Nationale Resilienz als erste Verteidigungslinie

Sicherheit beginnt nicht an der Grenze

Das Wort Resilienz wird in Deutschland häufig verwendet, aber selten präzise definiert. Die Deutsche Resilienzstrategie beschreibt Resilienz als Fähigkeit von Staat und Gesellschaft, Gefährdungen frühzeitig zu erkennen, ihnen zu widerstehen, Schocks zu absorbieren, sich anzupassen und sich schnell zu erholen - bei gleichzeitiger Aufrechterhaltung wesentlicher Funktionen. Das umfasst die Fähigkeit, unter Druck weiter zu regieren, Dienstleistungen zu erbringen, effektiv zu kommunizieren und öffentliches Vertrauen zu erhalten. Resilienz ist damit eine operative Sicherheitsfähigkeit, keine rhetorische Floskel.

Dieses Verständnis hat einen klaren NATO‑Bezug. Während Artikel 5 des Nordatlantikvertrags die kollektive Beistandspflicht regelt, verpflichtet Artikel 3 jeden Alliierten dazu, seine eigene Widerstandsfähigkeit aufrechtzuerhalten und zu stärken - durch robuste Institutionen, funktionierende Infrastruktur, Kontinuität staatlicher Entscheidungsfähigkeit und zivile Vorsorge. NATO betont explizit, dass kollektive Verteidigung nur glaubwürdig ist, wenn jedes Mitgliedland über ausreichende nationale Resilienz verfügt. Für Deutschland bedeutet das: Resilienz ist nicht fakultativ, sie ist Bündnisverpflichtung und sicherheitspolitische Kernaufgabe.

Kommunale KRITIS als Angriffsziel und Verteidigungslinie

Nationale Resilienz materialisiert sich dort, wo der Staat im Alltag sichtbar ist: in Städten, Landkreisen und Gemeinden. Kommunale und regionale Versorgungsstrukturen sichern Wasserversorgung, Energie, Abwasser, öffentlichen Nahverkehr, Gesundheitsversorgung, kommunale Verwaltung, IT‑Infrastruktur und Krisenkommunikation. Das sind keine technischen Details, sondern die Systeme, von denen eine Gesellschaft unter Stress abhängt. Wenn diese Systeme ausfallen oder nur noch eingeschränkt funktionieren, erlebt die Bevölkerung nicht „eine abstrakte Krise“, sondern einen unmittelbaren Verlust von Sicherheit und Handlungsfähigkeit. Genau deshalb ist die kommunale Ebene faktisch der Ort, an dem sich nationale Resilienz bewährt oder scheitert.

Für hybride Akteure sind kommunale Strukturen kritischer Infrastrukturen aus mehreren Gründen attraktive Ziele. Sie sind politisch sichtbar und medial unmittelbar greifbar; jede Störung wird schnell zum lokalen und regionalen Aufregerthema. Sie sind funktional kritisch; ihr Ausfall trifft die Bevölkerung direkt - beim Wasserhahn, im Krankenhaus, an der Bushaltestelle, im Bürgeramt. Und sie verfügen typischerweise über geringere Redundanzen, weniger spezialisierte Sicherheitsstrukturen und begrenztere Budgets als Bundes‑ oder Landesbehörden. Die strategische Wirkung hybrider Angriffe liegt nicht primär in physischer Zerstörung, sondern in kaskadierten Effekten: Vertrauensverlust in staatliche Handlungsfähigkeit, Eskalation entlang vernetzter Verbundinfrastrukturen und Schwächung der Gesamtverteidigung, weil Bundeswehr und NATO‑Operationen auf funktionierende Zivilstrukturen angewiesen sind.

Hybride Bedrohungen operieren selten über einen einzelnen Vektor. Typisch ist die gleichzeitige oder sequenzielle Kombination von digitaler Manipulation, Informationsoperationen und physischen Eingriffen. Gerade auf der kommunalen Ebene verstärken sich diese Vektoren gegenseitig: Ein technischer Ausfall wird kommunikativ übersteigert, ein lokales Sicherheitsereignis wird online politisiert, eine falsche Meldung löst reale Überlastungen von Notrufnummern oder Versorgern aus.

Cyberangriffe auf kommunale Leittechnik, Verwaltungs‑IT oder Krankenhaussysteme sind inzwischen dokumentierte Realität in mehreren Bundesländern. Ransomware‑Attacken gegen Landkreise, Überlastungsangriffe auf Bürgerportale, Manipulationen an Steuerungs‑ und Kontrollsystemen von Wasserwerken und Energieversorgern zeigen, dass die strategisch entscheidende Frage nicht mehr lautet, ob ein System angegriffen werden kann. Die entscheidende Frage lautet, ob die betroffene Organisation ihre kritischen Funktionen aufrechterhalten kann, wenn der Angriff erfolgreich war. Genau hier liegt der Unterschied zwischen klassischer IT‑Sicherheit und echter Resilienz: Nicht die Unverletzbarkeit des Systems steht im Mittelpunkt, sondern die Fähigkeit zum Weiterbetrieb, zur kontrollierten Degradation und zur schnellen Wiederherstellung.

Desinformation und Einflussoperationen wirken lokal besonders effektiv, weil kommunale Institutionen zwar sichtbar, aber kommunikativ oft unterausgestattet sind. Typische Muster sind etwa gefälschte Meldungen über angeblich verschleierte Wasserausfälle nach einem Cyberangriff oder Gerüchte über kontaminiertes Trinkwasser nach technischen Störungen. Solche Narrativen sind darauf angelegt, Vertrauen zu zersetzen und Behörden in eine defensive, reaktive Kommunikationshaltung zu zwingen. Resilienz gegenüber Informationsoperationen bedeutet mehr als „Pressearbeit“: Sie erfordert vorbereitete Kommunikationsprotokolle, klar definierte Zuständigkeiten, redundante Kanäle in analoger und digitaler Form und Sprechfähigkeit von Verantwortlichen, die nicht erst in der Krise entwickelt wird.

Physische Sabotage an Versorgungsinfrastruktur, Verkehrsknoten oder Telekommunikationsanlagen erzeugt unmittelbare Versorgungslücken und sichtbare Schäden. Die eigentliche strategische Wirkung liegt aber häufig in der psychologischen Botschaft: Infrastruktur ist angreifbar, der Staat kann sie nicht schützen. In der Praxis zeigt sich das typische Muster hybrider Destabilisierung in der Kombination: Sabotage erzeugt den sichtbaren Schaden, Cyberangriffe behindern die technische Reaktion und Wiederherstellung, Desinformation füllt das entstehende Informationsvakuum mit gezielten Narrativen.

Strategie und Realität: die deutsche Umsetzungslücke

Deutschland hat die konzeptionelle Grundlage gelegt. Die Deutsche Resilienzstrategie, ihr Umsetzungsplan, der Bericht der Nationalen Plattform Resilienz sowie die Nationale Sicherheitsstrategie formulieren einen ambitionierten Rahmen zur Stärkung der Resilienz. Mit dem KRITIS‑Dachgesetz, das der Bundestag am 29. Januar 2026 beschlossen hat, existieren erstmals sektorenübergreifende Mindestvorgaben für den physischen Schutz kritischer Anlagen und die Resilienz ihrer Betreiber. Diese Instrumente sind wichtig, entfalten aber bislang nur begrenzt Wirkung, weil zwischen strategischer Ambition und lokalem Vollzug eine erhebliche Lücke besteht. Genau diese Umsetzungslücke ist heute eines der zentralen sicherheitspolitischen Risiken Deutschlands.

Die Zuständigkeiten für den Schutz kritischer Infrastrukturen sind im deutschen Föderalismus auf viele Schultern verteilt: Bund setzt Rahmenrecht und koordiniert, Länder regeln Aufsicht und Gefahrenabwehr, Kommunen verantworten wesentliche Bereiche der Daseinsvorsorge, private Betreiber führen den Großteil der Anlagen. Ohne eine wirklich kohärente Gesamtkoordination entstehen an den Schnittstellen Lücken, für die sich keine Ebene allein zuständig fühlt. Gleichzeitig sind viele kommunale Betreiber bei Cyberresilienz, Redundanzaufbau und Übungskapazität strukturell unterausgestattet - personell wie finanziell. Schutzstandards existieren mittlerweile gesetzlich, werden aber mangels Ressourcen, Fachpersonal und praxistauglicher Unterstützung nicht vollständig umgesetzt.

Gesamtgesellschaftliche, ebenenübergreifende Krisenübungen sind in Deutschland noch immer die Ausnahme. Viele Verwaltungen und Betreiber verfügen über Krisenpläne, Alarmierungsrichtlinien und Notfallhandbücher, die jedoch nie unter realistischem Stress getestet wurden. Pläne ohne Übung sind im Ernstfall kaum belastbar. Hinzu kommt das Fehlen eines durchgängigen Lagebilds von der Bundes‑ bis zur Kommunalebene speziell für hybride Lagen. Entscheidungen müssen häufig unter hohem Zeitdruck und mit unvollständiger Informationslage getroffen werden. Krisenkommunikation wird vielerorts noch als administrative Nebenaufgabe behandelt, nicht als strategische Fähigkeit. Das führt dazu, dass langsame, unklare oder widersprüchliche Botschaften gegnerische Narrative eher verstärken, statt sie einzudämmen.

Zivile Resilienz als Voraussetzung glaubwürdiger Verteidigung

Die Abhängigkeit militärischer Handlungsfähigkeit von ziviler Resilienz ist strukturell, nicht rhetorisch. Bundeswehr und Bündnisoperationen setzen funktionierende Zivilinfrastruktur voraus: Militärische Verlegebewegungen benötigen Schienen, Straßen, Brücken und Häfen, die auch unter Druck nutzbar bleiben; Einsatztauglichkeit hängt von gesicherter Energie‑ und Kraftstoffversorgung ab; Führungs‑ und Aufklärungsfähigkeit stützt sich auf Telekommunikationsnetze und Rechenzentrumskapazitäten; Krankenhäuser und Gesundheitsstrukturen müssen im Fall eines Massenanfalls von Verletzten funktionsfähig bleiben.

Wenn kommunale Strukturen kritischer Infrastruktur im Krisenfall ausfallen, ist das deshalb keine lokale Störung der Daseinsvorsorge, sondern eine direkte Schwächung der Gesamtverteidigung. NATO übersetzt diese Zusammenhänge in sieben Baseline‑Anforderungen an nationale Resilienz, von der Regierungskontinuität bis zur gesicherten Transportinfrastruktur. Aus dieser Interdependenz ergibt sich eine klare Grenze militärischer Mittel: Kampfjets reparieren kein zerstörtes öffentliches Vertrauen. Panzerbrigaden schließen keine systemischen Cyberdefizite in kommunalen Rechenzentren. Raketenabwehrsysteme lösen keine Führungs‑ und Koordinationsprobleme in Krisenstäben auf Landkreisebene. Militärische Stärke und zivile Resilienz sind keine austauschbaren Alternativen, sondern ergänzende Ebenen derselben Sicherheitsarchitektur.

Wer Resilienz als erste Verteidigungslinie ernst nimmt, muss strukturell und operativ zugleich ansetzen. Das KRITIS‑Dachgesetz muss ressourcengerecht umgesetzt werden. Der rechtliche Rahmen allein genügt nicht, wenn Aufsichtsbehörden unterbesetzt bleiben und kommunale Betreiber mit komplexen Anforderungen, aber ohne Fachunterstützung und ohne gesicherten Finanzierungspfad konfrontiert sind. Kommunale Resilienz muss als Bestandteil der nationalen Sicherheitsvorsorge verstanden und entsprechend finanziert werden. Investitionen in Redundanzen, Notstromversorgung, Netzsegmentierung, Krisenstabsarbeit und Ausbildung sind Sicherheitsinvestitionen, keine beliebigen Verwaltungsposten. Ein durchgängiges Lagebild für hybride Bedrohungslagen vom Bund bis zur Kommune ist technisch machbar und sicherheitspolitisch überfällig.

Auf operativer Ebene werden regelmäßige, ebenenübergreifende Krisenübungen zur Kernanforderung. Resilienzpläne, die nie unter Stress geprobt wurden, sind im Ernstfall nur eingeschränkt belastbar. Kommunalverwaltungen, Betreiber kritischer Infrastrukturen, Hilfsorganisationen und Kommunikationsverantwortliche müssen gemeinsam trainieren, wie sie unter Zeitdruck, mit Informationslücken und unter öffentlicher Beobachtung agieren. Krisenkommunikation ist als strategische Fähigkeit aufzubauen: Szenarien vorausdenken, Kernbotschaften vorbereiten, Sprecher schulen und redundante Kommunikationskanäle vorhalten, die auch bei Stromausfall oder Ausfall digitaler Plattformen funktionieren.

Die strategische Lektion ist eindeutig: Sicherheit wird nicht mehr allein dadurch definiert, was an der Grenze geschieht. Sie wird dadurch definiert, ob ein Land unter anhaltendem Druck weiter funktionieren kann. Die Staaten, die für den strategischen Wettbewerb des 21. Jahrhunderts am besten gerüstet sind, werden nicht nur die mit den größten Arsenalen sein, sondern jene mit robusten Institutionen, verlässlicher Infrastruktur, vertrauenswürdiger Governance und kohärenten Gesellschaften. Deutschland verfügt über strategische Leitlinien, gesetzliche Grundlagen und institutionelle Strukturen. Was jetzt fehlt, ist die operative Konsequenz, Resilienz nicht nur als Ziel in Strategiepapieren zu formulieren, sondern als tägliche Aufgabe in Kommunen, bei Betreibern kritischer Infrastrukturen und in Krisenstrukturen zu verankern. Nationale Resilienz ist die erste Verteidigungslinie. Sie wird täglich in deutschen Kommunen gebaut - oder vernachlässigt.