# taz.de -- Spionagebehörde Zitis in Deutschland: Backdoor im Gesetz
> Eine neue Spitzelbehörde soll für die Regierung Trojaner entwickeln und
> Schutzlücken kaufen. Am Donnerstag kommt sie – durch die Hintertür.
(IMG) Bild: Alles sehen, alles hören, alles riechen – kurz: Zitis
BERLIN taz | Berge von Papier, kaum zu durchdringen: Es sind 2.974 Seiten,
die am Donnerstag ab 13 Uhr im Deutschen Bundestag, Paul-Löbe-Haus, Raum
2.400, im Mittelpunkt einer langen Verhandlung stehen werden.
Bereinigungssitzung. Bundeshaushalt.
Auf all diesen Seiten steht in Tabellen, Zahlen und Worten, wofür der
deutsche Staat im Jahr 2017 sein Geld ausgeben will. An diesem Donnerstag
werden die Haushaltspolitiker des Parlaments darüber befinden. Und wenn sie
das getan haben, wird bald darauf eine neue deutsche Behörde entstehen,
deren Stellenplan auf Seite 222 erfasst ist und die noch für allerlei
Diskussionen sorgen dürfte – wenn es dafür längst zu spät ist.
Es ist eine Spionagebehörde, eine Trojaner- und Hackerbehörde, und es ist,
wenn alles so kommt wie geplant, die größte deutsche Behörde ihrer Art:
Zitis. Oder in Langform: Zentrale Stelle für Informationstechnik im
Sicherheitsbereich.
Das Besondere an ihr: Sie soll ohne ein Errichtungsgesetz entstehen. Ein
paar Abgeordnete im Haushaltsausschuss winken sie am Donnerstag durch, Ende
November wird der Haushalt dann offiziell beschlossen. Und anschließend
muss Bundesinnenminister Thomas de Maizière nur noch eines tun: Befehlen,
dass es die Behörde gibt. Aus dem Bundesinnenministerium heißt es dazu:
„Sie wird unmittelbar nach Verabschiedung des Haushaltes errichtet und wird
im Endausbau etwa 400 Stellen umfassen.“
Das ist bemerkenswert. Selten wurde eine Behörde dieses Formats so still
geschaffen und errichtet. Dabei kommt ihr künftig eine zentrale und
besondere Bedeutung für die Sicherheitsarchitektur der deutschen
Ermittlungsbehörden zu. Es geht um die Frage, wie der deutsche Staat
Terroristen fängt, aber auch darum, wie er mit den Grundrechten seiner
Bürger und mit Sicherheitslücken im Internet umgeht.
Zitis – was soll das sein?
Seit langem schon bemängeln Ermittler in Deutschland, dass ihnen zu oft die
Hände gebunden seien – etwa, wenn sie bei Ermittlungen auf verschlüsselte
Handykommunikation stoßen. Ihr Wunsch: Sie würden gern besser in der Lage
sein, verschlüsselte Kommunikation aufzubrechen oder zu umgehen, etwa wenn
Menschen Apps auf ihren Handys nutzen, die kryptografische
Verschlüsselungsverfahren benutzen. Genau dabei soll die neue Behörde
künftig behilflich sein.
Zum Hintergrund: Schon seit es digitale Verschlüsselungsverfahren gibt, ist
die Technik umkämpft und ihr Stellenwert politisch bedeutsam. Bereits in
den 90er-Jahren gab es etwa in den USA symbolträchtige
Auseinandersetzungen. Im Rahmen der sogenannten „Crypto Wars“ wollte die
US-Regierung versuchen, die Entwicklung von Verschlüsselungssoftware unter
Genehmigungsvorbehalt zu stellen und ihren Export kontrollieren.
Die Idee: Der Staat sollte verschlüsseln können, seine Bürger und auch
seine Gegner aber nicht. Das scheiterte damals. Bis heute wird diese Frage
jedoch immer wieder aufgebracht, vor allem von Nachrichtendiensten und
Ermittlungsbehörden. Bürgerrechtler und Unternehmen dagegen warnen davor,
dass die grundsätzliche Schwächung von Verschlüsselungsverfahren auch eine
generelle Schwächung der Sicherheit im Netz nach sich zieht.
Das Thema Verschlüsselung ist wichtig für alle, die im Netz mit sensiblen
Daten verkehren: Da sind Kriminelle, ja, die nicht bei Verabredungen
gestört werden wollen. Da sind abr auch: Aktivistinnen oder Journalisten,
die – wie nun in der Türkei – in ihren Heimatländern politische Verfolgung
fürchten oder schlicht ihre Quellen schützen wollen. Zuletzt ist da noch:
Die deutsche Industrie, die sowohl ihre Patente als auch ihre
Kommunikations- und Produktionswege sichern will.
Was sagt die Bundesregierung?
Die deutsche Bundesregierung geht deshalb im internationalen Vergleich
einen interessanten Sonderweg: Sie bekennt sich offiziell dazu,
Verschlüsselungsmechanismen zu fördern und auch in der Breite zu einem
Durchbruch verhelfen zu wollen. Geregelt ist das in der sogenannten
Krypto-Eckpunkte-Erklärung der Bundesregierung von 1999.
Auch in jüngster Zeit, als etwa auf europäischer Ebene die Frage nach einer
Schwächung von Verschlüsselungsverfahren wieder aufgeworfen wurde, bekannte
sich die Bundesregierung explizit zu dieser Position. Offiziell heißt es:
Es sollen keine Anstrengungen unternommen werden, um
Verschlüsselungsverfahren zu schwächen. Auch sollen keine staatlichen
Hintertüren in Produkte eingebaut werden, die den Behörden den direkten
Durchgriff auf bestimmte Produkte ermöglichen.
Beides hört sich für Bürgerrechtler gut an, ist aber nur ein Teil der
Wahrheit. Faktisch, sagen Mathematiker und Kryptologen, ist es für die
nächsten Jahre und Jahrzehnte absehbar ohnehin nicht möglich, eine gute
Verschlüsselungstechnik aufzubrechen. Das hat schlicht mit mathematischen
Prinzipien, Rechnerkapazitäten und dem Stand der Technik zu tun.
Zweitens sind die relevanten Unternehmen, bei denen Hintertüren von Wert
wären, wie etwa der Chatdienst WhatsApp, meist nicht in Deutschland
ansässig. Die Bundesregierung könnte sie kaum effektiv zum Einbau von
Hintertüren veranlassen. Daher kann die Regierung problemlos bekennen, dass
sie auf diesen Feldern nicht aktiv ist. Es wäre, technisch gesprochen, ein
verlorener Kampf.
Stattdessen konzentrieren sich die Ermittlungsbehörden auf eine zentrale
Schaltstelle, die es ebenfalls ermöglicht, Kommunikation abzufangen: Statt
bereits verschlüsselte Kommunikation zu entschlüsseln, muss diese dann eben
abgefangen werden, bevor sie überhaupt verschlüsselt wird. Das geht
entweder durch Überwachungsprogramme auf Computern und Smartphones oder
durch das Abfangen von Daten noch während diese getippt werden – zum
Beispiel durch das Aufzeichnen sämtlicher Tastenanschläge oder das
regelmäßige Erstellen von Bildschirmfotos, die dann heimlich ausgeleitet
werden.
Für derlei Vorgehen hat das Bundesverfassungsgericht 2008 am Beispiel des
sogenannten Staatstrojaners allerdings enge Vorgaben gemacht.
Hinzu kommt: In der Praxis scheinen die Ermittlungsbehörden – Bundespolizei
und Landespolizeien genau wie die Verfassungsschutzämter – mit dem Einsatz
von Staatstrojanern jedoch immer wieder auf Probleme zu stoßen. Denn im
Kern lässt sich sagen: Zwar soll das Bundeskriminalamt derzeit
Hilfestellungen bei Entwicklung und Umsetzung solcher Spähangriffe geben.
Eine zentrale Kompetenzstelle für Überwachung, die sämtlichen Behörden
zuliefert und sich allein darauf konzentrieren kann, gibt es jedoch bislang
nicht.
Genau diese Lücke soll nun jene Behörde füllen, die sich Zitis nennt. Es
gibt durchaus sachliche Gründe für eine solche Behörde: Macht es wirklich
Sinn, dass all die dutzenden Landespolizeien, die Bundespolizei, das
Bundeskriminalamt, das Bundesamt für Verfassungsschutz und all die
Landesämter für Verfassungsschutz ihr jeweils eigenes Süppchen kochen?
Lässt sich dies nicht effektiver aus einer Hand organisieren?
Wieso stört sich wohl niemand daran?
Andererseits: Wenn die Aufgaben dieser dutzenden föderalen Behörden, die
aus historischen Gründen dezentral organisiert sind, nun immer mehr
zentralisiert und um eine waschechte Trojanerbehörde ergänzt werden sollen
– wieso wird dann über den Auftrag und die Grenzen dieser Behörde so wenig
diskutiert? Zwar stellte das Bundesinnenministerium die Pläne bereits vor
Monaten vor. Doch offenbar reibt sich kaum jemand daran, dass die
Kompetenzen der neuen Stelle weitgehend ungeklärt sind – und ihre
Mitarbeiter demnach auch künftig im Verborgenen arbeiten können.
Das Bundesinnenminsterium will für das kommende Jahr bereits Mittel in Höhe
von 12,5 Millionen Euro einstellen. Davon sollen knapp 2,5 Millionen Euro
für zunächst rund 60 Mitarbeiter eingeplant werden; später sollen es dann
400 Mitarbeiter werden. Sechs Millionen Euro stehen bereits 2017 für
„Aufträge und Dienstleistungen im Bereich der Informationstechnik“ zur
Verfügung. Und vier Millionen Euro sind vorgesehen für den „Erwerb von
Anlagen, Geräten, Ausstattungs- und Ausrüstungsgegenständen sowie Software
im Bereich Informationstechnik“.
Dahinter verbirgt sich etwas ganz einfaches: Zitis ist die Stelle, die
künftig die deutschen Staatstrojaner entwickeln wird. Zitis ist die Stelle,
in der die deutschen Kompetenzen zum Hacken, Spitzeln, Spionieren gebündelt
werden sollen. Und Zitis ist die Stelle, die mitunter auch
Sicherheitslücken auf dem Schwarzmarkt aufspüren und aufkaufen könnte, um
diese zu eigenen Zwecken zu benutzen. Das allein wirft eine Frage auf, die
zu klären ist: Wie weit gehen eigentlich die Befugnisse dieser Behörde?
Geht es nach dem Bundesinnenministerium, soll Zitis so schnell wie möglich
seine Arbeit aufnehmen. Anders etwa als das Bundesamt für Sicherheit in der
Informationstechnik (BSI) mit Sitz in Bonn, das wesentlich defensiver
ausgerichtet ist als die neue Behörde und das auf einem eigenen Gesetz
fußt, will Innenminister der Maizière Zitis schlicht mit einem sogenannten
Organisationserlass einrichten. Übersetzt: par ordre de Mufti.
Politisch geht ihm das durch, weil sich im Deutschen Parlament kaum ein
Abgeordneter für die neue Behörde interessiert oder gesetzliche Leitplanken
festlegen will. Zwar gibt es auch in der SPD einige Abgeordnete, die
rhetorisch so tun, als gäbe es an der Behörde und ihrem Zustandekommen
einiges zu kritisieren – in Frage gestellt wird in Regierungsreihen jedoch
weder das Projekt an sich, noch dessen rechtliche Grundlage und die Art
seines Zustandekommens. Das mag auch daran liegen, dass selbst viele
Befürworter daran zweifeln, ob der Staat überhaupt in der Lage ist,
ordentliches Personal zu rekrutieren.
Politisch geht es durch – und juristisch?
Juristisch dagegen könnte die Gründung der Behörde viel Material für eine
Schlacht unter Rechtswissenschaftlern hergeben. Warum? Vereinfacht
zusammengefasst: Die Errichtung einer Behörde muss wie jedes andere
Regierungshandeln zumindest dann gesetzlich geregelt werden, wenn diese
Behörde „wesentliche“ Aufgaben übernimmt. Was jedoch wesentlich ist und was
nicht, ist unter JuristInnen umstritten. Gemeinhin gilt, wieder vereinfacht
gesagt, dass eine Behörde dann wesentliche Aufgaben übernimmt, wenn sie
Grundrechtseingriffe vornimmt oder grundrechtsrelevante Tätigkeiten
ausführt.
Bei Zitis verhält es sich wie folgt: Zwar soll die Stelle gebündelt und für
nahezu alle deutschen Ermittlungs- und Verfassungsschutzbehörden „Methoden,
Produkte und Strategien“ zur Überwachung und Ausspähung entwickeln.
Allerdings soll sie diese anschließend nicht selber einsetzen – sondern
weiterreichen. Der Grundrechtseingriff wird also nicht durch die Behörde
selbst durchgeführt, durch diese aber ermöglicht. Ist das wesentlich oder
unwesentlich? Ist es mittelbar oder unmittelbar?
Zumindest der Grundrechtseingriff selbst wird ja immer unmittelbar sein.
Die Bundesregierung argumentiert nun, dass „die Umsetzung der Maßnahmen im
Einzelnen in der Befugnis der jeweils zuständigen Behörde bleibt.“ (…) Auch
die Befugnisse der Sicherheitsbehörden blieben ausnahmslos bestehen und
würden durch die Einrichtung einer zentralen Stelle nicht berührt oder
ausgeweitet, heißt es aus dem Bundesinnenministerium. Übersetzt: Es gibt
zwar einen neuen Service-Dienstleister und künftig tiefere
Eingriffsmöglichkeiten, aber keinen neuen Regelungsbedarf.
Das ist eine der möglichen Rechtspositionen. Dass die Bundesregierung mit
dieser Rechtsposition durchkommt, ist wahrscheinlich. Denn dies sagt doch
schon ein altes Sprichwort: Wo kein Kläger ist, da ist auch kein Richter.
Wenn Donnerstagnacht oder Freitagfrüh der Haushaltsausschuss im Deutschen
Bundestag nach langer Sitzung auseinander geht, wird schon bald darauf eine
neue Behörde geboren werden. Sie wird groß werden und stark und es wird
dann schwerlich zu prüfen sein, was die neue deutsche Trojanerbehörde
namens Zitis eigentlich tut, weil es nicht gesetzlich geregelt ist.
9 Nov 2016
## AUTOREN
(DIR) Martin Kaul
## TAGS
(DIR) Staatstrojaner
(DIR) Schwerpunkt Überwachung
(DIR) Verschlüsselung
(DIR) Internet der Dinge
(DIR) Schwerpunkt Überwachung
(DIR) Schwerpunkt Überwachung
(DIR) re:publica
(DIR) Missbrauch
(DIR) Schwerpunkt Überwachung
(DIR) Schwerpunkt Anschlag auf Berliner Weihnachtsmarkt
(DIR) Hacker
(DIR) Spähsoftware
(DIR) Hackerangriff
(DIR) Schwerpunkt Überwachung
(DIR) Schwerpunkt Überwachung
## ARTIKEL ZUM THEMA
(DIR) Gegenangriffe zu Cyberattacken: Innenminister will zurückhacken
Eine mögliche Jamaika-Koalition will die Cyberabwehr zentralisieren.
Innenminister de Maizière möchte auch Gegenangriffe starten können.
(DIR) Große Koalition will den Staatstrojaner: Der Spion in deinem Handy
Telefone und Computer sollen zur Strafverfolgung mit Spionagesoftware
gehackt werden können. Die Technik dafür hat Grenzen – noch.
(DIR) Kommentar Online-Durchsuchungen: Heiko „Otto“ Maas
Ausgerechnet der sich links fühlende Justizminister Heiko Maas setzt die
innenpolitischen Prestigeprojekte von CDU und CSU durch.
(DIR) De Maizière auf der Re:publica: Eifersüchtig auf Facebook
Der Bundesinnenminister gibt auf der Netzkonferenz den Digitalpolitiker.
Netzaktive kritisieren seine Rolle bei Überwachung und Sicherheit.
(DIR) Polizei kann Festplatte nicht knacken: Verborgene Verbrechen
„Maskenmann“ N. wurde als Mörder verurteilt. Die Polizei vermutet Spuren
weiterer Verbrechen auf einer Festplatte, kommt aber nicht an die Daten.
(DIR) 33C3 – CCC-Kongress in Hamburg: Funktioniert das?
„Funktioniert für mich“ heißt das Motto des diesjährigen Hackertreffens.
Doch es geht in Hamburg eher darum, dass vieles nicht für alle
funktioniert.
(DIR) Innenpolitiker über Sicherheitspolitik: „Videoüberwachung wird überschätzt“
Muss die Linke jetzt ihre Kritik an Kameras überdenken? Der Innenpolitiker
Frank Tempel war früher Kriminalbeamter – und sagt trotzdem „nein“.
(DIR) Telekom und Cyberkriminalität: Wer haftet für Hacker?
Die Telekom fordert eine gesetzliche Update-Pflicht für Soft- und
Hardwarefirmen. 900.000 ihrer Kunden waren Opfer einer Cyberattacke.
(DIR) Deutsche Trojaner im Ausland: Öffne deine Augen
In Uganda wurden Journalisten und Oppositionelle mit deutscher Spähsoftware
überwacht. Heute brauchen Firmen eine Ausfuhrgenehmigung.
(DIR) Neues IT-Sicherheitsgesetz: Vorratsdatenspeicherung plus Eins
Mit einem neuen IT-Sicherheitsgesetz will die Regierung die Bürger
angeblich besser beschützen. Profitieren wird vor allem das
Innenministerium.
(DIR) E-Mail-Überwachung durch den BND: Ein Spampostfach voller "Bomben"
Der BND liest regelmäßig E-Mails mit bestimmten Suchworten. 2010
verfünffachte sich die Zahl auf zehn Millionen. Dabei ist die Kontrollwut
sehr unergiebig.
(DIR) Überwachung per "stiller SMS": Dein Handy als ganz persönlicher Spion
Allein in Nordrhein-Westfalen ortet die Polizei Tausende Mobiltelefone.
Linke, Piraten und Grüne fürchten Missbrauch und fordern eine bessere
richterliche Kontrolle.
(DIR) Ethical Hacker über digitale Zerstörung: "Hacker sind Künstler"
Cyber-Attacken hat er den Krieg erklärt. Trotzdem findet der
IT-Sicherheitsbeauftragte Michael Schönborn durchaus Worte der Bewunderung
für eine Zunft, die er eigentlich bekämpft.