Mitte September 2017 wurde in München die Zentrale Stelle für Sicherheit in der Informationstechnik im Sicherheitsbereich, kurz ZITiS, eröffnet. Diese neu geschaffene Cyber-Behörde im Geschäftsbereich des Bundesministeriums des Innern hat den Auftrag, die deutschen Strafverfolgungsbehörden sowie Nachrichtendienste bei der Aufklärungsarbeit zu unterstützen, besonders dann, wenn Beweisstücke oder die Kommunikation verdächtigter Personen digital vorliegen.

Paradoxerweise erscheint ZITiS zwar als Stärkung der gesamten Cyber-Sicherheitsarchitektur, vor allem im Bereich der Cyber-Wehrhaftigkeit, gleichzeitig lassen einige noch zu klärende Fragen hinsichtlich der Mandatsausübung potenzielle Schwachstellen erkennen.

Code-Breaker versus Code-Maker

Als zentraler Kritikpunkt an der Behörde ist deren Funktion als „Code-Breaker“ auszumachen. Um etwa Online-Durchsuchungen oder die Überwachung IT-basierter Kommunikationswege zu ermöglichen, müssen Schwachstellen in den jeweiligen Softwares ausgemacht oder Verschlüsselungen geknackt werden. Einerseits widersprechen solche Praktiken dem Anspruch Deutschlands, „Verschlüsselungsland Nummer eins“ zu werden. Andererseits besteht ein Konsens innerhalb der IT-Community, dass ebendiese Aktivitäten, ungeachtet ob von staatlichen Akteuren oder Cyber-Kriminellen ausgehend, das generelle Level an Cyber-Sicherheit schwächen können.

Der Leak von Cyber-Waffen aus dem Arsenal des US-Geheimdienstes National Security Agency (NSA) etwa führte im Frühjahr 2017 letztendlich zu der weltweiten Ransomware-Attacke WannaCry. Immerhin schloss der Präsident der ZITiS Wilfried Karl den Kauf von sogenannten Zero-Day-Exploits und die Kooperation mit unseriösen Firmen aus. Insgesamt bleibt also abzuwarten, wie sich die Behörde hinsichtlich Sicherheitslücken verhält, und inwiefern eine Konkurrenzsituation zu den „Code-Makern“ in Form des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsteht. Eine der zentralen ungeklärten Fragen ist etwa der interne Bewertungsprozess, nach dem beurteilt wird, ob eine identifizierte Schwachstelle einer Software eine Gefahr für die Allgemeinheit darstellt und somit gemeldet werden muss. Der Bundesinnenminister Thomas de Maizière gab zu Wort, dass eine solche Weitergabe, beziehungsweise Offenlegung, von politischen und juristischen Umständen abhänge.

Die Integration von ZITiS in das Institutionengeflecht – Sinnbild für die Herausforderungen eines funktionierenden Cyber-Behördennetzwerkes

Allein aus diesen Umständen heraus ergeben sich für die nächste Regierung Herausforderungen im Bereich der Organisation der Cyber-Sicherheitsarchitektur. Mit ZITiS gesellt sich ein unweigerlich potenziell gewinnbringender Akteur dem Institutionengeflecht hinzu und stellt insbesondere für die Strafverfolgung und Gefahrenabwehr einen Gewinn dar. Allerdings ist es unabdingbar, Kompetenzen, Befugnisse und Aufgaben klar zuzuteilen, um Doppelarbeit einerseits zu verhindern und eine funktionierende sowie enge Zusammenarbeit der Behörden andererseits zu ermöglichen. Gleichzeitig darf nicht vergessen werden, dass der Staat, ebenso wie die Wirtschaft, um IT-Experten werben. Der „fight for talents“ ist im vollen Gange, und das Ziel von ZITiS, die gegenwärtige Angestelltenzahl von derweil 20 bis 2022 auf 400 zu erhöhen, durchaus ambitioniert. Andere Behörden haben derweil bereits ihre Sorge vor einem Konkurrenzkampf, und gar Abwerbung eigener Experten, durch ZITiS zum Ausdruck gebracht. Begegnet wird diesen Ängsten mit dem Argument, dass ZITiS vor allem auch Grundlagenforschung betreibe, und somit die Arbeit zum Vorteil aller sein werde.

Die Herausforderungen als Chance im Kampf gegen Cyber-Kriminalität gestalten

Trotz der noch zu definierenden Aufgabenbereiche sollte ZITiS als Gewinn eingestuft werden, insofern als der artikulierte Klärungsbedarf gedeckt wird. So wird die Cyber-Aufklärungsarbeit zentralisiert und nicht mehr von den Behörden individuell gestaltet, was des Weiteren oftmals auf dem Einkauf ausländischer und teils unbekannter Programme basierte. Zudem wird mit einer zentralen Stelle die Kooperation der Nachrichtendienste und Strafverfolgungsbehörden durch das Zusammenführen von Informationen voraussichtlich verbessert – was einen großen Fortschritt im Kampf gegen Cyber-Kriminalität darstellt.

 

Bildnachweis: Fotolia_169953435: (© peshkova / Fotolia)