Hackerbehörde: Faeser will Zitis zur Abhörzentrale aufrüsten
Laut Eckpunkten aus dem Innenministerium soll die Arbeit der staatlichen Hackerstelle Zitis auf eine Gesetzesbasis gestellt, zugleich aber ausgeweitet werden.
(Bild: muhammadtoqeer/Shutterstock.com)
Seit 2017 ist die umstrittene Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) nur auf Basis eines Errichtungserlasses des früheren Bundesinnenministers Thomas de Maizière (CDU) unterstützend in grundrechtssensiblen Bereichen wie Telekommunikationsüberwachung, Kryptoanalyse, Forensik und Big-Data-Analyse für andere Sicherheitsbehörden tätig. Diese Arbeiten sollen nun nachträglich auf eine rechtliche Basis gestellt werden. Zugleich will die aktuelle Innenministerin Nancy Faeser (SPD) die Befugnisse und das Aufgabenfeld der als Hackerbehörde bekannt gewordenen Institution aber deutlich ausweiten.
"Konsequenter" Ausbau geplant
Dies geht aus einem Eckpunktepapier des Bundesinnenministeriums (BMI) hervor, das das Portal Netzpolitik.org veröffentlicht hat. Die Ampel hat im Koalitionsvertrag vereinbart, für die Zitis und für Bund-Länder-Institutionen wie das Gemeinsame Terrorabwehrzentrum gesetzliche Grundlagen zu schaffen, deren Verantwortlichkeiten klarer zu regeln und eine lückenlose Aufsicht zu garantieren. Vor allem die Grünen drängen seit Längerem darauf, dass dieser Passus auch umgesetzt wird. Von einer Stärkung der Zitis-Rolle war dabei aber keine Rede, vielmehr ging es ums gesetzgeberische Einhegen.
In ihrer Cybersicherheitsagenda ließ Faeser aber bereits durchblicken, dass die Zitis "konsequent" ausgebaut werden soll zum zentralen Dienstleister mit eigenen nationalen Entwicklungsfähigkeiten und einer Bewertungskompetenz. Ziel sei es, die selbsternannte "Cyber-Behörde 4.0" zu befähigen, andere Sicherheitsbehörden des Bundes noch besser und "zielgerichtet" mit technischen Lösungen und IT-Services zur Seite zu stehen.
Diesem Vorhaben will Faesers Haus mit den Eckpunkten nun Taten folgen lassen. Vorgesehen ist, den einseitigen Erlass zu legalisieren und die Zitis obendrauf als zentralen "Dienstleister für ihre Bedarfsträger" im Sicherheitsbereich weiterzuentwickeln. Zu den bisherigen Aufgaben sollen so Dienstleistungen für die Bereitstellung und den Betrieb von IT-Services dazukommen. Dies umfasse das Programmieren technischer Lösungen wie Staatstrojaner "inklusive deren Weiterentwicklung, Wartung und Pflege" sowie das "Hosting von Diensten, die von den Bedarfsträgern in Auftrag gegeben wurden". Zuletzt war bekannt geworden, dass sich die Zitis für die Spyware Predator des Firmenkonglomerats Intellexa interessiert.
Teilnahme von mehr Behörden
Derzeit ist die Zitis vor allem im Auftrag des Bundeskriminalamts (BKA), des Bundesamts für Verfassungsschutz und der Bundespolizei tätig. Im Rahmen des Gesetzgebungsverfahrens, das auf Basis der Eckpunkte eingeleitet werden soll, will das BMI nun "Partizipationsmöglichkeiten für weitere Behörden" prüfen lassen. Der Entwurf soll insbesondere vorsehen, dass der Bundesnachrichtendienst (BND), das Zollkriminalamt und das Bundesamt für den Militärischen Abschirmdienst (MAD) weiterhin in eigenem Ermessen von der Zitis-Arbeit profitieren können. Ferner gelte es auszuloten, ob diese Behörden direkt Bedarfsträger der Einrichtung werden könnten. Das Arbeitsprogramm soll mit einem Beirat abgesprochen werden.
Das Regierungsbündnis verabredete auch, eine "lückenlose Kontrolle" der Zitis durch Parlamente und Datenschutzaufsichtsbehörden zu garantieren. Dazu geben die Eckpunkte wenig her. Die Rede ist darin nur davon, dass die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz sowie die damit verknüpften Aufsichts- und Kontrollbestimmungen auch für die Serviceeinheit gelten. Für Sicherheitsbehörden und den Justizsektor gibt es auf EU-Ebene eigentlich eine gesonderte, mit der DSGVO nicht ganz übereinstimmende Datenschutzrichtlinie.
Erst im weiteren Verfahren will das BMI eruieren, ob unmittelbar im Zitis-Gesetz "eine spezifische Rechtsgrundlage für die Verarbeitung personenbezogener Daten" zu verankern ist. Eine solche könnte gegebenenfalls für Prüfungs- und Testzwecke "zugunsten der Fortentwicklung technischer Lösungen", Zweckänderungen und zur Handhabe "von besonderen Kategorien" persönlicher Informationen nötig sein.
Kein Wort zum Umgang mit Sicherheitslücken
Die Kompetenzen der Zitis sollen zudem nicht mehr nur auf Entwicklung und Tests etwa von Abhörlösungen beschränkt sein. "Zur Erforschung und Entwicklung neuer Funktionen für Aufzeichnungs- und Auswerteeinrichtungen der Telekommunikationsüberwachung und zur Evaluierung von marktverfügbaren Produkten in diesem Bereich besteht Bedarf an der probeweisen Anwendung der Überwachungsfunktionen", hält das Innenressort fest. Dafür müsste die Telekommunikations-Überwachungsverordnung (TKÜV) angepasst werden.
Mit keiner Silbe spricht das BMI in dem Papier das von der Ampel ebenfalls verabredete "wirksame Schwachstellenmanagement" an. In der Koalitionsvereinbarung heißt es dazu, dass der Staat "keine Sicherheitslücken ankaufen oder offenhalten", sondern sich unter Federführung eines unabhängigeren Bundesamts für Sicherheit in der Informationstechnik (BSI) "immer um die schnellstmögliche Schließung bemühen" soll. Für den effektiven Einsatz von Staatstrojanern ist es aber nötig, IT-Schwachstellen zu horten und auszunutzen.
Mit dem Plan sind in der Opposition – aber auch in der Koalition – noch nicht alle einverstanden. "Als Grüne Bundestagsfraktion sehen wir durchaus noch Nachbesserungsbedarf", erklärte Konstantin von Notz, Vize-Fraktionsvorsitzender und Vorsitzender des Parlamentarischen Kontrollgremiums über die Geheimdienste (PKGr) gegenüber heise online. In die weitere Diskussion um die vereinbarte konkrete gesetzliche Regelung "werden wir uns sehr intensiv einbringen. Unser Ziel ist maximale Rechtsklarheit bezüglich der konkreten Arbeit der Zitis, genauso aber die verbesserte parlamentarische Kontrolle. Beides ist lange überfällig."
"Es ist leider gekommen wie befürchtet: Ein Gesetz über die Zitis soll genutzt werden, um sie zur Abhörzentrale des Bundes zu entwickeln", monierte Martina Renner, Obfrau der Linksfraktion im Innenausschuss des Bundestags, gegenüber Netzpolitik.org. "Statt einer Begrenzung der Aufgaben und Befugnisse enthalten die Eckpunkte ihre Erweiterung." Die vorgesehene parlamentarische Kontrolle sei "lächerlich".
(mho)
