Japan vollzieht einen strategischen Wendepunkt in seiner nationalen Cybersicherheit: Ab dem 1. Oktober 2025 erhalten die Selbstverteidigungsstreitkräfte und die Polizei das Mandat, offensive Cyberoperationen gegen Infrastruktur durchzuführen, die für Angriffe auf japanische Ziele missbraucht wird. Damit verabschiedet sich Tokio von einer rein defensiven Ausrichtung und etabliert das Prinzip der proaktiven Cyberabwehr.
Japans neue Cyberdoktrin: Von reaktiver zu proaktiver Verteidigung
Offiziell verkündet wurde die Entscheidung vom Kabinettssekretär Minoru Kihara. Er betonte, Japan befinde sich in der «komplexesten sicherheitspolitischen Lage seit dem Zweiten Weltkrieg». Die umfassende Digitalisierung von Verwaltung, kritischen Infrastrukturen und Wirtschaft erhöhe zugleich die Angriffsfläche für staatliche und kriminelle Akteure im Cyberraum.
Die nun konkretisierte Politik stützt sich auf ein Gesetzespaket aus dem Jahr 2023, das erstmals einen rechtlichen Rahmen für proaktive Cyberabwehr geschaffen hat. Gemeint ist damit die Fähigkeit des Staates, nicht nur eingehende Angriffe abzuwehren, sondern feindliche Cyberkapazitäten präventiv zu stören oder zu neutralisieren, bevor sie größeren Schaden anrichten.
Rechtlicher Rahmen und Entscheidungsprozesse für offensive Cyberoperationen
Zentrales Element der neuen Architektur ist ein regierungsweiter Ausschuss für das Management des Cyberraums. Dieses Gremium soll Anträge auf offensive Cybermaßnahmen prüfen, freigeben oder untersagen. Die politische Kontrolle soll sicherstellen, dass Eingriffe verhältnismäßig bleiben und mit nationalem wie internationalem Recht vereinbar sind.
Selbstverteidigungsstreitkräfte und Strafverfolgungsbehörden dürfen künftig Infrastruktur «angreifen und neutralisieren», von der aus Cyberangriffe auf japanische Regierungsnetze, kritische Infrastrukturen oder Unternehmen ausgehen. Die Regierung hebt hervor, dass Privatsphäre und Datenschutz geschützt werden müssen und Operationen sich so zielgerichtet wie möglich gegen Angreiferinfrastruktur richten sollen – eine anspruchsvolle Aufgabe, da Angriffe oft über kompromittierte Systeme unbeteiligter Dritter laufen.
Defensive versus offensive Cyberabwehr – eine praxisnahe Einordnung
Defensive Cybersecurity umfasst Maßnahmen wie Firewalls, Intrusion-Detection-Systeme, Patching und Incident Response – also das Schützen, Erkennen und Reagieren. Offensives Handeln geht darüber hinaus: Systeme von Angreifern werden infiltriert, Command-and-Control-Server deaktiviert oder Malware-Infrastrukturen gezielt gestört. Während etwa das «Sinkholing» von Schadtraffic noch als erweiterte Verteidigung gilt, bewegt sich das Eindringen in gegnerische Netzwerke klar im Bereich offensiver Cyberoperationen.
Historischer Kontext: Artikel 9 und die Evolution der Selbstverteidigungsstreitkräfte
Die Bedeutung des Schritts wird vor dem Hintergrund der japanischen Nachkriegsordnung deutlich. Artikel 9 der Verfassung von 1946 verankert den Verzicht auf klassische Streitkräfte und offensive Kriegführung. Die später aufgebauten Selbstverteidigungsstreitkräfte waren strikt auf die Verteidigung des eigenen Territoriums ausgerichtet.
Über Jahrzehnte wurde diese Auslegung behutsam erweitert: Beteiligung an UN-Friedensmissionen, Ausbau von Luftverteidigung und Marine, Aufbau einer Raketenabwehr. Mit der expliziten Zulassung offensiver Cyberoperationen verlagert sich die Debatte um die Grenzen legitimer Selbstverteidigung nun in den Cyberraum – ein Feld, in dem klassische Kategorien wie «Frontlinie» oder «Gefechtsfeld» nur bedingt greifen.
Japan im globalen Vergleich der Cybermächte
Der Thinktank International Institute for Strategic Studies (IISS) geht in einer Analyse davon aus, dass mindestens 26 Staaten über offensive Cyberfähigkeiten verfügen. Die USA werden als führende Cybermacht eingestuft, während Japan bislang dem dritten Leistungssegment zugerechnet wird: solide Fähigkeiten in Teilbereichen, aber deutliche Lücken bei integrierten, staatlich koordinierten Cyberkapazitäten.
Mit der neuen Doktrin zielt Tokio offenkundig darauf ab, diesen Abstand zu verkleinern. Offensive Optionen sollen einen Abschreckungseffekt erzeugen: Angreifer müssen künftig damit rechnen, dass nicht nur ihre Angriffe blockiert, sondern auch ihre eigenen Systeme und Kommandostrukturen ins Visier genommen werden. Vergleichbare Überlegungen finden sich etwa in US-amerikanischen Konzepten wie «defend forward», die frühzeitige, teilweise offensive Maßnahmen zur Störung von Angreifern vorsehen.
Risiken: Attribution, Eskalation und Kollateralschäden
Gleichzeitig erhöhen offensive Cyberfähigkeiten die Komplexität des Konfliktgeschehens. Attribution – also die zuverlässige Zuordnung eines Angriffs zu einem konkreten Akteur – ist im Cyberraum technisch und politisch oft schwierig. Botnetze, gehackte Server in Drittstaaten und verschleierte Infrastrukturen können zu Fehlzuordnungen führen, die wiederum ungewollte Eskalationsspiralen auslösen.
Um diese Risiken zu begrenzen, wird Japan seine Zusammenarbeit in internationalen Foren und mit Partnern ausbauen müssen – etwa beim Informationsaustausch zwischen nationalen Computer Emergency Response Teams (CERTs) oder in UN-gesteuerten Prozessen zur Entwicklung von Verhaltensnormen im Cyberraum. Transparenz, vertrauensbildende Maßnahmen und gemeinsame Standards sind entscheidend, um eine unkontrollierte «Cyberaufrüstung» im asiatisch-pazifischen Raum zu vermeiden.
Auswirkungen auf Unternehmen und kritische Infrastrukturen
Für Unternehmen weltweit signalisiert Japans Schritt vor allem eines: Der Cyberbedrohungsraum wird geopolitischer und komplexer. Staatliche Offensiveinsätze, hochentwickelte Spionagekampagnen und organisierte Cyberkriminalität verschmelzen zunehmend. Branchenberichte großer Sicherheitsanbieter und Institutionen wie ENISA oder der Verizon Data Breach Investigations Report zeigen seit Jahren einen Anstieg gezielter Angriffe auf kritische Infrastrukturen, Lieferketten und Cloud-Umgebungen.
Organisationen – in Japan wie international – sollten diese Entwicklung zum Anlass nehmen, ihre Cyber-Resilienz systematisch zu stärken: mehrschichtige Sicherheitsarchitekturen, Zero-Trust-Ansätze, regelmäßige Sicherheits-Audits und Penetrationstests, belastbare Notfall- und Wiederanlaufpläne sowie kontinuierliche Schulungen der Mitarbeitenden gehören zu den zentralen Bausteinen. Besonders Unternehmen mit Geschäftsbeziehungen nach Japan oder im asiatisch-pazifischen Raum sollten geopolitische Cyberrisiken explizit in ihr Risikomanagement integrieren.
Die Neuausrichtung der japanischen Cyberdoktrin zeigt, wie stark sich nationale Sicherheitspolitik in den digitalen Raum verlagert. Staaten setzen zunehmend auf proaktive Cyberabwehr, um ihre Souveränität zu schützen – mit Chancen für bessere Abschreckung, aber auch mit erheblichen Risiken für Stabilität und Eskalationskontrolle. Wer Verantwortung für IT- und OT-Systeme trägt, sollte diese Entwicklung genau verfolgen, Sicherheitsstrategien regelmäßig überprüfen und Cybersicherheit als strategisches Kernthema begreifen statt als rein technische Aufgabe.
