Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

Andreas Frischholz 14 Kommentare
Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen
Bild: Oliver Ponsold | CC BY 2.0

Wilfried Karl hat sich als Präsident der Zentralstelle für Sicherheit in der Informationstechnik (Zitis) erstmals öffentlich zu Wort gemeldet. Bei einer Fachkonferenz in Berlin skizzierte er den Aufgabenbereich der Entschlüsselungsbehörde und nannte Details zur Vorgehensweise, berichtet die Süddeutsche Zeitung.

Ein Augenmerk liegt dabei auch auf dem Umgang mit Verschlüsselungen, der besonders umstritten ist. Zitis selbst wird zwar nicht operativ tätigt sein, ist aber ein Zulieferer für das Bundeskriminalamt, die Bundespolizei und den Verfassungsschutz. Und soll daher Technologien und Lösungen liefern, damit Behörden beispielsweise verschlüsselte WhatsApp-Nachrichten abfangen können.

Zitis und der Umgang mit Sicherheitslücken

In der Praxis bedeutet das allerdings: Wenn sich die Verschlüsselung selbst nicht knacken lässt, muss Zitis einen Staatstrojaner entwickeln. Das setzt allerdings voraus, dass die Behörde Sicherheitslücken in Betriebssystemen wie Windows, Android oder iOS ausnutzt, um die Malware einzuschleusen. Für Kritiker ist das wie gehabt ein Unding. Die Vorwürfe lauten: Sicherheitslücken, die nicht geschlossen werden, können auch Kriminelle ausnutzen. Und zudem muss die Behörde vermutlich auch das entsprechende Wissen einkaufen, was die Grau- und Schwarzmärkte befeuert, auf denen Exploits gehandelt werden.

Zitis-Präsident Karl selbst bestreitet nun, seine Behörde würde die Kommunikation unsicherer machen. So erklärte er laut der Süddeutschen Zeitung: „Wir schaffen keine Sicherheitslücken, diese existieren bereits und sind seit Jahren bekannt.“ Konkreter wurde er auf Anfrage von Heise Online. Seine Behörde wolle demnach keine Zero-Day-Exploits auf Grau- oder Schwarzmärkten kaufen. Mit unseriösen Firmen würde man nicht zusammenarbeiten.

Inwieweit die Behörde also Sicherheitslücken ausnutzen will und wo das Wissen herkommen soll, ist aktuell noch unklar.

Trotz unbesetzter Stellen zuversichtlich

Davon abgesehen soll sich Zitis nicht nur um Verschlüsselungen kümmern. Insgesamt sind es vor allem fünf Bereiche, die relevant sind. Neben dem Knacken von Verschlüsselungen zählen dazu noch die digitale Forensik, Telekommunikationsüberwachung sowie technische Fragen bei der Spionageabwehr und Big-Data-Analysen. Letztere will die Behörde etwa nutzen, um Inhalte aus sozialen Netzwerken in Echtzeit auszuwerten.

Offiziell wird die Behörde morgen eröffnet, der Start verläuft bislang aber schleppend. Für dieses Jahr sind eigentlich 120 Stellen vorgesehen, bis zum Jahr 2022 sollen es 400 sein. Nur ist man beim Anwerben der Hacker bislang nicht allzu erfolgreich. Mittlerweile habe man aber knapp 20 Mitarbeiter, sagte Karl in Berlin. Außerdem ist er zuversichtlich, weiteres Personal anlocken zu können. Attraktiv sei ein Arbeitsplatz bei Zitis etwa, weil sich dort Grundlagenforschung betreiben lässt.

Karl selbst war vor seiner Zitis-Zeit beim Bundesnachrichtendienst (BND) tätig, zuletzt kommissarischer Leiter der Abteilung Technische Aufklärung. In seiner Position musste er auch viermal vor dem NSA-Ausschuss aussagen.