Die Bundesregierung will durch die neue Spionagebehörde „Zitis“ an verschlüsselte Chats und Daten von Kriminellen kommen. Dass Sicherheitslücken gesammelt, aber nicht behoben werden, könnte aber auch bedeuten, dass Kriminelle sich einfach Daten von anderen Menschen beschaffen können.
Online-Kommunikation läuft zunehmend verschlüsselt ab. Nachdem auch der populäre Messenger WhatsApp damit angefangen hat, Nachrichten seiner Nutzer zu verschlüsseln, wollte das Innenministerium eine zentrale Behörde zur Nachrichten-Entschlüsselung einrichten. Im Januar 2017 haben sich die Mitarbeiter der Zentralstelle für Informationstechnik im Sicherheitsbereich, kurz ZITiS, an die Arbeit gemacht.
Von den jüngst offengelegten CIA-Methoden sind die deutschen Behörden jedoch weit entfernt. Das Problem liegt vor allem darin, die notwendigen IT-Experten auf dem freien Markt abzuwerben. Denn in der Wirtschaft verdienen diese deutlich mehr. Zum Start soll ZITiS deshalb erst einmal mit 40 Stellen beginnen. Bis zum Jahr 2022 sollen es aber schon 400 Stellen sein.
Die Behörde soll die Regierung im „Kampf gegen Terrorismus, Cybercrime und Cyberspionage“ unterstützen. Dazu soll ZITiS mit der Bundespolizei, dem Bundeskriminalamt und dem Verfassungsschutz zusammenarbeiten. Diese Behörden beobachten seit Jahren, wie sich Verschlüsselungstechnologien zunehmend auch in populären Anwendungen durchsetzen.
Um weiterhin die Chats von Terror-Verdächtigen mitzulesen, braucht es Hintertüren und Sicherheitslücken in den jeweiligen Apps und Diensten. Deshalb sollen die Mitarbeiter von ZITiS nicht nur daran forschen, die Verschlüsselungsmethoden zu umgehen, sondern auch Sicherheitslücken einkaufen.
Der Schwarzmarkt, auf dem der Aufkauf von Sicherheitslücken passiert, wird dadurch nur befördert. Das heißt, man kann eine Sicherheitslücke kaufen, mit der man zum Beispiel auf Android-Telefone oder auf iPhones zugreifen kann. Diese werden sowohl von Kriminellen als auch von den ZITiS-Mitarbeitern gekauft. Damit stellt man sich in eine Reihe mit den Leuten, die das für kriminelle Zwecke nutzen, anstatt zu unterbinden. – Anna Biselli, Redakteurin bei netzpolitik.org
Die Bundesregierung geht damit einen sehr umstrittenen Weg. Denn das Horten von Sicherheitslücken bedeutet auch, dass diese nicht dem Hersteller der Software gemeldet werden. Dieser kann also nicht reagieren und die Lücken schließen. Damit wird sowohl Kriminellen als auch staatlichen Akteuren ermöglicht, in die Privatsphäre von Menschen einzudringen.
Die momentane Ausrichtung von ZITiS ist ziemlich katastrophal. Gerade aus einem Schutzgedanken des Staates heraus wäre es sinnvoller, ZITiS zu nutzen, um Sicherheitslücken zu schließen. Um damit nicht nur Menschen in Deutschland, sondern auch anderen Menschen, die zum Beispiel in autoritären Regimen leben, zu schützen. – Anna Biselli, netzpolitik.org
Wie die neue Spionagebehörde der Bundesregierung funktioniert und welche Probleme mit ihr verbunden sind, darüber hat detektor.fm-Moderatorin Doris Hellpoldt mit Anna Biselli gesprochen. Sie ist Redakteurin bei netzpoltik.org, Deutschlands einflussreichtem Blog zu digitalen Freiheitsrechten und anderen netzpolitischen Themen.
Die Bundeswehr wird immer mehr in zivile Cybersicherheits-Belange eingebunden. Das könnte zu einem weiteren Kompetenzchaos führen, weil wir schon jetzt sehr viele Stellen haben, die sich um diese Angelegenheiten kümmern.Anna Biselli
Redaktion: Thomas Weinreich