Im Januar 2026 unterzeichneten Bundesinnenminister Alexander Dobrindt und Israels Ministerpräsident Benjamin Netanjahu einen „Cyber- und Sicherheitspakt“. Eines der zentralen Ziele der Zusammenarbeit ist die Stärkung der deutschen Cyberabwehrfähigkeit durch den Aufbau eines „Cyber Dome“, eines digitalen Schutzschilds, das auf den israelischen Erfahrungen in der automatisierten Erkennung und Abwehr von Cyberangriffen basieren soll. Die Öffentlichkeit reagierte skeptisch. Daran änderte sich auch nichts, als im Februar das Innenministerium dem Bundestag etwas ausführlicher erklärte: „Der Cyberdome ist als systematisches Programm geplant, das Projekte/Vorhaben in drei Clustern (Detektionsnetzwerk, Analyseverbund, offenes Ökosystem zum Schutz individueller Systeme) synchronisiert.“ Wirklich klar wurden die Pläne des BMI dadurch allerdings nicht. Im März sprachen Jeanne Dillschneider und Konstantin von Notz, beide Bundestagsabgeordnete von Bündnis 90/Die Grünen, von „Worthülsen“, die vom mangelnden Fortschritt in der Cybersicherheit ablenkten. Viele in der Fachwelt verwiesen auf Risiken für Datenschutz und digitale Souveränität, sollte Deutschland die Technologie aus Israel direkt übernehmen. Die Skepsis ist berechtigt – nur nicht aus den Gründen, die in der Debatte genannt werden. Was also macht Israel tatsächlich, und was sollte Deutschland davon lernen? Iron Dome ist die falsche Analogie Cyber Dome ist eine Anspielung auf das israelische Raketenabwehrsystem Iron Dome. Dieses erfasst anfliegende Kurzstreckenraketen, berechnet binnen Sekunden, ob sie bewohntes Gebiet treffen würden, und schießt sie gegebenenfalls mit eigenen Lenkraketen ab, bevor sie ihr Ziel erreichen. Das geschieht weitgehend automatisiert und in Echtzeit. Erfasst also auch der Cyber Dome automatisiert Angreifer und schießt sie im „Anflug“ ab? Die Antwort ist natürlich nein. Aber diese falsche Analogie erklärt einen Gutteil der gerade anfangs sehr harten Kritik am Vorhaben eines deutschen Cyber Domes. Was also macht der israelische Cyber Dome tatsächlich? Im Gegensatz zum Iron Dome geht es beim Cyber Dome nur in Ansätzen um die aktive Abwehr. Die Hauptaufgabe ist die fortlaufende Erstellung und Analyse eines Lagebilds der kritischen IT-Infrastrukturen. Erkennt der Cyber Dome eine Gefahr – etwa eine Schwachstelle oder einen laufenden Angriff –, warnt er die möglicherweise betroffenen Organisationen. In vielen Fällen liefert er auch eine ganz oder teilweise automatisierbare Beschreibung, ein sogenanntes Playbook, wie eine sinnvolle Reaktion aussehen könnte. Drei Bausteine: Sensorik, SIEM, SOAR Technisch betrachtet gibt es Systeme wie den israelischen Cyber Dome schon seit gut zwei Jahrzehnten. Drei Bausteine bilden ihr Rückgrat. Erstens: Sensoren in Servern, Netzwerken, Cloud-Diensten und Endgeräten erfassen rund um die Uhr sicherheitsrelevante Ereignisse – jeden Log-in, jede Netzverbindung, jeden Datenzugriff, jede Konfigurationsänderung. Neben diesen klassischen IT-Ereignissen können in industriellen Umgebungen zusätzlich physikalische Ereignisse erfasst werden, etwa Druckänderungen in Leitungen oder Vibrationen von Turbinen. Hinzu kommen Informationen von außen, etwa Listen kompromittierter Konten, Schwachstellenscans und Berichte über aktuell beobachtete Angriffstechniken. Zweitens: Ein SIEM-System (Security Information and Event Management) sammelt diese Milliarden Ereignisse, gleicht sie mit bekannten Angriffsmustern und Bedrohungsindikatoren ab und sucht nach Anzeichen eines laufenden oder bevorstehenden Angriffs. Heraus kommt eine Liste von Verdachtsfällen, die anschließend geprüft und priorisiert werden müssen. Die Trennung echter Angriffe von Fehlalarmen ist eine der aufwendigsten Aufgaben in der Cyberabwehr. Beide Schritte erfolgen zunehmend KI-unterstützt. Drittens: Ein SOAR-System (Security Orchestration, Automation and Response) leitet aus jedem bestätigten Verdachtsfall regelbasiert konkrete Warnungen und, zumindest manchmal, die schon erwähnten Playbooks ab. Diese stellt man sich am besten wie „Kochrezepte“ für IT-Manager vor: Wie reagiert man, wenn ein Nutzer auf eine Phishing-Nachricht hereingefallen ist? Wie sperrt man ein kompromittiertes Konto? Wie isoliert man einen Rechner, der infiziert wurde? Solche Playbooks werden von Sicherheitsexperten vordefiniert und im Einzelfall nur passend variiert. In der Forschung gibt es auch schon Playbooks, die komplett durch KI erzeugt werden; aufgrund der hohen Fehlerraten sind sie für die Praxis allerdings ohne menschliche Prüfung noch untauglich. Idealerweise erfolgt die Umsetzung eines Playbook automatisiert, also ohne menschliches Zutun. Wie nahe man innerhalb einer Organisation diesem Ideal kommt, hängt stark von der jeweiligen IT-Landschaft ab. In einer homogenen, modernen und vorrangig cloudbasierten Umgebung – ein häufiger Fall in Israel – kann man viel automatisieren, da es relativ einfach ist, ein Playbook genau auf diese IT-Landschaft zuzuschneiden. In heterogenen, veralteten und vorrangig selbst betriebenen Umgebungen – wie oft der Fall in Deutschland – wird es deutlich schwieriger. Sensorik, SIEM und SOAR sind die technischen Bausteine. Die organisatorische Einheit aus Menschen, Prozessen und Werkzeugen, die sie zusammen betreibt, nennt man Security Operations Center (SOC). Ein SOC kann mehrere Organisationen unterstützen – das nennt man dann einen Managed Security Service Provider (MSSP) –, und die SOCs mehrerer Organisationen können sich zu einem SOC-Verbund zusammenschließen und untereinander Informationen und Warnungen austauschen. Auch Playbooks können ausgetauscht werden; organisationsübergreifend automatisierbar sind sie typischerweise aber nur dann, wenn die im Playbook angesprochenen IT-Bereiche überall sehr ähnlich sind. Was Israel wirklich gebaut hat Der israelische Cyber Dome ist also schlicht ein SOC-Verbund auf nationaler Ebene. Den Begriff „Cyber Dome“ findet man in den hebräischsprachigen Fachquellen kaum – er existiert nur für den Außenraum. Geprägt wurde er 2022 von Gaby Portnoy, dem damaligen Chef des Israel National Cyber Directorate (INCD), der Partnerbehörde des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI). Genutzt wird er heute im Wesentlichen für INCD-Berichte, Branchenkonferenzen und internationale Programme, etwa mit den USA und Deutschland. Seit 2015 gibt es in Israel ein Regierungs-SOC, betrieben durch die Cyberverteidigungsbehörde Yahav, und das CERT-IL des INCD. Seit 2017 werden sektorale SOCs aufgebaut, etwa für Finanzwesen, Energie, Wasser, öffentliche Sicherheit, angesiedelt bei den jeweils zuständigen Ministerien oder Regulatoren. Aus diesen sektoralen SOCs und dem von INCD betriebenen CERT-IL entstand ein seit spätestens 2025 voll operativer SOC-Verbund, der ein gemeinsames zentrales Lagebild, KI-gestützte Analysen, allgemeine und individuelle Warnungen und Playbooks erzeugt. Insgesamt dürften ein paar Hundert staatliche Stellen und Unternehmen an den Verbund angeschlossen sein. Für einen Teil der kritischen Infrastrukturen ist der Anschluss verpflichtend, für manche davon hat das INCD sogar eine gewisse Anordnungsbefugnis. Aber auch der Teil der Wirtschaft, der nicht direkt angeschlossen ist und keine Echtzeitdaten liefert, erhält zumindest allgemeine, teils auch individuelle Warnungen. Realisiert wird der SOC-Verbund durch eine Technologie namens Cybershield. Diese stammt von Google Cloud und besteht aus einer Reihe von Einzelprodukten: Chronicle SIEM, Chronicle SOAR und Google Threat Intelligence. Die IT-Architektur folgt einem von Google gemeinsam mit dem INCD entwickelten Architekturmuster. Wirklich neu entwickelt wurde für den Cyber Dome also wenig. Der eigentliche Beitrag Israels liegt nicht in der Technik, sondern im Betriebsmodell. Das Betriebsmodell macht den Unterschied Was den israelischen Cyber Dome stark macht, ist in Deutschland politisch und verfassungsrechtlich kaum umsetzbar. Im nationalen SOC arbeiten Mitarbeiter der zivilen Behörde INCD Schulter an Schulter mit Mitarbeitern des Militärs und der Nachrichten- und Sicherheitsdienste. Klassifiziertes Wissen über Angreiferinfrastrukturen fließt durch personelle Verzahnung still in die defensive Lagekenntnis ein. Das Zusammenführen der Sensorik über Unternehmens- und Behördengrenzen hinweg ist rechtlich betrachtet vergleichsweise problemlos: Die Verwaltung ist flacher, es gibt keine Länder. Für die wichtigsten kritischen Infrastrukturen ist der Austausch sicherheitsrelevanter Telemetriedaten verpflichtend und damit weitgehend akzeptiert. Und der reale Krieg gegen Iran und seine Stellvertreter hat das System unter eine Dauerbelastung gestellt, wie sie kein westlicher Staat kennt. Sicherheit hat Priorität, die enge Zusammenarbeit aller Beteiligten ist überlebensnotwendig. Der israelische Cyber Dome läuft im Wesentlichen auf ausländischer Technologie. Die Frage der digitalen Souveränität hat Israel pragmatisch über Verträge gelöst. Google und Amazon Web Services erhielten 2021 den Zuschlag für das 1,2 Milliarden Dollar schwere Projekt Nimbus. Im Gegenzug richteten sie eigene Cloud-Regionen in Israel ein und sicherten vertraglich zu, dass die Daten das Land nicht verlassen. Investigative Berichte deuten auf weitergehende Klauseln hin: ein „Classified Team“ sicherheitsüberprüfter israelischer Beschäftigter innerhalb von Google; das Verbot, Israels Nutzung auf Grundlage eigener Geschäftsbedingungen einzuschränken; eine Pflicht, Israel über ausländische Anordnungen zur Datenherausgabe vertraulich zu informieren, angeblich eincodiert in den Betrag von Zahlungen an ein bestimmtes Konto. Es ist ein Ansatz, der Vertrauen in den Vertragspartner und in dessen Rechtsordnung voraussetzt. In Deutschland geht das so nicht Deutschland ist rechtlich und politisch ganz anders aufgebaut. Eine der Lehren aus unserer Geschichte ist eine weitgehende Trennung zwischen Polizei, Militär und Nachrichtendiensten. Sie schützt Bürgerrechte und Gewaltenteilung, macht aber eine vergleichbar enge Zusammenarbeit wie in Israel sehr schwierig. Das unter Federführung des BSI stehende deutsche Nationale Cyber-Abwehrzentrum bietet zwar eine Plattform für Bundeswehr und Sicherheitsbehörden, dient aber eher der fallbezogenen Kommunikation und Koordinierung zwischen Behörden, nicht der technischen Analyse und Reaktion in Echtzeit. Datenerfassung und -austausch sind in Deutschland sehr viel stärker reglementiert, durch Föderalismus und Ressortprinzip, Datenschutz und betriebliche Mitbestimmung. Viele dieser Regeln stammen noch aus der analogen Zeit und sollten modernisiert werden. Viele Grundprinzipien hinter diesen Regeln sind aber, wie das Trennungsgebot, historisch gewachsen und politisch gewollt. Der Ansatz, digitale Souveränität vertraglich zu regeln, ist nicht auf Deutschland übertragbar. Dafür ist die Skepsis gegenüber fremden Rechtsordnungen zu groß, spätestens seit der zweiten Trump-Regierung auch gegenüber den USA. Technische Herausforderungen Auch technisch betrachtet sind Israel und Deutschland sehr verschieden. Die Analysen zu den IT-Landschaften von Ländern und Sektoren, die wir im Nationalen Forschungszentrum für Angewandte Cybersicherheit ATHENE regelmäßig durchführen, zeigen, dass israelische Organisationen und Behörden deutlich stärker cloudbasiert arbeiten als deutsche. In Deutschland ist die IT heterogener, stärker historisch gewachsen und weiterhin wesentlich häufiger in eigenen Rechenzentren, lokalen Netzen und spezialisierten Fachverfahren betrieben. Viele Unternehmen und Behörden arbeiten mit Mischformen aus selbst betriebenen Systemen, privaten Clouds, einzelnen Public-Cloud-Diensten, Legacy-Anwendungen und branchenspezifischen Speziallösungen. Das hat unmittelbare Folgen für einen Cyber Dome. Integrierte Sicherheitsplattformen wie Google Cybershield können ihre Stärken vor allem dort ausspielen, wo Telemetrie standardisiert, zentral verfügbar und in hoher Dichte anfällt. In einer heterogenen, wenig cloudbasierten Landschaft ist das nicht ohne Weiteres der Fall. Dort müssen Sensoren, Schnittstellen und Datenformate erst vereinheitlicht werden. Zuständigkeiten sind fragmentierter, Sichtbarkeit ist unvollständiger, und automatisierte Reaktionen sind riskanter, weil dieselbe Maßnahme in unterschiedlichen IT-Umgebungen sehr unterschiedliche Folgen haben kann. Fazit Auch wenn wir nur wenig direkt aus Israel übernehmen können, zeigt uns der israelische Cyber Dome doch die prinzipielle Machbarkeit eines nationalen SOC-Verbunds. Die Bedeutung eines nationalen Lagebilds, wie es ein Cyber Dome liefert, ist unbestritten. Laut INCD trug der Cyber Dome entscheidend dazu bei, dass der Kern der kritischen IT-Infrastrukturen selbst während der beiden Irankriege 2025 und 2026 stabil und sicher blieb. Die Frage ist daher nicht, ob Deutschland einen Cyber Dome braucht, sondern ob die Politik bereit ist, die rechtlichen und institutionellen Entscheidungen zu treffen, die ein Cyber Dome erzwingt – über Datenflüsse zwischen Bund, Ländern und Sektoren, über die Schnittstellen, an denen ziviles, militärisches und nachrichtendienstliches Wissen unter Wahrung des Trennungsgebots zusammenfließen kann, über den Aufbau der dafür notwendigen zentralen technischen Infrastrukturen. Trotz vorhandener politischer Unterstützung durch das BMI ist unklar, wo genau die Politik derzeit steht. Die Details zu Technik und Betriebsmodell sind völlig offen. Das BSI ist zwar voraussichtlich für die Realisierung des Cyber Domes zuständig. Öffentlich bekannt ist bislang aber lediglich, dass das BSI im März eine Zusammenarbeit mit govdigital eG vereinbarte, einer Genossenschaft öffentlicher IT-Dienstleister. In zehn Bundesländern soll die Sensorik verbessert und das BSI mit lokal vorhandenen SOCs vernetzt werden. Das könnte ein Anfang werden, reicht aber sicher nicht aus. Was es wirklich braucht, ist eine umfassende Cybersicherheitsstrategie, die alle politischen, rechtlichen und technischen Aspekte abdeckt, und einen konkreten, mit Budgets und Verantwortlichkeiten hinterlegten Umsetzungsplan. Haya Schulmann ist Professorin für Cybersicherheit am Institut für Informatik der Goethe-Universität Frankfurt am Main und Mitglied im Direktorium des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE. Michael Waidner ist Professor für Sicherheit in der Informationstechnologie im Fachbereich Informatik der Technischen Universität Darmstadt, Leiter des Fraunhofer-Instituts für sichere Informationstechnologie SIT und CEO von ATHENE.