Behörde Zitis und IT-Sicherheit:EU plant Behörde für Cyber-Sicherheit

The logo of the Information Technology of Security Authorities is seen in Munich

Abteilung Attacke: In einem Münchner Gewerbegebiet soll die Behörde Zitis Spähprogramme für Geheimdienste herstellen.

(Foto: REUTERS)
  • Die EU will die Europäische Agentur für Netz- und Informationssicherheit (Enisa) zu einer umfassenden Cyber- und Datensicherheitsbehörde ausbauen. Sie soll Computer gegen Hackerattacken schützen.
  • In München nimmt derweil die Behörde Zitis ihre Arbeit auf, die für deutsche Sicherheitsbehörden Verschlüsselung knacken soll.
  • Kritiker sehen mögliche Konflikte zwischen der offensiv ausgerichteten Zitis einerseits und andererseits den defensiven Ämtern Enisa sowie dem deutschen BSI.

Von Thomas Kirchner, Alexander Mühlauer und Ronen Steinke

Es gibt nicht wenige Beamte in Sicherheitsbehörden, die es vor Kurzem für eine eher seltsame Idee hielten, was da in München entsteht. Spionagesoftware, Trojaner und Hackerwerkzeuge zum Aufknacken von verschlüsselter Kommunikation? Gut, sie werden immer wichtiger in der Arbeit von Kriminalpolizeien und Geheimdiensten - so wie ja auch die Verschlüsselung von Chats und Telefonaten auf Seiten von Kriminellen immer üblicher wird. Aber muss der Staat seine Knack- und Spähsoftware wirklich zentral in einer eigenen Behörde herstellen?

Man will sich doch leise anschleichen können, so hat vor einer Weile ein deutscher Beamter zu bedenken gegeben, möglichst anonym und heimlich. Betroffene sollen nicht wissen, wer den Trojaner geschickt hat. Wäre es da nicht besser, wenn der Staat seine Spähprogramme aus dem großen grauen Markt des Internets fischt, anstatt sie selber herzustellen, weil ihnen dann quasi in den Quellcode eingeschrieben ist: "Made by Zitis"? Zitis, so heißt die neue deutsche Behörde, die am Donnerstag eröffnet wurde, Zentrale Stelle für Informationstechnik im Sicherheitsbereich.

Trojaner richten im Jahr europaweit Schäden in Höhe von 265 Milliarden Euro an

In Bonn gibt es etwas Ähnliches. Das Bundesamt für Sicherheit in der Informationstechnik, BSI, beschäftigt ebenfalls Informatikspezialisten. Das BSI arbeitet für den Schutz des Staates vor Hackerangriffen, es ist gewissermaßen die Abteilung Verteidigung. Diese stand lange im Vordergrund. Auch auf EU-Ebene wird die Abteilung Verteidigung gerade deutlich gestärkt: Um Computer gegen Hackerattacken zu wappnen, soll die Europäische Agentur für Netz- und Informationssicherheit (Enisa) zu einer umfassenden Cyber- und Datensicherheitsbehörde ausgebaut werden.

Die EU-Staaten und die europäische Polizeibehörde Europol sollen über eine neue Plattform Informationen austauschen, denn Cyberattacken "bedrohen nicht nur unsere Wirtschaft, sondern auch das Funktionieren unserer Demokratien, unserer Freiheiten und unserer Werte", heißt es in dem Entwurf des Cyber- und Datensicherheitspakets, das die EU-Kommission am kommenden Dienstag vorstellen will und das der Süddeutschen Zeitung vorliegt.

Nach Angaben der Kommission gab es im vergangenen Jahr weltweit 4000 Cyberangriffsversuche pro Tag, ein Anstieg um 300 Prozent im Vergleich zum Vorjahr. Die Attacken richten sich oft gezielt gegen öffentliche Einrichtungen, Regierungsstellen oder Unternehmen. Den Schaden solcher Attacken schätzt die EU-Kommission allein in der Europäischen Union auf 265 Milliarden Euro im Jahr, denn die diversen Hacker-Werkzeuge, die man umgangssprachlich als Trojaner zusammenfasst, liegen meist noch in den Händen von Kriminellen, nicht von Ermittlern. Deshalb soll es im Fall eines Cyberangriffs künftig einen Notfall-Fonds geben, der betroffenen EU-Staaten unbürokratisch hilft.

Gleichzeitig drängt die Kommission die europäische Industrie, bessere Lösungen zur Abwehr von Cybergefahren zu entwickeln. Ziel ist ein einheitlicher europäischer Markt für Cybersicherheit. Aus dem EU-Haushalt soll dies mit 450 Millionen Euro gefördert werden. Mit Geld aus privaten Quellen soll die Summe sogar auf 1,8 Milliarden aufgestockt werden, um die Kräfte in der Abteilung Verteidigung, so gut es eben geht, zu bündeln.

Zitis, die Abteilung Attacke

Die neue Behörde Zitis in München steht nun für die Abteilung Attacke. BSI-Chef Arne Schönbohm erklärte das Verhältnis kürzlich so: Seine Leute in Bonn, das seien die Code maker, sie verschlüsseln und sichern Systeme gegen Hacker. Die Zitis-Leute in München seien die Code breaker. Im April hatte Bundesinnenminister Thomas de Maizière die neue Behörde mit einem Erlass ins Leben gerufen, nun sollen hier IT-Werkzeuge für staatliche Kunden entstehen: das Bundeskriminalamt (BKA), das Bundesamt für Verfassungsschutz, die Bundespolizei und indirekt auch die Behörden der Länder. Für jedes Endgerät und jeden Messenger- oder Telefondienst braucht man ein eigenes Knack-Programm, und der Fortschritt ist rasant.

Die Idee hat zunächst mit Effizienz zu tun. 16 Landeskriminal- und Verfassungsschutzämter haben nicht alle die Ressourcen, um ihre eigenen Trojaner programmieren zu lassen. Für sie soll Zitis ein Dienstleister sein. Zitis soll zudem in längeren Zyklen arbeiten und forschen, abgekoppelt von der täglichen Fallarbeit. "Made by Zitis", so betont der neue Behördenchef in München, Wilfried Karl, solle den Produkten auch nicht eingeschrieben sein: Selbst wenn die Programme speziell an die Vorgaben des neu gefassten Paragrafen 100a der Strafprozessordnung, der die Online-Durchsuchung regelt, angepasst würden, wie es Zitis' Auftrag ist, bleibe ihre staatliche Herkunft doch meist verborgen. Daneben soll Zitis auch die digitale Forensik vorantreiben, also Programme, um schneller Nadeln im Big-Data-Heuhaufen von Chats oder Festplatten zu finden.

Was auf den ersten Blick aussieht wie ein Widerspruch, dürfte noch Potenzial für Kontroversen bieten, merkt der Grünen-Politiker Konstantin von Notz an. Die EU-Agentur Enisa und das BSI in Bonn sollen Sicherheitslücken in IT-Systemen - Einfallstore für Trojaner - schließen, auch zum Schutz der Verbraucher, wie der Vizekommissionschef Andrus Ansip betont. Und gleichzeitig soll Zitis in München genau solche Sicherheitslücken aufspüren, für sich behalten und für eigene staatliche Attacken nutzen.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: