Die Bedrohungen durch Cyber-Kriminalität und Terrorismus sollen in Zukunft mit einer Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) bekämpft werden – die Behörde muss sich jedoch verschiedenen Problemen stellen.
Als Antwort auf die steigende Bedrohung durch Cyberkriminalität und Terrorismus hat die Bundesregierung reagiert. Um auch in Zukunft gegen Cyber-Angriffe gewappnet zu sein, setzt das Bundesinnenministerium von Thomas de Maiziére (CDU) auf Entwicklungen der deutschen IT-Sicherheitsforschung. Dazu soll die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) mit dem Standortsitz in München noch in diesem Jahr ihre Arbeit aufnehmen. ZITiS soll nach Angaben der Cyber-Sicherheitsstrategie in enger Zusammenarbeit mit den Sicherheits- und Fachbehörden des Bundes stehen. Gemeinsam mit den Nachrichtendiensten sollen „bedarfsbezogen und zukunftsorientiert Methoden, Produkte und übergreifende Strategien zur operativen Umsetzung in den Sicherheitsbehörden“ entwickelt werden. Die Behörde selbst soll allerdings nicht operativ tätig werden. Die Befugnisse der ZITiS sind laut Innenministerium auf die Forschung und Entwicklung von Methoden limitiert. Dazu gehören neben der digitalen Forensik, wo Minister de Maiziére vor allem Nachholbedarf bei der biometriegestützten Gesichtserkennung sieht , auch Telekommunikationsüberwachung, Big-Data Auswertungen und Kryptoanalysen.
Ein zahnloser Papierkrieg im Crypto-War?
Eine Rechtfertigung für die Gründung einer solchen „Hacker-Behörde“ sind jüngste Terroranschläge und Bedrohungspotenziale durch Cyber-Kriminalität. Welche bürgerrechtliche Relevanz dahinter steckt, lässt sich in derzeit in den USA verfolgen. Unter dem Schlagwort „Crypo-Wars“ versteht man dort den Konflikt zwischen Geheimdiensten und Unternehmen bezüglich der Offenlegung von Daten. Deutlich wurde diese Auseinandersetzung während des San Bernardino Attentats im vergangenen Frühjahr. Damals wollte das FBI den Technik-Riesen Apple dazu zwingen, die Verschlüsselung des iPhones des Täters Syed Rizwan Farook offenzulegen. Das Unternehmen weigerte sich mit der Begründung, dass eine Dekryptierung auch den Zugriff auf iPhones anderer Kunden ermöglichen würde.
Dass Telekommunikationsanbieter wie Skype nicht abgehört werden können, bedauert auch Verfassungsschutzpräsident Hans-Georg Maaßen. Das zeigt, dass die Crypto-Wars nun auch in Deutschland angekommen sind.
In Besitz der Verschlüsselungsstrategie eines Soft- oder Hardwaretypens wäre ein Geheimdienst jedoch in der Lage, alle Benutzer auszuspionieren, nicht nur die eigentliche Zielperson. Das Knacken einer Verschlüsselung ist somit ein Eingriff in die Privatsphäre mit Streuwirkung. Da es keinen „digitalen Durchsuchungsbefehl“ gibt, ist der Rechtfindungsprozess eine Gradwanderung zwischen legitimer Polizeiarbeit und der potenziellen Gefahr eines flächendeckenden Missbrauchs von Daten.
Herausforderungen und Probleme
In einer globalisierten Welt stellt sich nun auch die Frage nach Zusammenarbeit auf internationaler Ebene. Die Antwort darauf wird mit einem Verweis auf die nationale Sicherheit und die Geheimhaltungsinteressen des Bundesnachrichtendienstes verwehrt.
Die Relevanz einer solchen Kooperation ist unbestritten. Die größten Anbieter von digitalen Kommunikationstechnologien und Social Media-Plattformen sitzen im Ausland. Da es einen hohen Aufwand bedeutet, sichere Verschlüsselungssysteme zu dekryptieren, wäre auch für ZITiS ein internationaler Ressourcenaustausch sinnvoll. Die Bundesregierung reagiert – eine der Leitlinien der Cyber-Sicherheitsstrategie 2016 empfiehlt die aktive Beteiligung Deutschlands an der europäischen und internationalen Cyber-Sicherheitspolitik.
Dass ein ungezügelter „Crypto-War“ nicht nur ein datenschutzrechtlicher Albtraum ist, sondern auch für die Sicherheitsbehörden selbst verhängnisvoll sein kann, lässt sich an dem Beispiel der „Shadow Brokers“ erkennen. Diese Hackergruppe hatte im August 2016 auf der Softwaretauschplattform GitHub einige der Programme angeboten, mit denen sich die Hackergruppe Tailored Access Operations der National Security Agency (NSA) Zugang zu Computernetzwerken verschafften. Davon waren unter anderem auch in deutschen Unternehmen weitverbreitete Router der Firma CISCO betroffen. Geht es nach der Bundesregierung, soll ZITiS dabei helfen, solche Sicherheitslücken ausfindig zu machen.
Ob diese dann auch zeitnah an die jeweiligen Unternehmen gemeldet und nicht etwa zu einem späteren Zeitpunkt von deutschen Sicherheitsbehörden ausgenutzt werden, bleibt abzuwarten. Da die operativen Befugnisse ausschließlich bei den jeweiligen Sicherheitsbehörden liegen, muss ZITiS theoretisch gesetzlich nicht geregelt werden. Dass die Behörde ohne Errichtungsgesetz zustande kam, verstärkt jedoch die Bedenken über ihre Rechtsmäßigkeit.
Neben der ungeklärten juristischen Lage hat die neue Behörde vor allem mit der Personalbesetzung zu kämpfen. Für qualifiziertes IT-Personal ist ein Jahresgehalt von rund 50.000€ brutto und die Aussicht auf eine Verbeamtung wenig verlockend. In der freien Wirtschaft locken deutlich bessere Verdienstmöglichkeiten. Zudem bleibt offen, wie sich die Zusammenarbeit mit der Polizei und den Sicherheitsbehörden gestalten wird und mit welchem Know-How bei ZITiS zu rechnen ist. Scheitert ZITiS an diesen Problemen, bleibt nur ein zahnloser Papiertiger.
Titelbild: Überwachungskamera by politik-digital