IT-Sicherheitsbehörde Zitis:Staatliche Hacker dringend gesucht

Eröffnung der Sicherheitsbehörde Zitis

Das Zitis-Gebäude im Osten von München. IT-Spezialisten sollen hier Ermittler und Verfassungsschützer unterstützen.

(Foto: Matthias Balk/dpa)
  • Die IT-Sicherheitsbehörde Zitis findet zu wenige Mitarbeiter. Mehr als ein Jahr nach der Gründung sind nur 56 der 120 Stellen besetzt.
  • Die Behörde soll es Ermittlern ermöglichen, auf verschlüsselte Informationen und Kommunikation zuzugreifen.
  • Aufgrund des Personalmangels müssen mehrere Projekte verschoben werden.

Von Reiko Pinkert, Jan Strozyk und Hakan Tanriverdi

Auf den Fluren der Behörde knallen Türen. Wilfried Karl stört das nicht, im Gegenteil: Er ist sichtlich zufrieden. Denn Mitarbeiter, die über Gänge eilen und weithin hörbar Büros betreten, sind keine Selbstverständlichkeit, hier am Ostrand von München, in der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis). Karl, der die Behörde leitet, hat Probleme, genügend Menschen zu finden, die für ihn arbeiten wollen.

Zitis wurde im April 2017 gegründet. Das Ziel: Ermittler und Verfassungsschützer in die Lage zu versetzen, sich notwendige Informationen zu verschaffen, selbst wenn verdächtige Personen versuchen ihre digitalen Spuren zu verwischen. Wenn Fahnder etwa verschlüsselte Festplatten beschlagnahmen, soll Zitis ihnen helfen, die Inhalte auszulesen.

Doch bevor die Behörde Verschlüsselung umgeht, muss sie Menschen finden, die dabei helfen können - und das für den Staat tun wollen. Nach Informationen von NDR und SZ verläuft diese Suche so schleppend, dass manche Projekte verschoben werden mussten. Derzeit sind 56 von 120 Stellen besetzt, bis Anfang Juli sollen es 62 Mitarbeiter sein.

Darunter leiden auch prominente Vorhaben. So ist etwa die umstrittene Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) in der Priorität nach hinten gerutscht. In der zweiten Jahreshälfte soll entschieden werden, ob und in welcher Form Zitis an der Entwicklung des Verfahrens mitarbeiten wird.

Mithilfe der Quellen-TKÜ, besser bekannt als Bundes- oder Staatstrojaner, sollen Ermittler alle Formen digitaler Kommunikation mitlesen können, bevor diese verschlüsselt wird. Die Verschlüsselung von Chat-Apps wie Whatsapp, Signal oder Telegram würde damit ausgehebelt. "Wir haben nur begrenzte Ressourcen und müssen entsprechend damit umgehen", sagt Karl und betont, dass sich das Bundeskriminalamt ebenfalls um die Quellen-TKÜ kümmere.

"Die Bezahlung ist einfach so schlecht"

Drei Viertel der Zitis-Mitarbeiter kommt aus Bundes-, Landes- oder Kommunalbehörden, ein Viertel aus der Privatwirtschaft. Intern gibt es vier Aufgabenbereiche: Digitale Forensik, Telekommunikationsüberwachung, das Umgehen oder Knacken von Verschlüsselung und Big-Data-Analysen. Für alle vier werden noch Leiter gesucht.

Die Zahlen zeigen, wie schwierig es für Behörden ist, mit der Privatwirtschaft zu konkurrieren. "Die Bezahlung ist einfach so schlecht", sagt eine Person, die für ein großes Tech-Unternehmen Schadsoftware analysiert und mit dem Gedanken spielte, sich zu bewerben.

Für das laufende Jahr ist das Programm von Zitis bereits abgestimmt und gebilligt worden, teilt das Innenministerium mit. Die Behörde arbeitet demnach an insgesamt zwölf Projekten. Zitis fungiert als Dienstleister für den Verfassungsschutz, das Bundeskriminalamt und die Bundespolizei. Erst wenn diese drei Ämter und Behörden einstimmig beschließen, dass Zitis sich um ein Projekt kümmern soll, wird der Auftrag erteilt.

Zitis will selbst Smartphones knacken

Bei einem der Projekte geht es darum, die technischen Voraussetzungen schaffen, damit Behörden in ganz Europa Daten schnell weitergeben und austauschen können. Wenn Verdächtige durch die EU reisen, muss die Überwachung vom jeweiligen Aufenthaltsland weitergeführt werden. Das Problem sei, sagt Karl, dass es teil lange dauere, bis die Informationen zu jener Behörde zurückkämen, die die Maßnahme veranlasst hatte. "Da kümmern wir uns in einem Projekt um die technische Schnittstelle."

Ein anderes Projekt schult Personal, um die Kompetenzen von Zitis zu erweitern und unabhängiger zu werden. Die Mitarbeiter sollen eigene Möglichkeiten entwickeln, um beschlagnahmte Asservate auszulesen. Es gibt Unternehmen, die solche Dienste anbieten; sie decken aber oft nur Teilbereiche ab. Außerdem kommt es vor, dass die Entwickler oder Hersteller der Geräte technische Sicherheitslücken schließen, die nötig sind, um die Verschlüsselung auszuhebeln. Wenn die Forschung bei Zitis liegt, so die Überlegung, könne man effizienter darauf reagieren.

Zitis reißt personelle Lücken bei anderen Behörden

Bundestagsabgeordnete Martina Renner (Die Linke) kritisiert, dass die Behörde ineffizient sei. "Zitis wirbt in großer Zahl Fachleute aus anderen Behörden von Bund und Ländern ab und reißt dort personelle Lücken." Gleichzeitig bestehe keine Struktur, um Doppelarbeiten von Zitis und anderen Behörden zu verhindern.

Karl selbst sieht die Personalsuche gelassen und weist daraufhin, dass Zitis erst im vergangenen Jahr gegründet wurde. Am Anfang müsse die Verwaltung aufgebaut werden, um überhaupt mit der Rekrutierung beginnen zu können. Zitis buhle um Mitarbeiter wie der Rest der Industrie auch. "Wir können bei den Einstiegsgehältern für Junior- und Senior-Entwickler mit vielen Firmen mithalten.

Er legt Wert darauf, dass Zitis seine Mitarbeiter sorgfältig wählt. Qualität gehe vor Geschwindigkeit: "Es ist gar nicht mal so wichtig zu wissen, wen ich auswähle, sondern wen ich draußen lasse." Zitis könne nicht jeden an Bord nehmen, denn "die haben wir dann erst einmal für viele Jahre. Wir suchen gezielt aus." Es sei auf jeden Fall genug Personal vorhanden, um die zwölf aktuellen Projekte zu stemmen.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: