ZITiS Ein Gesetz für die "Hackerbehörde"
Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) soll Werkzeuge und Methoden für Polizei und Geheimdienste entwickeln. Bislang arbeitet sie jedoch ohne gesetzliche Grundlage. Das soll sich nun ändern.
Sie gibt sich modern und hip, die deutsche "Hackerbehörde" ZITiS. Die Abkürzung steht für: Zentrale Stelle für Informationstechnik im Sicherheitsbereich. Man sei das "Start-Up" unter den Behörden, so beschreibt es der Chef gern, und wirbt so um Personal. Und tatsächlich geht es in den Büros der ZITiS in München ein wenig lockerer zu. Anzug und Krawatte trägt hier kaum jemand, es gibt gemütliche Sitzecken, sogar Hunde sind erlaubt. Etwas entscheidendes aber fehlt ZITiS bislang - ein eigenes Gesetz.
Die Behörde wurde im Mai 2017 ins Leben gerufen, und zwar per Ministererlass durch den damaligen Bundesinnenminister Thomas de Maizière. ZITiS soll technische Werkzeuge und Methoden für Polizei und Nachrichtendienste erforschen, entwickeln oder auf dem kommerziellen Markt nach passenden Produkten Ausschau halten. Solche Fähigkeiten werden immer wichtiger, denn bei der Gefahrenabwehr und bei der Strafverfolgung stoßen Ermittler zunehmend an Grenzen.
ZITiS darf bislang nicht selbst ermitteln
Verschlüsselte Kommunikation oder Festplatten etwa sind eine wachsende Herausforderung, ebenso die Auswertung von besonders großen Datenmengen. ZITiS soll dabei Abhilfe schaffen. Allerdings handelt es sich streng genommen eben nicht um eine Behörde, sondern nur um eine dem Bundesinnenministerium nachgeordnete "Stelle". Die ZITiS, bei der mittlerweile rund 300 Mitarbeitende tätig sind, darf deshalb bislang nicht selbst bei Ermittlungen tätig werden, also zum Beispiel mit beschlagnahmten Datenträgern arbeiten oder Abhörmaßnahmen durchführen.
Das könnte sich nun ändern. Die Bundesregierung will die Behörde mit einer eigenen Gesetzesgrundlage ausstatten. Es soll festgelegt werden, was ZITiS darf, wann und für wen die Spezialisten aus München tätig werden dürfen. Das Bundesinnenministerium hat dazu ein Eckpunkte-Papier vorgelegt, über das nun die Koalitionspartner SPD, Grüne und FDP beraten werden. Bis Ende März soll es dann einen ersten Gesetzesentwurf geben. Zuerst hatte das Portal netzpolitik.org darüber berichtet
Laut dem Papier soll ZITiS künftig als Bundesoberbehörde weiterhin für das Bundeskriminalamt (BKA), das Bundesamt für Verfassungsschutz (BfV) und die Bundespolizei tätig sein, und mit diesen "Bedarfsträgern" ein Jahresarbeitsprogramm abstimmen. Die Sicherheitsbehörden sollen ZITiS erläutern, was sie brauchen, und welche Probleme es in technischen Fragen zu lösen gilt. Nun soll geprüft werden, ob die Behörde auch für den Bundesnachrichtendienst (BND), das Zollkriminalamt und den Militärischen Abschirmdienst tätig werden kann.
Weitere Aufgaben sollen hinzukommen
Bislang gehören zu den Aufgaben von ZITiS die Arbeitsbereiche Telekommunikationsüberwachung, Kryptoanalyse, Forensik und Big-Data-Analyse. Geht es nach dem Bundesinnenministerium soll zukünftig eine weitere Aufgabe hinzukommen: "Unterstützung der Bedarfsträger durch Bereitstellung und Betrieb von IT-Services". Damit gemeint ist die Bereitstellung, Wartung, Pflege, Weiterentwicklung und das Hosting "der von ZITiS entwickelten technischen Lösungen".
Außerdem soll die "Hackerbehörde" weitere Befugnisse bekommen. ZITiS soll "informationstechnische Produkte und Systeme" untersuchen dürfen, die von den Sicherheitsbehörden auf dem Markt eingekauft werden. Zum Beispiel Spähsoftware, sogenannte "Staatstrojaner", mit denen Computer und Mobiltelefone überwacht werden können.
Es bestehe zudem der "Bedarf an der probeweisen Anwendung der Überwachungsfunktionen" solcher Programme. ZITiS soll demnach auch selbst testweise Abhörmaßnahmen durchführen dürfen, um zu überprüfen, ob die IT-Werkzeuge auch wie gewünscht funktionieren.
Die Kritik, ZITiS sei vor allem ein "Beschaffungsamt" für Polizei und Geheimdienste, entwickle selbst eher wenig und suche vielmehr weltweit nach kommerzieller Überwachungssoftware, wies die Behördenleitung in der Vergangenheit stets zurück. Tatsächlich aber gehört die Marktsondierung durchaus zu den Aufgaben von ZITiS.
Kontakt auch mit umstrittenen Herstellern
Mit mehreren Herstellerfirmen von Spähprogrammen, darunter auch der umstrittenen israelischen Firma NSO Group, die die Software "Pegasus" vertreibt, stand ZITiS in den vergangenen Jahren in Kontakt. "Pegasus" wurde nach Recherchen einer internationalen Recherchekooperation - darunter NDR, WDR und SZ - gegen Oppositionelle, Medienvertreter, Menschenrechtsaktivisten und sogar Staats- und Regierungschefs eingesetzt.
Zuletzt wurde durch Recherchen von SWR und "Welt" bekannt, dass sich ZITiS offenbar auch für die Software "Predato"“ des Firmenkonsortiums "Intellexa" mit Sitz auf Zypern interessiert hat. Mit diesem Programm sollen unter anderem in Griechenland mehrere oppositionelle Politiker und Journalisten auf Anordnung des Regierungschefs überwacht worden sein. In Athen wurde deshalb inzwischen eine parlamentarische Untersuchung eingeleitet.
Mehr parlamentarische Kontrolle?
Durch das nun geplante ZITiS-Gesetz soll auch die parlamentarische Kontrolle gestärkt werden - zumindest ein bisschen. Einmal jährlich soll das Bundesinnenministerium gegenüber den Innenausschuss des Bundestages über die Tätigkeit der ZITiS unterrichten. In den vergangenen Jahren gab es immer wieder Kritik aus dem Parlament. ZITiS sei eine "Black Box", über deren Arbeit fast nichts bekannt sei, hieß es. Um alles werde ein großes Geheimnis gemacht, selbst auf Nachfragen der Abgeordneten gab es oft kaum Antworten.