Spionagebehörde Zitis in Deutschland: Backdoor im Gesetz

Erstveröffentlicht: 
09.11.2016

Eine neue Spitzelbehörde soll für die Regierung Trojaner entwickeln und Schutzlücken kaufen. Am Donnerstag kommt sie – durch die Hintertür.

 

Von Martin Kaul

 

BERLIN taz | Berge von Papier, kaum zu durchdringen: Es sind 2.974 Seiten, die am Donnerstag ab 13 Uhr im Deutschen Bundestag, Paul-Löbe-Haus, Raum 2.400, im Mittelpunkt einer langen Verhandlung stehen werden. Bereinigungssitzung. Bundeshaushalt.

 

Auf all diesen Seiten steht in Tabellen, Zahlen und Worten, wofür der deutsche Staat im Jahr 2017 sein Geld ausgeben will. An diesem Donnerstag werden die Haushaltspolitiker des Parlaments darüber befinden. Und wenn sie das getan haben, wird bald darauf eine neue deutsche Behörde entstehen, deren Stellenplan auf Seite 222 erfasst ist und die noch für allerlei Diskussionen sorgen dürfte – wenn es dafür längst zu spät ist.

 

Es ist eine Spionagebehörde, eine Trojaner- und Hackerbehörde, und es ist, wenn alles so kommt wie geplant, die größte deutsche Behörde ihrer Art: Zitis. Oder in Langform: Zentrale Stelle für Informationstechnik im Sicherheitsbereich.

 

Das Besondere an ihr: Sie soll ohne ein Errichtungsgesetz entstehen. Ein paar Abgeordnete im Haushaltsausschuss winken sie am Donnerstag durch, Ende November wird der Haushalt dann offiziell beschlossen. Und anschließend muss Bundesinnenminister Thomas de Maizière nur noch eines tun: Befehlen, dass es die Behörde gibt. Aus dem Bundesinnenministerium heißt es dazu: „Sie wird unmittelbar nach Verabschiedung des Haushaltes errichtet und wird im Endausbau etwa 400 Stellen umfassen.“

 

Das ist bemerkenswert. Selten wurde eine Behörde dieses Formats so still geschaffen und errichtet. Dabei kommt ihr künftig eine zentrale und besondere Bedeutung für die Sicherheitsarchitektur der deutschen Ermittlungsbehörden zu. Es geht um die Frage, wie der deutsche Staat Terroristen fängt, aber auch darum, wie er mit den Grundrechten seiner Bürger und mit Sicherheitslücken im Internet umgeht.

 

Zitis – was soll das sein?


Seit langem schon bemängeln Ermittler in Deutschland, dass ihnen zu oft die Hände gebunden seien – etwa, wenn sie bei Ermittlungen auf verschlüsselte Handykommunikation stoßen. Ihr Wunsch: Sie würden gern besser in der Lage sein, verschlüsselte Kommunikation aufzubrechen oder zu umgehen, etwa wenn Menschen Apps auf ihren Handys nutzen, die kryptografische Verschlüsselungsverfahren benutzen. Genau dabei soll die neue Behörde künftig behilflich sein.

 

Zum Hintergrund: Schon seit es digitale Verschlüsselungsverfahren gibt, ist die Technik umkämpft und ihr Stellenwert politisch bedeutsam. Bereits in den 90er-Jahren gab es etwa in den USA symbolträchtige Auseinandersetzungen. Im Rahmen der sogenannten „Crypto Wars“ wollte die US-Regierung versuchen, die Entwicklung von Verschlüsselungssoftware unter Genehmigungsvorbehalt zu stellen und ihren Export kontrollieren.

 

Die Idee: Der Staat sollte verschlüsseln können, seine Bürger und auch seine Gegner aber nicht. Das scheiterte damals. Bis heute wird diese Frage jedoch immer wieder aufgebracht, vor allem von Nachrichtendiensten und Ermittlungsbehörden. Bürgerrechtler und Unternehmen dagegen warnen davor, dass die grundsätzliche Schwächung von Verschlüsselungsverfahren auch eine generelle Schwächung der Sicherheit im Netz nach sich zieht.

 

Das Thema Verschlüsselung ist wichtig für alle, die im Netz mit sensiblen Daten verkehren: Da sind Kriminelle, ja, die nicht bei Verabredungen gestört werden wollen. Da sind abr auch: Aktivistinnen oder Journalisten, die – wie nun in der Türkei – in ihren Heimatländern politische Verfolgung fürchten oder schlicht ihre Quellen schützen wollen. Zuletzt ist da noch: Die deutsche Industrie, die sowohl ihre Patente als auch ihre Kommunikations- und Produktionswege sichern will.

 

Was sagt die Bundesregierung?


Die deutsche Bundesregierung geht deshalb im internationalen Vergleich einen interessanten Sonderweg: Sie bekennt sich offiziell dazu, Verschlüsselungsmechanismen zu fördern und auch in der Breite zu einem Durchbruch verhelfen zu wollen. Geregelt ist das in der sogenannten Krypto-Eckpunkte-Erklärung der Bundesregierung von 1999.

 

Auch in jüngster Zeit, als etwa auf europäischer Ebene die Frage nach einer Schwächung von Verschlüsselungsverfahren wieder aufgeworfen wurde, bekannte sich die Bundesregierung explizit zu dieser Position. Offiziell heißt es: Es sollen keine Anstrengungen unternommen werden, um Verschlüsselungsverfahren zu schwächen. Auch sollen keine staatlichen Hintertüren in Produkte eingebaut werden, die den Behörden den direkten Durchgriff auf bestimmte Produkte ermöglichen.

 

Beides hört sich für Bürgerrechtler gut an, ist aber nur ein Teil der Wahrheit. Faktisch, sagen Mathematiker und Kryptologen, ist es für die nächsten Jahre und Jahrzehnte absehbar ohnehin nicht möglich, eine gute Verschlüsselungstechnik aufzubrechen. Das hat schlicht mit mathematischen Prinzipien, Rechnerkapazitäten und dem Stand der Technik zu tun.

 

Zweitens sind die relevanten Unternehmen, bei denen Hintertüren von Wert wären, wie etwa der Chatdienst WhatsApp, meist nicht in Deutschland ansässig. Die Bundesregierung könnte sie kaum effektiv zum Einbau von Hintertüren veranlassen. Daher kann die Regierung problemlos bekennen, dass sie auf diesen Feldern nicht aktiv ist. Es wäre, technisch gesprochen, ein verlorener Kampf.

 

Stattdessen konzentrieren sich die Ermittlungsbehörden auf eine zentrale Schaltstelle, die es ebenfalls ermöglicht, Kommunikation abzufangen: Statt bereits verschlüsselte Kommunikation zu entschlüsseln, muss diese dann eben abgefangen werden, bevor sie überhaupt verschlüsselt wird. Das geht entweder durch Überwachungsprogramme auf Computern und Smartphones oder durch das Abfangen von Daten noch während diese getippt werden – zum Beispiel durch das Aufzeichnen sämtlicher Tastenanschläge oder das regelmäßige Erstellen von Bildschirmfotos, die dann heimlich ausgeleitet werden.

 

Für derlei Vorgehen hat das Bundesverfassungsgericht 2008 am Beispiel des sogenannten Staatstrojaners allerdings enge Vorgaben gemacht.

 

Hinzu kommt: In der Praxis scheinen die Ermittlungsbehörden – Bundespolizei und Landespolizeien genau wie die Verfassungsschutzämter – mit dem Einsatz von Staatstrojanern jedoch immer wieder auf Probleme zu stoßen. Denn im Kern lässt sich sagen: Zwar soll das Bundeskriminalamt derzeit Hilfestellungen bei Entwicklung und Umsetzung solcher Spähangriffe geben. Eine zentrale Kompetenzstelle für Überwachung, die sämtlichen Behörden zuliefert und sich allein darauf konzentrieren kann, gibt es jedoch bislang nicht.

 

Genau diese Lücke soll nun jene Behörde füllen, die sich Zitis nennt. Es gibt durchaus sachliche Gründe für eine solche Behörde: Macht es wirklich Sinn, dass all die dutzenden Landespolizeien, die Bundespolizei, das Bundeskriminalamt, das Bundesamt für Verfassungsschutz und all die Landesämter für Verfassungsschutz ihr jeweils eigenes Süppchen kochen? Lässt sich dies nicht effektiver aus einer Hand organisieren?

 

Wieso stört sich wohl niemand daran?


Andererseits: Wenn die Aufgaben dieser dutzenden föderalen Behörden, die aus historischen Gründen dezentral organisiert sind, nun immer mehr zentralisiert und um eine waschechte Trojanerbehörde ergänzt werden sollen – wieso wird dann über den Auftrag und die Grenzen dieser Behörde so wenig diskutiert? Zwar stellte das Bundesinnenministerium die Pläne bereits vor Monaten vor. Doch offenbar reibt sich kaum jemand daran, dass die Kompetenzen der neuen Stelle weitgehend ungeklärt sind – und ihre Mitarbeiter demnach auch künftig im Verborgenen arbeiten können.

 

Das Bundesinnenminsterium will für das kommende Jahr bereits Mittel in Höhe von 12,5 Millionen Euro einstellen. Davon sollen knapp 2,5 Millionen Euro für zunächst rund 60 Mitarbeiter eingeplant werden; später sollen es dann 400 Mitarbeiter werden. Sechs Millionen Euro stehen bereits 2017 für „Aufträge und Dienstleistungen im Bereich der Informationstechnik“ zur Verfügung. Und vier Millionen Euro sind vorgesehen für den „Erwerb von Anlagen, Geräten, Ausstattungs- und Ausrüstungsgegenständen sowie Software im Bereich Informationstechnik“.

 

Dahinter verbirgt sich etwas ganz einfaches: Zitis ist die Stelle, die künftig die deutschen Staatstrojaner entwickeln wird. Zitis ist die Stelle, in der die deutschen Kompetenzen zum Hacken, Spitzeln, Spionieren gebündelt werden sollen. Und Zitis ist die Stelle, die mitunter auch Sicherheitslücken auf dem Schwarzmarkt aufspüren und aufkaufen könnte, um diese zu eigenen Zwecken zu benutzen. Das allein wirft eine Frage auf, die zu klären ist: Wie weit gehen eigentlich die Befugnisse dieser Behörde?

 

Geht es nach dem Bundesinnenministerium, soll Zitis so schnell wie möglich seine Arbeit aufnehmen. Anders etwa als das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit Sitz in Bonn, das wesentlich defensiver ausgerichtet ist als die neue Behörde und das auf einem eigenen Gesetz fußt, will Innenminister der Maizière Zitis schlicht mit einem sogenannten Organisationserlass einrichten. Übersetzt: par ordre de Mufti.

 

Politisch geht ihm das durch, weil sich im Deutschen Parlament kaum ein Abgeordneter für die neue Behörde interessiert oder gesetzliche Leitplanken festlegen will. Zwar gibt es auch in der SPD einige Abgeordnete, die rhetorisch so tun, als gäbe es an der Behörde und ihrem Zustandekommen einiges zu kritisieren – in Frage gestellt wird in Regierungsreihen jedoch weder das Projekt an sich, noch dessen rechtliche Grundlage und die Art seines Zustandekommens. Das mag auch daran liegen, dass selbst viele Befürworter daran zweifeln, ob der Staat überhaupt in der Lage ist, ordentliches Personal zu rekrutieren.

 

Politisch geht es durch – und juristisch?


Juristisch dagegen könnte die Gründung der Behörde viel Material für eine Schlacht unter Rechtswissenschaftlern hergeben. Warum? Vereinfacht zusammengefasst: Die Errichtung einer Behörde muss wie jedes andere Regierungshandeln zumindest dann gesetzlich geregelt werden, wenn diese Behörde „wesentliche“ Aufgaben übernimmt. Was jedoch wesentlich ist und was nicht, ist unter JuristInnen umstritten. Gemeinhin gilt, wieder vereinfacht gesagt, dass eine Behörde dann wesentliche Aufgaben übernimmt, wenn sie Grundrechtseingriffe vornimmt oder grundrechtsrelevante Tätigkeiten ausführt.

 

Bei Zitis verhält es sich wie folgt: Zwar soll die Stelle gebündelt und für nahezu alle deutschen Ermittlungs- und Verfassungsschutzbehörden „Methoden, Produkte und Strategien“ zur Überwachung und Ausspähung entwickeln. Allerdings soll sie diese anschließend nicht selber einsetzen – sondern weiterreichen. Der Grundrechtseingriff wird also nicht durch die Behörde selbst durchgeführt, durch diese aber ermöglicht. Ist das wesentlich oder unwesentlich? Ist es mittelbar oder unmittelbar?

 

Zumindest der Grundrechtseingriff selbst wird ja immer unmittelbar sein.

 

Die Bundesregierung argumentiert nun, dass „die Umsetzung der Maßnahmen im Einzelnen in der Befugnis der jeweils zuständigen Behörde bleibt.“ (…) Auch die Befugnisse der Sicherheitsbehörden blieben ausnahmslos bestehen und würden durch die Einrichtung einer zentralen Stelle nicht berührt oder ausgeweitet, heißt es aus dem Bundesinnenministerium. Übersetzt: Es gibt zwar einen neuen Service-Dienstleister und künftig tiefere Eingriffsmöglichkeiten, aber keinen neuen Regelungsbedarf.

 

Das ist eine der möglichen Rechtspositionen. Dass die Bundesregierung mit dieser Rechtsposition durchkommt, ist wahrscheinlich. Denn dies sagt doch schon ein altes Sprichwort: Wo kein Kläger ist, da ist auch kein Richter.

 

Wenn Donnerstagnacht oder Freitagfrüh der Haushaltsausschuss im Deutschen Bundestag nach langer Sitzung auseinander geht, wird schon bald darauf eine neue Behörde geboren werden. Sie wird groß werden und stark und es wird dann schwerlich zu prüfen sein, was die neue deutsche Trojanerbehörde namens Zitis eigentlich tut, weil es nicht gesetzlich geregelt ist.