Cyber-SicherheitsstrategieNeue Entschlüsselungsbehörde ZITiS gestartet

CC-BY-NC 2.0 I for Detail

Das Bundesinnenministerium hat heute in einer Pressemitteilung verkündet, dass die neue Behörde ZITiS gestartet und bis zum Jahr 2022 mit vierhundert Stellen ausgestattet wird. Als Standort ist München benannt.

ZITiS ist die Abkürzung für Zentrale Stelle für Informationstechnik im Sicherheitsbereich und im Geschäftsbereich des Bundesministeriums des Innern angesiedelt. Sie gehört zur „Cyber-Sicherheitsstrategie“, die von den Parteien der Regierungskoalition ins Leben gerufen wurde. Der IT-Sicherheit arbeiten die Ziele der Behörde aber zuwider: ZITiS wird eine Art staatliche Entschlüsselungsstelle zur „Cyberaufklärung“, um die bereits bestehenden gesetzlichen Befugnisse technisch besser nutzen zu können. Dazu sollen die neuen Mitarbeiter forschen und entwickeln, Hintertüren finden und die Umgehung von Verschlüsselungsmethoden auch praktisch umsetzen.

Begründet wird die Einrichtung der Stelle mit immer mehr „Terroristen und anderen Straftätern“, die „Verschlüsselungstechnologien“ für kriminelle Zwecke einsetzen. Im „Kampf gegen Terrorismus, Cybercrime und Cyberspionage“ soll ZITiS daher Hilfe leisten.

Die Bundesregierung geht damit einen Weg, der umstritten ist, weil das planvolle Unterminieren von Verschlüsselungmaßnahmen das Vertrauen der Menschen in sichere Kommunikation und Software berührt und auch Dritten entgegenarbeiten kann, deren Ziele man nicht teilt. Das hat zuletzt auch die europäische ENISA (European Union Agency For Network and Information Security) festgestellt (S. 7):

The very existence of backdoors provides an opportunity for criminals or state actors to undermine the privacy of communications and for users to believe that their communications are not secure.

(Die bloße Existenz von Hintertüren stellt eine Möglichkeit für Kriminelle und staatliche Akteure dar, die Vertraulichkeit von Kommunikation zu untergraben und die Nutzer annehmen zu lassen, ihre Kommunikation sei nicht sicher.)

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

23 Ergänzungen

  1. Dazu sollen die neuen Mitarbeiter forschen und entwickeln, Hintertüren finden und die Umgehung von Verschlüsselungsmethoden auch praktisch umsetzen.

    Tatsächlich? Ist ZITiS so aufgestellt, dass dafür hinreichende Ressourcen z.B. im Bereich Personal vorgesehen sind? Oder läuft es doch darauf hinaus, dass finanzielle Mittel vorrangig dafür eingesetzt werden müssen, kommerzielle Dienstleistungen in Anspruch zu nehmen oder extralegale Angebote aus bekannten Dunkel-Märkten zu kultivieren?

    1. In der Diskussion bei „Networks & Poilitics #03“ zum Thema Legal Hacking hieß es, dass gerade in Zitis die Mittel und Kompetenzen gebündelt werden sollen. Zitis soll demnach Dienstleister für andere Behörden sein, damit weniger Outsourcing an private Dienstleister passieren muss. So weit erscheint das Konzept ganz stimmig.

  2. Bedienstete der Zentralen Stelle für Informationstechnik im Sicherheitsbereich: 400

    Bedienste der Bundesbeauftragten für den Datenschutz: 89

    FUCK YOU, BRD!

    Ich muss einfach annehmen dass die Zahl noch stimmt, auch wenn Vosshoff mehr neue Planstellen haben wollte, steht auf ihrer Seite nichts darüber, dass es sie gegeben hätte.

  3. Klingt nach „Paperclip“ (Operation Overcast). 2.0 … ich stelle mir das so vor, die (ZITiS) Experten vom Kaliber Dobrindt, Merkel, Schäuble oder die Misere, rekrutieren Hacker, die sie zufällig mal erwischt haben und beaufsichtigen diese, ganz Fachmännisch/frauisch!
    Während diese von den Aufpassern unbemerkt ihren Geschäften unbehelligt nachgehen können, fällt für unsere Regierigen ein Almosen in Form von Hintertüren ab, die die Hacker nicht mehr nutzen würden, weil diese ihnen langsam „zu heiß“ bzw. bald von Mickeysoft geschlossen werden!

    1. Dieser „Blödsinn“ geht aus den Beschreibungen hervor, die der Rechercheverbund (NDR und SZ) veröffentlichte und von den BMI-Staatssekretären Emily Haber und Klaus Vitt stammen sollen:

      „Hunderte Spezialisten sollen dort die raffinierten Codes der Anbieter und Hersteller knacken, damit Polizei und Verfassungsschutz weiterhin mitlesen können. […] soll Zitis nicht selbst abhören, sondern nur die notwendigen Techniken entwickeln, auf dem freien Markt kaufen oder von befreundeten Staaten übernehmen.“

      (siehe http://www.sueddeutsche.de/digital/sicherheitspolitik-neue-behoerde-soll-fuer-regierung-verschluesselte-kommunikation-knacken-1.3047884 )

      Findet man eine Hintertür, die Verschlüsselung umgeht oder sonst aushebelt, wäre das in dieser Beschreibung umfasst. Allerdings kann man das „Finden“ auch großzügig auslegen, also im Sinne des Aufkaufs auf dem freien Markt oder der Übernahme von Partnergeheimdiensten.

      1. Habo, kurz und knapp. Setzen! Eins!

        Deine Stärke liegt offenbar doch in Einzeilern.
        Schön, dass du uns hier mal deine übliche Kleinkunst erspart hast.

        Weiter so!

        1. Du darfst nicht vergessen, das einige Leser nicht über das Fachwissen verfügen, da muss man schon hin und wieder etwas mehr Hintergrund mit Einflechten!

  4. Bleibt zu bemerken, dass der Staat sich hier institutionell der zu bekämpfenden Kriminalität in Mitteln und Ausführung angleicht.

  5. Die versuchen Verschlüsselung zu brechen und reden von Sicherheit!?
    Was für ein bullshit.

    1. Sie wollen ja nicht die Verschlüsselung Brechen … sie wollen nur den Beginn eines Anschlags, einer Revolte, einer Zusammenrottung von subversiven Einzelsubjekten, wie der Occupy Bewegung, voraussagen können, um deren Folgen für den braven Bürger abzumildern!
      Weist schon, 100 statt 100000 Teilnehmer einer Demo … die verabredeten Treffpunkte werden quasi „On Demand“ für jede Teilnehmergruppe geändert, damit die Teilnehmerströme entsprechend den Erfordernissen ab- bzw. umgelenkt werden können!

  6. Ich finde das amüsant.
    Leider verpulvern die meine Steuern dafür.
    Ein teurer Zirkus.

    Man kann nicht verhindern das 2 Personen,
    wenn sie den Kommunikationsweg vorher abgesprochen haben,
    geheim und unerkannt kommunizieren.

    Das ist eine Unmöglichkeit. Punkt.

    Zum Beispiel glaube ich nicht das bei jedem veröffentlichen Bild, nicht mal bei einem nennenswerten Anteil, vermutlich nichtmal bei einem, jemand schaut ob eine .rar dran klebt.
    Und das ist banal.

    Das gleiche Spiel wie digitale Inhalte und deren „Rechteinhaber“ und dem Staat als Erfüllungsgehilfe. Geht nicht. Unmöglich.
    Ist es digital dann ist es … Omniverfügbar. Punkt.

    Die Damen und Herren Politiker ziehen sich Ritterrüstungen an und reiten gegen Riesen ins Feld.
    Das sind die gleichen Menschen die Gesetze machen.
    Disqualifiziert die offensichtliche Dummheit diese Menschen nicht?
    Das digitale Zeitalter klopft nicht an,
    es schlägt mit Schwung ins Gesicht,
    und sie schlafen immernoch.

    1. Unsere Politiker heucheln entweder das sie nix wissen oder sie wissen wirklich nichts!
      … es ist in beiden Fällen befremdlich, wie man als nichtswissende Menschen, Gesetze formulieren und verabschieden dürfen!

      Aber hey, so ist Demokratie, die Parteien bestimmen darüber, wer an der Führungsspitze Sitzen und herrschen darf!
      „Wir“ Bürger haben diese Parteien gewählt, damit sie dieses so machen, „Wir“ wollten das also genau so haben, „Wir“ haben dieses System genau so gewollt!
      Das „Die Grünen“ keine Alternative sind, sieht man an einem gewissen Herrn Kretschmann … kaum war er gewählt, sind „Die Grünen“ von der Schwesterpartei nicht mehr zu unterscheiden!
      Gut das sie dort in Harmonie koalieren …
      „Wir“ können ja mal das Model Union/Grüne mal testen, das funktioniert bestimmt genau so gut wie in Baden Württemberg!
      -> http://mobil.n-tv.de/politik/Kretschmann-will-die-Kanzlerin-behalten-article18993871.html

      1. Wenn die SPD mit weniger als 15% daherkommt und mit der AfD niemand will, dann kommt schwarz/grün. Von wegen Mitte, ganz klar rechts konservativ. Dann wird es noch schlimmer, als es mit Mutti schon ist. Echte Alternativen werden ja schon jahrelang als nicht politik- und regierungs-fähig diffamiert. Es wird zwar nicht wahrer, wenn eine Lüge 1000 mal wiederholt wird, aber beim „doofen“ Wahlvolk bleibt einfach was hängen. Gleiches Prinzip wie die „Seitenbacher“ Werbung.

        1. Jupp, das Traditionsmüsli … und glaube mir, die Union wird mit der AFD koalieren, allein schon wegen den gemeinsamen Zielen in den Parteiprogrammen!
          Das Parteiprogramm der AFD könnte auch aus der Feder der FDP stammen … oder die AFD hat eines im Papierkorb gefunden und für Gut befunden!

  7. Eventuell wird Zitis neben den Crypto-Aspekten auch eine Schnitt- und Beschaffungsstelle für den Cyber-Bereich der Bundeswehr. Laut Aufbauplanungen wollen diese ja auch entsprechende offensive Technologie anschaffen und einsetzen, der Bericht selbst siehr bei allen umfassenden Re-Strukturierungen aber bislang keine solche technische Dienststelle vor, die für eine entsprechende Entwicklung in der Lage wäre. Denkbar wäre auch, dass diese Stelle durch ihre Entkopplung von der Bundeswehr (und deren relativ strenge parlamentarische Aufsicht) geeignet wäre um offiziell Exploits einzukaufen und dann in Tools eingebaut an die BW weiterzureichen. Fragen dazu in kleinen Anfragen der Linken waren in der Vergangenheit in aller Regel recht ungenau beantwortet worden.

    Ein paar mehr Überlegungen dazu hier:
    http://cyber-peace.org/2016/08/25/neue-details-zur-kommenden-cybersicherheits-strategie/

  8. Ein Beitrag zu IT-Sicherheit vom Besten der Besten -Cisco.

    „A combination of factors makes the vulnerabilities among the most severe in recent memory. First, WebEx is largely used in enterprise environments, which typically have the most to lose. Second, once a vulnerable user visits a site, it’s trivial for anyone with control of it to execute malicious code with little sign anything is amiss.
    All that’s required for a malicious or compromised website to exploit the vulnerability is to host a file or other resource that contains the string „cwcsf-nativemsg-iframe-43c85c0d-d633-af5e-c056-32dc7efc570b.html“ in its URL. That’s a „magic“ pattern the WebEx service uses to remotely start a meeting on visiting computers that have the Chrome extension installed. Ormandy discovered that any visited website can invoke the command not just to begin a WebEx session, but to execute any code or command of the attacker’s choice.
    While Monday’s patch came a commendable two days after Ormandy privately reported the vulnerability, the researcher warned the patch may not adequately secure the Chrome extension from all types of code-execution exploits. That’s because the update still allows Cisco’s webex.com website to invoke the magic pattern with no warning. Should the site ever experience a cross-site scripting vulnerability—a vexingly common type of Web application bug that lets attackers inject scripts into Web pages—it might be possible to use it to once again exploit the WebEx extension flaw.“

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.