ZITiS-GesetzBundesregierung will Hacker-Behörde ausbauen

Die Bundesregierung will ein Gesetz für die Hacker-Behörde ZITiS schaffen und ihre Befugnisse ausweiten. Das geht aus Eckpunkten für ein ZITiS-Gesetz hervor, die wir veröffentlichen. Kontrolle und Transparenz sollen nicht verbessert werden, Martina Renner nennt das „einfach nur lächerlich“.

- - in Überwachung - 2 Ergänzungen
Bekommen mehr Befugnisse: ZITiS-Mitarbeiter. – Alle Rechte vorbehalten ZITiS, Bildkraftwerk, Bernd Lammel

Seit 2017 hat Deutschland eine Hacker-Behörde. Die Zentrale Stelle für IT im Sicherheitsbereich entwickelt und kauft Überwachungstechnik wie Staatstrojaner und Hochleistungsrechner für Polizei und Geheimdienste. Die „Cyber-Behörde 4.0“ hat mittlerweile 346 Planstellen, davon sind 300 besetzt.

Bisher gibt es kein ZITiS-Gesetz, weder Bundesregierung noch Bundestag haben die Gründung der Behörde in München beschlossen. Rechtsgrundlage ist allein ein Erlass des Bundesinnenministeriums vom damaligen Minister Thomas de Maizière.

Die Ampel hat im Koalitionsvertrag vereinbart, „gesetzliche Grundlagen“ für die ZITiS zu schaffen. Jetzt hat das Innenministerium Eckpunkte für ein ZITiS-Gesetz erarbeitet, die wir in Volltext veröffentlichen.

Ausweitung der Aufgaben und Befugnisse

Das neue ZITiS-Gesetz soll sich am Erlass orientieren, die Eckpunkte „nehmen den Errichtungserlass als Grundlage für das Gesetzesvorhaben“. Ampel-Regierung und Ampel-Koalition wollen nachträglich absegnen, was Innenminister de Maizière vor sechs Jahren allein beschlossen hat.

Die Aufgaben der ZITiS sollen sich „auch künftig“ danach richten, was Polizei und Geheimdienste sich wünschen. Bisher bearbeitet ZITiS die Themenbereiche Telekommunikationsüberwachung, Kryptoanalyse, Forensik und Big-Data-Analyse. In Zukunft soll ZITiS eine weitere Aufgabe bekommen und „IT-Dienste“ wie Hosting für Polizei und Geheimdienste bereitstellen und betreiben.

Derzeit arbeitet die ZITiS vor allem für Bundeskriminalamt, Bundesamt für Verfassungsschutz und Bundespolizei – diese Behörden sind „Bedarfsträger“ und im Beirat der ZITiS. Das Innenministerium will prüfen, auch Bundesnachrichtendienst, Zollkriminalamt und Militärischen Abschirmdienst als „Bedarfsträger“ aufzunehmen, die bisher nur Gast im Beirat sind.

Bisher betont ZITiS, dass sie nur Technik zur Verfügung stellt und selbst keine Überwachungsmaßnahmen durchführt. In Zukunft soll ZITiS auch probeweise Überwachungsfunktionen anwenden und „eine spezifische Rechtsgrundlage für die Verarbeitung personenbezogener Daten“ erhalten.

Martina Renner, Obfrau der Linksfraktion im Innenausschuss, kritisiert: „Es ist leider gekommen wie befürchtet: Ein Gesetz über die ZITiS soll genutzt werden, um sie zur Abhörzentrale des Bundes zu entwickeln. Statt einer Begrenzung der Aufgaben und Befugnisse enthalten die Eckpunkte ihre Erweiterung.“

Sicherheitslücken und Geheimhaltung

Auffällig ist, was nicht in den Eckpunkten steht: Eine Verpflichtung, dass die ZITiS alle Sicherheitslücken dem BSI melden muss, damit sie geschlossen werden. Im Koalitionsvertrag hat sich die Ampel verpflichtet, „keine Sicherheitslücken anzukaufen oder offenzuhalten, sondern sich immer um die schnellstmögliche Schließung zu bemühen“. Innenministerin Nancy Faeser will den Koalitionsvertrag brechen und Sicherheitslücken doch geheim halten und ausnutzen.

Im Koalitionsvertrag hat die Ampel außerdem beschlossen, „die lückenlose Kontrolle [der ZITiS] durch Parlamente und Datenschutzaufsichtsbehörden“ zu garantieren. Der Haushaltsausschuss des Bundestages hat in einem Beschluss gefordert, dass die Eckpunkte insbesondere „die Kontrolle der ZITiS durch den Deutschen Bundestag und das BfDI als Datenschutzaufsicht“ enthalten.

Laut Entwurf soll das Innenministerium den Innenausschuss jedes Jahr ein Mal „über die Tätigkeit der ZITiS [unterrichten]“. Den Bundesdatenschutzbeauftragten erwähnen die Eckpunkte nicht, nur dass Datenschutz-Grundverordnung und Bundesdatenschutzgesetz auch für die ZITiS gelten.

„Kontrolle einfach nur lächerlich“

Martina Renner kritisiert: „Die parlamentarische Kontrolle ist in den Eckpunkte einfach nur lächerlich. Der Innenausschuss kann sich auch jetzt schon über die Arbeit von ZITiS unterrichten lassen. Das Arbeitsprogramm und der Tätigkeitsbericht bleiben aber geheim. Die muss die Koalition dem Parlament zugänglich machen.“

ZITiS ist notorisch verschwiegen. Die Hacker-Behörde trifft viele Staatstrojaner-Firmen, aber verweigert dem Bundestag eine Liste. Uns verweigert die ZITiS ein Rechtsgutachten zu ihrer Aufgabenerfüllung, weshalb wir die ZITiS verklagen.

Die Eckpunkte für das neue Gesetz sind bereits innerhalb der Bundesregierung abgestimmt. Aktuell arbeitet das Innenministerium daran, aus den Eckpunkten einen Gesetzentwurf zu machen. Ein Referentenentwurf soll bis Ende März fertig sein.

Hier das Dokument in Volltext:

  • Behörde: Bundesministerium des Innern und für Heimat

Eckpunktepapier zur Schaffung einer gesetzlichen Grundlage für die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS)

I. Koalitionsvertrag

Im Koalitionsvertrag wurde vereinbart:

Wir schaffen für die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) und in enger Abstimmung mit den Ländern für die gemeinsamen Zentren (GTAZ etc.) gesetzliche Grundlagen, legen die Verantwortlichkeiten klarer fest und garantieren die lückenlose Kontrolle durch Parlamente und Datenschutzaufsichtsbehörden.

II. Eckpunkte zur Umsetzung dieses vereinbarten Gesetzesvorhabens

Das Bundesministerium des Innern und für Heimat (BMI) plant in Umsetzung des Koalitionsvertrags für die 20. Legislaturperiode, eine gesetzliche Grundlage für die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) zu schaffen.

Die Stärkung der Cyberfähigkeiten im Sicherheitsbereich und der konsequente Ausbau nationaler Entwicklungsfähigkeiten unterstützen Polizei und Nachrichtendienste darin, ihren gesetzlichen Auftrag souverän zu erfüllen. Dies erfordert, dass die Aufgaben der ZITiS auch künftig die Bedarfe der Bundesbehörden mit Sicherheitsaufgaben, die sich aus deren technischen Herausforderungen und strategischen Handlungserfordernissen ergeben, abdecken. Mit der gesetzlichen Grundlage sollen u.a. die hierzu notwendigen Befugnisse für die ZITiS und die damit einhergehenden Kontrollmechanismen gegenüber der ZITiS in einem Gesetz geregelt werden.

Die ZITiS wurde 2017 per Errichtungserlass gegründet, welcher die bisherige Aufgabenwahrnehmung und Zusammenarbeit mit den Bedarfsträgern regelt. Die folgenden Eckpunkte nehmen den Errichtungserlass als Grundlage für das Gesetzesvorhaben und heben insbesondere Änderungen und Ergänzungen zum Errichtungserlass hervor. An dem Grundsatz, dass die ZITiS über keine Eingriffsbefugnis verfügt, wird festgehalten.

Zuständigkeit, insb. Zusammenarbeit mit Bedarfsträgern und weiteren Behörden

Als künftige Bundesoberbehörde im Geschäftsbereich des BMI soll die ZITiS weiterhin für das Bundeskriminalamt, das Bundesamt für Verfassungsschutz und die Bundespolizei als ihre unmittelbaren Bedarfsträger zuständig sein. Analog zum Errichtungserlass soll der Entwurf eines ZITiS-Gesetzes die Einrichtung eines Beirats durch die ZITiS in Abstimmung mit ihren Bedarfsträgern vorsehen, mit dem die ZITiS ihr Jahresarbeitsprogramm abstimmt.

Der Entwurf eines ZITiS-Gesetzes soll zudem vorsehen, dass der Bundesnachrichtendienst, das Zollkriminalamt und das Bundesamt für den Militärischen Abschirmdienst weiterhin an den Ergebnissen und Unterstützungsleistungen der ZITiS im eigenen Ermessen partizipieren können. Im weiteren Verfahren soll geprüft werden, inwiefern diese Behörden ebenfalls Bedarfsträger werden können.

Zur Aufgabenerfüllung soll die ZITiS weiterhin Verbindungen zu Forschungseinrichtungen, Behörden und Einrichtungen mit Sicherheitsaufgaben des In- und Auslandes etablieren und unterhalten können.

Aufgaben

Mit dem ZITiS-Gesetz soll die ZITiS als zentraler Dienstleister für ihre Bedarfsträger weiterentwickelt werden. Hierbei sollen die bisherigen Aufgaben, die in § 2 des Errichtungserlasses geregelt sind, um die Aufgabe „Unterstützung der Bedarfsträger durch Bereitstellung und Betrieb von IT-Services“ erweitert werden. Dieser vierte Aufgabenbereich umfasst die zentrale Bereitstellung der von ZITiS entwickelten technischen Lösungen inklusive deren Weiterentwicklung, Wartung und Pflege, sowie das Hosting von Diensten, die von den Bedarfsträgern in Auftrag gegeben wurden. Die Bedarfsträger der ZITiS nutzen die von der ZITiS bereitgestellten und betriebenen IT-Services in eigener Entscheidungshoheit.

Befugnisse

Für die Datenverarbeitung durch die ZITiS gilt die DSGVO und findet das BDSG Anwendung, wodurch die in der DSGVO und im BDSG enthaltenden Regelungen zur Datenschutzaufsicht und Kontrolle auch für die ZITiS gelten. Im weiteren Verfahren wird zu prüfen sein, ob unmittelbar im ZITiS-Gesetz eine spezifische Rechtsgrundlage für die Verarbeitung personenbezogener Daten, u.a. auch zu Prüfungs- und Testzwecken zugunsten der Fortentwicklung technischer Lösungen, zu verankern ist. Dies umfasst auch die Prüfung, ob für die konkrete Zusammenarbeit der ZITiS mit den Bedarfsträgern eine gesonderte Regelung zur Verarbeitung personenbezogener Daten der Polizeibehörden und Nachrichtendienste sowie eine Befugnis zur Zweckänderung und zur Verarbeitung von besonderen Kategorien personenbezogener Daten vorzusehen ist.

Die ZITiS führt zur Unterstützung und Beratung der Bedarfsträger technische Untersuchungen von auf dem Markt bereitgestellten informationstechnischen Produkten und Systemen durch, um diese im Hinblick auf einen möglichen Einsatz durch die Bedarfsträger zu evaluieren. Dies umfasst auch Unterstützung und Beratung der Bedarfsträger bei Beschaffungen. Vergleichbar zur entsprechenden Regelung in § 7a Absatz 1 des BSI-Gesetzes soll ZITiS die Befugnis erhalten, die Produkte und Systeme technisch zu untersuchen.

Partizipationsmöglichkeiten für weitere Behörden

Im Rahmen des Gesetzgebungsverfahrens werden Partizipationsmöglichkeiten für weitere Behörden geprüft.

Berichterstattung gegenüber Parlament

Die bestehende allgemeine parlamentarische Kontrolle durch den Deutschen Bundestag soll mit dem Entwurf eines ZITiS-Gesetzes durch eine Berichterstattung gegenüber dem Parlament gestärkt werden. Der Entwurf für ein ZITiS-Gesetz soll vorsehen, dass das BMI jährlich den Ausschuss für Inneres und Heimat des Deutschen Bundestages über die Tätigkeit der ZITiS unterrichtet.

Sicherheitsüberprüfung bei Neueinstellungen von ZITiS-Personal

Mit dem ZITiS-Gesetz soll eine Rechtsgrundlage zur Durchführung einer Sicherheitsüberprüfung bei Neueinstellung von ZITiS-Personal geschaffen werden. Dadurch wird die effektive Unterstützungs- und Beratungsleistung gegenüber den Bedarfsträgern gewährleistet, die den Umgang mit sensiblen und eingestuften Inhalten erfordert. Hierzu ist der konkrete Umfang und Regelungsgehalt zu prüfen.

Weiterer Regelungsbedarf

Zur Erforschung und Entwicklung neuer Funktionen für Aufzeichnungs- und Auswerteeinrichtungen der Telekommunikationsüberwachung und zur Evaluierung von marktverfügbaren Produkten in diesem Bereich besteht Bedarf an der probeweisen Anwendung der Überwachungsfunktionen im Sinne des § 23 TKÜV. Im Rahmen des Gesetzgebungsverfahrens werden Anpassungen der entsprechenden telekommunikationsrechtlichen Vorgaben geprüft.

Weitere Artikel
Norbert Walter-Borjans, Rolf Mützenich, Lars Klingbeil, Saskia Esken, Katrin Göring-Eckardt, Olaf Scholz, Christian Lindner, Volker Wissing, Anton Hofreiter, Robert Habeck, Annalena Baerbock und Michael Kellner beim Pressetermin zur Unterzeichnung des Koalitionsvertrages zwischen SPD, Bündnis 90/Die Grünen und FDP im Futurium.
Überwachung

Gegen KoalitionsvertragInnenministerin Faeser will Sicherheitslücken offenlassen

Die Bundesregierung hat sich verpflichtet, IT-Sicherheitslücken nicht offenzuhalten, sondern immer schnellstmöglich zu schließen. Innenministerin Faeser will von dieser klaren Position im Koalitionsvertrag zum Schwachstellen-Management abweichen, auch Grüne springen ihr bei. Die FDP fordert konsequente IT-Sicherheit, „ohne Wenn und Aber“.

Lesen Sie diesen Artikel: Innenministerin Faeser will Sicherheitslücken offenlassen

2 Ergänzungen

    1. Wir warten weiter, dass das Gericht den Fall verhandelt. Wir erinnern das Gericht regelmäßig. Aber noch passiert nichts.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.