Hacker-Behörde ZITiS Staatstrojaner lieber selber bauen als kaufen

Die neue Behörde ZITiS soll IT-Sicherheitslücken finden und mit diesem Wissen Überwachungssoftware entwickeln. Das Vorgehen ist umstritten. Nun hat sich Behördenchef Wilfried Karl in einem Interview dazu geäußert.

ZITiS-Präsident Wilfried Karl
REUTERS

ZITiS-Präsident Wilfried Karl

Von


Überwachungssoftware für die Polizei und den Verfassungsschutz sollten lieber selbst entwickelt als von kommerziellen Anbietern gekauft werden, findet Wilfried Karl, Präsident der neuen Hackerbehörde ZITiS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich). Solche Programme, besser bekannt als Staatstrojaner, beruhen auf der Ausnutzung von Sicherheitslücken in Software oder Hardware, um heimlich auf dem Zielgerät installiert und aktiviert werden zu können.

Die Suche nach Sicherheitslücken und die Entwicklung entsprechender Software ist die Kernaufgabe von ZITiS, die Behörde soll aber auch kommerzielle Produkte finden und prüfen, ob sie den jeweiligen technischen und rechtlichen Anforderungen gerecht wird.

Die Behörde ist umstritten. Kritiker wie der Grünen-Politiker Konstantin von Notz beispielsweise halten die Beteiligung der Behörde an der Suche nach und dem Handel mit IT-Schwachstellen für eine Schwächung der IT-Sicherheit insgesamt: "Wenn der Staat Sicherheitslücken bewusst offenhält, anstatt sie zu schließen, um in Handys und Computern private und intimste Daten auszuspähen, gefährdet er alle Nutzerinnen und Nutzer", sagte von Notzvor einiger Zeit.

Im Interview mit dem "Behörden Spiegel"argumentiert Behördenchef Karl nun, es sei sinnvoller, Sicherheitslücken für den Einsatz in staatlicher Überwachungssoftware selbst zu suchen: "Gerade wenn es um Risikoabwägungen geht dahingehend, ob bestimmte Softwareschwachstellen genutzt und entsprechend offengehalten werden sollen. Solche Fragen kann ich leichter beantworten, wenn ich selbst die Schwachstelle gefunden habe."

Was sind Staatstrojaner?
Staatliche Spionagesoftware
Überwachungsprogramme, die Strafverfolger heimlich auf Geräten von Verdächtigen installieren, werden umgangssprachlich Staatstrojaner genannt. Unterschieden wird dabei zwischen dem Ziel, nur eine laufende Kommunikation zu überwachen, oder das ganze Zielgerät zu durchsuchen.
Quellen-TKÜ
Deutsche Strafverfolger dürfen gemäß § 100a der Strafprozessordnung die laufende Kommunikation von Verdächtigen direkt an der Quelle überwachen (Quellen-Telekommunikationsüberwachung, kurz: Quellen-TKÜ) - also auf dessen Computer oder Smartphone, mit Hilfe heimlich eingeschleuster Software. Nötig kann das sein, wenn die Kommunikation verschlüsselt stattfindet, zum Beispiel über WhatsApp. Ohne Zugang zum Gerät von Sender oder Empfänger ließe sie sich nicht überwachen, anders als das bei klassischen SMS der Fall ist.
Online-Durchsuchung
§ 100b der Strafprozessordnung regelt die Online-Durchsuchung. Hier kann die Polizei mit Hilfe spezieller Überwachungssoftware alle Dateien, Programme und Nachrichten auf einem Gerät heimlich und aus der Ferne einsehen. Der Eingriff ist also schwerwiegender als eine Quellen-TKÜ.
Ausstattung des Bundeskriminalamts (BKA)
Für die Quellen-TKÜ hat das BKA eine entsprechende Software selbst entwickelt. „Remote Communication Interception Software“ (RCIS) heißt sie. Knapp sechs Millionen Euro hat die Entwicklung gekostet. Die erste Version konnte allerdings nur Skype-Gespräche mitschneiden und funktionierte nur auf Windows-Rechnern. Die zweite Version kann mehr. Außerdem hat die Behörde bereits 2013 eine Lizenz für die Software FinFisher/FinSpy des deutsch-britischen Unternehmens Elaman/Gamma gekauft. Eingesetzt werden darf sie laut „Welt“ aber erst seit Anfang des Jahres. Für die Online-Durchsuchung wiederum arbeitet das BKA noch an einer Eigenentwicklung.
Ausstattung der Landeskriminalämter
Die Landeskriminalämter haben – Stand Januar 2018– keine eigenen Trojaner. Das BKA darf zwar Amtshilfe leisten. Aber zumindest bis Mai 2018 ist das laut Bundesregierung nicht vorgekommen, jedenfalls nicht in abgeschlossenen Verfahren.
Offensive Fähigkeiten und die Frage der IT-Sicherheit
Damit die Überwachungssoftware überhaupt auf dem Zielgerät landen und dort unbemerkt arbeiten kann, muss sie Sicherheitslücken in der Hardware, dem Betriebssystem oder einzelnen Anwendungsprogrammen ausnutzen. Die Entwickler nutzen also bekannte, aber nicht behobene, oder auch neu entdeckte Schwachstellen offensiv aus, statt sie den Herstellern zu melden und so die IT-Sicherheit aller Nutzer zu stärken.

Dem SPIEGEL teilte seine Behörde dazu mit:

"Risikoabwägungen beinhalten immer ein ganzes Set an Kriterien. Eine der Fragen, die man dabei betrachten muss, lautet zum Beispiel: Bin ich der einzige, der Kenntnis von der Schwachstelle hat? Diese Frage ist auch bei Kauflösungen nicht unbeantwortbar, sie lässt sich aber einfacher beantworten, wenn ich selbst derjenige bin, der die Schwachstelle entdeckt und den Exploit (die Software, mit der die Schwachstelle ausgenutzt wird - die Red.) entwickelt hat."

Doch eine solche Abschätzung ist schwierig, wenn man nicht genau weiß, wie viele Ressourcen andere - Kriminelle oder fremde Geheimdienste zum Beispiel - in diese Arbeit investieren. Ob eine Sicherheitslücke auch anderen aufgefallen ist, zeigt sich letztlich erst, wenn der entsprechende Exploit entdeckt wird - was häufig erst dann der Fall ist, wenn es Opfer gibt.

Umgang mit Sicherheitslücken nicht geregelt

Wie ZITiS und ihre Kunden - Bundeskriminalamt, Bundespolizei und Bundesamt für Verfassungsschutz - mit neu entdeckten IT-Sicherheitslücken umgehen sollen, ist bisher nicht klar geregelt. Anders ist das zum Beispiel in den USA, da gibt es den sogenannten Vulnerabilities Equities Process. Im Bundesinnenministerium (BMI) wird an einem entsprechenden Entwurf gearbeitet. Wilfried Karl ist dabei nach SPIEGEL-Informationen als technischer Berater tätig.

Der Aufbau von ZITiS wurde im Sommer 2016 vom BMI angekündigt, knapp ein Jahr später begann Karl damit in München. Über erste Berichte, es falle der Behörde offenbar schwer, Personal zu finden, habe er sich "gewundert", sagte er nun dem "Behörden Spiegel". So etwas sei schließlich nicht innerhalb weniger Monate möglich.

Nach seinen Angaben sind mittlerweile "weit mehr als die Hälfte" der zunächst 120 Planstellen bei ZITiS besetzt, noch vor Jahresende sollen es zwei Drittel sein. Wenn die Zielgröße von 400 Mitarbeitern erreicht sei, werde der Verwaltungsanteil "unter 14 Prozent" liegen: "Der Rest sind dann tatsächlich die MINT-Fachkräfte, die wir für unsere Aufgabenerfüllung brauchen."

Die Fachkräfte sollen auch von der Universität der Bundeswehr kommen, auf deren Campus ZITiS künftig seinen Sitz haben wird. ZITiS werde dort "jährlich zehn Plätze im Master-Studiengang Cyber-Sicherheit und zehn im Bachelor-Studiengang Informatik" anbieten. Die Absolventen bekämen einen Arbeitsvertrag und müssen dafür drei oder fünf Jahre bei ZITiS arbeiten.

Mehr zum Thema


insgesamt 11 Beiträge
Alle Kommentare öffnen
Seite 1
tobi.oe 17.08.2018
1. Personalsuche
Also mich wundert es kaum, dass es der Behörde schwer fällt, geeignetes Personal zu finden... Sucht doch jede Firma ITler... im Konkurrenzkampf mit der Wirtschaft hat der Staat leider nur wenig für MINT Absolventen zu bieten.
Fuxx81 17.08.2018
2. Gestörtes Vertrauensverhältnis
Es ist bedauerlich, dass der Bürger sich nicht nur vor Kriminellen, sondern auch vor dem eigenen Staat schützen muss. Als Konsequenz ist natürlich klar, dass ich den Staat, der ja als mein Gegner aufritt, behindere, wo immer ich kann.
cosmose 17.08.2018
3.
Zitat von tobi.oeAlso mich wundert es kaum, dass es der Behörde schwer fällt, geeignetes Personal zu finden... Sucht doch jede Firma ITler... im Konkurrenzkampf mit der Wirtschaft hat der Staat leider nur wenig für MINT Absolventen zu bieten.
Viele fähige IT'ler würden sich wohl auch eher die Hände abhacken, als bei so einem fragwürdigen Projekt mitzuarbeiten. Die sogenannten "Staatstrojaner" geniessen nicht gerade den besten Ruf in unserer Branche, und das ist auch gut so. Handelt es sich hierbei doch um nichts weiteres, als staatlich unterstützte Malware, die es zu bekämpfen gilt.
hermann_huber 17.08.2018
4. Juristen und Verwaltung ?
Also, falls ich das richtig verstanden habe, sind jetzt nach drei Jahren 60 von den ersten 120 Mitarbeiter eingestellt/verpflichtet. Aha. In nur drei Jahren. Quas deutsche Behörden-lichtgeschwindigkeit.. :-) Und nachdem die ersten 120 mal irgendwann da sind fehlen nur noch die Entwickler und Hacker. Die werden üblicherweise nicht zu den schlechten Arbeitsbedingungen und den niedrigen Gehältern einsteigen. Und dann wie üblich wieder quasi Weltmeister werden wollen auf einem Gebiet in den nur wenige wirkliche Überflieger sind und diese weltweit begehrt und gesucht werden. Und die Idee ist diese Leute dann selbst auszubilden bei der BW Uni als Master Studiengang. Und dort die erstaunliche Zahl von 10 pro Jahr... Wow. Also wie immer bei deutschen Behörden : Viel zu spät begonnen und erbärmöich unterfinanziert.. Ich weiss es klingt pessimistisch: Aber das wird mal doch wieder eine übliche Totgeburt
manno18 17.08.2018
5. Deutsche Cyberermittler - Abwehr,- Spionage,-Agenten,-
Sicherheitsexperten der staatlichen Sicherheitsbehörden bei Bund und Ländern sollten, sie als auszubildenden Studenten einmal zur Weltspitze - Elite der gehören wollensich bei den chinesischen oder russischen, indischen staatlichen Cyberhacker - Kommandos Ausbildungsstätten bewerben als in Deutschland. Bei den russischen, chinesischen staatliche Cyberhackern wird noch praxisbezogenes wertvolles, hoch spezialisiertes Handwerk gelehrt und weniger theoretische Theorie aus Lehrbüchern, wie es in Deutschland in allen Bereichen im Bildungswesen - berufliche Fachausbildung, wie Universitärs Studienfächern aller Fachrichtungen seit langem üblich geworden ist. Wirklich praxisnahe, praxisbezogene handwerkliche Ausbildungen, echtes handwerkliches können wird heute nirgendwo in den kapitalistichen Wachstumsgesellschaften gelehrt.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.