IT-Sicherheit Regierung könnte ihr Hacker-Wissen offenlegen

Hacker, die bei Zitis arbeiten, werden Wege suchen, um Messenger-Dienste wie Whatsapp abzuhören.

(Foto: Matthias Balk/dpa)
  • Die Bundesregierung hat sich mit der Eröffnung der Entschlüsselungsbehörde Zitis offiziell auf ein heikles Feld begeben.
  • Dem Innenministerium kommt nun die Aufgabe zu, gleichzeitig IT-Sicherheit zu gewährleisten und das Ausnutzen von IT-Sicherheitslücken zu ermöglichen.
  • Um eine Lösung zu finden, orientiert sich die Behörde nun an den USA.
  • Dort gibt es einen Prozess, bei dem die Dienste abwägen: Wie groß ist das Risiko, dass fremde Hacker eine Lücke ebenfalls ausnutzen, und wie hoch ist der Schaden, der so entstehen könnte?
Von Georg Mascolo, Berlin, und Hakan Tanriverdi

Einen Präsidenten gibt es bereits, Personal wird gesucht. Bundesinnenminister Thomas de Maizière eröffnete in der vergangenen Woche im Münchner Osten offiziell die neueste deutsche Sicherheitsbehörde. Die "Zentrale Stelle für Informationstechnik im Sicherheitsbereich" (Zitis) soll herausfinden, wie verschlüsselte Messenger-Dienste wie Telegram, Whatsapp oder Signal geknackt und abgehört werden können. Nur die Regeln, nach denen Zitis arbeiten soll, sind noch völlig unklar.

Mit der Behörde begibt sich Deutschland nun erstmals offiziell und sichtbar auf ein überaus heikles Feld. Einerseits soll das Internet so sicher wie möglich sein, de Maizière spricht sogar davon, dass Deutschland "Verschlüsselungsstandort Nummer eins" werden wolle.

Wettlauf zwischen Staaten und Unternehmen

Andererseits sucht nun eine Behörde nach Software-Schwachstellen und Hintertüren, damit Polizei und Nachrichtendienste auch weiter abhören können. Für beide Aufgaben ist nun das Innenministerium zuständig. Aber wie soll das zusammengehen?

Zitis Das plant Deutschlands oberster Codeknacker
Zitis

Das plant Deutschlands oberster Codeknacker

In seinem ersten öffentlichen Auftritt schildert Wilfried Karl, wie die neu gegründete Behörde Zitis arbeiten wird. Die Welt, die er schildert, ist düster.   Von Hakan Tanriverdi

Die Problematik bereitet auch der Bundesregierung ziemlich viel Kopfzerbrechen. Inzwischen tobt ein regelrechter Wettlauf zwischen großen Internet-Konzernen und Software-Unternehmen auf der einen und Staaten auf der anderen Seite.

Geschockt durch die Enthüllungen des Whistleblowers Edward Snowden, versuchen viele Unternehmen heute, möglichst sichere Anwendungen anzubieten. Regierungen dagegen suchen nach Wegen, dennoch abhören zu können. Manchmal geht es dabei um ganz legitime Interessen, die Bekämpfung des Terrorismus etwa. Oft aber auch einfach nur um Spionage.

Hochspezialisierte Firmen, die mit Schwachstellen handeln

Der Wettlauf hat ein boomendes Geschäft entstehen lassen, Hacker und hochspezialisierte Firmen, viele davon mit Sitz in Israel, suchen nach Schwachstellen im Netz und verkaufen diese an Regierungen. Genannt werden diese Lücken "zero days", weil man bei ihnen null Tage Zeit hat, um sich gegen so einen Angriff zu schützen.

1,3 Millionen Dollar soll das FBI allein dafür gezahlt haben, um die Sicherheitsvorkehrungen eines iPhones eines islamistischen Attentäters zu umgehen. Apple hatte sich zuvor aus Prinzip geweigert, den Behörden zu helfen.

Mehr als 200 solche Händler von Schwachstellen soll es heute weltweit geben. Manche bieten gar kostenlosen Ersatz an für den Fall, dass ein Unternehmen die Software-Schwachstelle entdeckt.

Auch der BND gehört zu den Käufern

Oppositionelle in der arabischen Welt oder zuletzt in Mexiko wurden mithilfe solcher Methoden überwacht. Zu den großen Käufern am Markt gehört auch der Bundesnachrichtendienst (BND), der dafür in der Vergangenheit eigens zusätzliches Geld erhielt.

Winfried Karl, der neue Zitis-Präsident, hat lange beim BND gearbeitet. Von Bürgerrechtlern, aber auch aus der Industrie kommen Forderungen, dass Staaten den Markt nicht anheizen dürften; erkannte Sicherheitslücken müssten konsequent geschlossen werden. So sagt es etwa Telekom-Chef Timotheus Höttges. So sieht es auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) - eine Behörde, die de Maizière untersteht.