Zur Abwehr von Hacker-Angriffen baut die Bundesregierung in München ein neues Zentrum auf. Ein Ortsbesuch

Die Werkstatt der Cyber-Polizei

München. Wilfried Karl lädt in die „Kreativ Lounge“. Weiße Cocktail-Tische mit hohen Hockern stehen vor der großen Fensterfront. In der Ecke brummt eine Kaffeemaschine. „It’s Coffee time!“, steht in blauer Schrift an der Wand, daneben hängen Zeitschriften in einem Halter. Der Spiegel, die Computerzeitschrift „c’t“, das „Drohnenmagazin“. Draußen, im Münchner Osten, rauschen an diesem Juli-Mittag Autos auf der A94 vorbei.

Karl ist Präsident der Zitis, der Zen­tralen Stelle für Informationstechnik im Sicherheitsbereich. Der Name klingt nach ausufernder Bürokratie. Aber Karl will Zitis zu einer Denkfabrik in Sachen IT für Polizei und Verfassungsschutz machen. Er will viel lieber ein „Start-up-Unternehmen“ aufbauen als eine Behörde – einen Dienstleister im Kampf gegen Kriminelle. Polizisten und Geheimdienstler bleiben die Chirurgen in den Strafverfahren, aber Zitis will ihnen Skalpelle und Tupfer moderner Cyberforensik liefern.

Präsident Karl (52) trägt ein helles Hemd, keine Krawatte. Karl ist Behördenchef, er muss derzeit auch Anwerber für Technik-Nerds sein, Personal-Scout auf einem Markt, wo auch IT-Konzerne, renommierte Banken und Agenturen rekrutieren. In der „Kreativ Lounge“ achtet er trotzdem auf jede Formulierung, die er in dem Interview sagt. Auch er weiß, der Einsatz von Überwachungssoftware durch den Staat ist umstritten. Doch IT ist auch eine der wichtigsten Herausforderungen, mit denen die Sicherheitsbehörden konfrontiert sind.

Polizisten berichten immer wieder, wie sie bei Internetbetrügern, Händlern von Kinderpornografie oder Extremisten verschlüsselte Datenträger sichern – und die Auswertungen scheitern. Wenn Beamte doch eine Festplatte oder ein Handy knacken, sind die Mengen an Daten kaum auszuwerten. Ein Polizist im Fall des Berlin-Attentäters Anis Amri erzählte von mehreren Zehntausend Fotos und Nachrichten auf einem beschlagnahmten Handy.

Zehn Millionen Euro stellte der Bund zum Start bereit

In einer Anhörung im Rechtsausschuss des Bundestags erklärte auch der Vizepräsident des Bundeskriminalamtes (BKA), Peter Henzler, die Brisanz für seine Behörde. In einem Großverfahren gegen fünf angeklagte Islamisten hatte das BKA 200 Überwachungsmaßnahmen geschaltet. Die Beamten hörten Handys ab, Telefonanschlüsse, E-Mails. Der Verdacht: Die Extremisten sollen sich im Ausland terroristischen Vereinigungen angeschlossen haben. Doch trotz der Überwachung sei den Ermittlern ein Großteil der Gespräche verborgen geblieben. Dabei war es keine ausgeklügelte IT-Software, die von den mutmaßlichen Tätern genutzt wurde, sondern Programme gängiger Anbieter: Whats-App, Skype, Telegram. Es fehlen den Behörden die Werkzeuge, um verschlüsselte Kommunikation zu knacken. Karls Zitis will ihnen helfen. Jeder hochkarätige Cyberkriminelle arbeitet nach Angaben von Staatsanwälten und Polizisten längst mit gesicherten Festplatten und verschlüsselter Kommunikation – etwa Programmen wie „TrueCrypt“, „Bitmessage“. Manche Software klingt selbst wie eine Verschlüsselung: „dm-crypt“ und „eCryptfs“. Islamisten tauschen sich in Kurznachrichten-Chats wie „Electronic Horizon Foundation“ über neueste Technik aus. Deutsche Dschihadisten bringen im Netz sogar ein eigenes Magazin heraus: „Kybernetiq“. Georg Ungefuk von der Generalstaatsanwaltschaft in Frankfurt sagt dieser Redaktion: „Ich habe Fälle erlebt, da waren Festplatten mit einem 30-stelligen Passwort geschützt. Da haben Sie als Ermittler auch mit guter Software kaum eine Chance.“

Zehn Millionen Euro stellte der Bund zum Start der Behörde bereit, zudem 120 Stellen im Haushalt 2017. Bis 2022 soll Zitis auf 400 Mitarbeiter wachsen. Kurz danach will das Amt auf den Campus der Bundeswehr-Uni in Neubiberg ziehen. In den nächsten Jahren werkeln die IT-Spezialisten noch in dem Haus an der A94. Karl führt durch die Räume. Neben der „Kreativ Lounge“ beginnt eine Baustelle, Kabel hängen von der Decke, Teile der Wände fehlen. „Hier entsteht ein abhörsicherer Raum für Besprechungen“, sagt Karl. Im Erdgeschoss, unter einem Dach aus Glas, sind bereits Stühle aneinandergereiht. Der Tagungssaal. In Raum A002 stehen Sofas, Topfpflanzen und zwei Stühle, der eine sieht aus wie der Sitz in einem Rennwagen, der andere wie ein italienisches Designermöbel. „Wir fragen unseren Bewerber: Welcher Stuhl passt zu dir?“, erzählt Karl. Rennfahrer oder Designer. A002 ist der Raum für Auswahlgespräche. Zitis will den Bewerbern Lockerheit vermitteln, nicht Behördenmuff, deshalb die Stühle. Um viertel nach zwei kämen die nächsten Kandidaten, sagt eine Mitarbeiterin.

Medien berichteten anders. Der Behörde fehlten Hacker, sie finde keine Mitarbeiter. Projekte hätten verschoben werden müssen. Derzeit arbeiten 60 Menschen in dem Amt, zum Ende des Jahres sollen es 80 sein. Karl sieht den Aufbau dagegen als Erfolg, nichts sei verschoben worden. Und nicht nur bei Zitis – auch andere Sicherheitsbehörden ringen um IT-Spezialisten auf dem Arbeitsmarkt. Staatsanwalt Ungefuk sagt: „Der Markt an IT-Fachkräften ist klein, Unternehmen in der Wirtschaft zahlen höhere Gehälter.“ Das BKA lockt sogar Informatik-Studenten mit einer unbefristeten Stelle nach dem Studium. Bis dahin zahlt das Amt auch noch die Studiengebühren. Auch der Verfassungsschutz sucht auf seiner Webseite nach Cyberforensikern – egal, ob mit Abschluss oder noch Student.

Karl erzählt von den ersten Tagen, Anfang 2017. Mit fünf Mitarbeitern seien sie gestartet, in ein paar improvisieren Räumen der Bundeswehr-Universität. Nun arbeite Zitis in Absprache mit den Sicherheitsbehörden an zwölf Projekten. Ins Detail will Karl nicht gehen. Er nennt ein Beispiel: Ein islamistischer Gefährder steht unter Überwachung in Deutschland. Doch weil die Grenzen in Europa offen sind, kann ein Extremist mit deutschem Pass quer durch die EU reisen. „Da ist es doch wichtig, die Daten der Überwachung auch von den ausländischen Sicherheitsbehörden in Echtzeit an die deutschen Polizeien zu senden“, sagt Karl. Das wolle Zitis technisch und rechtlich abstimmen.

Die Politik musste auch durch Terroranschläge merken, wie wackelig die Säule „Cyber“ in der deutschen Sicherheitsarchitektur dasteht. Seitdem investiert die Regierung viele Millionen Euro in die Cyberabwehr – und -Angriffe. Die Bundeswehr baut ein „Cyberkommando“ mit mehreren Tausend Soldaten und zivilen Mitarbeitern auf. In Bonn sitzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit derzeit 800 Experten, die Server von Staat und Wirtschaft gegen Hackerangriffe schützen sollen. Auch BKA und Verfassungsschutz haben Cyberabteilungen. Und nun noch Zitis. Die Regierung geht in die Offensive. Die Opposition warnt – und sieht Bürgerrechte und Datenschutz in Gefahr. Dabei geriet auch Karl ins Visier. Fast 25 Jahre arbeitete er für den Bundesnachrichtendienst, ab 2016 leitete er die Abteilung Technische Aufklärung, die in der Affäre um die massenhaften Abhörmaßnahmen des US-Geheimdienstes NSA in die Kritik geraten war.

Für Konstantin von Notz von den Grünen ist fraglich, auf welcher Rechtsgrundlage Zitis entwickelt und forscht. Weil das Amt keine Kriminalfälle beackern darf, gibt es kein eigenes Gesetz für die Behörde – anders als beim BKA. Einzig ein „Errichtungserlass“ des Innenministeriums regelt die Kompetenzen. Aus Sicht der Opposition sind damit Risiken verbunden: Bastelt die Behörde an „Staatstrojanern“, mit denen sich die Polizei auf Handys und Laptops von mutmaßlichen Straftätern einschleusen kann? Nutzt sie dafür Lücken in Computerprogrammen aus? Dies sei „Gift für die IT-Sicherheit“, so Grünen-Innenexperte von Notz. Der Staat müsse Lücken bei Software für die Bürger schließen – nicht für die Polizeiarbeit ausnutzen.

Zitis-Präsident Karl widerspricht. Er lehne Begriffe wie „Hacker“ für seine Behörde oder „Staatstrojaner“ für Überwachungssoftware ab. Denn Richter würden jede gravierende Maßnahme der Sicherheitsbehörden prüfen. Karl sagt aber auch: „Es ist ein Spannungsfeld zwischen dem Bekanntmachen von Sicherheitslücken in IT-Systemen und dem Nutzen von ebendiesen Lücken in den IT-Systemen durch Polizei und Nachrichtendienste, um Kriminellen auf die Schliche zu kommen. Da hilft nur ein Weg, der Nutzen und Risiko abwägt. Und werde Zitis künftig durch die Politik beauftragt, Werkzeuge für den Angriff auf Server ausländischer „Cyberangreifer“ zu entwickeln, werde die Behörde entsprechende Software entwickeln, sagt Karl.

Software, IT-Technik, Cyberforensik – die Liste der Projekte bei Zitis könnte schnell wachsen. Doch dafür müssen die Fachleute ins Amt. Abteilungsleiter seien gefunden, fangen in den kommenden Wochen bei Zitis an. Karl zeigt sich zufrieden. Er sagt aber auch: „Ein Nachteil bei der Anwerbung von neuen Mitarbeitern im öffentlichen Dienst ist der zu starke Fokus auf formale Bildungsabschlüsse – und nicht auf die aktuelle Kompetenz einer Person.“ Karl würde für Zitis gern neue Wege gehen, Hierarchien aufbrechen – eine Behörde „ohne Schlips und Kragen“ sein. Am Ende, sagt Karl, sei es aber auch der Beamtenstatus, der Bewerber anziehe.