Im September 2017 eröffnete Bundesinnenminister Thomas de Maizière die neue Sicherheitsbehörde „ZITiS“, die zentrale Stelle für Informationstechnik im Sicherheitsbereich, in München. Die hierfür notwendigen Mittel wurden bereits Ende 2016 vom Bundestag zur Verfügung gestellt. Hintergrund für die Einrichtung der neuen Behörde waren einige terroristische Anschläge in Deutschland. Die Täter kommunizieren meist verschlüsselt über Telekommunikationsplattformen mit Komplizen im In- und Ausland. Die Polizei kann jedoch mangels Zugriff auf die entsprechenden Nachrichten die Täter nicht ausfindig machen und dadurch teilweise Anschläge nicht rechtzeitig verhindern. Dieses Phänomen, wenn Verdächtigte geschützte Bereiche des Internets nutzen, um verschlüsselt Informationen und Daten auszutauschen, wird als „going dark“ bezeichnet.

Immer mehr Anbieter von Kommunikationsplattformen wie Telegram, WhatsApp oder Facebook verschlüsseln ihre Chats, um ihren Nutzern maximalen Datenschutz zu gewähren. Durch sog. „Geheime Konversationen“ auf Facebook oder die „Ende-zu-Ende Verschlüsselung“ auf WhatsApp haben aber selbst die Anbieter keinen Zugriff mehr auf die gesendeten Inhalte in den Chats. Somit können sie diese einerseits aus technischen Gründen nicht an die Polizei herausgeben und wollen diese auch andererseits nicht preisgeben, um das Vertrauen ihrer Kunden in die Sicherheit der Plattform nicht zu enttäuschen. Dieses Dilemma bestand beispielsweise bei dem Streit zwischen Apple und dem FBI, bei dem es um die Entsperrung des iPhones von dem Attentäter von San Bernandino ging.

Um im Kampf gegen Internet-Kriminalität, Cyberspionage und Terrorismus Fortschritte zu erzielen und die Handlungsfähigkeit des Staates aufrechtzuerhalten, wurde das ZITiS geschaffen. Die neue Sicherheitsbehörde soll das Bundeskriminalamt und den Verfassungsschutz bei Gefahrenabwehr und Terrorbekämpfung unterstützen. Ihre Aufgabe besteht darin, vorbereitende Arbeit für die Polizei und den Verfassungsschutz zu leisten. Die IT-Experten der ZITiS entwickeln Software und Methoden für die Überwachung. Sie kaufen aber auch Softwareprogramme ein, bis entsprechende eigene Programme erarbeitet worden sind. Ziel ist es verschlüsselte Chats von Kriminellen und Terroristen zu entschlüsseln. Dabei sollen IT-Experten Codes von Telekommunikationsanbietern knacken und den Inhalt an die Polizei und den Verfassungsschutz weitergeben, sodass diese einen Zugriff auf die für ihre Ermittlung relevanten Daten haben und Chats mitlesen können. Dabei soll ZITiS jedoch selbst nicht die Chats mitlesen, sondern lediglich die Informationen an die zuständigen Behörden weiterleiten.

Laut ZITiS Präsident Wilfried Karl ist es wichtig, dass auch in Deutschland staatliche Behörden bei Cyberangriffen digital zurückschlagen können. Dies ist in anderen Ländern wie der Schweiz oder den USA bereits unter bestimmten Voraussetzungen möglich.

Wann entdeckte oder gekaufte Sicherheitslücken zum Schutz der Allgemeinheit offengelegt werden sollen, ist allerdings noch nicht geklärt. Dies wird konkret im Einzelfall entschieden. Nach de Maizière ist es unproblematisch, wenn der Staat gefundene Sicherheitslücken nutzt, um an bestimmte Informationen zu gelangen, diese aber nicht schließt. Geschlossen werden sollen diese nur, wenn die Gefahr besteht, dass die Sicherheitslücken von Dritten genutzt werden. Die Verantwortung über die Verwendung der Werkzeuge und Methoden der neugeschaffenen Behörde soll bei den Sicherheitsbehörden, den Kunden der ZITiS, liegen. Eine Kontrolle erfolgt dabei durch Gerichte bzw. das parlamentarische Kontrollgremium.

Allerdings wird ZITiS von verschiedenen Seiten stark kritisiert. Der Konstantin von Notz und auch Bürgerorganisationen wie „Digitalcourage“ bemängeln, dass gekaufte oder entdeckte Sicherheitslücken nur staatlich genutzt und gefördert, aber oft nicht geschlossen werden. Dies führe letztlich zu mehr IT-Unsicherheit. Die Bundestagsabegordnete Martina Renner kritisiert, dass dadurch, dass ZITiS für verschiedene Organe arbeitet, ein „Mischmasch zwischen Geheimdienst und Strafverfolgung“ entsteht. Außerdem wird gegen die Existenz von ZITiS eingewendet, dass diese Stelle nicht ausreichend kontrolliert wird.

Auch in rechtlicher Hinsicht werden Bedenken und Zweifel geltend gemacht. Für die Gründung der Sicherheitsbehörde, die von Innenminister de Maizière per Erlass eingerichtet wurde, existiert keine gesetzliche Grundlage. Dabei war weder der Bundestag, der lediglich die Mittel hierfür bereitstellt, noch die Bundesdatenschutzbeauftragte in die Errichtung von ZITiS involviert. Fraglich ist des Weiteren, ob die Entschlüsselung und der Einsatz von Programmen, wie den sog. Trojanern, verfassungsrechtlich überhaupt an sich zulässig ist.

Am 22. Februar 2018 fand in München die „Domain Impuls“, eine Konferenz der deutschsprachigen Domain Registries, statt. Dort diskutieren ZITiS Präsident Wilfried Karl und der ehemalige Bundesdatenschutzbeauftrage Peter Schaar über die Sicherheitsbehörde. Laut Schaar hat die ZITiS zu viele Befugnisse. Es existiert keine Richtlinie, die die Tätigkeit konkretisiert oder Grenzen setzt. Auch ist aufgrund der Aufhebung der Trennung von geheimdienstlicher und polizeilicher Arbeit das Verhältnis von ZITiS, welche die Sicherheitslücken auffindet, zu dem Bundesamt für Sicherheit in der Informationstechnik (BSI), das wiederum diese Sicherheitslücken schließen soll, unklar. Denn allein das Auffinden von Sicherheitslücken sorgt nicht für mehr IT-Sicherheit. Gerade auch die Dauer der Aufbewahrung dieser Sicherheitslücken erscheint problematisch, da es hierzu keinerlei Vorgaben gibt. Dem entgegnet Karl, dass die Kriterien über die Nutzung oder Schließung von Sicherheitslücken davon abhängig gemacht werden, wie groß deren Auswirkungen sind und wie leicht die Lücken von Dritten ausgenutzt werden können. Er betont, dass im Normalfall Sicherheitslücken geschlossen werden und auch bisher noch keine Schwachstellen gekauft wurden. Dem wird entgegengehalten, das ein dementsprechender Kriterienkatalog vom politisch verantworltichen BMI mitentwickelt werden müsse und nicht alleine durch ZITiS erstellt werden dürfe.

Nicht geschlossene IT-Sicherheitslücken stellen jedoch nicht nur ein Risiko für Persönlichkeitsrechtsverletzungen dar, sondern es besteht auch ein hohes Missbrauchspotential, dass die Wirtschaft beeinträchtigen kann. Cyberkriminelle können über Sicherheitslücken auf Geschäftsdaten zugreifen und u.U. Systeme kompromittieren. Das Ausmaß, das der Missbrauch einer Geheimdiensten bekannten IT-Sicherheitslücke besitzen kann, zeigte der Krypto-Trojaner „Wanna Cry“ im vergangen Jahr. Die NSA entdeckte die hierfür genutzte Sicherheitslücke bei Microsoft. Diese wurde jedoch nicht dem Hersteller gemeldet und geschlossen, sondern stattdessen durch die NSA für eigene Zwecke verwendet. Eine Hackergruppe griff ebenfalls auf diese Schwachstelle zu, veröffentlichte die Sicherheitslücke und programmierte den Virus „Wanna Cry“. Mit dieser Malware wurden weltweit Computer befallen. Zwar war Deutschland im Vergleich zu anderen Ländern wie China weniger stark betroffen, doch zeigten sich auch hier die Auswirkungen. So wurden die Computer der Deutschen Bahn mit dem Virus infiziert, was zu dem Ausfall der Anzeigetafeln und Überwachungskameras an Bahnhöfen führte.

Ob und inwieweit rechtliche Vorgaben und Grenzen für die Tätigkeit von ZITiS gesetzt werden müssen, bedarf einer breiteren Diskussion. Hierbei ist einerseits die hohe Bedeutung des Kampfes gegen Internet-Kriminalität, Cyberspionage und Terrorismus zu berücksichtigen. Andererseits muss das Missbrauchspotential und die Schaffung neuer Gefährdungslagen für die Wirtschaft ebenfalls im Auge behalten werden.

Verfasst von Falter/Paschke

Weiterführende Quellen
1. https://www.heise.de/newsticker/meldung/Schlagabtausch-zu-ZITiS-IT-Sicherheitsluecken-schliessen-oder-ausnutzen-3976587.html
2. https://www.heise.de/newsticker/meldung/IT-fuer-Sicherheitsbehoerden-Schwachstellen-kann-Zitis-auch-kaufen-3832667.html
3. http://www.spiegel.de/netzwelt/netzpolitik/zitis-neue-sicherheitsbehoerde-wird-in-muenchen-angesiedelt-a-1130978.html
4. http://www.br.de/nachrichten/zitis-cyber-kampf-muenchen-100.html
5. http://www.spiegel.de/politik/deutschland/bundesregierung-sucht-verzweifelt-nerds-a-1105653.html
6. https://www.zitis.bund.de/DE/Karriere/karriere_node.html
7. https://beck-online.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fmmraktuell%2F2017%2F386765.htm&pos=4&hlwords=on
8. http://www.sueddeutsche.de/digital/it-sicherheit-warum-der-staatstrojaner-so-umstritten-ist-1.3556667
9. http://faktenfinder.tagesschau.de/wanna-cry-cyberangriff-101.html
10. https://www.heise.de/newsticker/meldung/Ransomware-WannaCry-befaellt-Rechner-der-Deutschen-Bahn-3713426.html