Vor einigen Tagen wurde in München die im Rahmen der neuen Cyber-Sicherheitsstrategie vorgesehene Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) eingeweiht. ZITiS soll im Geschäftsbereich des BMI als „Forschungs- und Entwicklungsstelle (..) und Expertise in technischen Fragestellungen mit Cyberbezug für die Sicherheitsbehörden des BMI abdecken“ und als Dienstleiter mit der „Entwicklung von technischen Werkzeugen im Kampf gegen Terrorismus, Cybercrime und Cyberspionage für alle Sicherheitsbehörden“ helfen. (Q: Pressemitteilung des BMI / lokale Kopie). ZITiS soll dabei neben Beratungs- und Strategie-Unterstützung für folgende Aufgabenbereich technische Hilfsmittel entwickeln oder beschaffen (!), deren Einsatz jedoch dann bei den konkreten Sicherheitsbehörden erfolgt:
- der digitalen Forensik,
- der Telekommunikationsüberwachung,
- der Kryptoanalyse (Dekryptierung),
- der Massendatenauswertung/Big-Data
- sowie der technischen Fragen von Kriminalitätsbekämpfung, Gefahrenabwehr und Spionageabwehr.
ZITiS wird in München aufgebaut und soll von anfänglich 120 Personalstellen bis 2022 auf bis zu 400 Stellen ausgeweitet werden. Ein sehr interessantes Detail, dass in der Meldung des BMI fehlt und erst im Rahmen einer direkten Anfrage an das BMI erläutert wurde (Q: freiheitsfoo.de / lokale Kopie), ist dass ZITiS an die Bundeswehr-Universität angegliedert werden soll, in enger Kooperation mit dem dortigen Forschungszentrums Cyber Defence (CODE).
Diese Ankündigung nährt den Verdacht, dass mit ZITiS auch eine Lücke bei der Bundeswehr selbst geschlossen werden soll. Einerseit soll laut Aufbau-Bericht zum eigenständigen Cyber-Organisationsbereich und nachfolgend auch dem Weißbuch die Bundeswehr verstärkte Fähigkeiten im Cyberspace, explizit auch zum “offensiven Wirken in allen Dimensionen” erhalten. Andererseits fehlt in den Planungen eine Angabe, woher das dafür nötige Know-How und insbesondere die dafür nötigen Hilfsmittel kommen sollen. Auch hinsichtlich der neuen Strukturen unter dem Dach des Cyber-Organisationsbereiches findet sich kein Hinweis auf eine entsprechende Dienststelle. Die bereits bei der Bundeswehr bestehende Cyber-Einheit CNO (Computer Network Operationen), die laut BMVg für offensive Cyber-Einsätze trainiert, soll zwar im Rahmen der Umstrukturierungen ausgebaut werden, von der für offensive Aktivitäten notwendigen Entwicklung eigener Hacking-Tools oder gar dem Einkauf von ggf. nötigen Exploits und anderer Hilfsmittel fehlt im Aufbau-Bericht aber jede Spur. Insbesondere dieser letzte Aspekt ist für die Bundeswehr unter dem Aspekt der Beschaffung potentiell offensiv einsetzbarer Hilfsmittel wie bspw. Penetration-Testing-Tools auch höchst schwierig bzw. mit strikten Regeln verbunden – da solche Hilfsmittel mit ihrem Dual-Use-Charakter eben durchaus auch als „Cyber-Waffen“ klassifiziert werden können. ZITiS, als zivile Institution die nicht solchen strengen Regularien unterliegt, wäre möglicherweise genau die nötige Brücke um der Bundeswehr im Bedarfsfall solche Mittel zur Verfügung zu stellen bzw. diese verfügbar zu halten. Ein Vorbild für ein solches Zusammenspiel bieten bspw. die USA mit der zivilen NSA und dem US Cybercommand, die bis vor kurzem durch einen gemeinsamen militärischen Befehlshaber geführt wurden.
Dies sind im Augenblick noch reine Spekulation und es bleibt zu hoffen, dass durch das BMI eine Klärung erfolgt, wie eine klare Abgrenzung der Dienste umgesetzt und die notwendige parlamentarische Kontrolle sichergestellt werden kann. Angesichts der zunehmenden Kooperationen von zivilen Einrichtungen, Nachrichtendiensten und den Militärs wie sie bspw. beim nationalen Cyber-Abwehrzentrum im Rahmen der neuen Cyber-Sicherheitsstrategie vorgesehen sind, könnte diese Hoffnung aber auch trügen.