Sicherheit

Zitis: So arbeitet die Werkstatt der Cyber-Polizei

Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich in München.

Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich in München.

Foto: Theo Klein

Zur Abwehr von Hacker-Angriffen baut die Bundesregierung derzeit in München ein Zentrum auf, in dem neue Instrumente entwickelt werden.

München.  Wilfried Karl lädt in die „Kreativ Lounge“. Weiße Cocktail-Tische mit hohen Hockern stehen vor der großen Fensterfront. In der Ecke brummt eine Kaffeemaschine. „It’s Coffee time!“, steht in blauer Schrift an der Wand, daneben hängen Zeitschriften in einem Halter. Der Spiegel, die Computerzeitschrift c’t, das „Drohnenmagazin“. Draußen, im Münchner Osten, rauschen an diesem Juli-Mittag Autos auf der A94 vorbei.

Karl ist Präsident der Zitis, der Zentralen Stelle für Informationstechnik im Sicherheitsbereich. Der Name klingt nach ausufernder Bürokratie. Aber Karl will Zitis zu einer Denkfabrik in Sachen IT für Polizei und Verfassungsschutz machen. Er will viel lieber ein „Start-up-Unternehmen“ aufbauen als eine Behörde – einen Dienstleister im Kampf gegen Kriminelle. Polizisten und Geheimdienstler bleiben die Chirurgen in den Strafverfahren, aber Zitis will ihnen Skalpelle und Tupfer moderner Cyberforensik liefern.

Präsident Karl, 52, trägt ein helles Hemd, keine Krawatte. Er ist Behördenchef, aber er ist derzeit immer auch Personalscout auf einem Markt, auf dem auch IT-Konzerne, renommierte Banken und junge Agenturen Informatiker rekrutieren. In der „Kreativ Lounge“ achtet er trotzdem korrekt auf jedes Wort, jede Formulierung, die er in dem Interview sagt. Er weiß, der Staat Einsatz von Überwachungssoftware durch den Staat ist umstritten.

Ermittlern bleibt Großteil der Gespräche verborgen

Polizisten berichten immer wieder, wie sie bei Internetbetrügern, Händlern von Kinderpornografie oder Extremisten verschlüsselte Datenträger sichern – und die Auswertungen scheitern. Und wenn Beamte doch eine Festplatte oder ein Handy knacken, sind die Mengen an Daten für einzelne Ermittler kaum händisch auszuwerten. Die Polizei in Berlin überwachte 2016 den späteren Berlin-Attentäter Anis Amri. In wenigen Monaten sammelten die Beamten Tausende Daten, die sie auswerten mussten – rund 7600 Telefonverbindungen und 10.190 Nachrichten am Handy, 91.000 Internetverbindungen. Allein für die Auswertung dieser Amri-Observation fielen 1144 Arbeitsstunden an.

In einer Anhörung im Rechtsausschuss des Bundestags erklärte auch der Vize-Präsident des Bundeskriminalamts (BKA), Peter Henzler, die Brisanz für seine Behörde. In einem Großverfahren gegen fünf angeklagte Islamisten hatte das BKA 200 Überwachungsmaßnahmen geschaltet. Die Beamten hörten Handys ab, Telefonanschlüsse, Emails. Der Verdacht: Die Extremisten sollen sich im Ausland terroristischen Vereinigungen angeschlossen haben.

Doch trotz der Überwachung sei den Ermittlern ein Großteil der Gespräche verborgen geblieben. Dabei war es keine ausgeklügelte IT-Software, die von den mutmaßlichen Tätern genutzt wurden, sondern Programme gängiger Anbieter: WhatApp, Skype, Telegram. Es fehlen den Behörden die Werkzeuge, um verschlüsselte Kommunikation zu knacken. Karls Zitis will ihnen helfen.

Zehn Millionen Euro zum Start der Behörde

Jeder hochkarätige Cyberkriminelle arbeitet nach Angaben von Staatsanwälten und Polizisten längst mit gesicherten Festplatten und verschlüsselter Kommunikation – etwa Programme wie „TrueCrypt“, „Bitmessage“, manche Software klingt selbst wie eine Verschlüsselung: „dm-crypt“ und „eCryptfs“. Islamisten tauschen sich in Kurznachrichten-Chats wie „Electronic Horizon Foundation“ über neueste Technik aus. Deutsche Dschihadisten bringen im Netz sogar ein eigenes Magazin heraus: „Kybernetiq“. Georg Ungefuk von der Generalstaatsanwaltschaft in Frankfurt sagt dieser Redaktion: „Ich habe Fälle erlebt, da waren Festplatten mit einem 30-stelligen Passwort geschützt. Da haben Sie als Ermittler auch mit guter Software kaum eine Chance.“

Hätte die Polizei die IT-Technik von 1990, könnte sie heute keinen Kriminalfall mehr lösen, sagt Zitis-Chef Karl. Zehn Millionen Euro stellte der Bund zum Start der Behörde bereit, zudem 120 Stellen im Haushalt 2017. Bis 2022 soll Zitis auf 400 Mitarbeiter wachsen. Kurz danach will das Amt auf den Campus der Bundeswehr-Uni in Neubiberg ziehen.

In den nächsten Jahren werkeln die IT-Spezialisten noch in dem Haus an der A94. Karl führt durch die Räume. Neben der „Kreativ Lounge“ beginnt eine Baustelle, Kabel hängen von der Decke, Teile der Wände fehlen. „Hier entsteht ein abhörsicherer Raum für Besprechungen“, sagt Karl. Im Erdgeschoss, unter einem Dach aus Glas, sind bereits Stühle aneinandergereiht. Der Tagungssaal.

Unternehmen in der Wirtschaft zahlen höhere Gehälter

In Raum A002 stehen Sofas, Topfpflanzen und zwei Stühle, der eine sieht aus wie der Sitz in einem Rennwagen, der andere wie ein italienisches Designermöbel. „Wir fragen unseren Bewerber: Welcher Stuhl passt zu dir?“, sagt Karl. Rennfahrer oder Designer. A002 ist der Raum für Auswahlgespräche. Zitis will den Bewerbern Lockerheit vermitteln, nicht Behördenmuff, deshalb die Stühle. Um viertel nach zwei kämen an diesem Tag die nächsten Kandidaten, sagt eine Mitarbeiterin.

Medien hatten anders berichtet. Der Behörde fehlten Hacker, die Behörde finde keine Mitarbeiter. Projekte hätten verschoben werden müssen. Derzeit arbeiten 60 Menschen in dem Amt, zum Ende des Jahres sollen es 80 sein. Karl sieht den Aufbau dagegen als Erfolg, nichts sei verschoben worden. Und nicht nur bei Zitis – auch andere Sicherheitsbehörden ringen um IT-Spezialisten auf dem Arbeitsmarkt. Staatsanwalt Ungefuk sagt: „Der Markt ist an IT-Fachkräften ist klein, Unternehmen in der Wirtschaft zahlen höhere Gehälter.“ Das BKA lockt sogar Informatik-Studenten mit einer unbefristeten Stelle nach dem Studium. Bis dahin zahlt das Amt auch noch die Studiengebühren. Auch der Verfassungsschutz sucht auf seiner Webseite nach „Cyberforensikern“ – egal ob mit Abschluss oder noch Student.

Karl erzählt von den ersten Tagen, Anfang 2017. Mit fünf Mitarbeitern seien sie gestartet, in ein paar improvisieren Räumen der Bundeswehr-Universität. Beamte aus anderen Behörden halfen: vom BKA, vom Bundesnachrichtendienst, vom Flüchtlingsamt Bamf. Eigene, junge Leute seien jetzt an Bord. „Wir wollen eine Start-Up-Kultur aufbauen, Hierarchien flach halten, Kreativität fördern, zukunftsfähig sein. Das funktioniert nur, wenn sie auf einem weißen Papier anfangen.“ Es klingt ein wenig nach dem Geist von „Silicon Valley“. Es klingt aber auch mühsam.

Auch BKA und Verfassungsschutz haben „Cyberabteilungen“

Derzeit arbeite Zitis in Absprache mit den Sicherheitsbehörden an zwölf Projekten. Ins Detail will Karl nicht gehen. Er nennt ein Beispiel: Ein islamistischer Gefährder steht unter Überwachung in Deutschland. Doch weil die Grenzen in Europa offen sind, kann ein Extremist mit deutschem Pass quer durch die EU reisen. „Da ist es doch wichtig, die Daten der Überwachung auch von den ausländischen Sicherheitsbehörden in Echtzeit an die deutschen Polizeien zu senden“, sagt Karl. Das wolle Zitis technisch und rechtlich abstimmen. Von großen Software-Erfindungen zum Belauschen von Handys oder gar verschlüsselten Chats spricht Karl nicht.

Die Politik musste auch durch Terroranschläge merken, wie wackelig die Säule „Cyber“ in der deutschen Sicherheitsarchitektur dasteht. Seitdem investiert die Regierung viele Millionen Euro in die Cyberabwehr – und Angriffe. Die Bundeswehr baut ein „Cyber-Kommando“ mit mehreren Tausend Soldaten und zivilen Mitarbeitern auf. In Bonn sitzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit derzeit 800 Experten, die Server von Staat und Wirtschaft gegen Hackerangriffe schützen sollen. Auch BKA und Verfassungsschutz haben eigene „Cyberabteilungen“. Und nun noch Zitis. Die Regierung geht in die Offensive. Die Opposition warnt – und sieht Bürgerrechte und Datenschutz in Gefahr. Dabei geriet auch Karl selbst ins Visier. Fast 25 arbeitete er für den Bundesnachrichtendienst, ab 2016 leitete er die Abteilung „Technische Aufklärung“, die in der Affäre um die massenhaften Abhörmaßnahmen des US-Geheimdienstes NSA stark in die Kritik geraten war.

Für Konstantin von Notz von den Grünen ist fraglich, auf welcher Rechtsgrundlage Zitis entwickelt und forscht. Weil das Amt keine Kriminalfälle beackern darf, gibt es kein eigenes Gesetz für die Behörde – anders als beim BKA. Einzig ein „Errichtungserlass“ des Innenministeriums regelt die Kompetenzen. Aus Sicht der Opposition sind damit Risiken verbunden: Bastelt die Behörde an „Staatstrojanern“, mit denen sich die Polizei auf Handys und Laptops von mutmaßlichen Straftätern einschleusen kann? Und nutzt sie dafür Lücken in Computerprogrammen aus? Dies sei „Gift für die IT-Sicherheit“, so Grünen-Innenexperte von Notz. Der Staat müsse Lücken bei Software für die Bürger schließen – nicht für die Polizeiarbeit ausnutzen.

Werkzeuge für den Angriff entwickeln

Zitis-Präsident Karl widerspricht. Er lehne Begriffe wie „Hacker“ für seine Behörde oder „Staatstrojaner“ für Überwachungssoftware ab. Denn Richter würden jede gravierende Maßnahme der Sicherheitsbehörden rechtlich prüfen – anders als bei kriminellen Hackern. Karl sagt aber auch: „Es ist ein Spannungsfeld zwischen dem Bekanntmachen von Sicherheitslücken in IT-Systemen und dem Nutzen von eben diesen Lücken in den IT-System durch Polizei und Nachrichtendienste, um Kriminellen auf die Schliche zu kommen. Da hilft nur ein Weg, der Nutzen und Risiko abwägt.“

Und werde Zitis zukünftig durch die Politik beauftragt, Werkzeuge für den Angriff auf Server ausländischer „Cyberangreifer“ zu entwickeln, werde die Behörde entsprechende Software entwickeln, sagt Karl. Für die Sicherheitsbehörden wolle sein Amt auch Technik und Programme prüfen, die auf dem freien Markt verfügbar sind. Kritiker warnen davor, dass damit die Nachfrage nach illegaler Hacker-Software durch den Staat angeheizt werde. Karl sagt: „Wir werden aber auch selbst diese Produkte etwa zur Entschlüsselung entwickeln.“

Software, IT-Technik, Cyberforensik – die Liste der Projekte bei Zitis könnte schnell wachsen. Doch dafür müssen die Fachleute ins Amt. Abteilungsleiter seien bereits gefunden und fangen in den kommenden Wochen bei Zitis an. Karl zeigt sich insgesamt zufrieden. Aber er sagt auch: „Ein Nachteil bei der Anwerbung von neuen Mitarbeitern im öffentlichen Dienst ist der zu starke Fokus auf formale Bildungsabschlüssen – und nicht auf die aktuelle Kompetenz einer Person.“ Karl will für Zitis am liebsten neue Wege gehen, Hierarchien aufbrechen – eine Behörde „ohne Schlips und Kragen“ sein. Am Ende, sagt Karl, sei es aber auch der Beamtenstatus, der Bewerber anziehe.