 |
# taz.de -- Spionagebehörde Zitis in Deutschland: Backdoor im Gesetz |
|
|
|
> Eine neue Spitzelbehörde soll für die Regierung Trojaner entwickeln und |
|
> Schutzlücken kaufen. Am Donnerstag kommt sie – durch die Hintertür. |
|
|
 |
Bild: Alles sehen, alles hören, alles riechen – kurz: Zitis |
|
|
|
BERLIN taz | Berge von Papier, kaum zu durchdringen: Es sind 2.974 Seiten, |
|
die am Donnerstag ab 13 Uhr im Deutschen Bundestag, Paul-Löbe-Haus, Raum |
|
2.400, im Mittelpunkt einer langen Verhandlung stehen werden. |
|
Bereinigungssitzung. Bundeshaushalt. |
|
|
|
Auf all diesen Seiten steht in Tabellen, Zahlen und Worten, wofür der |
|
deutsche Staat im Jahr 2017 sein Geld ausgeben will. An diesem Donnerstag |
|
werden die Haushaltspolitiker des Parlaments darüber befinden. Und wenn sie |
|
das getan haben, wird bald darauf eine neue deutsche Behörde entstehen, |
|
deren Stellenplan auf Seite 222 erfasst ist und die noch für allerlei |
|
Diskussionen sorgen dürfte – wenn es dafür längst zu spät ist. |
|
|
|
Es ist eine Spionagebehörde, eine Trojaner- und Hackerbehörde, und es ist, |
|
wenn alles so kommt wie geplant, die größte deutsche Behörde ihrer Art: |
|
Zitis. Oder in Langform: Zentrale Stelle für Informationstechnik im |
|
Sicherheitsbereich. |
|
|
|
Das Besondere an ihr: Sie soll ohne ein Errichtungsgesetz entstehen. Ein |
|
paar Abgeordnete im Haushaltsausschuss winken sie am Donnerstag durch, Ende |
|
November wird der Haushalt dann offiziell beschlossen. Und anschließend |
|
muss Bundesinnenminister Thomas de Maizière nur noch eines tun: Befehlen, |
|
dass es die Behörde gibt. Aus dem Bundesinnenministerium heißt es dazu: |
|
„Sie wird unmittelbar nach Verabschiedung des Haushaltes errichtet und wird |
|
im Endausbau etwa 400 Stellen umfassen.“ |
|
|
|
Das ist bemerkenswert. Selten wurde eine Behörde dieses Formats so still |
|
geschaffen und errichtet. Dabei kommt ihr künftig eine zentrale und |
|
besondere Bedeutung für die Sicherheitsarchitektur der deutschen |
|
Ermittlungsbehörden zu. Es geht um die Frage, wie der deutsche Staat |
|
Terroristen fängt, aber auch darum, wie er mit den Grundrechten seiner |
|
Bürger und mit Sicherheitslücken im Internet umgeht. |
|
|
|
Zitis – was soll das sein? |
|
|
|
Seit langem schon bemängeln Ermittler in Deutschland, dass ihnen zu oft die |
|
Hände gebunden seien – etwa, wenn sie bei Ermittlungen auf verschlüsselte |
|
Handykommunikation stoßen. Ihr Wunsch: Sie würden gern besser in der Lage |
|
sein, verschlüsselte Kommunikation aufzubrechen oder zu umgehen, etwa wenn |
|
Menschen Apps auf ihren Handys nutzen, die kryptografische |
|
Verschlüsselungsverfahren benutzen. Genau dabei soll die neue Behörde |
|
künftig behilflich sein. |
|
|
|
Zum Hintergrund: Schon seit es digitale Verschlüsselungsverfahren gibt, ist |
|
die Technik umkämpft und ihr Stellenwert politisch bedeutsam. Bereits in |
|
den 90er-Jahren gab es etwa in den USA symbolträchtige |
|
Auseinandersetzungen. Im Rahmen der sogenannten „Crypto Wars“ wollte die |
|
US-Regierung versuchen, die Entwicklung von Verschlüsselungssoftware unter |
|
Genehmigungsvorbehalt zu stellen und ihren Export kontrollieren. |
|
|
|
Die Idee: Der Staat sollte verschlüsseln können, seine Bürger und auch |
|
seine Gegner aber nicht. Das scheiterte damals. Bis heute wird diese Frage |
|
jedoch immer wieder aufgebracht, vor allem von Nachrichtendiensten und |
|
Ermittlungsbehörden. Bürgerrechtler und Unternehmen dagegen warnen davor, |
|
dass die grundsätzliche Schwächung von Verschlüsselungsverfahren auch eine |
|
generelle Schwächung der Sicherheit im Netz nach sich zieht. |
|
|
|
Das Thema Verschlüsselung ist wichtig für alle, die im Netz mit sensiblen |
|
Daten verkehren: Da sind Kriminelle, ja, die nicht bei Verabredungen |
|
gestört werden wollen. Da sind abr auch: Aktivistinnen oder Journalisten, |
|
die – wie nun in der Türkei – in ihren Heimatländern politische Verfolgung |
|
fürchten oder schlicht ihre Quellen schützen wollen. Zuletzt ist da noch: |
|
Die deutsche Industrie, die sowohl ihre Patente als auch ihre |
|
Kommunikations- und Produktionswege sichern will. |
|
|
|
Was sagt die Bundesregierung? |
|
|
|
Die deutsche Bundesregierung geht deshalb im internationalen Vergleich |
|
einen interessanten Sonderweg: Sie bekennt sich offiziell dazu, |
|
Verschlüsselungsmechanismen zu fördern und auch in der Breite zu einem |
|
Durchbruch verhelfen zu wollen. Geregelt ist das in der sogenannten |
|
Krypto-Eckpunkte-Erklärung der Bundesregierung von 1999. |
|
|
|
Auch in jüngster Zeit, als etwa auf europäischer Ebene die Frage nach einer |
|
Schwächung von Verschlüsselungsverfahren wieder aufgeworfen wurde, bekannte |
|
sich die Bundesregierung explizit zu dieser Position. Offiziell heißt es: |
|
Es sollen keine Anstrengungen unternommen werden, um |
|
Verschlüsselungsverfahren zu schwächen. Auch sollen keine staatlichen |
|
Hintertüren in Produkte eingebaut werden, die den Behörden den direkten |
|
Durchgriff auf bestimmte Produkte ermöglichen. |
|
|
|
Beides hört sich für Bürgerrechtler gut an, ist aber nur ein Teil der |
|
Wahrheit. Faktisch, sagen Mathematiker und Kryptologen, ist es für die |
|
nächsten Jahre und Jahrzehnte absehbar ohnehin nicht möglich, eine gute |
|
Verschlüsselungstechnik aufzubrechen. Das hat schlicht mit mathematischen |
|
Prinzipien, Rechnerkapazitäten und dem Stand der Technik zu tun. |
|
|
|
Zweitens sind die relevanten Unternehmen, bei denen Hintertüren von Wert |
|
wären, wie etwa der Chatdienst WhatsApp, meist nicht in Deutschland |
|
ansässig. Die Bundesregierung könnte sie kaum effektiv zum Einbau von |
|
Hintertüren veranlassen. Daher kann die Regierung problemlos bekennen, dass |
|
sie auf diesen Feldern nicht aktiv ist. Es wäre, technisch gesprochen, ein |
|
verlorener Kampf. |
|
|
|
Stattdessen konzentrieren sich die Ermittlungsbehörden auf eine zentrale |
|
Schaltstelle, die es ebenfalls ermöglicht, Kommunikation abzufangen: Statt |
|
bereits verschlüsselte Kommunikation zu entschlüsseln, muss diese dann eben |
|
abgefangen werden, bevor sie überhaupt verschlüsselt wird. Das geht |
|
entweder durch Überwachungsprogramme auf Computern und Smartphones oder |
|
durch das Abfangen von Daten noch während diese getippt werden – zum |
|
Beispiel durch das Aufzeichnen sämtlicher Tastenanschläge oder das |
|
regelmäßige Erstellen von Bildschirmfotos, die dann heimlich ausgeleitet |
|
werden. |
|
|
|
Für derlei Vorgehen hat das Bundesverfassungsgericht 2008 am Beispiel des |
|
sogenannten Staatstrojaners allerdings enge Vorgaben gemacht. |
|
|
|
Hinzu kommt: In der Praxis scheinen die Ermittlungsbehörden – Bundespolizei |
|
und Landespolizeien genau wie die Verfassungsschutzämter – mit dem Einsatz |
|
von Staatstrojanern jedoch immer wieder auf Probleme zu stoßen. Denn im |
|
Kern lässt sich sagen: Zwar soll das Bundeskriminalamt derzeit |
|
Hilfestellungen bei Entwicklung und Umsetzung solcher Spähangriffe geben. |
|
Eine zentrale Kompetenzstelle für Überwachung, die sämtlichen Behörden |
|
zuliefert und sich allein darauf konzentrieren kann, gibt es jedoch bislang |
|
nicht. |
|
|
|
Genau diese Lücke soll nun jene Behörde füllen, die sich Zitis nennt. Es |
|
gibt durchaus sachliche Gründe für eine solche Behörde: Macht es wirklich |
|
Sinn, dass all die dutzenden Landespolizeien, die Bundespolizei, das |
|
Bundeskriminalamt, das Bundesamt für Verfassungsschutz und all die |
|
Landesämter für Verfassungsschutz ihr jeweils eigenes Süppchen kochen? |
|
Lässt sich dies nicht effektiver aus einer Hand organisieren? |
|
|
|
Wieso stört sich wohl niemand daran? |
|
|
|
Andererseits: Wenn die Aufgaben dieser dutzenden föderalen Behörden, die |
|
aus historischen Gründen dezentral organisiert sind, nun immer mehr |
|
zentralisiert und um eine waschechte Trojanerbehörde ergänzt werden sollen |
|
– wieso wird dann über den Auftrag und die Grenzen dieser Behörde so wenig |
|
diskutiert? Zwar stellte das Bundesinnenministerium die Pläne bereits vor |
|
Monaten vor. Doch offenbar reibt sich kaum jemand daran, dass die |
|
Kompetenzen der neuen Stelle weitgehend ungeklärt sind – und ihre |
|
Mitarbeiter demnach auch künftig im Verborgenen arbeiten können. |
|
|
|
Das Bundesinnenminsterium will für das kommende Jahr bereits Mittel in Höhe |
|
von 12,5 Millionen Euro einstellen. Davon sollen knapp 2,5 Millionen Euro |
|
für zunächst rund 60 Mitarbeiter eingeplant werden; später sollen es dann |
|
400 Mitarbeiter werden. Sechs Millionen Euro stehen bereits 2017 für |
|
„Aufträge und Dienstleistungen im Bereich der Informationstechnik“ zur |
|
Verfügung. Und vier Millionen Euro sind vorgesehen für den „Erwerb von |
|
Anlagen, Geräten, Ausstattungs- und Ausrüstungsgegenständen sowie Software |
|
im Bereich Informationstechnik“. |
|
|
|
Dahinter verbirgt sich etwas ganz einfaches: Zitis ist die Stelle, die |
|
künftig die deutschen Staatstrojaner entwickeln wird. Zitis ist die Stelle, |
|
in der die deutschen Kompetenzen zum Hacken, Spitzeln, Spionieren gebündelt |
|
werden sollen. Und Zitis ist die Stelle, die mitunter auch |
|
Sicherheitslücken auf dem Schwarzmarkt aufspüren und aufkaufen könnte, um |
|
diese zu eigenen Zwecken zu benutzen. Das allein wirft eine Frage auf, die |
|
zu klären ist: Wie weit gehen eigentlich die Befugnisse dieser Behörde? |
|
|
|
Geht es nach dem Bundesinnenministerium, soll Zitis so schnell wie möglich |
|
seine Arbeit aufnehmen. Anders etwa als das Bundesamt für Sicherheit in der |
|
Informationstechnik (BSI) mit Sitz in Bonn, das wesentlich defensiver |
|
ausgerichtet ist als die neue Behörde und das auf einem eigenen Gesetz |
|
fußt, will Innenminister der Maizière Zitis schlicht mit einem sogenannten |
|
Organisationserlass einrichten. Übersetzt: par ordre de Mufti. |
|
|
|
Politisch geht ihm das durch, weil sich im Deutschen Parlament kaum ein |
|
Abgeordneter für die neue Behörde interessiert oder gesetzliche Leitplanken |
|
festlegen will. Zwar gibt es auch in der SPD einige Abgeordnete, die |
|
rhetorisch so tun, als gäbe es an der Behörde und ihrem Zustandekommen |
|
einiges zu kritisieren – in Frage gestellt wird in Regierungsreihen jedoch |
|
weder das Projekt an sich, noch dessen rechtliche Grundlage und die Art |
|
seines Zustandekommens. Das mag auch daran liegen, dass selbst viele |
|
Befürworter daran zweifeln, ob der Staat überhaupt in der Lage ist, |
|
ordentliches Personal zu rekrutieren. |
|
|
|
Politisch geht es durch – und juristisch? |
|
|
|
Juristisch dagegen könnte die Gründung der Behörde viel Material für eine |
|
Schlacht unter Rechtswissenschaftlern hergeben. Warum? Vereinfacht |
|
zusammengefasst: Die Errichtung einer Behörde muss wie jedes andere |
|
Regierungshandeln zumindest dann gesetzlich geregelt werden, wenn diese |
|
Behörde „wesentliche“ Aufgaben übernimmt. Was jedoch wesentlich ist und w… |
|
nicht, ist unter JuristInnen umstritten. Gemeinhin gilt, wieder vereinfacht |
|
gesagt, dass eine Behörde dann wesentliche Aufgaben übernimmt, wenn sie |
|
Grundrechtseingriffe vornimmt oder grundrechtsrelevante Tätigkeiten |
|
ausführt. |
|
|
|
Bei Zitis verhält es sich wie folgt: Zwar soll die Stelle gebündelt und für |
|
nahezu alle deutschen Ermittlungs- und Verfassungsschutzbehörden „Methoden, |
|
Produkte und Strategien“ zur Überwachung und Ausspähung entwickeln. |
|
Allerdings soll sie diese anschließend nicht selber einsetzen – sondern |
|
weiterreichen. Der Grundrechtseingriff wird also nicht durch die Behörde |
|
selbst durchgeführt, durch diese aber ermöglicht. Ist das wesentlich oder |
|
unwesentlich? Ist es mittelbar oder unmittelbar? |
|
|
|
Zumindest der Grundrechtseingriff selbst wird ja immer unmittelbar sein. |
|
|
|
Die Bundesregierung argumentiert nun, dass „die Umsetzung der Maßnahmen im |
|
Einzelnen in der Befugnis der jeweils zuständigen Behörde bleibt.“ (…) Au… |
|
die Befugnisse der Sicherheitsbehörden blieben ausnahmslos bestehen und |
|
würden durch die Einrichtung einer zentralen Stelle nicht berührt oder |
|
ausgeweitet, heißt es aus dem Bundesinnenministerium. Übersetzt: Es gibt |
|
zwar einen neuen Service-Dienstleister und künftig tiefere |
|
Eingriffsmöglichkeiten, aber keinen neuen Regelungsbedarf. |
|
|
|
Das ist eine der möglichen Rechtspositionen. Dass die Bundesregierung mit |
|
dieser Rechtsposition durchkommt, ist wahrscheinlich. Denn dies sagt doch |
|
schon ein altes Sprichwort: Wo kein Kläger ist, da ist auch kein Richter. |
|
|
|
Wenn Donnerstagnacht oder Freitagfrüh der Haushaltsausschuss im Deutschen |
|
Bundestag nach langer Sitzung auseinander geht, wird schon bald darauf eine |
|
neue Behörde geboren werden. Sie wird groß werden und stark und es wird |
|
dann schwerlich zu prüfen sein, was die neue deutsche Trojanerbehörde |
|
namens Zitis eigentlich tut, weil es nicht gesetzlich geregelt ist. |
|
|
|
9 Nov 2016 |
|
|
|
## AUTOREN |
|
|
 |
Martin Kaul |
|
|
|
## TAGS |
|
|
|
Staatstrojaner |
|
Schwerpunkt Überwachung |
|
Verschlüsselung |
|
Internet der Dinge |
|
Schwerpunkt Überwachung |
|
Schwerpunkt Überwachung |
|
re:publica |
|
Missbrauch |
|
Schwerpunkt Überwachung |
|
Schwerpunkt Anschlag auf Berliner Weihnachtsmarkt |
|
Hacker |
|
Spähsoftware |
|
Hackerangriff |
|
Schwerpunkt Überwachung |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Gegenangriffe zu Cyberattacken: Innenminister will zurückhacken |
|
|
|
Eine mögliche Jamaika-Koalition will die Cyberabwehr zentralisieren. |
|
Innenminister de Maizière möchte auch Gegenangriffe starten können. |
|
|
|
Große Koalition will den Staatstrojaner: Der Spion in deinem Handy |
|
|
|
Telefone und Computer sollen zur Strafverfolgung mit Spionagesoftware |
|
gehackt werden können. Die Technik dafür hat Grenzen – noch. |
|
|
|
Kommentar Online-Durchsuchungen: Heiko „Otto“ Maas |
|
|
|
Ausgerechnet der sich links fühlende Justizminister Heiko Maas setzt die |
|
innenpolitischen Prestigeprojekte von CDU und CSU durch. |
|
|
|
De Maizière auf der Re:publica: Eifersüchtig auf Facebook |
|
|
|
Der Bundesinnenminister gibt auf der Netzkonferenz den Digitalpolitiker. |
|
Netzaktive kritisieren seine Rolle bei Überwachung und Sicherheit. |
|
|
|
Polizei kann Festplatte nicht knacken: Verborgene Verbrechen |
|
|
|
„Maskenmann“ N. wurde als Mörder verurteilt. Die Polizei vermutet Spuren |
|
weiterer Verbrechen auf einer Festplatte, kommt aber nicht an die Daten. |
|
|
|
33C3 – CCC-Kongress in Hamburg: Funktioniert das? |
|
|
|
„Funktioniert für mich“ heißt das Motto des diesjährigen Hackertreffens. |
|
Doch es geht in Hamburg eher darum, dass vieles nicht für alle |
|
funktioniert. |
|
|
|
Innenpolitiker über Sicherheitspolitik: „Videoüberwachung wird überschätz… |
|
|
|
Muss die Linke jetzt ihre Kritik an Kameras überdenken? Der Innenpolitiker |
|
Frank Tempel war früher Kriminalbeamter – und sagt trotzdem „nein“. |
|
|
|
Telekom und Cyberkriminalität: Wer haftet für Hacker? |
|
|
|
Die Telekom fordert eine gesetzliche Update-Pflicht für Soft- und |
|
Hardwarefirmen. 900.000 ihrer Kunden waren Opfer einer Cyberattacke. |
|
|
|
Deutsche Trojaner im Ausland: Öffne deine Augen |
|
|
|
In Uganda wurden Journalisten und Oppositionelle mit deutscher Spähsoftware |
|
überwacht. Heute brauchen Firmen eine Ausfuhrgenehmigung. |
|
|
|
Neues IT-Sicherheitsgesetz: Vorratsdatenspeicherung plus Eins |
|
|
|
Mit einem neuen IT-Sicherheitsgesetz will die Regierung die Bürger |
|
angeblich besser beschützen. Profitieren wird vor allem das |
|
Innenministerium. |
|
|
|
E-Mail-Überwachung durch den BND: Ein Spampostfach voller "Bomben" |
|
|
|
Der BND liest regelmäßig E-Mails mit bestimmten Suchworten. 2010 |
|
verfünffachte sich die Zahl auf zehn Millionen. Dabei ist die Kontrollwut |
|
sehr unergiebig. |
|
|
|
Überwachung per "stiller SMS": Dein Handy als ganz persönlicher Spion |
|
|
|
Allein in Nordrhein-Westfalen ortet die Polizei Tausende Mobiltelefone. |
|
Linke, Piraten und Grüne fürchten Missbrauch und fordern eine bessere |
|
richterliche Kontrolle. |
|
|
|
Ethical Hacker über digitale Zerstörung: "Hacker sind Künstler" |
|
|
|
Cyber-Attacken hat er den Krieg erklärt. Trotzdem findet der |
|
IT-Sicherheitsbeauftragte Michael Schönborn durchaus Worte der Bewunderung |
|
für eine Zunft, die er eigentlich bekämpft. |
