# taz.de -- Spionagebehörde Zitis in Deutschland: Backdoor im Gesetz | |
> Eine neue Spitzelbehörde soll für die Regierung Trojaner entwickeln und | |
> Schutzlücken kaufen. Am Donnerstag kommt sie – durch die Hintertür. | |
Bild: Alles sehen, alles hören, alles riechen – kurz: Zitis | |
BERLIN taz | Berge von Papier, kaum zu durchdringen: Es sind 2.974 Seiten, | |
die am Donnerstag ab 13 Uhr im Deutschen Bundestag, Paul-Löbe-Haus, Raum | |
2.400, im Mittelpunkt einer langen Verhandlung stehen werden. | |
Bereinigungssitzung. Bundeshaushalt. | |
Auf all diesen Seiten steht in Tabellen, Zahlen und Worten, wofür der | |
deutsche Staat im Jahr 2017 sein Geld ausgeben will. An diesem Donnerstag | |
werden die Haushaltspolitiker des Parlaments darüber befinden. Und wenn sie | |
das getan haben, wird bald darauf eine neue deutsche Behörde entstehen, | |
deren Stellenplan auf Seite 222 erfasst ist und die noch für allerlei | |
Diskussionen sorgen dürfte – wenn es dafür längst zu spät ist. | |
Es ist eine Spionagebehörde, eine Trojaner- und Hackerbehörde, und es ist, | |
wenn alles so kommt wie geplant, die größte deutsche Behörde ihrer Art: | |
Zitis. Oder in Langform: Zentrale Stelle für Informationstechnik im | |
Sicherheitsbereich. | |
Das Besondere an ihr: Sie soll ohne ein Errichtungsgesetz entstehen. Ein | |
paar Abgeordnete im Haushaltsausschuss winken sie am Donnerstag durch, Ende | |
November wird der Haushalt dann offiziell beschlossen. Und anschließend | |
muss Bundesinnenminister Thomas de Maizière nur noch eines tun: Befehlen, | |
dass es die Behörde gibt. Aus dem Bundesinnenministerium heißt es dazu: | |
„Sie wird unmittelbar nach Verabschiedung des Haushaltes errichtet und wird | |
im Endausbau etwa 400 Stellen umfassen.“ | |
Das ist bemerkenswert. Selten wurde eine Behörde dieses Formats so still | |
geschaffen und errichtet. Dabei kommt ihr künftig eine zentrale und | |
besondere Bedeutung für die Sicherheitsarchitektur der deutschen | |
Ermittlungsbehörden zu. Es geht um die Frage, wie der deutsche Staat | |
Terroristen fängt, aber auch darum, wie er mit den Grundrechten seiner | |
Bürger und mit Sicherheitslücken im Internet umgeht. | |
Zitis – was soll das sein? | |
Seit langem schon bemängeln Ermittler in Deutschland, dass ihnen zu oft die | |
Hände gebunden seien – etwa, wenn sie bei Ermittlungen auf verschlüsselte | |
Handykommunikation stoßen. Ihr Wunsch: Sie würden gern besser in der Lage | |
sein, verschlüsselte Kommunikation aufzubrechen oder zu umgehen, etwa wenn | |
Menschen Apps auf ihren Handys nutzen, die kryptografische | |
Verschlüsselungsverfahren benutzen. Genau dabei soll die neue Behörde | |
künftig behilflich sein. | |
Zum Hintergrund: Schon seit es digitale Verschlüsselungsverfahren gibt, ist | |
die Technik umkämpft und ihr Stellenwert politisch bedeutsam. Bereits in | |
den 90er-Jahren gab es etwa in den USA symbolträchtige | |
Auseinandersetzungen. Im Rahmen der sogenannten „Crypto Wars“ wollte die | |
US-Regierung versuchen, die Entwicklung von Verschlüsselungssoftware unter | |
Genehmigungsvorbehalt zu stellen und ihren Export kontrollieren. | |
Die Idee: Der Staat sollte verschlüsseln können, seine Bürger und auch | |
seine Gegner aber nicht. Das scheiterte damals. Bis heute wird diese Frage | |
jedoch immer wieder aufgebracht, vor allem von Nachrichtendiensten und | |
Ermittlungsbehörden. Bürgerrechtler und Unternehmen dagegen warnen davor, | |
dass die grundsätzliche Schwächung von Verschlüsselungsverfahren auch eine | |
generelle Schwächung der Sicherheit im Netz nach sich zieht. | |
Das Thema Verschlüsselung ist wichtig für alle, die im Netz mit sensiblen | |
Daten verkehren: Da sind Kriminelle, ja, die nicht bei Verabredungen | |
gestört werden wollen. Da sind abr auch: Aktivistinnen oder Journalisten, | |
die – wie nun in der Türkei – in ihren Heimatländern politische Verfolgung | |
fürchten oder schlicht ihre Quellen schützen wollen. Zuletzt ist da noch: | |
Die deutsche Industrie, die sowohl ihre Patente als auch ihre | |
Kommunikations- und Produktionswege sichern will. | |
Was sagt die Bundesregierung? | |
Die deutsche Bundesregierung geht deshalb im internationalen Vergleich | |
einen interessanten Sonderweg: Sie bekennt sich offiziell dazu, | |
Verschlüsselungsmechanismen zu fördern und auch in der Breite zu einem | |
Durchbruch verhelfen zu wollen. Geregelt ist das in der sogenannten | |
Krypto-Eckpunkte-Erklärung der Bundesregierung von 1999. | |
Auch in jüngster Zeit, als etwa auf europäischer Ebene die Frage nach einer | |
Schwächung von Verschlüsselungsverfahren wieder aufgeworfen wurde, bekannte | |
sich die Bundesregierung explizit zu dieser Position. Offiziell heißt es: | |
Es sollen keine Anstrengungen unternommen werden, um | |
Verschlüsselungsverfahren zu schwächen. Auch sollen keine staatlichen | |
Hintertüren in Produkte eingebaut werden, die den Behörden den direkten | |
Durchgriff auf bestimmte Produkte ermöglichen. | |
Beides hört sich für Bürgerrechtler gut an, ist aber nur ein Teil der | |
Wahrheit. Faktisch, sagen Mathematiker und Kryptologen, ist es für die | |
nächsten Jahre und Jahrzehnte absehbar ohnehin nicht möglich, eine gute | |
Verschlüsselungstechnik aufzubrechen. Das hat schlicht mit mathematischen | |
Prinzipien, Rechnerkapazitäten und dem Stand der Technik zu tun. | |
Zweitens sind die relevanten Unternehmen, bei denen Hintertüren von Wert | |
wären, wie etwa der Chatdienst WhatsApp, meist nicht in Deutschland | |
ansässig. Die Bundesregierung könnte sie kaum effektiv zum Einbau von | |
Hintertüren veranlassen. Daher kann die Regierung problemlos bekennen, dass | |
sie auf diesen Feldern nicht aktiv ist. Es wäre, technisch gesprochen, ein | |
verlorener Kampf. | |
Stattdessen konzentrieren sich die Ermittlungsbehörden auf eine zentrale | |
Schaltstelle, die es ebenfalls ermöglicht, Kommunikation abzufangen: Statt | |
bereits verschlüsselte Kommunikation zu entschlüsseln, muss diese dann eben | |
abgefangen werden, bevor sie überhaupt verschlüsselt wird. Das geht | |
entweder durch Überwachungsprogramme auf Computern und Smartphones oder | |
durch das Abfangen von Daten noch während diese getippt werden – zum | |
Beispiel durch das Aufzeichnen sämtlicher Tastenanschläge oder das | |
regelmäßige Erstellen von Bildschirmfotos, die dann heimlich ausgeleitet | |
werden. | |
Für derlei Vorgehen hat das Bundesverfassungsgericht 2008 am Beispiel des | |
sogenannten Staatstrojaners allerdings enge Vorgaben gemacht. | |
Hinzu kommt: In der Praxis scheinen die Ermittlungsbehörden – Bundespolizei | |
und Landespolizeien genau wie die Verfassungsschutzämter – mit dem Einsatz | |
von Staatstrojanern jedoch immer wieder auf Probleme zu stoßen. Denn im | |
Kern lässt sich sagen: Zwar soll das Bundeskriminalamt derzeit | |
Hilfestellungen bei Entwicklung und Umsetzung solcher Spähangriffe geben. | |
Eine zentrale Kompetenzstelle für Überwachung, die sämtlichen Behörden | |
zuliefert und sich allein darauf konzentrieren kann, gibt es jedoch bislang | |
nicht. | |
Genau diese Lücke soll nun jene Behörde füllen, die sich Zitis nennt. Es | |
gibt durchaus sachliche Gründe für eine solche Behörde: Macht es wirklich | |
Sinn, dass all die dutzenden Landespolizeien, die Bundespolizei, das | |
Bundeskriminalamt, das Bundesamt für Verfassungsschutz und all die | |
Landesämter für Verfassungsschutz ihr jeweils eigenes Süppchen kochen? | |
Lässt sich dies nicht effektiver aus einer Hand organisieren? | |
Wieso stört sich wohl niemand daran? | |
Andererseits: Wenn die Aufgaben dieser dutzenden föderalen Behörden, die | |
aus historischen Gründen dezentral organisiert sind, nun immer mehr | |
zentralisiert und um eine waschechte Trojanerbehörde ergänzt werden sollen | |
– wieso wird dann über den Auftrag und die Grenzen dieser Behörde so wenig | |
diskutiert? Zwar stellte das Bundesinnenministerium die Pläne bereits vor | |
Monaten vor. Doch offenbar reibt sich kaum jemand daran, dass die | |
Kompetenzen der neuen Stelle weitgehend ungeklärt sind – und ihre | |
Mitarbeiter demnach auch künftig im Verborgenen arbeiten können. | |
Das Bundesinnenminsterium will für das kommende Jahr bereits Mittel in Höhe | |
von 12,5 Millionen Euro einstellen. Davon sollen knapp 2,5 Millionen Euro | |
für zunächst rund 60 Mitarbeiter eingeplant werden; später sollen es dann | |
400 Mitarbeiter werden. Sechs Millionen Euro stehen bereits 2017 für | |
„Aufträge und Dienstleistungen im Bereich der Informationstechnik“ zur | |
Verfügung. Und vier Millionen Euro sind vorgesehen für den „Erwerb von | |
Anlagen, Geräten, Ausstattungs- und Ausrüstungsgegenständen sowie Software | |
im Bereich Informationstechnik“. | |
Dahinter verbirgt sich etwas ganz einfaches: Zitis ist die Stelle, die | |
künftig die deutschen Staatstrojaner entwickeln wird. Zitis ist die Stelle, | |
in der die deutschen Kompetenzen zum Hacken, Spitzeln, Spionieren gebündelt | |
werden sollen. Und Zitis ist die Stelle, die mitunter auch | |
Sicherheitslücken auf dem Schwarzmarkt aufspüren und aufkaufen könnte, um | |
diese zu eigenen Zwecken zu benutzen. Das allein wirft eine Frage auf, die | |
zu klären ist: Wie weit gehen eigentlich die Befugnisse dieser Behörde? | |
Geht es nach dem Bundesinnenministerium, soll Zitis so schnell wie möglich | |
seine Arbeit aufnehmen. Anders etwa als das Bundesamt für Sicherheit in der | |
Informationstechnik (BSI) mit Sitz in Bonn, das wesentlich defensiver | |
ausgerichtet ist als die neue Behörde und das auf einem eigenen Gesetz | |
fußt, will Innenminister der Maizière Zitis schlicht mit einem sogenannten | |
Organisationserlass einrichten. Übersetzt: par ordre de Mufti. | |
Politisch geht ihm das durch, weil sich im Deutschen Parlament kaum ein | |
Abgeordneter für die neue Behörde interessiert oder gesetzliche Leitplanken | |
festlegen will. Zwar gibt es auch in der SPD einige Abgeordnete, die | |
rhetorisch so tun, als gäbe es an der Behörde und ihrem Zustandekommen | |
einiges zu kritisieren – in Frage gestellt wird in Regierungsreihen jedoch | |
weder das Projekt an sich, noch dessen rechtliche Grundlage und die Art | |
seines Zustandekommens. Das mag auch daran liegen, dass selbst viele | |
Befürworter daran zweifeln, ob der Staat überhaupt in der Lage ist, | |
ordentliches Personal zu rekrutieren. | |
Politisch geht es durch – und juristisch? | |
Juristisch dagegen könnte die Gründung der Behörde viel Material für eine | |
Schlacht unter Rechtswissenschaftlern hergeben. Warum? Vereinfacht | |
zusammengefasst: Die Errichtung einer Behörde muss wie jedes andere | |
Regierungshandeln zumindest dann gesetzlich geregelt werden, wenn diese | |
Behörde „wesentliche“ Aufgaben übernimmt. Was jedoch wesentlich ist und w… | |
nicht, ist unter JuristInnen umstritten. Gemeinhin gilt, wieder vereinfacht | |
gesagt, dass eine Behörde dann wesentliche Aufgaben übernimmt, wenn sie | |
Grundrechtseingriffe vornimmt oder grundrechtsrelevante Tätigkeiten | |
ausführt. | |
Bei Zitis verhält es sich wie folgt: Zwar soll die Stelle gebündelt und für | |
nahezu alle deutschen Ermittlungs- und Verfassungsschutzbehörden „Methoden, | |
Produkte und Strategien“ zur Überwachung und Ausspähung entwickeln. | |
Allerdings soll sie diese anschließend nicht selber einsetzen – sondern | |
weiterreichen. Der Grundrechtseingriff wird also nicht durch die Behörde | |
selbst durchgeführt, durch diese aber ermöglicht. Ist das wesentlich oder | |
unwesentlich? Ist es mittelbar oder unmittelbar? | |
Zumindest der Grundrechtseingriff selbst wird ja immer unmittelbar sein. | |
Die Bundesregierung argumentiert nun, dass „die Umsetzung der Maßnahmen im | |
Einzelnen in der Befugnis der jeweils zuständigen Behörde bleibt.“ (…) Au… | |
die Befugnisse der Sicherheitsbehörden blieben ausnahmslos bestehen und | |
würden durch die Einrichtung einer zentralen Stelle nicht berührt oder | |
ausgeweitet, heißt es aus dem Bundesinnenministerium. Übersetzt: Es gibt | |
zwar einen neuen Service-Dienstleister und künftig tiefere | |
Eingriffsmöglichkeiten, aber keinen neuen Regelungsbedarf. | |
Das ist eine der möglichen Rechtspositionen. Dass die Bundesregierung mit | |
dieser Rechtsposition durchkommt, ist wahrscheinlich. Denn dies sagt doch | |
schon ein altes Sprichwort: Wo kein Kläger ist, da ist auch kein Richter. | |
Wenn Donnerstagnacht oder Freitagfrüh der Haushaltsausschuss im Deutschen | |
Bundestag nach langer Sitzung auseinander geht, wird schon bald darauf eine | |
neue Behörde geboren werden. Sie wird groß werden und stark und es wird | |
dann schwerlich zu prüfen sein, was die neue deutsche Trojanerbehörde | |
namens Zitis eigentlich tut, weil es nicht gesetzlich geregelt ist. | |
9 Nov 2016 | |
## AUTOREN | |
Martin Kaul | |
## TAGS | |
Staatstrojaner | |
Schwerpunkt Überwachung | |
Verschlüsselung | |
Internet der Dinge | |
Schwerpunkt Überwachung | |
Schwerpunkt Überwachung | |
re:publica | |
Missbrauch | |
Schwerpunkt Überwachung | |
Schwerpunkt Anschlag auf Berliner Weihnachtsmarkt | |
Hacker | |
Spähsoftware | |
Hackerangriff | |
Schwerpunkt Überwachung | |
Schwerpunkt Überwachung | |
## ARTIKEL ZUM THEMA | |
Gegenangriffe zu Cyberattacken: Innenminister will zurückhacken | |
Eine mögliche Jamaika-Koalition will die Cyberabwehr zentralisieren. | |
Innenminister de Maizière möchte auch Gegenangriffe starten können. | |
Große Koalition will den Staatstrojaner: Der Spion in deinem Handy | |
Telefone und Computer sollen zur Strafverfolgung mit Spionagesoftware | |
gehackt werden können. Die Technik dafür hat Grenzen – noch. | |
Kommentar Online-Durchsuchungen: Heiko „Otto“ Maas | |
Ausgerechnet der sich links fühlende Justizminister Heiko Maas setzt die | |
innenpolitischen Prestigeprojekte von CDU und CSU durch. | |
De Maizière auf der Re:publica: Eifersüchtig auf Facebook | |
Der Bundesinnenminister gibt auf der Netzkonferenz den Digitalpolitiker. | |
Netzaktive kritisieren seine Rolle bei Überwachung und Sicherheit. | |
Polizei kann Festplatte nicht knacken: Verborgene Verbrechen | |
„Maskenmann“ N. wurde als Mörder verurteilt. Die Polizei vermutet Spuren | |
weiterer Verbrechen auf einer Festplatte, kommt aber nicht an die Daten. | |
33C3 – CCC-Kongress in Hamburg: Funktioniert das? | |
„Funktioniert für mich“ heißt das Motto des diesjährigen Hackertreffens. | |
Doch es geht in Hamburg eher darum, dass vieles nicht für alle | |
funktioniert. | |
Innenpolitiker über Sicherheitspolitik: „Videoüberwachung wird überschätz… | |
Muss die Linke jetzt ihre Kritik an Kameras überdenken? Der Innenpolitiker | |
Frank Tempel war früher Kriminalbeamter – und sagt trotzdem „nein“. | |
Telekom und Cyberkriminalität: Wer haftet für Hacker? | |
Die Telekom fordert eine gesetzliche Update-Pflicht für Soft- und | |
Hardwarefirmen. 900.000 ihrer Kunden waren Opfer einer Cyberattacke. | |
Deutsche Trojaner im Ausland: Öffne deine Augen | |
In Uganda wurden Journalisten und Oppositionelle mit deutscher Spähsoftware | |
überwacht. Heute brauchen Firmen eine Ausfuhrgenehmigung. | |
Neues IT-Sicherheitsgesetz: Vorratsdatenspeicherung plus Eins | |
Mit einem neuen IT-Sicherheitsgesetz will die Regierung die Bürger | |
angeblich besser beschützen. Profitieren wird vor allem das | |
Innenministerium. | |
E-Mail-Überwachung durch den BND: Ein Spampostfach voller "Bomben" | |
Der BND liest regelmäßig E-Mails mit bestimmten Suchworten. 2010 | |
verfünffachte sich die Zahl auf zehn Millionen. Dabei ist die Kontrollwut | |
sehr unergiebig. | |
Überwachung per "stiller SMS": Dein Handy als ganz persönlicher Spion | |
Allein in Nordrhein-Westfalen ortet die Polizei Tausende Mobiltelefone. | |
Linke, Piraten und Grüne fürchten Missbrauch und fordern eine bessere | |
richterliche Kontrolle. | |
Ethical Hacker über digitale Zerstörung: "Hacker sind Künstler" | |
Cyber-Attacken hat er den Krieg erklärt. Trotzdem findet der | |
IT-Sicherheitsbeauftragte Michael Schönborn durchaus Worte der Bewunderung | |
für eine Zunft, die er eigentlich bekämpft. |