Der Präsident der neuen IT-Dienstleitungsstelle ZITiS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich) Winfried Karl hat im Rahmen einer Tagung über die Hintergründe und Aufgaben seiner Behörde gesprochen. Die Aufgabenstellung der Behörde ist aus unterschiedlichen Gründen umstritten (hier dazu Details). In einem Artikel auf heise.de (lokale Kopie) wird der ZITiS-Präsident folgendermaßen zitiert:
Es ist nicht Aufgabe von Zitis, Kommunikation unsicher zu machen (..) Unsere Aufgabe ist gesetzlich festgelegt und gesetzesorientiert. Das bedeutet: Es gibt keinen Ankauf von 0-Days auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen.
Unklar an einem solchen Bekenntnis ist aber, ob bspw. ein Unternehmen wie Vupen (die staatliche Einrichtungen zu seinen Kunden rechnet, seinerseits aber mutmaßlich „dunkle“ Quellen für die gehandelten Exploits hat) oder Hacking-Team in den Bereich der „unseriösen“ Quellen fällt.
Darüber hinaus verfügt ZITiS lt. den Niederschriften der Rede im Artikel nicht über Offensivbefugnisse. Obwohl im Vortrag von Winfried Karl die Bundeswehr nicht offiziell als „Kunde“ seiner Behörde genannt wurde, geht davon aus, dass die Lage der Behörde mit Räumlichkeiten auf dem Campus der Bundeswehr-Universität in München „eine einzigartige Lage [ist], die Synergien befördert“ . Darüber hinaus geht er nicht davon aus, dass ZITiS Probleme mit der Aquise von Fachpersonal haben wird und unterstützt damit indirekt eine ähnliche These in Bezug auf den IT-Fachkräftemangel bei den Bundeswehr-Cyber-Bereich.