Zitis:Das plant Deutschlands oberster Codeknacker

Zitis: "Wir verstehen uns als Dienstleister der Sicherheitsbehörden in Deutschland und unterstützen diese, indem wir das technische Know-how bündeln." Wilfried Karl über ZITiS. (Symbolbild)

"Wir verstehen uns als Dienstleister der Sicherheitsbehörden in Deutschland und unterstützen diese, indem wir das technische Know-how bündeln." Wilfried Karl über ZITiS. (Symbolbild)

(Foto: Markus Spiske/Unsplash)
  • Wilfried Karl ist Präsident von Zitis. Die Behörde soll eine der wichtigsten Aufgaben angehen, mit der sich Sicherheitsbehörden derzeit konfrontiert sehen.
  • Karl hat auf einer Fachkonferenz in Berlin zum ersten Mal öffentlich darüber geredet, in welchen Bereichen die "Zentrale Stelle für Informationstechnik im Sicherheitsbereich" aktiv werden soll.
  • Ermittlungs- und Aufklärungsarbeit habe sich durch das Internet drastisch verändert. Es sei deshalb "relevanter als je zuvor", den Ermittlern neue Werkzeuge an die Hand zu geben.

Von Hakan Tanriverdi, Berlin

Wilfried Karl steht auf und schon bildet sich eine Menschenmenge um ihn herum. Der 51-Jährige ist gefragt, denn eine neue Behörde schafft die Bundesregierung nicht alle Tage, und er ist ihr Präsident. Sie soll eine der wichtigsten Aufgaben angehen, mit der sich Sicherheitsbehörden derzeit konfrontiert sehen: Verschlüsselung knacken, auf Smartphones und Festplatten.

Die Behörde heißt Zentrale Stelle für Informationstechnik im Sicherheitsbereich: Zitis. Sie sitzt in München und wird an diesem Donnerstag eröffnet. Zwei Tage zuvor steht Karl auf der Public IT-Security, einer Fachkonferenz in Berlin, und redet zum ersten Mal öffentlich darüber, was seine Behörde eigentlich leisten soll.

Karl schildert eine düstere Welt

Er spricht in ruhigem Tonfall und schildert zunächst eine düstere Welt. Die Gesellschaft werde zunehmend digitaler, vor allem in der Kommunikation. "Das gilt auch für den Terroristen, der einen Anschlag auf eine Veranstaltung plant." Ermittlungs- und Aufklärungsarbeit habe sich drastisch verändert, daher sei es "relevanter als je zuvor", neue Werkzeuge zu entwickeln.

Zitis wird keine operativen Befugnisse haben, sondern nur Auftraggeber. Das heißt: Die Behörde selbst wird nicht von sich aus tätig, sondern geht technische Probleme an, mit denen Bundespolizei, Bundeskriminalamt und Bundesamt für Verfassungsschutz in ihrer täglichen Arbeit zu kämpfen haben.

Zitis soll in fünf Bereichen aktiv werden

Karl, 51, nennt vor allem fünf Bereiche, in denen Zitis aktiv sein wird: digitale Forensik, Telekommunikationsüberwachung, Brechen von Verschlüsselung, technische Fragen der Spionageabwehr und Auswertung von Big Data, also zum Beispiel das Ausforschen von sozialen Netzwerken in Echtzeit.

Wilfried Karl

Wilfried Karl, Präsident der Zentralen Stelle für Informationstechnik im Sicherheitsbereich

(Foto: ZITiS)

Erfolgreich wäre Zitis also zum Beispiel dann, wenn die Mitarbeiter Wege und Mittel finden, um Festplatten schnell auszuwerten, damit die Behörden nach der Festnahme eines Terroristen herausfinden können, ob weitere Personen in die Anschlagsplanung involviert gewesen sind.

Erfolgreich wäre Zitis aber auch, wenn die Behörde Mittel und Wege findet, Schwachstellen zu finden, über die sich Ermittler Zugang auf Smartphones verschaffen könnten. Eigens dafür beschloss der Bundestag kürzlich den so genannten Staatstrojaner. Ermittlern ist es nun in deutlich mehr Fällen als bisher erlaubt, die Kommunikation von Menschen auszuspionieren.

Auf der Suche nach Sicherheitslücken

Praktisch klappt das aber nicht ohne Weiteres, da viele Geräte-Hersteller ihre Smartphones absichern. Es müssten also Mittel und Wege gefunden werden, auch ohne Wissen von zum Beispiel Apple das iPhone zu knacken. Dafür ist es notwendig, Sicherheitslücken zu finden. Entweder man findet sie selbst oder man findet jemanden, der einem dieses Wissen verkauft - was einen Schwarzmarkt befeuert, auf dem dubiose Händler diese Lücken anbieten. Dieses Problem erwähnt Karl auf der Bühne nicht. Heise online sagte er: "Es gibt keinen Ankauf von Zero-Days (so werden diese Schwachstellen genannt, Anm. d. Red.) auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen."

Auf Nachfrage sagt er: "Wir schaffen keine Sicherheitslücken, diese existieren bereits und sind seit Jahren bekannt. IT-Sicherheit ist ein Management-Problem." Zitis werde also nicht aktiv Verfahren schwächen, die für IT-Sicherheit sorgen, sondern bereits bestehende IT-Unsicherheit ausnutzen.

25 Jahre BND

Der studierte Elektrotechniker arbeitete fast 25 Jahre beim Bundesnachrichtendienst (BND). Zuletzt war er Kommissarischer Leiter der Abteilung Technische Aufklärung. Die Abteilung gilt als skandalträchtig, eine Beratungsfirma wurde vergangenes Jahr damit beauftragt, effizientere Kontrollmechanismen innerhalb der Abteilung aufzubauen. Unter anderem fing der BND auf deutschem Boden Internetdaten und Telefongespräche ab.

Dafür fehlt dem Auslandsnachrichtendienst die Befugnis. Die gefundenen Informationen wurden an ausländische Dienste weitergegeben, teilweise, weil der BND dadurch Zugriff auf die mächtige Software "Xkeyscore" des US-Dienstes NSA bekam. Die Bundesregierung hatte zuvor "technische und organisatorische Defizite beim BND" identifiziert.

Mittlerweile knapp 20 Mitarbeiter

Zitis ist eine neue Behörde, entsprechend leer sind die Büroräume auf dem Gelände der Universität der Bundeswehr in München noch. Karl scheint das gelassen zu sehen. Einen Artikel der Zeitung Die Welt mit der Überschrift "Die glorreichen Acht" druckte er sich aus, um ihn aufzuhängen. Acht bezieht sich auf die Mitarbeiter, die Zitis damals hatte. Mittlerweile seien es knapp 20 Mitarbeiter, sagt er.

Doch Karl ist zuversichtlich, dass seine Behörde gute Hacker finden wird. Schließlich bündele Zitis Fachleute, die sich dort interdisziplinär austauschen könnten. "Eine Behörde wie das BKA wird sich im Notfall der aktuellen Lage unterordnen müssen." Dort könne man keine Grundlagenforschung betreiben, bei Zitis dagegen schon. Schon kurz nachdem bekannt geworden war, dass es Zitis geben werde, hatten Sicherheitsbehörden die Sorge geäußert, dass ihnen ihre besten Mitarbeiter weggeschnappt werden könnten.

Viermal vor NSA-Untersuchungsausschuss

Auch inhaltlich ist Karl nicht unumstritten: Viermal trat er vor dem NSA-Untersuchungsausschuss auf, um über Programme des BND Auskunft zu geben. Dort sagte er unter anderem, dass Metadaten keine personenbezogenen Informationen seien - eine erstaunliche Aussage.

Metadaten sind Kontextinformationen, die bei jeder digitalen Kommunikation entstehen und Aufschluss über das Verhalten einer Person geben - etwa Uhrzeit und Dauer eines Anrufs oder der Ort, von dem er abging. Für seine Ansicht wurde Karl kritisiert, denn viele IT-Sicherheitsforscher halten Metadaten für sehr aussagekräftig und glauben, dass sie viele Informationen über Personen preisgeben. Wenn Behörden sie in Massen sammeln, gefährdet das ihrer Auffassung zufolge die Privatsphäre. Der Ex-NSA-Chef Michael Hayden sagte zum Beispiel: "Wir töten Menschen basierend auf Metadaten."

Die Menschen, die sich hier in Berlin um Karl herum versammeln, sprechen ihn nicht auf diese Aussagen an. An diesem Dienstag geht es noch recht freundlich zu, das Publikum ist ihm wohlgesonnen. Das könnte sich ändern, wenn Zitis die Arbeit aufnimmt und damit beginnt, die digitale Kommunikation der Menschen aufzuknacken.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: