Staatliche Hacker: Zitis soll doch Sicherheitslücken kaufen

Andreas Frischholz
21 Kommentare
Staatliche Hacker: Zitis soll doch Sicherheitslücken kaufen
Bild: Ivan David Gomez Arce | CC BY 2.0

Anfang der Woche verkündete der neue Zitis-Präsident Wilfried Karl noch, die Behörde wolle keine Zero-Day-Exploits aufkaufen. Innenminister Thomas de Maizière äußerte sich gestern im Rahmen der offiziellen Eröffnung aber deutlich zurückhaltender.

Keineswegs ausgeschlossen wäre der Aufkauf von Software, um den Staatstrojaner bei der Online-Durchsuchung Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) einsetzen zu können, sagte de Maizière laut einem Bericht von Heise Online. Denkbar wäre demnach auch, dass die neue Entschlüsselungsbehörde selbst vom BSI gemeldete Lücken verwendet.

Entscheidend ist allerdings immer, ob Zitis eine Sicherheitslücke ausnutzt oder doch den Hersteller des jeweiligen Produkts informiert, sodass dieser einen Patch bereitstellen kann. Für diese Frage will die Behörde einen Bewertungsprozess etablieren, Details zu Kriterien oder Abläufen nennt man aber noch nicht. So sagte de Maizière lediglich, es komme „politisch und juristisch darauf an“, ob eine Sicherheitslücke offengelegt wird, die Zitis gekauft oder entdeckt hat.

Sicherheitsbehörden sollen mit technologischer Entwicklung mithalten

Bei der Eröffnungsrede bezeichnete de Maizière die Zentrale Stelle für Informationstechnik im Sicherheitsbereich – wie Zitis mit vollen Namen heißt – als Antwort auf die Herausforderungen im digitalen Zeitalter. „Die zunehmende Nutzung neuer Kommunikationsformen durch Straftäter sowie die zunehmend verfügbaren Möglichkeiten der Verschlüsselung sind hierbei große Herausforderungen“, so de Maizière. Deswegen müssten Behörden auch technologisch mithalten, sodass gesetzliche Befugnisse nicht ins Leere laufen.

Rein rechtlich würde sich durch Zitis damit nichts ändern. Als Zulieferer ist die Behörde allein für die Forschung und Entwicklung zuständig. Operativ tätig werden dürfen weiterhin nur bekannte Sicherheitsbehörden wie das Bundeskriminalamt (BKA), die Bundespolizei und der Verfassungsschutz.

Datenschutzbeauftragte will mit an Bord sein

Nichtsdestotrotz bleibt Zitis umstritten. So kritisiert etwa die Bundesdatenschutzbeauftragte Andrea Voßhoff (CDU), dass sie nicht in das Projekt eingebunden ist. Am Donnerstag sagte sie im Gespräch mit der Neuen Osnabrücker Zeitung: „Ich habe wegen der anstehenden Eröffnung von Zitis beim Bundesinnenministerium um weitere Informationen gebeten. Bisher ist eine offizielle Beteiligung jedoch nicht erfolgt.“ Solange sich das nicht ändert, könne sie Zitis auch nicht einschätzen.

Angesprochen auf diese Aussage sagte de Maizière laut Heise Online, „bei einer solchen Forschungsstelle ist die Bundesdatenschutzbeauftragte gar nicht zu beteiligen“. Voßhoff könne sich aber jederzeit über die Arbeit von Zitis informieren.

Staatlicher Aufkauf von Sicherheitslücken als Risiko

Ebenso kritisch wie die Datenschützer bleibt die Opposition. Der Grünen-Abgeordnete Konstantin von Notz bezeichnet Zitis in der Neuen Osnabrücker Zeitung als „sicherheitspolitischen Irrweg“. Anstatt Sicherheitslücken zu schließen, setze „man auf völlig fragwürdige Hacking-Methoden und Partner“. Letztlich gefährde das die gesamte IT-Infrastruktur und damit alle Nutzer.

Ähnlich ist die Haltung in der Wirtschaft. Als Konsequenz aus dem WannaCry-Angriff forderte etwa Telekom-Chef Timotheus Höttges eine Meldepflicht für Sicherheitslücken, die auch staatliche Behörden umfassen müsse. Die Angst ist, dass Kriminelle die Schwachstellen ebenfalls ausnutzen. So war es bei WannaCry, der Angriff basierte auf einem Exploit aus dem Arsenal der NSA. Daher bezeichnete auch Microsofts Chefjustiziar Brad Smith das „völlig unbeabsichtigte“ Zusammenspiel von staatlichen Hackern und organisierter Kriminalität als derzeit größte Bedrohung für die IT-Sicherheit.

Ein weiterer Kritikpunkt ist die Rechtsgrundlage. Dass die bis heute nicht klar sei, wäre laut von Notz untragbar. Denn der Aufbau von Zitis wurde nicht per Gesetz erlassen, stattdessen gründete de Maizière die Behörde per Dekret.

Nvidia GTC 2024 (18.–21. März 2024): ComputerBase ist vor Ort!