Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.703.355 Produkten

Monika Ermert 52

IT für Sicherheitsbehörden: Schwachstellen kann Zitis auch kaufen

Staatstrojaner Bundestrojaner

Zur Eröffnung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich erteilte der Innenminister der Datenschutzbeauftragten eine Absage. Zitis-Chef Karl hatte vor kurzem betont, keine Schwachstellen auf Grau- oder Schwarzmärkten einzukaufen.

Bundesinnenminister Thomas de Maizière eröffnete am gestrigen Donnerstag die neu geschaffene Behörde Zitis – die Zentrale Stelle für Informationstechnik im Sicherheitsbereich. Zitis soll die Bedarfsträger in Deutschland mit forensischer und biometrischer Software, aber auch mit Software für Überwachungsmaßnahmen versorgen.

Anzeige

Von den für 2022 anvisierten 400 Mitarbeitern würden sich die ersten 20 bereits mit ersten Aufträgen beschäftigen und nicht nur mit sich selbst. Das versicherte der Leiter des Aufbaustabs, Hans-Christian Witthauer. Zum Einzug in die Interimsresidenz in ein ehemaliges Gebäude von Giesecke und Devrient in der Zamdorfer Strasse in München schaute nicht nur de Maizière, sondern auch Bayerns Wirtschaftsministerin Ilse Aigner herein.

Ilse Aigner, Thomas de Maizière und Wilfried Karl
Ilse Aigner, Thomas de Maizière und Wilfried Karl

Dort erklärte de Maizière, dass ein Ankauf von Software für Online-Durchsuchung und Quellen-TKÜ keineswegs ausgeschlossen sei. Ab wann eine Schwachstelle in der Software so gefährlich wird, dass das Zitis sie melden statt nutzen sollte, hänge von der Bewertung ab. Einen Bewertungsprozess müsse man am Zitis aber erst noch etablieren, sagte Zitis-Direktor Wilfried Karl.

Beim Pressegespräch mit Journalisten sagte de Maizière, er nehme die Kritik an der Behörde und deren Aufgabe, Werkzeuge für die Strafverfolgung und die präventive Gefahrenabwehr zu erforschen, durchaus ernst. Natürlich sei die Bundesregierung für sichere Verschlüsselung, auch Ende-zu-Ende Verschlüsselung, und man wolle nach wie vor Verschlüsselungsland Nummer eins werden. Forderungen nach dem Einbau von Hintertüren oder das Hinterlegen von Schlüsseln lehne er auch ab. Gleichzeitig müsse im Einzelfall aber Verschlüsselung überwunden werden können.

Dafür soll das Zitis forschen und dabei solle es ganz rechtsstaatlich zugehen. Egal ob Software für die Online-Durchsuchung direkt beim Zitis entwickelt oder im Ausland eingekauft werde, sie müsse den Privatsbereichsschutz gleich mit einbauen. Ausländische Software müsse zum Beispiel entsprechend abgeändert werden.

Auf die Frage, ab wann vom Zitis entdeckte oder gekaufte Schwachstellen wegen einer Gefährdung der Allgemeinheit offen gelegt werden sollten, antwortete der Minister, "das kommt politisch und juristisch darauf an". Der Kernfrage wich er aus, aber klar ist für ihn, dass es kein Problem sei, wenn der Rechtsstaat eine Lücke nutze, die das BSI gemeldet habe, die aber nicht geschlossen werde. Stünde zu befürchten, dass die Schwachstelle von Dritten genutzt würde, auch aus dem Ausland, sei es wieder anders.

Monika Ermert
Die zwei Vertreter von Digitalcourage waren bei der Zitis-Eröffnung nicht erwünscht (Bild: Monika Ermert)

Im übrigen brauche man aber gar nicht grundsätzlich Schwachstellen, vielmehr sei auch die Infiltration durch verdeckte Ermittler möglich. Zitis-Chef Karl merkte an, dass man nicht alle Schwachstellen über einen Kamm scheren und Sicherheit nicht allein auf sie beziehen dürfe. Seine Absage an den Kauf von ZeroDays wiederholte er in München nicht. Gegenüber heise online hatte Karl betont: "Unsere Aufgabe ist gesetzlich festgelegt und gesetzesorientiert. Das bedeutet: Es gibt keinen Ankauf von 0-Days auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen."

Anzeige

Die Verantwortung über den Einsatz der verschiedenen Werkzeuge und Tools haben laut de Maizière übrigens die verschiedenen Behörden, die Kunden der Zitis. Die Kontrolle obliege den Gerichten beziehungsweise dem parlamentarischen Kontrollgremium.

"Unverantwortlich" nannte unmittelbar vor der Veranstaltung Hartmut Goebel von der Bürgerrechtsorganisation Digitalcourage die geplante Nutzung der Exploits. "Über diese Lücken werden weltweit täglich kritische Infrastrukturen, Unternehmen, Journalistinnen, Parlamente und Bürgerinnen angegriffen. Der Staat hat die Pflicht Sicherheitslücken zu schließen und darf sie nicht fördern." Die zwei Digitalcourage-Vertreter mussten draußen vor der Tür bleiben und wurden gar wegen des bayerischen Versammlungsverbots angegangen.

Monika Ermert
Die Demonstranten von Digitalcourage wurden genau inspiziert (Bild: Monika Ermert)

In einer kurzen Replik auf die Bundesdatenschutzbeauftragte, die beklagt hatte, dass sie bislang nicht in die Zitis-Arbeit eingebunden worden sei, sagte de Maizière, "bei einer solchen Forschungsstelle ist die Bundesdatenschutzbeauftragte gar nicht zu beteiligen." Sie sei aber jederzeit eingeladen, sich über die Forschungsarbeit zu informieren.

Bei der Forschungsarbeit will das Zitis in Zukunft eng mit der Universität der Bundeswehr in Perlach-Neubiberg zusammenarbeiten. 15 Professorinnen und Professoren werden dort für den Bereich Cyber Defense innerhalb der kommenden Monate berufen, ein Masterstudiengang Cybersecurity eingerichtet. Wegen der erhofften Synergien bauen Bundeswehruni und Zitis gemeinsam ein ganz neues Gebäude. Bis das fertig ist, räumt das Zitis den befreundeten Cyberlehrstühlen auch ein Plätzchen in den neuen Räumen in der Zamdorfer Strasse ein.

Auch anderes ist noch Zukunftsmusik, etwa die endgültige Zitis-Mitarbeiterzahl. Bislang hat man samt den aus anderen Behörden abgeordneten Beamten 20. Der erste Arbeitssschwerpunkt soll dabei laut Witthauer auf Telekommunikationsüberwachung und Forensik gelegt werden. Big-Data-Analyse und Krypto-Analyse sollen danach ins Visier genommen werden. Ist es da besonders schwer, überhaupt gute Leute zu bekommen? Es ist nicht leicht. Aber Interessenten habe man durchaus, auch von großen Unternehmen wie Airbus oder Siemens. (Monika Ermert) / (kbe)

52 Kommentare

Themen:

Anzeige
  1. Hackback: Zitis-Chef spricht sich für Cyber-Gegenschlag aus

    Hackback: Zitis-Chef spricht sich für Cyber-Gegenschlag aus

    Der Präsident der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis) hat sich im “Spiegel” für mehr Kompetenzen der Sicherheitsbehörden bei der Reaktion auf Cyber-Angriffe ausgesprochen. Der Staat müsse handlungsfähig bleiben.

  2. Chef der Entschlüsselungsbehörde Zitis: Wir kaufen nichts auf dem Schwarzmarkt

    Chef der Entschlüsselungsbehörde Zitis: Wir kaufen nichts auf dem Schwarzmarkt

    Bundeshacker wolle man nicht sein und Zero-Days wolle man auch nicht auf Grau- und Schwarzmärkten kaufen, betont Wilfried Karl, Präsident der neuen Entschlüsselungsbehörde Zitis.

  3. re:publica: Innenminister stellt sich der Kritik

    re:publica: Innenminister stellt sich der Kritik -- und versteht sie nicht

    Thomas de Maizière hielt als erster Innenminister einen Vortrag auf der re:publica und sprach in einer Podiumsdiskussion über netzpolitische Entscheidungen der Bundesregierung. Dabei verteidigte er auch das Netzwerkdurchsetzungsgesetz.

  4. Schlagabtausch zu ZITiS: IT-Sicherheitslücken schließen oder ausnutzen?

    Schlagabtausch zu ZITiS: IT-Sicherheitslücken schließen oder ausnutzen?

    Macht die staatliche Hack-Behörde ZITiS uns sicherer oder leistet sie der IT-Sicherheit einen Bärendienst? Darüber stritten ZITiS Präsident Wilfried Karl und der Bundesdatenschutzbeauftragte a.D. Peter Schaar beim Domain Pulse in München.

  1. Windows 10: Cortana deaktivieren

    Sie möchten die Cortana-Suche in Windows 10 ausblenden oder ganz deaktivieren? Wir zeigen Ihnen, wie das klappt.

  2. Sicherheit von Sprachassistenten: Darauf sollten Sie achten!

    Wenn Sie mehr über die Sicherheit von Sprachassistenten erfahren wollen, haben wir in unserem Artikel wichtige Tipps und Hinweise für Sie.

  3. EU-Flüchtlingsdeal mit Libyen: Auffanglager und "Inhaftierungszentren"

    Italienroute: de Maizière verkündet, dass eine gesamteuropäische Lösung noch "ein paar Tage Zeit" brauche. Ein geleaktes Papier des Auswärtigen Dienstes der EU verweist auf künftige Härten

  1. Metal Gear Survive angespielt: Überleben um jeden Preis, speichern für zehn Euro

    Metal Gear Survive angespielt: Überleben um jeden Preis, speichern für zehn Euro

    In Metal Gear: Survive schlägt die bekannte Agenten-Saga ganz neue Töne an. Statt auf Politik und Pathos setzen die Entwickler auf Zombies und dreiste Mikrotransaktionen: Sogar für einen zusätzlichen Speicher-Slot muss man zahlen.

  2. VoIP-Telefonie und Mobilfunkrufnummer: Erste Erfahrungen mit Sipgate Satellite

    VoIP-Telefonie und Mobilfunkrufnummer: Erste Erfahrungen mit Sipgate Satellite

    Mit dem Satellite-Dienst bekommt das Smartphone eine zweite Mobilfunkrufnummer ohne SIM-Karten-Bindung gratis. Das dürfte Nutzer interessieren, die geschäftliche und private Telefonie trennen wollen. Die wichtigsten Funktionen überzeugen.

  3. Fahrbericht Audi A7 55 TFSI

    Wenn brandneue Smartphones das erste Mal in die Hände neugieriger Tester geraten, nennt man das gerne ein „Hands On“. Fahren kann das Ding auch. Vom hübsch gefalteten Blechkleid mal abgesehen, stecken aber gerade in den elektronischen Komponenten viele der Highlights der neuesten Generation

  4. STM-Entwicklerkits für Mobilfunk

    STM-Entwicklerkits für Mobilfunk

    Langsam kommt NB-IoT ins Rollen: Pünktlich zur Embedded World zeigt STMicroelectronics eine Entwicklerplatine mit Modem für den neuen Internet-der-Dinge-Netzstandard.

Anzeige