24 Stunden für die Erstmeldung, 72 Stunden für den Detailbericht, persönliche Haftung für Geschäftsführung und Vorstand. Registrierungsfrist war der 6. März 2026 – nur rund 40 Prozent hatten sich bis dahin registriert.
Eine Studie der TU München (Younes Ahmadzei) zeigte die unangenehme Wahrheit: 91 Prozent der befragten KMU halten sich für gut auf Cyberangriffe vorbereitet. Tatsächliche Audits ergaben: Nur 55 Prozent erfüllen grundlegende Anforderungen. 83 Prozent berichten unzureichende Zeit und Personalkapazität, 50 Prozent sollen NIS-2 ohne zusätzliches Budget umsetzen.
Nicht hochkomplexe Staatsakteure sind das Hauptproblem. Banale Fehler – schwache Passwörter, ungepatchte Systeme, keine Segmentierung – führen in der Mehrzahl der erfolgreichen Angriffe zum Ziel. Die Selbsteinschätzung „Mir wird schon nichts passieren, ich bin zu klein“ ist statistisch betrachtet gefährlich.
Dr. Derya Catakli (BSI) und Serap Bilgin (FernUni Hagen) lieferten den analytischen Rahmen: IT-Sicherheitsrecht wirkt in drei Dimensionen – Schutz der IT (NIS-2), Schutz vor IT (DSGVO), Schutz durch IT (CRA). Wer Synchronisationspunkte zwischen diesen Regimen einzieht, spart erheblichen Bürokratieaufwand.
Beim Cyber Resilience Act wird es ab 11. September 2026 ernst: Eine einheitliche EU-Meldeplattform startet, SBOMs (Software Bill of Materials) werden zur Hersteller-Pflicht. Leoni Tischer (Bitsea) stellte das Open-Source-Tool Octet vor – gedacht, damit auch KMU CRA-Compliance ohne teure Beraterpakete hinbekommen. Ivan Volkov und Sebastian Heitz (netsharqs) zeigten, wie Infrastructure as Code (IaC) Audits reproduzierbar und Wiederherstellung automatisierbar macht.
EUDI-Wallet: Fundament der Digitalisierung
Dr. Uwe Kraus (BSI) brachte die strategische Einordnung in einen Satz: „Digitale Identitäten sind das Fundament der Digitalisierung.“ Die EU verpflichtet alle Mitgliedstaaten, bis Anfang 2027 eine elektronische Wallet bereitzustellen. Deutschland startet auf Basis der eID-Erfahrungen – mit dem ehrlichen Eingeständnis, dass Standardsetzung und Implementierung parallel laufen.
Wir bauen eigentlich das Haus, aber der Architektenplan ist noch gar nicht fertiggestellt und wird on the fly entwickelt.
Bundesamt für Sicherheit in der Informationstechnik
Das Panel mit Vertretern von EU-Kommission, Bundesnetzagentur, Bosch, Deutscher Bahn und Governikus machte deutlich: Die eigentliche Weichenstellung steht beim Business-Wallet an – der Erweiterung für Organisationen. Hier wurden die Lehren aus EUDI formuliert: erst Standards, dann Implementierung; pluralistische Lösungen statt Monopol; niederschwellige Notifikations-Governance für KMU statt Zertifizierungspflicht; Zero-Knowledge-Proofs als Datenschutz-Grundmechanik.
Lieferkette und Resilienz: Sicherheit ist Gemeinschaftsaufgabe
Jens Cordt (BSI) brachte den Befund auf den Punkt: IT-Sicherheit in Lieferketten ist keine interne Aufgabe, sondern systemisch. Das NPM-Paketregister hat über elf Millionen Entwicklerinnen und Entwickler – ein kompromittiertes Paket weit oben in der Abhängigkeitshierarchie infiziert Tausende Produkte, bevor es entdeckt wird. Der CrowdStrike-Vorfall 2024 hat das sichtbar gemacht.
Stefan Walenda (Greenbone) lieferte die Dimension: 30.000 neue CVEs im Jahr 2023, 40.000 in 2024, Prognose 50.000 in 2025 – rund 130 pro Tag. Manuelle Schwachstellenverwaltung ist unmöglich. Die Antwort sind maschinenlesbare Standards: SBOM als Inventarliste, CSAF (Common Security Advisory Framework) als strukturiertes Meldeformat. Zusammen ermöglichen sie automatisiertes Matching zwischen neuer Schwachstelle und eigenem Systemlandschaft.
Cassian Ewert (Claroty) warnte vor einer unterschätzten Angriffsfläche: Gebäudemanagementsysteme. Klimatechnik, Zutrittskontrolle, Brandschutz – auf Legacy-Protokollen, oft von insolventen Herstellern, aber seit der Pandemie remote erreichbar. Die pragmatische Antwort: Nur 2 bis 7 Prozent aller bekannten Schwachstellen werden real ausgenutzt. Kontextbasiertes Risikomanagement schlägt blindes Patchen.
Auf der Resilienz-Seite zeigten Rebecca Fischer (BSI) und Celine Salewsky (Stadt Osnabrück) das bislang umfangreichste kommunale Business-Continuity-Management-System nach BSI-Standard 200-4 in Deutschland. Die Oberbürgermeisterin forderte explizit: Das Wissen muss im Haus verankert werden, nicht in einem Dauerberatungsvertrag.
Jeder Fachbereich erstellt ein eigenes kleines Notfallhandbuch: Welche Leistungen müssen im Krisenfall erbracht werden? Wie viel Personal braucht es? Welche IT-Systeme sind unverzichtbar? Dieses Vorgehen ist niederschwellig – und funktioniert, weil es die Fachleute selbst einbindet, nicht externe Berater.
Der rote Faden: Sicherheit ist kein Projekt, sondern eine Praxis
Neun Themenblöcke, unterschiedliche Disziplinen – und doch ein gemeinsames Muster. Ob Psychologie, KI-Governance, Post-Quanten-Kryptografie, NIS-2 oder Business Continuity: Keine dieser Herausforderungen lässt sich mit einem Einmal-Projekt lösen. Alle verlangen kontinuierliche organisationale Praxis.
Das deckt sich mit dem, was wir bei whitespring in Digitalisierungsprojekten seit Jahren beobachten: Die Technik ist selten das Problem. Das Problem ist die Fähigkeit einer Organisation, über Jahre an etwas dranzubleiben, das im Tagesgeschäft nicht sichtbar wird, bis es zu spät ist. Sicherheit verhält sich wie Prävention in der Medizin – ihr Erfolg ist unsichtbar.
Bemerkenswert war, wie konsequent das BSI diesmal auf Partnerschaft statt Aufsicht setzte. Claudia Plattner formulierte es klar: Das BSI beginnt NIS-2 nicht mit Bußgeldern bei unvollkommener Umsetzung. Wer nachweislichen Fortschritt zeigt, wird unterstützt. Dieses Signal ist für Organisationen wichtiger, als es klingt – gerade im Mittelstand, wo die Angst vor Regulierung oft größer ist als die vor Angriffen.
Was bleibt
Der BSI-Kongress 2026 hat in zwei Tagen klargemacht, was man im Jahresrückblick 2027 vermutlich als Wendepunkt beschreiben wird: Cybersicherheit ist 2026 endgültig vom Spezialthema zur Querschnittsaufgabe geworden. Wer sie weiter als IT-Budgetposten behandelt, wird von Realität (Angriffe), Recht (NIS-2, CRA) und Markt (Lieferkettentransparenz) gleichzeitig eingeholt.
Drei Dinge bleiben besonders hängen:
Erstens: Die regulatorische Wende ist vollzogen. NIS-2, CRA und DSGVO greifen ineinander – und bringen persönliche Haftung ins Spiel. Wer Compliance nur als Dokumentationsübung versteht, verfehlt den Punkt.
Zweitens: Der Mensch ist kein Risiko, er ist das Ziel. Das verändert, wie Awareness gestaltet werden muss – weg von Pflichtschulungen, hin zu erlebnisbasierten, kontinuierlichen Formaten. Dieselbe Logik gilt für jede Transformation, nicht nur für Sicherheit.
Drittens: Kryptoagilität und Resilienz sind Gegenwartsthemen. Wer heute kein Kryptografie-Inventar hat, kein BCMS, keine Lieferkettentransparenz, ist für das nächste Jahrzehnt nicht gerüstet. Die Uhr läuft – bei PQK konkret bis zum 31. Dezember 2031.
- NIS-2 ist seit 6. Dezember 2025 in Kraft; rund 30.000 Unternehmen sind direkt betroffen, inklusive persönlicher Haftung der Geschäftsführung.
- 95 Prozent der Phishing-Klicks erfolgen in den ersten 25 Sekunden – Awareness braucht Erlebnis, nicht Pflichtvortrag.
- Die RSA-Ablösung in Deutschland endet am 31. Dezember 2031. Kryptoagilität wird zum Architekturprinzip.
- Der CRA startet ab 11. September 2026 mit einheitlicher EU-Meldeplattform und SBOM-Pflicht.
- Die EUDI-Wallet kommt 2027; das Business-Wallet ist die nächste große Weichenstellung für Unternehmen und Organisationen.
- Resilienz ist Organisationsentwicklung: BCMS nach BSI 200-4 funktioniert nur, wenn das Wissen intern verankert ist.
Der 21. Deutsche IT-Sicherheitskongress fand am 15. und 16. April 2026 in Bonn statt, veranstaltet vom Bundesamt für Sicherheit in der Informationstechnik. Der Kongress richtet sich an Verwaltung, Wirtschaft, Wissenschaft und Zivilgesellschaft gleichermaßen.