IT für Sicherheitsbehörden: Schwachstellen kann Zitis auch kaufen
Zur Eröffnung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich erteilte der Innenminister der Datenschutzbeauftragten eine Absage. Zitis-Chef Karl hatte vor kurzem betont, keine Schwachstellen auf Grau- oder Schwarzmärkten einzukaufen.
Bundesinnenminister Thomas de Maizière eröffnete am gestrigen Donnerstag die neu geschaffene Behörde Zitis – die Zentrale Stelle für Informationstechnik im Sicherheitsbereich. Zitis soll die Bedarfsträger in Deutschland mit forensischer und biometrischer Software, aber auch mit Software für Überwachungsmaßnahmen versorgen.
Von den für 2022 anvisierten 400 Mitarbeitern würden sich die ersten 20 bereits mit ersten Aufträgen beschäftigen und nicht nur mit sich selbst. Das versicherte der Leiter des Aufbaustabs, Hans-Christian Witthauer. Zum Einzug in die Interimsresidenz in ein ehemaliges Gebäude von Giesecke und Devrient in der Zamdorfer Strasse in München schaute nicht nur de Maizière, sondern auch Bayerns Wirtschaftsministerin Ilse Aigner herein.
Schwachstellenankauf nicht ausgeschlossen
Dort erklärte de Maizière, dass ein Ankauf von Software für Online-Durchsuchung und Quellen-TKÜ keineswegs ausgeschlossen sei. Ab wann eine Schwachstelle in der Software so gefährlich wird, dass das Zitis sie melden statt nutzen sollte, hänge von der Bewertung ab. Einen Bewertungsprozess müsse man am Zitis aber erst noch etablieren, sagte Zitis-Direktor Wilfried Karl.
Beim Pressegespräch mit Journalisten sagte de Maizière, er nehme die Kritik an der Behörde und deren Aufgabe, Werkzeuge für die Strafverfolgung und die präventive Gefahrenabwehr zu erforschen, durchaus ernst. Natürlich sei die Bundesregierung für sichere Verschlüsselung, auch Ende-zu-Ende Verschlüsselung, und man wolle nach wie vor Verschlüsselungsland Nummer eins werden. Forderungen nach dem Einbau von Hintertüren oder das Hinterlegen von Schlüsseln lehne er auch ab. Gleichzeitig müsse im Einzelfall aber Verschlüsselung überwunden werden können.
Dafür soll das Zitis forschen und dabei solle es ganz rechtsstaatlich zugehen. Egal ob Software für die Online-Durchsuchung direkt beim Zitis entwickelt oder im Ausland eingekauft werde, sie müsse den Privatsbereichsschutz gleich mit einbauen. Ausländische Software müsse zum Beispiel entsprechend abgeändert werden.
"Das kommt politisch und juristisch darauf an"
Auf die Frage, ab wann vom Zitis entdeckte oder gekaufte Schwachstellen wegen einer Gefährdung der Allgemeinheit offen gelegt werden sollten, antwortete der Minister, "das kommt politisch und juristisch darauf an". Der Kernfrage wich er aus, aber klar ist für ihn, dass es kein Problem sei, wenn der Rechtsstaat eine Lücke nutze, die das BSI gemeldet habe, die aber nicht geschlossen werde. Stünde zu befürchten, dass die Schwachstelle von Dritten genutzt würde, auch aus dem Ausland, sei es wieder anders.
Im übrigen brauche man aber gar nicht grundsätzlich Schwachstellen, vielmehr sei auch die Infiltration durch verdeckte Ermittler möglich. Zitis-Chef Karl merkte an, dass man nicht alle Schwachstellen über einen Kamm scheren und Sicherheit nicht allein auf sie beziehen dürfe. Seine Absage an den Kauf von ZeroDays wiederholte er in München nicht. Gegenüber heise online hatte Karl betont: "Unsere Aufgabe ist gesetzlich festgelegt und gesetzesorientiert. Das bedeutet: Es gibt keinen Ankauf von 0-Days auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen."
Die Verantwortung über den Einsatz der verschiedenen Werkzeuge und Tools haben laut de Maizière übrigens die verschiedenen Behörden, die Kunden der Zitis. Die Kontrolle obliege den Gerichten beziehungsweise dem parlamentarischen Kontrollgremium.
Datenschutzbeauftragte gar nicht zu beteiligen
"Unverantwortlich" nannte unmittelbar vor der Veranstaltung Hartmut Goebel von der Bürgerrechtsorganisation Digitalcourage die geplante Nutzung der Exploits. "Über diese Lücken werden weltweit täglich kritische Infrastrukturen, Unternehmen, Journalistinnen, Parlamente und Bürgerinnen angegriffen. Der Staat hat die Pflicht Sicherheitslücken zu schließen und darf sie nicht fördern." Die zwei Digitalcourage-Vertreter mussten draußen vor der Tür bleiben und wurden gar wegen des bayerischen Versammlungsverbots angegangen.
In einer kurzen Replik auf die Bundesdatenschutzbeauftragte, die beklagt hatte, dass sie bislang nicht in die Zitis-Arbeit eingebunden worden sei, sagte de Maizière, "bei einer solchen Forschungsstelle ist die Bundesdatenschutzbeauftragte gar nicht zu beteiligen." Sie sei aber jederzeit eingeladen, sich über die Forschungsarbeit zu informieren.
Neubau zusammen mit Bundeswehruniversität
Bei der Forschungsarbeit will das Zitis in Zukunft eng mit der Universität der Bundeswehr in Perlach-Neubiberg zusammenarbeiten. 15 Professorinnen und Professoren werden dort für den Bereich Cyber Defense innerhalb der kommenden Monate berufen, ein Masterstudiengang Cybersecurity eingerichtet. Wegen der erhofften Synergien bauen Bundeswehruni und Zitis gemeinsam ein ganz neues Gebäude. Bis das fertig ist, räumt das Zitis den befreundeten Cyberlehrstühlen auch ein Plätzchen in den neuen Räumen in der Zamdorfer Strasse ein.
Auch anderes ist noch Zukunftsmusik, etwa die endgültige Zitis-Mitarbeiterzahl. Bislang hat man samt den aus anderen Behörden abgeordneten Beamten 20. Der erste Arbeitssschwerpunkt soll dabei laut Witthauer auf Telekommunikationsüberwachung und Forensik gelegt werden. Big-Data-Analyse und Krypto-Analyse sollen danach ins Visier genommen werden. Ist es da besonders schwer, überhaupt gute Leute zu bekommen? Es ist nicht leicht. Aber Interessenten habe man durchaus, auch von großen Unternehmen wie Airbus oder Siemens. (kbe)