Neulich hat der Bundesnachrichtendienst neue Mitarbeiter gesucht, aber nicht irgendwelche. "Sherlock Holmes im Cyberspace", so war der Job umschrieben. Die Online-Stellenausschreibung hatte die Form eines Codes, den man knacken musste. Wie viele Bewerber das kleine Spiel mitgemacht haben, ist unklar. Groß war aber der Spott, den die Anzeige auslöste in den Blogs just jener Hacker, auf deren Bewerbungen der Geheimdienst dringend angewiesen wäre.
In den USA - um den Vergleich aufzumachen - treten Spymasters wie der ehemalige NSA-Chef Keith Alexander schon mal auf Hacker-Kongressen auf. Sie werben für sich als Arbeitgeber, sie greifen auch tief ins Portemonnaie, um die Stars der Szene zu rekrutieren. In Deutschland wäre das unvorstellbar, hier beschimpfen die Hacker im Chaos Computer Club die Geheimdienste eher als "Stasi 2.0", und wenn ein Geheimdienstchef auf ihrem jährlichen Kongress auftauchen würde, ginge sein Vortrag vermutlich in Buhrufen unter.
Die Sicherheitsbehörden suchen derzeit händeringend nach IT-Spezialisten, die sich auf das Handwerk des Hackens verstehen, also auf das Knacken und Umgehen von Sicherheitssystemen. Die Aufgaben, vor denen sie stehen, sind groß: Das Bundeskriminalamt arbeitet seit bald zehn Jahren an eigenen Hacker-Programmen, sogenannten Trojanern, die man aus Sicherheitsgründen nicht so einfach bei privaten IT-Firmen in Auftrag geben kann. Jetzt sollen die Behörden auch noch Messenger-Dienste und Smartphones knacken, dafür ist zum 1. Januar eine eigene Bundesbehörde ins Leben gerufen worden, Zitis, in Langform: Zentrale Stelle für Informationstechnik im Sicherheitsbereich. Sie soll als Dienstleister allen anderen Behörden helfen, Codes zu entschlüsseln, Schutzlücken auszubeuten, Trojaner zu entwickeln. Bei Zitis, so der Plan, sollen Deutschlands Code-Breaker sitzen, eine reine Hacker-Behörde. Die Realität allerdings, Stand April, sieht so aus: Es ist ein leeres Haus.
Die Personalsuche erweist sich als ernstes Problem
In die nagelneuen Zitis-Räume auf dem Campus der Bundeswehr-Universität in München-Neubiberg ist bislang kaum jemand eingezogen. Man finde kaum Mitarbeiter, heißt es. Laut Plan sollten hier eigentlich schon 120 Leute arbeiten, bis 2022 soll ihre Zahl auf 400 anwachsen. Die Personalsuche erweist sich als ein ernstes Problem, und wer nach Gründen dafür sucht, der muss zunächst die kulturelle Kluft konstatieren. Wer sich mit Hacker-Attacken und der Abwehr dagegen auskennt, der verdient in der Wirtschaft leicht im Monat, was der Staat in einem Jahr zahlt. Man kann in Cafés und auch im T-Shirt arbeiten - und für jene, die auf diesen Geschmack gekommen sind, ist die deutsche Bürokratie, die selbst in einer Institution wie dem BND herrscht, unattraktiv.
Von den 16 kleineren Landes-Geheimdiensten ganz zu schweigen. Im Thüringer Landesamt für Verfassungsschutz zum Beispiel gab es bis vor Kurzem ein "Internet-Café". So hieß der Raum mit drei webfähigen Rechnern, den sich sechs, sieben Beamte teilen mussten. Derzeit bemüht sich die Behörde, überhaupt schnelleres Internet zu bekommen.
Welcher lockere, gewissermaßen kalifornische Ton hingegen bei den CIA-Hackern gepflegt wird - um den Vergleich noch einmal fortzuführen -, konnte man kürzlich in neuen Wikileaks-Dokumenten studieren. Die etwa 5000 Mitarbeiter des Center of Cyber Intelligence benennen ihre Schnüffel-Programme wie College-Rockbands. CrunchyLimeSkies, ElderPiggy, AngerQuake oder McNugget.
Viele der Stellen beim Verfassungsschutz sind bis heute vakant
Allein das Bundesamt für Verfassungsschutz hat in den vergangenen drei Jahren Hunderte neue Planstellen für IT-Experten bei der Bundesregierung beantragt. "Um mit der rasanten technischen Entwicklung Schritt zu halten", wie es heißt, und um bei neuen Phänomenen wie dem Darknet oder den zunehmenden Cyberattacken nicht weiter abgehängt zu werden. Im Jahr 2014 waren es 45 neue Planstellen allein für IT-Spezialisten, die der Inlandsgeheimdienst brauchte, in den Jahren 2015 und 2017 jeweils mehr als 100. Aber viele der Stellen sind bis heute vakant.
Verfassungsschutz-Präsident Hans-Georg Maaßen setzt deshalb auf etwas anderes als Geld, um IT-Fachleute anzulocken: den Reiz des Verbotenen. Maaßen erzählt, wie er "Leuchten in den Augen" von Neubewerbern sehe, wenn sie das Wort "Server-TKÜ" hörten, also das Mitschneiden des Verkehrs, der über einen Server läuft. Für IT-Spezialisten in der Privatwirtschaft ist das illegal. Bei Geheimdiensten aber, sagt Maaßen, dürfe man seine Neugier auf diese Technik ausleben.
Da sei etwas dran, sagt ein IT-Spezialist, der selbst mehr als zehn Jahre für den Staat gearbeitet hat, bevor er jüngst in die Privatwirtschaft gewechselt ist. Als Hacker in der Industrie stoße man schnell an rechtliche Grenzen. "Staatliche Organe können einen entscheidenden Schritt weitergehen." Der das sagt, hat sowohl in der Bundeswehr gearbeitet, Seite an Seite mit dem BND, als auch im Bundesamt für Sicherheit in der Informationstechnik, BSI.
Wenn man keine neuen Leute findet, schult man eben die alten
Da die "Personalgewinnung insbesondere in diesem Bereich schwierig ist", so notierte das Verfassungsschutz-Bundesamt jüngst vertraulich, solle das vorhandene Personal öfter fortgebildet werden. Für 300 000 Euro allein in diesem Jahr. Wenn man keine neuen Leute findet, dann schult man eben die alten. Das ist eine Methode.
Die andere ist viel heikler. Statt neu auszubilden, wird bei anderen Sicherheitsbehörden abgeworben - was dann natürlich dort eine Lücke reißt. Als die neue Hacker-Behörde Zitis ins Leben gerufen wurde, kündigte das Bundesinnenministerium an, man wolle die Spezialisten dafür aus anderen Behörden zusammenziehen. Aber welcher Behördenchef will seine wenigen, mühsam rekrutierten Hacking-Experten hergeben? Im Innenausschuss des Bundestages versuchte der Staatssekretär aus dem Bundesinnenministerium, Günter Krings, zu besänftigen. Man werde nur die Guten abwerben, aber nicht die Besten.
Die Irritationen hat das kaum gemindert. Als Chef von Zitis hat das Bundesinnenministerium nach SZ-Informationen einen BND-Mann abgeworben. Wilfried Karl war bisher kommissarischer Leiter der Abteilung Technische Aufklärung bei dem Geheimdienst, er kennt die Hacking-Experten dort alle, und angeblich wollen einige wechseln. Darüber soll das Kanzleramt, das über den BND wacht, verstimmt sein. Auch dort möchte man auf keinen Cyber-Sherlock-Holmes verzichten.
