Mysterium ZITiS Was macht eigentlich die "Hackerbehörde"?
Seit drei Jahren gibt es die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) in München. Sie soll Cyberwerkzeuge für die Polizei und Geheimdienste entwickeln - doch die lassen auf sich warten.
Es ist eine Entwicklung, die Sicherheitsbehörden weltweit Sorge bereitet, sie nennen sie "going dark". Gemeint ist, dass Extremisten, Kriminelle und Terroristen immer öfter verschlüsselte Kommunikation nutzen - etwa Messengerdienste auf dem Smartphone wie Whatsapp oder Telegram.
Um verschlüsselte Kommunikation mitlesen zu können, setzen die Behörden auf Überwachungssoftware - oft "Staatstrojaner" oder "Bundestrojaner" genannt , die heimlich auf dem Mobiltelefon oder Computer einer Zielperson installiert wird.
Geheimnisumwittertes "Start-up unter den Behörden"
Für die Entwicklung solcher Spähsoftware gibt es in Deutschland seit einigen Jahren eine eigene, kaum bekannte staatliche Einrichtung: Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) in München. Sie soll als Dienstleister für die Sicherheitsbehörden des Bundes tätig sein - für das Bundeskriminalamt (BKA), die Bundespolizei, das Bundesamt für Verfassungsschutz (BfV) und den BND.
Die Mitarbeiter sollen technische Methoden und Cyberwerkzeuge entwickeln und testen. Codeknacker- oder Hacker-Behörde wird ZITiS daher häufig genannt und soll das technische Wissen der Sicherheitsbehörden an einem Ort bündeln. Anfangs gab es Startschwierigkeiten, die Personalgewinnung lief nur sehr schleppend an, fähige IT-Experten sind für Behörden oftmals schwierig zu finden. Inzwischen aber hat ZITiS mehr als 180 Mitarbeiter, bis Ende des Jahres könnten es 220 sein.
"Arbeiten die schon?"
ZITiS residiert in einem unscheinbaren Glasbau im Münchner Osten und präsentiert sich als "Start-up unter den Behörden", eine "neue, junge Organisation", die "nicht von Vorschriften und Hierarchien durchdrungen" sei, heißt es auf der Homepage .
Drei Jahre nach der Gründung ist die Hacker-Behörde jedoch für viele weiterhin ein Mysterium. In den Sicherheitsbehörden hat kaum jemand schon einmal mit ZITiS zu tun gehabt. Wer bei erfahrenen Ermittlern nachfragt, erntet häufig ein Schulterzucken: "Arbeiten die schon?"
Tatsächlich ist bis heute kaum bekannt, an was da in München geforscht und getüftelt wird. Die Mitarbeiter der ZITiS treffen sich einmal im Jahr mit den Vertretern der Sicherheitsbehörden, um deren Bedarf abzufragen. Welche technischen Probleme gibt es bei Ermittlungen? Wo könnte Technologie vielleicht die Arbeit der Ermittler erleichtern? Die Aufträge landen dann im "Jahresarbeitsprogramm", dessen Inhalt ist allerdings geheim. Nicht einmal Abgeordnete erfahren dazu Genaueres. Nur so viel teilt man mit: Aktuell werden an 40 Projekte gearbeitet.
Abgeordnete fordern Transparenz
"Eine solche Geheimniskrämerei halte ich für völlig überzogen und unnötig", kritisiert der digitalpolitische Sprecher der FDP-Bundestagsfraktion Manuel Höferlin. ZITiS sei für ihn nach wie vor eine "absolute Blackbox". Das Innenministerium habe bisher keine Entwicklung von ZITiS nennen können, die den Sicherheitsbehörden bei ihrer täglichen Arbeit geholfen hätte, so Höferlin.
Der Grünen-Fraktionsvize Konstantin von Notz fordert ebenfalls größere Transparenz und parlamentarische Kontrolle bei der Arbeit der Hacker-Behörde. "Bis heute kann einem niemand mit Gewissheit sagen, was ZITiS eigentlich genau macht", so der Bundestagsabgeordnete. "
ZITIS selbst teilt auf Anfrage mit: "Bitte haben Sie Verständnis, dass zu Fähigkeiten und Methoden der ZITiS, die Rückschlüsse auf die technischen bzw. operativen Ermittlungsfähigkeiten der Sicherheitsbehörden erlauben, grundsätzlich keine detaillierten öffentlichen Auskünfte gegeben werden." Und begründet: "um die Ermittlungsfähigkeit der Sicherheitsbehörden nicht zu gefährden."
Einige wenige Informationen bekannt
Ein paar wenige Informationen über die laufenden Projekte sind bekannt. So ist ZITiS an einem EU-Projekt beteiligt, bei dem es darum geht, einen einheitlichen Standard für das Auslesen von Daten beschlagnahmter Mobiltelefone zu erstellen. Ziel soll sein, dass ein Smartphone, das etwa bei einem deutschen Tatverdächtigen in Frankreich sichergestellt wurde, nicht noch einmal in Deutschland mühsam ausgelesen werden muss.
Ein weiteres Vorhaben der Münchner IT-Experten, das Projekt KISTRA, betrifft die Strafverfolgung im Bereich der Hasskriminalität, die künftig umfangreicher und koordinierter stattfinden soll. Dabei geht es um den Einsatz von Künstlicher Intelligenz zur Erkennung und Unterstützung der strafrechtlichen Bewertung von Hass-Postings im Netz.
Zudem, so heißt es aus Kreisen der ZITiS, interessiere man sich auch sehr dafür, welchen Nutzen sogenannte "Smart Home Devices" für Polizei und Geheimdienste haben können, also Haushaltsgegenstände mit Internetverbindung. Was können zum Beispiel die Daten aus einem Staubsaugerroboter oder internetbasierten Lautsprecher über einen Mordfall verraten?
Begrenzte Kompetenzen
ZITiS darf gemäß derzeitiger Rechtsgrundlage keine eigenen Überwachungsmaßnahmen durchführen oder Beweismittel aus Strafverfahren bearbeiten. Außerdem unterstützt ZITiS grundsätzlich nur die Behörden des Bundes und darf nur in Ausnahmefällen in Amtshilfe für Landespolizeien und Verfassungsschutzämter tätig werden. Dies ist bislang vereinzelt geschehen.
Im Sommer 2019 schickte etwa das Berliner Landeskriminalamt (LKA) ein Mobiltelefon und die verschlüsselten Daten eines Laptops zu ZITiS. Die Geräte waren bei einem Rechtsextremisten beschlagnahmt worden, der als Hauptverdächtiger einer Anschlagsserie in Berlin-Neukölln gilt. Der Versuch der Münchner IT-Experten, die Beweismittel mit Hilfe von Hochleistungsrechnern zu entschlüsseln, blieb jedoch erfolglos.
Die nordrhein-westfälische Polizei bat in diesem Jahr bei einem Fall eines großen Verfahren aus dem Bereich des Kindesmissbrauches und der Herstellung von Kinderpornografie ebenfalls die ZITiS um Unterstützung.
Was wird aus dem "Staatstrojaner"?
Und der "Staatstrojaner"? Das umstrittene Cyberwerkzeug gibt es schon, allerdings bislang nur für die Polizei. Das BKA besitzt mehrere Versionen, drei davon sind inzwischen für den Einsatz freigegeben worden. Zwei Programme sind Eigenentwicklungen, zusätzlich wurde ein kommerzielles Produkt eingekauft, das Programm FinSpy der Firma FinFisher.
Eingesetzt wurden die "Staatstrojaner" bislang allerdings kaum - jedenfalls in Strafverfahren. In Fällen der Gefahrenabwehr hat das BKA die Software schon verwendet, dabei soll sich der Einsatz allerdings als äußert aufwendig und kompliziert erwiesen haben.
Bei der Spähsoftware für die Geheimdienste wird ZITiS wohl eine entscheidende Rolle einnehmen. Ob sie allerdings selbst entwickelt wird, ist fraglich. Zwar betont man in München stets, wie wichtig die "digitale Souveränität" für die Sicherheitsbehörden sei. Tatsächlich aber gehört der Kontakt zur Privatwirtschaft und die Marktsichtung sehr wohl zu den Aufgaben der ZITiS. Die Zentralstelle geht also nicht selbst auf Einkaufstour - aber sie berät die Geheimdienste, welcher Kauf sich lohnen könnte.