Im Münchner Osten hat die neue Sicherheitsbehörde Zitis ein unscheinbares Gebäude in Beschlag genommen: Von außen ein schmuckloser Verwaltungsbau in direkter Nachbarschaft von zwei Autohäusern – innen ein Bürokomplex, der an ein Start-up erinnert. Zitis ist ohnehin alles andere als eine gewöhnliche Behörde: Weil das Knacken digitaler Verschlüsselungen unter anderem zu ihren Aufgaben zählt, hat sie sich schnell die Bezeichnung „Bundeshacker“ eingehandelt. Dabei steht die Abkürzung Zitis für „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“. Die Behörde soll eine Art staatlicher IT-Dienstleister für die deutschen Sicherheitsbehörden sein. Im April 2017 hatte Bundesinnenminister Thomas de Maizière (CDU) per Ministererlass den Startschuss zur Gründung gegeben. Lange werden die staatlichen IT-Spezialisten aber nicht in der bayerischen Landeshauptstadt bleiben: 2022 ist der Umzug in den Landkreis München geplant. In Neubiberg sollen einmal 400 Mitarbeiter für die Sicherheitsbehörden forschen. Wir sprachen mit Zitis-Präsident Wilfried Karl über den Aufbau der Behörde und die Frage, ob die Arbeit von Zitis überhaupt mit dem Grundgesetz in Einklang steht.
-Zitis hat eine ganze Reihe von Stellenausschreibungen veröffentlicht, unter denen sich ein Laie kaum etwas vorstellen kann: Sie suchen Experten für Kryptoanalyse, Big Data, digitale Forensik und Telekommunikationsüberwachung. Was machen solche Menschen genau?
Um das zu verstehen, ist es zunächst wichtig zu wissen, was Zitis überhaupt macht: Wir beobachten derzeit eine Digitalisierung in allen Bereichen des täglichen Lebens. Viele können sich ein Leben ohne Smartphone nicht mehr vorstellen. Gleichzeitig gibt es Kriminelle, die im Darknet ihre Geschäfte abwickeln, oder Terroristen, die verschlüsselte Messenger-Dienste nutzen. Polizei und Nachrichtendienste müssen aber in der Lage sein, mit diesen Technologien Schritt zu halten, um Gefahren abwehren und Straftaten erfolgreich aufklären zu können. Die Bundesregierung hat vor einiger Zeit beschlossen, eine zentrale Stelle zu schaffen, die als Dienstleister für die Polizei und die Nachrichtendienste Forschungs- und Entwicklungsarbeit betreibt. Die Aufgabe unserer Mitarbeiter ist es, neue Methoden zu erforschen und neue Strategien zu entwickeln. Wir haben vier große Sicherheitsbereiche ausgemacht: Der erste ist die IT-Forensik, also das Auswerten von digitalen Asservaten.
-Können Sie ein Beispiel nennen?
Es geht bei dieser Art der Forensik nicht um das Auswerten von Fingerabdrücken, wie man es aus dem „Tatort“ kennt, sondern um die Auswertung von digitalen Datenträgern. Das kann ein beschlagnahmtes Smartphone sein oder eine beschlagnahmte Festplatte. Möglich ist aber auch, dass beispielsweise die Daten von einer Drohne ausgewertet werden müssen, weil die Drohne zuvor illegal über ein Gefängnis geflogen ist, um dort Handys abzuwerfen.
-Wie sehen die anderen Aufgabenbereiche aus?
Das zweite große Thema bei Zitis ist die Telekommunikationsüberwachung. Dabei fallen Daten an, die mit unserem dritten und vierten Aufgabenbereich unmittelbar zusammenhängen: Die Kryptoanalyse, also das Entschlüsseln von verschlüsselten Daten, sowie das Thema Big Data beziehungsweise Machine Learning.
-Können Sie auch das anhand eines Beispiels erklären?
Bei Analysen von großen Datenmengen geht es darum, diese so aufzubereiten, dass Ermittler der Polizei oder Auswerter der Nachrichtendienste in vertretbarer Zeit etwas mit den Daten anfangen können. Beispielsweise werden wir künftig im Bereich Bilderkennung forschen: Wenn der Verfassungsschutz beispielsweise das Foto einer Person hat und wissen will, wo das Bild entstanden ist, soll das eine Software künftig zweifelsfrei erkennen. Die Software würde auf Basis von vorhandenen Fotos auswerten und erkennen, dass ein bestimmtes Foto in einem Ausbildungslager für Terror in Syrien entstanden ist und nicht etwa bei einem harmlosen Ausflug in die marokkanische Wüste.
-Umstritten ist die von Ihnen angesprochene Telekommunikationsüberwachung. Vergangenen August hat der Bundestag mit einer Gesetzesänderung den sogenannten Staatstrojaner geschaffen, um beispielsweise die Smartphone-Kommunikation über WhatsApp oder Skype mitlesen zu können. Wird die Technik dafür künftig in München entwickelt?
Verschlüsselung soll die Kommunikation der Bürger und Unternehmen so sicher wie möglich machen, wir stehen zu den bekannten Eckpunkten der Kryptopolitik. Diese besagen: starke Verschlüsselung, kein Einbau von Hintertüren. Es muss aber gleichzeitig gewährleistet sein, dass die Strafverfolgung funktioniert. Es darf keinen Unterschied machen, ob ein Krimineller seine Taten über das Telefon abspricht oder über einen verschlüsselten Messenger, ob er also eine SMS schickt oder eine WhatsApp-Nachricht. Wir werden an Methoden und Verfahren forschen, die gerade vor dem Hintergrund sicherer Verschlüsselung den Polizeien auch in Zukunft ihre Arbeit und die Erfüllung ihrer Aufgaben ermöglichen.
-Wie gehen Sie bei der Telekommunikationsüberwachung vor?
Hier herrscht ein großes Missverständnis in der öffentlichen Debatte: Zitis ist ein reiner Dienstleister. Wir sind keine neue Polizei und auch kein neuer Nachrichtendienst, haben auch keine entsprechenden Befugnisse. Wir forschen und entwickeln lediglich die Werkzeuge für andere Behörden wie die Bundespolizei, die Kriminalämter und den Bundesverfassungsschutz – nur diese Behörden haben auch die Befugnis, einzugreifen. Sie hatten schon immer die Möglichkeit, dass ein Richter die Telekommunikationsüberwachung anordnet – was gut begründet beantragt werden muss. Und an den gesetzlichen Vorgaben hat sich nichts geändert, lediglich die Technik ist neu.
-Also keine befürchtete Massenüberwachung des Datenstroms? Eher eine digitale Hausdurchsuchung?
Ja. Ich wehre mich auch gegen den Begriff Trojaner. Wir stellen keine Trojaner oder Würmer her. Das machen Kriminelle. Unsere Werkzeuge setzen die Behörden ein, die das im begründeten Einzelfall auch dürfen. Die Hausdurchsuchung ist eine gute Analogie: Die Polizei vor Ort berät Bürger, wie man das eigene Haus oder die eigene Wohnung mit allerlei Schlössern und Riegeln gegen Einbrüche schützen kann. Sollte aber ein richterlicher Beschluss zu einer Hausdurchsuchung vorliegen, kommt dieselbe Polizei und bricht die Haustür auf. Und das geschieht nicht massenhaft, sondern im begründeten Einzelfall.
-Die Hausdurchsuchung ist aber für die Bewohner sichtbar. Im Digitalen kann es sein, dass die Überwachung unbemerkt abläuft. Erfährt der Betroffene hinterher, ob sein Smartphone oder sein Rechner ins Visier der Ermittler geraten ist?
Wichtig ist, dass jetzt nichts anderes stattfindet als in den vergangenen Jahrzehnten auch. In der Regel erfolgt eine Benachrichtigung des oder der Betroffenen. Da hat sich auch durch das Gesetz im August 2017 nichts geändert. Unabhängig davon müssen die Sicherheitsbehörden mit der technologischen Entwicklung Schritt halten können.
-Zitis wurde nicht auf Grundlage eines Gesetzes gegründet, sondern auf Grundlage eines Minister-erlasses. Die Grünen im Bundestag äußerten daher Zweifel an der Verfassungskonformität Ihrer Behörde, die Linke sprach von einer „Gefahr für die Bürgerrechte“. Auch aus der Wirtschaft gab es Kritik: Der Branchenverband Bitkom forderte einen klaren Rechtsrahmen für Zitis. Arbeiten Sie an der Grenze des verfassungsrechtlich Zulässigen?
Die Kritik ist dadurch entstanden, dass damals die Annahme vorherrschte, wir hätten auch Eingriffsbefugnisse – was aber nicht der Fall ist.
-Die Kritik beschränkte sich nicht nur auf die Behörde selbst, sondern auch auf Sie als Person, weil Sie als früherer BND-Mitarbeiter nach den Snowden-Enthüllungen im NSA-Untersuchungsausschuss als Zeuge geladen waren. Die Linksfraktion im Bundestag erklärte nach Ihrer Ernennung zum Zitis-Präsidenten: „Karl verkörpert das unkontrollierte Eigenleben des BND.“
Kurz zum Untersuchungsausschuss: Ich war dort mehrfach Zeuge und habe dort immer wahrheitsgemäß ausgesagt, wie viele andere Mitarbeiter des BND auch. Der Bericht ist öffentlich einsehbar.
-Wie sind Sie überhaupt zum BND und später zu Zitis gekommen?
Aufgewachsen bin ich in Mittelfranken, in der Nähe von Nürnberg. Nach dem Wehrdienst habe ich Elektrotechnik in Erlangen studiert und dann freiberuflich als Ingenieur bei Grundig gearbeitet. Seit 25 Jahren lebe ich in München, weil ich damals ein attraktives Angebot des BND hatte, im Bereich der technischen Aufklärung als Entwickler zu arbeiten. Dabei muss der BND Funksignale, Signale in Kabeln aufklären. Erst habe ich dort als technischer Analyst gearbeitet, später habe ich die Abteilung geleitet. Und nach 25 Jahren in München fühle ich mich inzwischen auch als Münchner. Daher habe ich mich umso mehr gefreut, als das Bundesinnenministerium mich gefragt hatte, ob ich mir vorstellen könne, Zitis aufzubauen.
-Das Innenministerium sieht folgende Arbeitsteilung vor: Das BSI, das Bundesamt für Sicherheit in der Informationstechnik in Bonn, ist für die Verschlüsselung zuständig und berät auch Verbraucher und Unternehmen darin, Daten zu sichern. Sie sind dafür zuständig, die Verschlüsselung zu knacken. Ist es nicht widersprüchlich, dass der Innenminister einerseits das Schloss verriegelt und mit Ihrer Behörde künftig auch den Schlüssel in der Hand hält?
Nein. Wir rütteln nicht an den Eckpfeilern der deutschen Kryptopolitik. Sicherheitslücken machen nicht wir, die findet sich in der Regel in der Software. Und uns muss es geben, um den Behörden die technischen Fähigkeiten zur Strafverfolgung auch in Zukunft zu geben.
-Versuchen Sie selbst mit den Herstellern von Betriebssystemen wie Google oder Microsoft in Kontakt zu treten, um schneller an die Lücken zu kommen?
Wir wollen mit vielen Unternehmen kooperieren, auch mit Instituten oder Universitäten. Ich persönlich habe keine Hemmschwelle, mit Software-Herstellern zu reden. Schließlich ist unsere Arbeit auch dazu da, das Leben der Bürgerinnen und Bürger und den Wirtschafts-Standort Deutschland sicherer zu machen.
-Vergangenes Jahr legten Erpressungs-Trojaner wie WannaCry weltweit zehntausende Rechner lahm. Haben Sie bereits ein Alarmsystem entwickelt, um die nächste große Attacke frühzeitig zu erkennen?
Nein. Unsere Behörde befindet sich ja noch mitten im Aufbau. Den entsprechenden Ministererlass, unsere Behörde zu gründen, gab es vergangenen April. Und im Mai 2017 sind wir mit einem Gründungsstab von wenigen Mitarbeitern gestartet. An der Universität der Bundeswehr in Neubiberg bekamen wir ein paar Büros, von dort aus haben wir begonnen, Zitis auf dem Reißbrett zu entwerfen. Es war auch gar nicht so leicht, in München ein geeignetes Gebäude zu finden. Im Dezember haben wir dann schon damit angefangen, die ersten Arbeitsverträge zu unterschreiben.
-Eigentlich wollten Sie bis zum Jahresende 120 Mitarbeiter einstellen – geschafft haben Sie das aber nicht.
Das ist nicht richtig. Wir hatten die Mittel für 120 Stellen – aber nicht die Maßgabe, diese Anzahl an Stellen bis zum Jahresende auch tatsächlich voll zu besetzen. Das wäre auch nicht möglich gewesen, wenn man bei null anfängt. Inzwischen haben wir knapp über 30 Mitarbeiter, etwa 25 weitere haben eine Zusage erhalten oder befinden sich in den letzten Phasen der Rekrutierung.
-Bleiben die angestrebten 400 Mitarbeiter weiterhin das Ziel?
Ja. 2022 wollen wir in Neubiberg in einen Neubau auf dem Gelände der Universität der Bundeswehr ziehen. Ich hoffe, dass wir bis zum Jahresende etwa 100 Mitarbeiter haben werden – dann könnten wir mehr Projekte starten.
-Der Arbeitsmarkt für IT-Fachkräfte in München dürfte doch beinahe leer gefegt sein. Software-Giganten wie IBM, Google oder Microsoft haben hier Niederlassungen. Warum hat sich Zitis ausgerechnet in München angesiedelt? In der privaten Wirtschaft dürften IT-Fachkräfte doch das Doppelte oder Dreifache verdienen als im öffentlichen Dienst.
Der IT-Standort München befindet sich europaweit auf Platz eins – noch vor London und Paris. Die Entscheidung, wohin Zitis geht, ist daher schnell gefallen. In München finden wir genau die Mitarbeiter, die wir brauchen. Sie haben natürlich Recht: Wir konkurrieren alle um die gleichen Mitarbeiter. Aber in einem Punkt haben Sie Unrecht: Der öffentliche Dienst kann durchaus mit der Privatwirtschaft konkurrieren. Die Gehälter für Junior- oder Senior-Entwickler liegen nicht so weit auseinander und wir sind in der Lage, Zulagen zum Tarif zu zahlen. Anders als ein Privatunternehmen bieten wir einen sicheren Arbeitsplatz. Wir bieten das Beste aus zwei Welten: Wir sind eine Art Behörden-Start-up ohne starre Strukturen und Hierarchien und unzähligeVorschriften. Und unsere Arbeit dient dem Schutz der Bürgerinnen und Bürger. Das macht uns attraktiv.
Interview: Sebastian Hölzle