Aktuelle Änderungen - Suchen:

Wichtige Seiten

Hilfestellungen

Externe Links

Alle Inhalte dieses Wikis, soweit nicht anders angegeben, unter Creative Commons CC-BY-SA

ZITiS

About


Diese Wikiseite kann als loeses Sammelbecken zum geplanten Cryptoknacker-Zentrum der Bundesregierung da sein:

"ZITiS - Zentrale Stelle für Informationstechnik im Sicherheitsbereich"


23.6.2016 - Die ersten Meldungen/Informationen zu/über "ZITiS"



Juni 2016 - "ZITiS kommt!"


Ein kleiner Hinweis im öffentlichen Raum Hannovers:


29.6.2016 - Presseanfrage an das BMI


(...)

einem Bericht des Online-Portals sueddeutsche.de zufolge plant das BMI die Einrichtung einer neuen Behörde unter dem Kürzel "ZITiS" ("Zentrale Stelle für Informationstechnik im Sicherheitsbereich").

Hierzu haben wir folgende Fragen und bitten um Beantwortung:

1.) Stimmt die Aussage, dass die Pläne zur Errichtung der ZITiS auf einer Idee bzw. einem "überarbeiteten Konzept" aus 2008 beruht?

2.) Stimmt weiterhin die Behauptung, dass es Haushaltsplanungen gibt, wonach für den Haushalt 2017 ein "niedriger zweistelliger Millionenbetrag" zu Errichtung und Betrieb von ZITiS eingeplant worden ist?

3.) Wie lauten die genauen haushalterischen Pläne zu Aufbau und Betrieb von ZITiS für die kommenden Jahre, wenn bereits jetzt damit gerechnet wird, dass dort im Jahre 2022 bis zu 400 Mitarbeiter beschäftigt werden sollen.

4.) Welchem Ministerium oder welchen anderen Stelle wird ZITiS untergeordnet sein.

5.) Welche Rechtsform wird ZITiS besitzen und auf welcher Rechtsgrundlage wird diese Stelle/Behörde/Unternehmung eingerichtet?

6.) Zu wann ist mit dem im sz-Beitrag erwähnten "Errichtungserlass" zu rechnen und zu wann und wowird dieser veröffentlicht - oder ist er bereits jetzt veröffentlichbar?

7.) Wo wird ZITiS seinen Sitz haben?

8.) Wie lautet die Aufgabenbeschreibung für das ZITiS?

Vielen Dank für Ihre Arbeit und viele gute Grüße,


30.6.2016 - Flotte Rückmeldung von der BMI-Pressestelle, allerdings keine Beantwortung unserer Fragen


(...)

die von Ihnen in Frageform zur Bestätigung unterbreiteten Aussagen kann ich nicht bestätigen. Ganz grundsätzlich kann ich Ihnen als ein Sprecher des Bundesinnenministeriums aber bestätigen, dass es im BMI seit längerem Überlegungen gibt, wie die Sicherheitsbehörden besser als bisher in die Lage versetzt werden können, ihre bestehenden gesetzlichen Befugnisse effektiver nutzen zu können. Hierbei geht es um eine Anpassung der technischen Fähigkeiten an die aktuellen Herausforderungen der Kommunikationswelt. Die technischen Herausforderungen, vor denen unsere Sicherheitsbehörden stehen, steigen in fast allen schwerwiegenden Kriminalitätsfeldern permanent an. Dem muss sich die Innenpolitik stellen.

Zu diesen noch nicht abgeschlossenen Überlegungen des BMI können zum jetzigen Zeitpunkt schon folgende Zwischenergebnisse mitgeteilt werden:

  • Es ist keine Erweiterung bestehender gesetzlicher Befugnisse geplant.
  • Es wird keine neue Behörde mit eigenen/zusätzlichen Befugnissen geben.
  • Es wird auch keine gesetzlichen Verpflichtungen zu Schlüsselhinterlegungen oder zur Nutzung von Generalschlüsseln oder gar zu sog. „backdoors“ geben. Das kommt für die Bundesregierung nicht in Frage.
  • Die so genannten Krypto-Eckpunkte der BReg von 1999 haben weiter Bestand. Das heißt: Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung.
  • Schon seit dem letzten Herbst hat das Bundesinnenministerium Abgeordnete der Koalitionsfraktionen in seine Überlegungen einbezogen.

Mit freundlichen Grüßen

Im Auftrag


30.6.2016 - Nachfragen an die BMI-Pressestelle


(...)

vielen Dank für die Rückmeldung und Informationen!

xxx@bmi.bund.de:
-> die von Ihnen in Frageform zur Bestätigung unterbreiteten Aussagen kann ich nicht bestätigen.

a.) Bedeutet das dann, dass die genannten Informationen bzw. Details unrichtig sind? Oder können Sie diese "nur" - im Sinne des Wortes - nicht bestätigen?

b.) Ist die im sz-Beitrag konkret erwähnte "Zentrale Stelle für Informationstechnik im Sicherheitsbereich" gänzlich aus der Luft begriffen oder gibt es unter dem Kürzel "ZITiS" beim BMI oder an anderer Stelle Überlegungen oder Planungen in dem von Ihnen skizzierten Rahmen?

Zu diesem Rahmen haben wir dann noch folgende Fragen.

Sie schreiben: "... dass es im BMI seit längerem Überlegungen gibt, wie die Sicherheitsbehörden besser als bisher in die Lage versetzt werden können, ihre bestehenden gesetzlichen Befugnisse effektiver nutzen zu können. Hierbei geht es um eine Anpassung der technischen Fähigkeiten an die aktuellen Herausforderungen der Kommunikationswelt."

Mit Bezug darauf und auf die von Ihnen anschließend aufgeführten Punkte:

c.) Um welcherart "Anpassung technischer Fähigkeiten" handelt es sich dabei?

d.) Ist die Annahme verschiedener Medienberichte irrig, dass es sich dabei u.a. um das Knacken oder Hacken von offenen oder proprietären Programmen oder durch diese geschützte Daten gehen soll? Wie anders kann eine "Anpassung technischer Fähigkeiten" interpretiert werden, wenn es wie von Ihnen geschildert nicht um staatlich verordnete Generalschlüsselhinterlegungen oder staatlich verordneten Einbau von backdoors in Programme oder Programmteile gehen soll?

e.) Können Sie schließlich die weiteren Annahme/Überlegung verschiedener Medien ausschließen, dass es z.B. im Rahmen der hier besprochenen Überlegungen und zukünftigen Maßnahmen staatlicherseits zum Ankauf von Zero-Day-Exploits und deren Ausschöpfung kommt oder kommen wird?

f.) Es soll Ihrer Auskunft nach "keine neue Behörde mit eigenen/zusätzlichen Befugnissen" geben. Welche Organisations- und Rechtsform ist für die Bestrebungen dann angedacht und welcher bereits bestehenden Behörde bzw. welchem Amt soll diese unterstellt werden?

g.) Ist die Behauptung, dass es für diese Organisation/Arbeit bereits eine Haushaltsplanung für 2017 gibt, völlig aus der Luft gegriffen? Falls nicht: In welcher Höhe sind Gelder für das Projekt vorgesehen?

Vielen Dank für Ihre Arbeit und viele gute Grüße,


13.7.2016 - Nachfrage an die BMI-Pressestelle zu den ausstehenden Antworten


(...)

können Sie uns mitteilen, wann wir mit Antworten auf unsere Nachfragen vom 30.6.2017 erhalten können?

Vielen Dank und viele gute Grüße,


14.7.2016 - Rückmeldung der BMI-Pressestelle


(...)

aufgrund der Formatierung Ihrer Mail vom 30.06. war mir total entgangen, dass Sie Rückfragen hatten. Ich habe nur den Satz " vielen Dank für die Rückmeldung und Informationen!" gesehen, da die Rückfragen in meine Mail an Sie "eingearbeitet" waren. Das war mir entgangen, wofür ich um Nachsicht bitte. Haben Sie eine telefonische Erreichbarkeit? Dann kann ich Ihnen gern noch ein paar Dinge zu Ihren weiteren Fragen sagen.

Mit freundlichen Grüßen

Im Auftrag


14.7.2016 - Rückmeldung an die BMI-Pressestelle


(...)

kein Problem, aber wir wünschen uns eine schriftliche bzw. elektronisch-postalische Beantwortung - dabei handelt es sich um eine grundsätzliche Vorgehensweise unserer Redaktion bei Presseanfragen.

Wenn Sie - zusätzlich zur Beantwortung unserer Fragen - ein persönliches Gespräch mit mir wünschen, spricht da selbstverständlich nichts gegen. Es sollte die schriftliche Beantwortung aber nicht ersetzen.

Vielen Dank für Ihr Verständnis und Ihre Arbeit und viele gute Grüße,

xxx
Redaktion freiheitsfoo.de
Telefon: xxx


14.7.2016 - "Zusammenfassende Ergänzung" des BMI


(...)

schade, dass Sie auf einer schriftlichen Beantwortung bestehen. In diesem Falle kann ich auf Ihre Nachfragen zusammenfassend wie folgt ergänzen:

Die Überlegungen des BMI haben sich dahingehend konkretisiert, dass eine zentrale Stelle für Forschungs- und Entwicklungsaufgaben mit Cyberbezug im Geschäftsbereich des Bundesministeriums des Innern geplant wird, um die aktuellen Herausforderungen der Sicherheitsbehörden Bundeskriminalamt, Bundespolizei und Bundesamt für Verfassungsschutz im Cyberraum meistern zu können. Es geht um die technische Unterstützung der bestehenden Sicherheitsbehörden, also um Methoden, Produkte und Strategien. Die Befugnisse der Sicherheitsbehörden bleiben ausnahmslos bestehen und werden durch die Einrichtung einer zentralen Stelle nicht berührt oder ausgeweitet.

Die Bundesregierung hat sich mit ihrem Entwurf des Bundeshaushalts 2017 darauf verständigt, dies auch bereits haushaltsmäßig zu verankern. Die endgültige Entscheidung bleibt jedoch den parlamentarischen Beratungen und der Entscheidung des Haushaltsgesetzgebers vorbehalten, weshalb auch Angaben zur Höhe etwa geplanter Mittel aktuell nicht möglich sind.

Mit freundlichen Grüßen

Im Auftrag


14.7.2016 - Nachfrage an die BMI-Pressestelle


Sehr geehrter Herr xxx,
sehr geehrte Damen und Herren,

vielen Dank für die weitergehenden Informationen! Wir sehen darin unsere Fragen f und g vom 30.6.2017 beantwortet bzw. wenigstens darauf reagierend.

Könnten Sie uns abschließend auch noch die offen gebliebenen Fragen a bis e beantworten?

Diese lauten:

+++ 8< Schnipp +++

xxx@bmi.bund.de:
> die von Ihnen in Frageform zur Bestätigung unterbreiteten Aussagen kann ich nicht bestätigen.

a.) Bedeutet das dann, dass die genannten Informationen bzw. Details [der sz-Berichterstattung] unrichtig sind? Oder können Sie diese "nur" - im Sinne des Wortes - nicht bestätigen?

b.) Ist die im sz-Beitrag konkret erwähnte "Zentrale Stelle für Informationstechnik im Sicherheitsbereich" gänzlich aus der Luft begriffen oder gibt es unter dem Kürzel "ZITiS" beim BMI oder an anderer Stelle Überlegungen oder Planungen in dem von Ihnen skizzierten Rahmen?

c.) Um welcherart "Anpassung technischer Fähigkeiten" handelt es sich dabei? [Bzw. was ist unter "Methoden, Produkte und Strategien als technische Unterstützung" beispielsweise zu verstehen?]

d.) Ist die Annahme verschiedener Medienberichte irrig, dass es sich dabei u.a. um das Knacken oder Hacken von offenen oder proprietären Programmen oder durch diese geschützte Daten gehen soll? Wie anders kann eine "Anpassung technischer Fähigkeiten" interpretiert werden, wenn es wie von Ihnen geschildert nicht um staatlich verordnete Generalschlüsselhinterlegungen oder staatlich verordneten Einbau von backdoors in Programme oder Programmteile gehen soll?

e.) Können Sie schließlich die weiteren Annahme/Überlegung verschiedener Medien ausschließen, dass es z.B. im Rahmen der hier besprochenen Überlegungen und zukünftigen Maßnahmen staatlicherseits zum Ankauf von Zero-Day-Exploits und deren Ausschöpfung kommt oder kommen wird?

+++ >8 Schnapp +++

Vielen Dank für Ihre Arbeit mit uns und viele gute Grüße,


15.7.2016 - Kurze Antwort von der BMI-Pressestelle


(...)

auch hier wieder schade, dass Sie nicht telefonieren wollen. Schriftlich kann die Antwort daher zusammenfassend nur folgende sein:

Die entsprechenden Planungen sind nicht abgeschlossen; das gilt auch für die Namenswahl der erwähnten Stelle.

Ergänzung im Hintergrund ("unter 3") zu lit. e):
Solche Maßnahmen sind nicht Teil der hiesigen Planungen.

Gruß
xxx


18.7.2016 - Nachfrage an die BMI-Pressestelle


Sehr geehrter Herr xxx,
sehr geehrte Damen und Herren,

vielen Dank für die Beantwortung der Frage b und dem Dementi zur Frage e. Die Fragen a, c und d sind allerdings noch immer unbeantwortet. Wir gehen davon aus, dass Sie die Frage a nicht beantworten möchten, jedoch spricht aus unserer Sicht nichts inhaltliches dagegen, zu den Fragen c und d Stellung zu beziehen.

xxx@bmi.bund.de:
> auch hier wieder schade, dass Sie nicht telefonieren wollen. Schriftlich kann die Antwort daher zusammenfassend nur folgende sein:

Bedeutet das, dass Sie uns keine schriftliche Antwort bzw. Rückmeldung zu den offen verbliebenen Fragen geben wollen?

Wir würden uns freuen, wenn Sie uns dazu etwas sagen könnten.

Vielen Dank für Ihre Arbeit und viele gute Grüße nach Berlin,


18.7.2016 - Rückmeldung BMI-Pressestelle


(...)

schauen Sie bitte nochmal in meine Mail. Sie haben zu allen Fragen eine Antwort erhalten.

Gruß

xxx


20.1.2017 - Pressemitteilung des BMI


Start­schuss für ZI­TiS

400 Stellen bis 2022 in der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) in München geplant

Die Nutzung moderner, insbesondere online-basierter Kommunikationsformen durch Terroristen und anderer Straftäter nimmt zu. Dazu kommt die umfassende Verfügbarkeit von Verschlüsselungstechnologien, die auch für kriminelle Zwecke eingesetzt werden können. Daher ist die Entwicklung von technischen Werkzeugen im Kampf gegen Terrorismus, Cybercrime und Cyberspionage für alle Sicherheitsbehörden relevanter als je zuvor. Um diese Herausforderungen meistern zu können, wird im Geschäftsbereich des Bundesministeriums des Innern eine Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) errichtet.

Dazu Bundesinnenminister Dr. Thomas de Maizière: ""Eine ganze Reihe von Er-eignissen mit kriminellem, insbesondere aber terroristischem Hintergrund im Verlauf des Jahres 2016 haben unsere Sicherheitsbehörden auch vor technische Herausforderungen gestellt. Daher ist die Einrichtung einer Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) im Geschäftsbereich des Bundesministeriums des Innern von großer Bedeutung. Standort von ZITiS wird München sein. Ich danke der Bayerischen Staatsregierung sehr für die wertvolle Unterstützung bei der Standortsuche und beim weiteren Standortaufbau.""

ZITiS ist Bestandteil der Cyber-Sicherheitsstrategie für Deutschland. Sie ist eine Forschungs- und Entwicklungsstelle und soll Expertise in technischen Fragestellungen mit Cyberbezug für die Sicherheitsbehörden des BMI abdecken.

Die Befugnisse der Sicherheitsbehörden verbleiben bei diesen Behörden und werden durch die Einrichtung der zentralen Stelle nicht berührt oder ausgeweitet. ZITiS selbst erhält keine Eingriffsbefugnisse.

Die Aufgaben von ZITiS orientieren sich am Aufgabenspektrum der Sicherheitsbehörden, insbesondere in den Bereichen

  • der digitalen Forensik,
  • der Telekommunikationsüberwachung,
  • der Kryptoanalyse (Dekryptierung),
  • der Massendatenauswertung/Big-Data
  • sowie der technischen Fragen von Kriminalitätsbekämpfung, Gefahrenabwehr und Spionageabwehr.

ZITiS wird Beratungs- sowie Unterstützungsaufgaben übernehmen und sich mit der Erforschung und Entwicklung von Methoden, Produkten / Tools und übergreifenden Strategien für die Sicherheitsbehörden beschäftigen. Die Beschaffung der Produkte und Tools und vor allem deren Einsatz und Betrieb erfolgt in den Sicherheitsbehörden.

ZITiS wird jetzt zügig in München errichtet und als eigenständige Stelle arbeitsfähig werden. Im Bundeshalt 2017 ist ZITiS mit 120 Planstellen/Stellen, 10 Mio. € Sachmitteln sowie Personalmitteln berücksichtigt. Perspektivisch soll ZITiS in der Endausbaustufe im Jahr 2022 400 Stellen haben.

quelle: https://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2017/01/zitis-vorstellung.html


20.1.2017 - Presseanfrage zum ZITiS-Standort an das BMI


Sehr geehrte Damen und Herren,

Ihrer Pressemitteilung von heute https://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2017/01/zitis-vorstellung.html ist zu entnehmen:

"Standort von ZITiS wird München sein. Ich danke der Bayerischen Staatsregierung sehr für die wertvolle Unterstützung bei der Standortsuche und beim weiteren Standortaufbau." (...) ZITiS wird jetzt zügig in München errichtet und als eigenständige Stelle arbeitsfähig werden. Im Bundeshalt 2017 ist ZITiS mit 120 Planstellen/Stellen, 10 Mio. € Sachmitteln sowie Personalmitteln berücksichtigt.

Unsere Frage dazu:

An welchem Standort in München wird ZITiS untergebracht werden?

Viele gute Grüße,


24.1.2017 - Antwort vom BMI - ZITiS kommt zur Bundeswehr-Universität nach München


Sehr geehrter Herr xxx,

herzlichen Dank für Ihre Anfrage, zu der ich Ihnen als ein Sprecher des Bundesinnenministeriums Folgendes mitteilen kann: ZITiS ist Bestandteil der Cyber-Sicherheitsstrategie für Deutschland. Sie ist eine Forschungs- und Entwicklungsbehörde und soll Expertise in technischen Fragestellungen mit Cyberbezug für die Sicherheitsbehörden im Geschäftsbereich des BMI abdecken. Daher ist die Einrichtung einer Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) im Geschäftsbereich des Bundesministeriums des Innern von großer Bedeutung. Standort von ZITiS wird München sein. Die Bayerische Staatsregierung hat hierbei wertvolle Unterstützung bei der Standortsuche und beim weiteren Standortaufbau geleistet. Die Standortwahl hat nachfolgende Hintergründe:

  • Eine Bündelung von Ressourcen und Energien und dadurch zu erzielende Synergie-Effekte mit einer perspektivischen Anbindung von ZITiS an die UniBwM.
  • Weltweit erweisen sich Cluster als Erfolg: die räumliche Nähe, der persönliche Austausch und informelle Treffen von spezialisierten Fachkräften fördern Innovation, Produktivität und Kreativität
  • Die Verzahnung von Wissenschaft, Sicherheitsbehörden und Nichtregierungsorganisationen an einem Standort ist ein „Meilenstein“ im Kampf gegen Kriminalität und Terrorismus

Hinsichtlich des Flächenbedarfs für ZITiS und die damit im Zusammenhang stehende Frage der Unterbringung von ZITiS in einer geeigneten Liegenschaft am Standort München sind das BMI und das Bayrische Wirtschaftsministerium in enger Abstimmung mit der Universität der Bundeswehr.

Der Flächenbedarf der ZITIS in München kann grundsätzlich in jeder Phase gedeckt werden, zunächst in vorübergehender Mitnutzung oder in angemieteten Gebäuden. Es ist geplant, dass ab 2021/2022 das Forschungszentrum CODE der Universität der Bundeswehr dann in die neuen Gebäude auf dem Campus der Universität ziehen wird. Die Bundesanstalt für Immobilienaufgaben und das Staatliche Bauamt bereiten das Vergabeverfahren gerade vor. Dieses Bauprojekt bietet geeignete Flächen, um auch den Bedarf der ZITIS bei den Planungen berücksichtigen zu können.

Mit freundlichen Grüßen
Im Auftrag
xxx
Bundesministerium des Innern
Stab Leitungsbereich / Presse


4.4.2017 - heise.de: Entschlüsselungsbehörde Zitis: Hacker verzweifelt gesucht


Mit 120 Codebrechern und Verwaltungsmitarbeitern soll die umstrittene Sicherheitsbehörde Zitis eigentlich dieses Jahr starten. Doch dem Innenministerium fällt es schwer, passende Leute zu finden.

Der Aufbau der im Juni angekündigten "Zentralen Stelle für Informationstechnik im Sicherheitsbereich" (Zitis) ist ins Stocken geraten. Im Bundeshaushalt 2017 ist die Entschlüsselungsbehörde mit insgesamt zehn Millionen Euro berücksichtigt, die für 120 Planstellen und Sachmittel vorgesehen sind. Doch nach dem ersten Quartal steht die Inbetriebnahme noch in den Sternen. Es mangelt an einer festen Bleibe, echten Hackern und anderen IT-Spezialisten. "Herausforderung Personalgewinnung"

"Die Personalgewinnung stellt die größte Herausforderung für den Aufbau von Zitis dar", räumte ein Sprecher des federführenden Bundesinnenministeriums gegenüber heise online ein. Ziel sei es, "die Institution so schnell wie möglich arbeitsfähig zu machen". Sitzen soll Zitis "in der Region München", wie der Sprecher erläuterte. Man sei derzeit auf der Suche nach einer den Anforderungen und dem Raumbedarf entsprechenden Liegenschaft. Der Aufbaustab solle zunächst Räume der Universität der Bundeswehr in Neubiberg nutzen.

Bei der Personalgewinnung soll möglichst nicht allzu viel bei den Sicherheitsbehörden gewildert werden, denen Zitis einmal zuarbeiten wird – also insbesondere dem Bundesamt für Verfassungsschutz (BfV), dem Bundesnachrichtendienst (BND) und dem Bundeskriminalamt (BKA). Laut dem Sprecher soll vermieden werden, diese bestehenden Einrichtungen "finanziell und personell und damit auch in der Aufgabenerfüllung zu schwächen". Chef in spe kommt vom BND

Nun geht es laut dem Innenressort darum, "schnellstmöglich das benötigte weitere Personal zu rekrutieren". Dafür soll es bald Ausschreibungen in der Bundes- und Landesverwaltung und extern geben, "aber auch in den Sicherheitsbehörden im eigenen Geschäftsbereich". So könne man neben IT-Fachleuten auch Experten an Bord holen, "die die Abläufe und konkreten Bedürfnisse" bei Geheimdiensten und Polizeibehörden kennen. Mit Wilfried Karl, dem kommissarischen Leiter der Abteilung Technische Aufklärung (TA) beim BND, gibt es zumindest bereits einen Kandidat für die Behördenleitung. Der Chef in spe war unter dem Kürzel W. K. Stammgast im NSA-Untersuchungsausschuss des Bundestags.

Die Süddeutsche Zeitung hat eine "kulturelle Kluft" ausgemacht, weshalb es mit der Behörde nicht recht vorangeht. "Wer sich mit Hackerattacken und der Abwehr dagegen auskennt, der verdient in der Wirtschaft leicht im Monat, was der Staat in einem Jahr zahlt", heißt es bei der Zeitung. "Man kann in Cafés und auch im T-Shirt arbeiten ­ und für jene, die auf diesen Geschmack gekommen sind, ist die deutsche Bürokratie, die selbst in einer Institution wie dem BND herrscht, unattraktiv." Ähnliches Lohnniveau?

Das Innenressort will die Einkommensfrage "differenziert" betrachten. Bei den Nettogehältern lägen IT-Experten und Manager in der Privatwirtschaft und im öffentlichen Dienst "in etwa auf einem Niveau", heißt es aus dem Ministerium. "Sehr erfahrene Spezialisten" würden in der Privatwirtschaft "sehr hohe Gehälter" bekommen, die im öffentlichen Dienst nicht darstellbar seien. Dafür seien "flexible Arbeitszeitmodelle" oder "Sabbaticals" ein gutes Argument für eine Tätigkeit bei Zitis.

Laut der SZ haben auch andere Bundesbehörden Nachwuchsprobleme. Der Verfassungsschutz habe zwischen 2015 und 2017 eigentlich 100 IT-Spezialisten einstellen wollen, viele der Stellen seien aber bis heute vakant. Auch der BND sucht Berichten zufolge "verzweifelt" nach Hackern. Der Auslandsgeheimdienst hat aktuell Stellen ausgeschrieben für "Spezialisten für Cyber-Infrastruktur" und Informatiker, die etwa "fundierte Kenntnisse von Anonymisierungsverfahren im Internet" und der "Nutzung von Verschlüsselungsverfahren" mitbringen sollen. (vbr)

Quelle: https://www.heise.de/newsticker/meldung/Entschluesselungsbehoerde-Zitis-Hacker-verzweifelt-gesucht-3675136.html


Anfragen im Vorfeld der offiziellen ZITiS-Eröffnung


1.9.2017 - freiheitsfoo an BMI


Sehr geehrte Damen und Herren,

mit Bezug auf Ihre Mitteilung:

https://www.bmi.bund.de/SharedDocs/Termine/DE/besuch-zitis.html?nn=3314842

Können Sie uns bitte über den Termin des Besuchs von Herrn de Maiziere bei der ZITiS informieren, sobald dieser terminiert ist, so dass wir dorthin einen Vertreter unserer Redaktion schicken können?

Sind besondere Akkreditierungsmaßnahmen/-anmeldungen erforderlich?

Vielen Dank und viele gute Grüße,


1.9.2017 - BMI an freiheitsfoo


Sehr geehrter Herr xxx,

die Absage und zeitgleich den Hinweis auf den Nachholtermin sende ich Ihnen zur Kenntnis. Weitere Infos, u.a. zur Akkreditierung, bleibt abzuwarten.

Mit freundlichen Grüßen


1.9.2017 - freiheitsfoo an BMI


Sehr geehrte Frau xxx,

vielen Dank. Wir haben dann den 14.9.2017 in München für uns vorgemerkt. Bitte geben Sie uns Bescheid, falls/sobald ein Akkreditierungsprozess vorhergehen wird/muss, andernfalls würde ich selber am Pressetermin ohne weitere Anmeldung teilnehmen.

Viele gute Grüße,


11.9.2017 - freiheitsfoo an BMI


Sehr geehrte Frau xxx,

auf meine Nachricht vom 1.9.2017 hin habe ich von Ihnen nun nichts mehr gehört, auf der BMI-Internet-Seite finde ich nun nähere Details zur Pressekonferenz bei der ZITiS in München am kommenden Mittwoch nachmittag:

https://www.bmi.bund.de/SharedDocs/Termine/DE/besuch-zitis.html?nn=3314842

Ich gehe also erst mal davon aus, dass ich hierfür akkreditiert worden bin. Falls dem nicht so ist, bitte ich um Mitteilung.

Aber darüberhinaus habe ich noch folgende Fragen:

Die ZITiS soll früheren (und auch wiederholten) Informationen zufolge auf dem Gelände der Bundeswehr-Universität in München angesiedelt werden.

In Ihrer Pressetermin-Bekanntmachung heißt es jetzt zum Veranstaltungsort:

"künftiges Dienstgebäude ZITiS, Zamdorfer Str. 88, 81677 München - Bogenhausen"

Dieses Gebäude wurde einer Meldung aus dem Dezember 2016 zufolge

https://www.immobilien-zeitung.de/profile/projekt/Buerogebaeude_Zamdorfer_Strasse_88_Muenchen

vom Immobilienunternehmen P&P aus Fürth

http://www.pp-gruppe.de/

erworben.

1.) Hat das BMI das Gebäude inzwischen erworben oder wer ist andernfalls der/die derzeitige Eigentümer/in dieser Immobilie?

2.) Wird sich die ZITiS auf mehrere Standorte (Bundeswehr-Uni, Zamdorfer Straße) aufteilen und falls ja, aus welchem Grund?

3.) Zu wann wird die ZITiS im Gebäude der Zamdorfer Straße ihre Arbeit aufnehmen und welche Teile/Abteilungen der ZITiS werden dort untergebracht?

4.) Wie ist der Stand der Um- und Neubauten der ZITiS in der Bundeswehr-Universität gediehen?

Viele gute Grüße,


11.9.2017 - BMI an freiheitsfoo


Sehr geehrter Herr xxx

Sie können sich unter den Link : https://www.bmi.bund.de/SharedDocs/Termine/DE/besuch-zitis.html?nn=3314842

Für die Veranstaltung Akkreditieren.

Mit freundlichen Grüßen

Pressestelle BMI


11.9.2017 - freiheitsfoo an BMI


(...)

sehr geehrte Damen und Herren,

vielen Dank für die Rückmeldung, auch wenn Sie meine E-Mail vom 1.9.2017 offensichtlich unbeachtet gelassen haben.

Die Akkreditierung habe ich nun auf den von Ihnen vorgeschlagenen Wege beantragt, bleiben noch die offenen Fragen der letzten E-Mail unserer Redaktion (siehe unten).

Wäre es möglich, uns diese rechtzeitig vor dem Pressetermin zu beantworten?

Danke für Ihre Arbeit und viele gute Grüße,


12.9.2017 - BMI an freiheitsfoo


Sehr geehrter Herr xxx,

Ihre Akkreditierung haben wir erhalten. Anderweitige Bestätigungen geben wir nicht, wenn Sie also nichts mehr von uns hören, hat alles funktioniert. Die inhaltlichen Fragen sind noch in Bearbeitung, aber Sie können vor dem Termin mit einer Antwort rechnen.

Mit freundlichen Grüßen
im Auftrag

[Anmerkung: Die Fragen sind aber anders als hier angekündigt nicht beantwortet worden.]


14.9.2017 - Offizieller Pressetermin zur ZITIiS-Eröffnung in der Zamdorfer Straße 88 in München


Bilder


(Bildmontage)


18.9.2017 - Blogbeitrag des freiheitsfoos dazu


Hier: https://freiheitsfoo.de/2017/09/18/zitis-eroeffnung-nachlese/


(Teil-)Audio-Mitschnitt der Pressekonferenz sowie Teil-Transkription dessen


Der darin enthaltene (Teil-)Audio-Mitschnitt von der Pressekonferenz: http://www.devianzen.de/wp-content/uploads/2017/09/20170914-dreifragen-an-demaiziere-zur-zitis-0dayexploit-nutzung-nichtmeldung.mp3

Transkription dieses Mitschnitts von 5'58" bis 8'14", es spricht der Herr Bundesinnenminister:

[Zeit: 5'58"] Die politische und juristische Antwort ist: Es kommt drauf an. Vielleicht kann Herr Karl ein bisschen technisch weitergehen. Die Verantwortung bleibt immer bei der anwendenden Behörde. Und das was dort geschieht, kann gerichtlich überprüft werden. [o_O] Es gibt parlamentarische Kontrollgremien, die die Rechtmäßigkeit solcher Anwendungen überprüft. Das geschieht ja jetzt auch. Wir erleben gerade immer im Bundestag Berichte gerade in der letzten Zeit in der sogenannten G10, das hats ja immer schon gegeben, mit welchen Hintergründen, also die parlamentarische Kontrolle gewährleistet ist. [Zeit: 6'33"] Was jetzt die Technik angeht: Wenn die Polizei eine Hausdurchsuchung macht und derjenige lässt den Schlüssel stecken, dann wird die Polizei den Schlüssel benutzen und nicht die Tür eintreten. Gleichzeitig wird man nicht sagen, wir bitten alle Hausbesitzer, bitte die Schlüssel stecken zu lassen, damit die Polizei eine Hausdurchsuchung machen kann. Dazwischen bewegt es sich. [o_O] Und deswegen kommt es sehr darauf an. Sie können eine Online-Durchsuchung auch nicht zwingend durch die Nutzung von Schwachstellen, sondern auch durch Täuschung anbringen. Ein verdeckter Ermittler im analogen Bereich ist auch ein Polizist, der im staatlichen Auftrag über seine Identität täuscht, um etwa in ein Drogenkartell einzudringen. Oder im Darknet, da haben wir einen großen Erfolg erzielt, es konnte ermittelt werden der Waffenhändler, der dem Amokläufer von München verkauft hat durch einen verdeckten Ermittler, der im Internet zum Schein eine solche Waffe gekauft hat. Da könnte man ja auch sagen: Was ist das denn für ein Rechtssstaat, der illegale Waffen kauft? Nein - unter bestimmten rechten Voraussetzungen ist das nicht nur erlaubt sondern geboten. Und so könnte man auch unter einer Legende, unter einem anderen Firmenschild, wenn man so will, eine Online-Durchsuchung machen, indem man so einen Trojaner in ein System gibt, das ist nicht die Nutzung einer Lücke sondern die Täuschung über die Herkunft. All das sind technische Möglichkeiten, die müssen genutzt werden dürfen, im Einzelfall, unter strenger Nutzung der restriktiven, zu recht restriktiven Recht unserer (...?). [Zeit: 8'14"]


18.9.2017 - Presseanfrage an das BMI


Sehr geehrte Damen und Herren,

vielen Dank für die Organisation und Durchführung der Pressekonferenz zur nachträglichen ZITiS-Eröffnung in München vom vergangenen Donnerstag. Im Nachgang dazu haben wir folgende Fragen, die sich in diesem Rahmen leider nicht beantworten ließen und bitten hiermit nachträglich um schriftliche Beantwortung. Im Fragenkatalog finden sich auch zum Teil Fragen von uns vom 11.9.2017 wieder, die anders als von Ihnen versprochen, noch nicht beantwortet worden sind.

1.) In der BMI-eigenen Darstellung der Arbeit von ZITiS heißt es einerseits, dass deren Mitarbeiter keinerlei „Eingriffsbefugnisse“ hätten, zugleich aber „Unterstützungsaufgaben“ für BKA, Bundespolizei und Inlands-Geheimdienst erledigen sollen. Wie ist das eine vom anderen zu trennen?

2.) Wie wird der Sorge Rechnung getragen, dass Informationen, die bspw. via Beirat-Sitzungen zwischen den Polizeien des Bundes und dem Inlandsgeheimdiensten ausgetauscht werden, das Trennungsgebot verletzen?

3.) Welche Behörden sind namentlich direkt oder indirekt im ZITiS-Beirat vertreten und in je welcher Anzahl von Personen?

4.) Welche Behörden haben konkret an der konstituierenden ZITiS-Beirats-Sitzung (vom 30.8.2017?) teilgenommen?

5.) Ist es denkbar und möglich, dass auch militärischer Geheimdienst (MAD) und Auslandsgeheimdienst (BND) von ZITiS profitieren können oder mit der ZITiS zusammenarbeiten?

6.) Der CSU-Bundestagsabgeordnete Florian Hahn hat eigenen Angaben zufolge die Ansiedlung der ZITiS in München „vorangetrieben“. Herr Hahn ist (oder war bis mindestens 2017) zugleich Aufsichtsratmitglied der IABG GmbH, die ebenfalls in München ihren Hauptsitz hat und mindestens mit dem BKA bereits Geschäftsbeziehungen in Sachen BigData-Analytik führt. Wird es eine Zusammenarbeit der ZITiS mit der IABG geben oder, falls das noch nicht absehbar ist, ist eine solche aus Gründen möglicher Interessenkonflikte ausgeschlossen?

7.) Wann ist die Entscheidung gefallen, das Gebäude in der Zamdorfer Straße 88 als zwischenzeitliche Residenz der ZITiS auszuwählen und welche Stelle war mit der Immobiliensuche und -auswahl betraut?

8.) Welche weiteren Anreize neben außerordentlichen Sabbaticals werden angeboten, um IT-Fachkräfte in die ZITiS erfolgreich anzuwerben und welche Erfahrungen gibt es bislang mit diesen Anwerbeanreizen?

9.) Gibt es derzeit eine(n) eigene(n) Datenschutzbeauftragte(n) innerhalb der ZITiS und falls ja, wer erfüllt diese Aufgabe und handelt es sich dabei um eine Voll- oder Teilzeitstelle?

10.) Wie lautet der Erlass des BMI zu Errichtung der ZITiS vom 6.4.2017 im Wortlaut oder wo kann dieser nachgelesen werden?

11.) Wie ist der Stand der Um- und Neubauten der ZITiS in der Bundeswehr-Universität gediehen bzw. wann ist – aus heutiger Sicht – mit dem Umzug der ZITiS auf dieses Gelände zu rechnen?

12.) Stimmt es, dass das Gebäude der Zamdorfer Straße 88 von dem Fürther Unternehmen P&P angemietet worden ist und falls ja, wie hoch sind die Kosten für Miete und im Rahmen des ZITiS-Einzugs notwendig gewordenen/werdenden Umbaumaßnahmen?

13.) Ist diese Grundlage für die Arbeit und Organisation der ZITiS änderbar und falls ja, welche Person oder welche Stelle könnte eine solche Änderung verfügen?

14.) Nach Angaben des Innenministers ist eine Beteiligung der BfDI nicht notwendig, weil es sich bei der ZITiS um eine „Forschungseinrichtung“ handelt. Ist dieses die offizielle Begründung für die Nicht-Einbeziehung der BfDI in Einrichtung und Aufbau der ZITiS oder gibt es eine genauere, formellere für diesen Umstand?

15.) Ist die ZITiS eine reine Forschungseinrichtung und an welchen Punkten macht das BMI diese Klassifikation/Einstufung fest?

16.) Ist es möglich, mit der ZITiS PGP-verschlüsselt E-Mail-Kontakt aufzunehmen?


22.9.2017 - Antwort vom BMI


Sehr geehrter Herr xxx,

Ihren umfangreichen Fragenkatalog beantworte ich als ein Sprecher des Bundesinnenministeriums wie folgt:

1.) In der BMI-eigenen Darstellung der Arbeit von ZITiS heißt es einerseits, dass deren Mitarbeiter keinerlei "Eingriffsbefugnisse" hätten, zugleich aber "Unterstützungsaufgaben" für BKA, Bundespolizei und Inlands-Geheimdienst erledigen sollen. Wie ist das eine vom anderen zu trennen?

Zur jeweiligen Aufgabenerfüllung haben die Sicherheitsbehörden gesetzliche Ermächtigungsgrundlagen erhalten, die als "Eingriffsbefugnisse" begrifflich zusammengefasst werden können. Diese Eingriffsbefugnisse verbleiben bei den Sicherheitsbehörden (BKA, BPOL und BfV). Die Behörden werden im Rahmen der entsprechenden gesetzlichen Regelungen tätig, insbesondere nach dem BKA-Gesetz, dem Bundesverfassungsschutzgesetz, dem G10-Gesetz und der Strafprozessordnung. ZITiS erbringt für diese Behörden Forschungs-, Entwicklungs- und Unterstützungs-/Beratungsleistungen im Hinblick auf deren informationstechnische Fähigkeiten. ZITiS nimmt in diesem Zusammenhang keine außenwirksamen Verwaltungsaufgaben wahr; ihr wurden insbesondere auch keine Eingriffsbefugnisse eingeräumt.

2.) Wie wird der Sorge Rechnung getragen, dass Informationen, die bspw. via Beirat-Sitzungen zwischen den Polizeien des Bundes und dem Inlandsgeheimdiensten ausgetauscht werden, das Trennungsgebot verletzen?

Bedarfsträger der ZITiS sind die bestehenden Sicherheitsbehörden Bundeskriminalamt, Bundespolizei und Bundesamt für Verfassungsschutz mit ihren jeweiligen Befugnissen. Die Sicherheitsarchitektur bleibt durch ZITiS unberührt, damit wird auch das Trennungsgebot von Polizei und Nachrichtendiensten auf Ebene der Bedarfsträger weiterhin gewährleistet.

3.) Welche Behörden sind namentlich direkt oder indirekt im ZITiS-Beirat vertreten und in je welcher Anzahl von Personen?

Im ZITiS-Beirat sind gemäß Errichtungserlass vom 6. April 2017 das Bundeskriminalamt, das Bundesamt für Verfassungsschutz, die Bundespolizei sowie ZITiS selbst - zu gleichen Teilen - vertreten.

4.) Welche Behörden haben konkret an der konstituierenden ZITiS-Beirats-Sitzung (vom 30.8.2017?) teilgenommen?

Neben den vorgenannten Behörden hat das Bundesministerium des Innern beratend an der Sitzung teilgenommen.

5.) Ist es denkbar und möglich, dass auch militärischer Geheimdienst (MAD) und Auslandsgeheimdienst (BND) von ZITiS profitieren können oder mit der ZITiS zusammenarbeiten?

Eine unmittelbare Beteiligung weiterer Bundesbehörden oder der Länder an ZITiS ist nach dem derzeitigen Stand der Planungen nicht vorgesehen. Nach Herstellung der Arbeitsfähigkeit von ZITiS kann geprüft werden, in welchem Umfang ZITiS-Produkte weiteren als den bisher vorgesehenen Bedarfsträgern (vgl. Antwort zu Frage 2.) zur Verfügung gestellt werden können.

6.) Der CSU-Bundestagsabgeordnete Florian Hahn hat eigenen Angaben zufolge die Ansiedlung der ZITiS in München "vorangetrieben". Herr Hahn ist (oder war bis mindestens 2017) zugleich Aufsichtsratmitglied der IABG GmbH, die ebenfalls in München ihren Hauptsitz hat und mindestens mit dem BKA bereits Geschäftsbeziehungen in Sachen BigData-Analytik führt. Wird es eine Zusammenarbeit der ZITiS mit der IABG geben oder, falls das noch nicht absehbar ist, ist eine solche aus Gründen möglicher Interessenkonflikte ausgeschlossen?

Umfang und Art der Zusammenarbeit sowie die möglichen Kooperationspartner der ZITiS sind zum jetzigen Zeitpunkt des Aufbaus noch nicht absehbar. Zu gegebener Zeit wird seitens ZITiS vorab jeweils geprüft werden, ob einer Kooperation Gründe entgegenstehen.

7.) Wann ist die Entscheidung gefallen, das Gebäude in der Zamdorfer Straße 88 als zwischenzeitliche Residenz der ZITiS auszuwählen und welche Stelle war mit der Immobiliensuche und -auswahl betraut?

Mit Suche und Auswahl war die Bundesanstalt für Immobilienaufgaben (BImA) betraut. Die Auswahl erfolgte im August 2017 in Absprache mit ZITiS und dem BMI.

8.) Welche weiteren Anreize neben außerordentlichen Sabbaticals werden angeboten, um IT-Fachkräfte in die ZITiS erfolgreich anzuwerben und welche Erfahrungen gibt es bislang mit diesen Anwerbeanreizen?

Die Herstellung der Arbeitsfähigkeit der ZITiS ist anspruchsvoll. Die in diesem Aufgabenfeld sehr spezifischen Anforderungen der Bedarfsträger (Sicherheitsbehörden) müssen von Beginn an in geeigneter Weise berücksichtigt werden. Zugleich muss am Arbeitsmarkt fachlich hoch qualifiziertes Personal eingeworben werden. Entscheidend ist, dass sich ZITiS als attraktiver Arbeitgeber und als "Marke" schnellstmöglich auf dem Arbeitsmarkt präsentiert. Zur Gewinnung von IT-Spitzenkräfte wurden bereits entsprechende Stellenausschreibungen veröffentlicht. Für die Gewinnung stehen eine Vielzahl von tariflichen und dienstrechtlichen Möglichkeiten und Instrumenten zur Verfügung. Aber auch nicht-monetäre Aspekte wie der sichere Arbeitsplatz oder die Indentifizierung mit der Aufgabe stellen entscheidungserhebliche Kriterien für Bewerber dar.

9.) Gibt es derzeit eine(n) eigene(n) Datenschutzbeauftragte(n) innerhalb der ZITiS und falls ja, wer erfüllt diese Aufgabe und handelt es sich dabei um eine Voll- oder Teilzeitstelle?

Die Aufgabe des behördliche Datenschutzbeauftragten wird in der Aufbauphase vorübergehend von Beschäftigten einer anderen Behörde übernommen, bis ZITiS selbst entsprechendes Personal gewonnen hat.

10.) Wie lautet der Erlass des BMI zu Errichtung der ZITiS vom 6.4.2017 im Wortlaut oder wo kann dieser nachgelesen werden?

ZITiS ist per Erlass des Bundesministers des Innern vom 6. April 2017 (Gemeinsames Ministerialblatt vom 20. April 2017, S. 274) errichtet worden.

11.) Wie ist der Stand der Um- und Neubauten der ZITiS in der Bundeswehr-Universität gediehen bzw. wann ist - aus heutiger Sicht - mit dem Umzug der ZITiS auf dieses Gelände zu rechnen?
12.) Stimmt es, dass das Gebäude der Zamdorfer Straße 88 von dem Fürther Unternehmen P&P angemietet worden ist und falls ja, wie hoch sind die Kosten für Miete und im Rahmen des ZITiS-Einzugs notwendig gewordenen/werdenden Umbaumaßnahmen?

Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) hat ihre Diensttätigkeit zunächst in Räumen der Universität der Bundeswehr in Neubiberg aufgenommen und wird ab Ende diesen Monats in einem Gebäude in der Zamdorfer Str. 88 in 81677 München-Bogenhausen untergebracht. Das dortige Gebäude steht nicht zum Verkauf. ZITiS wird durch Anmietung durch die Bundesanstalt für Immobilienaufgaben im Rahmen des Einheitlichen Liegenschaftsmanagements Mieterin des Gebäudes. Für die langfristige Unterbringung von ZITiS ist die Errichtung eines Neubaus auf dem Gelände der Universität der Bundeswehr in Neubiberg vorgesehen. Dieser befindet sich in der Planungsphase und soll 2024 fertiggestellt werden.

13.) Ist diese Grundlage für die Arbeit und Organisation der ZITiS änderbar und falls ja, welche Person oder welche Stelle könnte eine solche Änderung verfügen?

Aufgrund der in Art. 65 Satz 2 GG festgelegten Ressorthoheit und der damit im Zusammenhang stehenden Organisationskompetenz des Ressortministers für seinen jeweiligen Geschäftsbereich obliegen Erlass und ggf. Änderung des ZITiS-Errichtungserlasses dem Bundesminister des Innern.

14.) Nach Angaben des Innenministers ist eine Beteiligung der BfDI nicht notwendig, weil es sich bei der ZITiS um eine "Forschungseinrichtung" handelt. Ist dieses die offizielle Begründung für die Nicht-Einbeziehung der BfDI in Einrichtung und Aufbau der ZITiS oder gibt es eine genauere, formellere für diesen Umstand?

Der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sind seitens BMI Informationen im erforderlichen Umfang bereits angeboten worden.

15.) Ist die ZITiS eine reine Forschungseinrichtung und an welchen Punkten macht das BMI diese Klassifikation/Einstufung fest?

ZITiS ist eine Forschungs- und Entwicklungseinrichtung. Gemäß Errichtungserlass obliegen ZITiS neben der Forschung auch Beratungs-/Unterstützungsleistungen und Entwicklungsleistungen.

16.) Ist es möglich, mit der ZITiS PGP-verschlüsselt E-Mail-Kontakt aufzunehmen?

Die hierfür erforderliche IT-Infrastruktur befindet sich im Aufbau. Alternativ kann ZITiS über die auf ihrer Webseite publizierte DE-Mail-Adresse (poststelle@zitis-bund.de-mail.de<poststelle@zitis-bund.de-mail.de> ) erreicht werden.

Mit freundlichen Grüßen

Im Auftrag

xxx

Dr. xxx LL.M.
Pressestelle
Bundesministerium des Innern


23.9.2017 - Nachfragen an das BMI


Sehr geehrter Herr xxx,

vielen Dank für die Arbeit mit unseren Fragen.

Wir haben lediglich wenige Nachfragen:

Am 22.09.2017 um xxx schrieb xxx@bmi.bund.de:

2.) Wie wird der Sorge Rechnung getragen, dass Informationen, die bspw. via Beirat-Sitzungen zwischen den Polizeien des Bundes und dem Inlandsgeheimdiensten ausgetauscht werden, das Trennungsgebot verletzen?
Bedarfsträger der ZITiS sind die bestehenden Sicherheitsbehörden Bundeskriminalamt, Bundespolizei und Bundesamt für Verfassungsschutz mit ihren jeweiligen Befugnissen. Die Sicherheitsarchitektur bleibt durch ZITiS unberührt, damit wird auch das Trennungsgebot von Polizei und Nachrichtendiensten auf Ebene der Bedarfsträger weiterhin gewährleistet.

Gemeint war die Sorge, dass z.B. im Rahmen der gemeinsamen Beirats-Sitzungen, in denen konkrete Aufgaben für die ZITiS besprochen und vereinbart werden, Informationen über konkrete Einzelfälle der jeweiligen Behörden besprochen und insofern ein Informationsaustausch stattfinden kann.

a.) Wie tritt man seitens des BMI diesen Bedenken entgegen, mittels welcher Vorkehrungen werden solcherlei Informationsflüsse unterbunden?


3.) Welche Behörden sind namentlich direkt oder indirekt im ZITiS-Beirat vertreten und in je welcher Anzahl von Personen?
Im ZITiS-Beirat sind gemäß Errichtungserlass vom 6. April 2017 das Bundeskriminalamt, das Bundesamt für Verfassungsschutz, die Bundespolizei sowie ZITiS selbst - zu gleichen Teilen - vertreten.

b.) Wie viele Personen sind im Beirat insgesamt anwesend bzw. gehören diesem an?


7.) Wann ist die Entscheidung gefallen, das Gebäude in der Zamdorfer Straße 88 als zwischenzeitliche Residenz der ZITiS auszuwählen und welche Stelle war mit der Immobiliensuche und -auswahl betraut?
Mit Suche und Auswahl war die Bundesanstalt für Immobilienaufgaben (BImA) betraut. Die Auswahl erfolgte im August 2017 in Absprache mit ZITiS und dem BMI.

c.) Wann ist der Auftrag zur Immobiliensuche für die ZITiS an die BImA erteilt worden?


9.) Gibt es derzeit eine(n) eigene(n) Datenschutzbeauftragte(n) innerhalb der ZITiS und falls ja, wer erfüllt diese Aufgabe und handelt es sich dabei um eine Voll- oder Teilzeitstelle?
Die Aufgabe des behördliche Datenschutzbeauftragten wird in der Aufbauphase vorübergehend von Beschäftigten einer anderen Behörde übernommen, bis ZITiS selbst entsprechendes Personal gewonnen hat.

d.) Um welche Behörde handelt es sich dabei?


10.) Wie lautet der Erlass des BMI zu Errichtung der ZITiS vom 6.4.2017 im Wortlaut oder wo kann dieser nachgelesen werden?
ZITiS ist per Erlass des Bundesministers des Innern vom 6. April 2017 (Gemeinsames Ministerialblatt vom 20. April 2017, S. 274) errichtet worden.

Das Gemeinsame Ministerialblatt ist leider nicht offen bzw. nur bei Registrierung und gegen Bezahlung einsehbar, siehe hier:

http://www.gmbl-online.de/dokument/?user_nvurlapi_pi1[did]=7857281&cHash=c7b91bc7f2&src=redirect

e.) Können Sie uns den Wortlaut des Erlasses mitteilen?


f.) Stimmt es, dass das Gebäude der Zamdorfer Straße 88 von dem Fürther Unternehmen P&P angemietet worden ist und falls ja, wie hoch sind die Kosten für Miete und im Rahmen des ZITiS-Einzugs notwendig gewordenen/werdenden Umbaumaßnahmen?


14.) Nach Angaben des Innenministers ist eine Beteiligung der BfDI nicht notwendig, weil es sich bei der ZITiS um eine "Forschungseinrichtung" handelt. Ist dieses die offizielle Begründung für die Nicht-Einbeziehung der BfDI in Einrichtung und Aufbau der ZITiS oder gibt es eine genauere, formellere für diesen Umstand?
Der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sind seitens BMI Informationen im erforderlichen Umfang bereits angeboten worden.

g.) Was ist/war die offizielle Begründung dafür, dass die BfDI nicht bereits im Zuge der Errichtung bzw. der Planungen der ZITiS einbezogen worden ist?


16.) Ist es möglich, mit der ZITiS PGP-verschlüsselt E-Mail-Kontakt aufzunehmen?
Die hierfür erforderliche IT-Infrastruktur befindet sich im Aufbau. Alternativ kann ZITiS über die auf ihrer Webseite publizierte DE-Mail-Adresse (poststelle@zitis-bund.de-mail.de<poststelle@zitis-bund.de-mail.de> ) erreicht werden.

h.) Bedeutet das, dass die Möglichkeit zur PGP-verschlüsselten E-Mail-Kommunikation mit der ZITiS später eingerichtet wird?


Viele gute Grüße,


Zur Vita Wilfried Karl


13.11.2014 - 22. NSA-UA-Sitzung


Quelle: https://netzpolitik.org/2014/live-blog-aus-dem-geheimdienst-untersuchungsausschuss-bnd-mitarbeiter-k-l-und-p-auf-der-zeugebank/

Bin Unterabteilungsleiter Abteilung Technische Aufklärung (TA) im BND. In der Presse war einiges zu lesen, aber wir überwachen nicht anlasslos Deutsche, sind nicht der Nachfolger der Stasi. Wir sind der Auslandsnachrichtendienst, ein Dienstleister. Wir speichern nur, was für unsere Auftragserfüllung notwendig ist.

Terroranschläge: 9/11, UK, Spanien, Belgien, Frankfurt. Einige verhindert, gerade in Deutschland, Sauerland-Gruppe. Heute IS. Und Cyberbedrohungen, das betrifft jeden von uns. Die Aufgaben des BND nehmen zu, die Mitarbeiter werden mehr gefordert.

Wir machen unsere Arbeit gerne. Arbeite seit mehr als zwei Jahrzehnten für den BND. Wir können unsere Arbeit aber nicht alleine leisten, müssen mit internationalen Partnern kooperieren. Darüber wurde viel veröffentlicht, meist missbilligend. Aber alle sagen: ohne internationale Kooperation wären die meisten Aufgaben nicht mehr lösbar. Ringtausch findet nicht statt. Schutz von Soldaten, Schutz vor Terror, Entführungen deutscher Bürger.

Ich werde auf manche Fragen wahrheitsgemäß antworten, auf andere nur nicht-öffentlich [NÖ]. Öffentlichkeit kann Arbeit des BND gefährden. SIGINT ist komplex, ist aber keine Hexerei, auch wir kochen nur mit Wasser. Müssen Methoden schützen. Auch Entziehung vor Aufklärung ist keine Hexerei. Das ist der Grund für unsere Geheimhaltung.

Unsere Arbeit wird immer geprüft. Im Zweifel tun wir etwas auch nicht.

(...)

Diplomingenieur, Ausbildung Elektrotechnik. Hab bei BND in Analyse unbekannter Signale angefangen, seit etwa 2000 in Zentrale Pullach, bei Kabelauswertung. 2007-2011 andere Abteilung.


20.5.2015 - NSA-UA-Sitzung


Quelle: https://netzpolitik.org/2015/live-blog-aus-dem-geheimdienst-untersuchungsausschuss-drei-bnd-zeugen-w-o-w-k-und-d-b/#zeuge2


24.11.2016 - 118. NSA-UA-Sitzung


Quelle: https://netzpolitik.org/2016/live-blog-aus-dem-geheimdienst-untersuchungsausschuss-w-k-und-ansgar-heuser-vom-bnd/

Sensburg: Seit letzter Vernehmung Veränderungen?

W.K.: Zusätzlich Leitung der Abteilung als Aufgabe.


12.9.2017 - heise.de


Quelle: https://www.heise.de/newsticker/meldung/Chef-der-Entschluesselungsbehoerde-Zitis-Wir-kaufen-nichts-auf-dem-Schwarzmarkt-3828074.html

Wilfried Karl, Chef der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis), ist studierter Elektroingenieur und trat nach einer Zeit als freier Entwicklungsingenieur in den Dienst des Bundesnachrichtendienstes. Dort war er zuletzt der kommissarische Leiter der Abteilung Technische Aufklärung (TA). In dieser Funktion sagte Karl mehrfach vor dem NSA-Untersuchungsausschuss aus.


13.9.2017 - SZ


Quelle: http://www.sueddeutsche.de/politik/profil-wilfried-karl-1.3664955

(...) Vor wenigen Wochen noch war Wilfried Karl, 51, Herr über gut zweitausend deutsche Geheimdienstleute, über die wahrscheinlich wichtigste Einheit des Bundesnachrichtendienstes, die Abteilung "TA", Technische Aufklärung. Das sind jene Lauscher und Anzapfer, deren Arbeit am Computerbildschirm inzwischen ergiebiger ist als das, was aus dem altmodischen Agentengeschäft noch an Geflüster kommt. Mehr als die Hälfte der Informationen des BND, so verriet der frühere BND-Präsident Gerhard Schindler, kommen heute von dort.

(...)

Karl ist Diplom-Ingenieur, stammt aus Franken, und als er vor fast 25 Jahren, gleich nach dem Studium in Erlangen, bei der Technik-Abteilung des BND in Pullach anfing, fiepten noch Modems. Die Geheimdienstler zapften ISDN-Leitungen an. Über die Arbeit der Abteilung "Technische Aufklärung" hat die Öffentlichkeit dann vor allem durch den NSA-Ausschuss im Bundestag manches gelernt. Karl war viermal als Zeuge geladen, denn er war, zunächst als Unterabteilungsleiter, zuständig für die Übermittlung deutscher Internetdaten an den US-Geheimdienst NSA in der "Operation Eikonal" und deutscher Telefondaten an die CIA im Projekt "Glotaic". Im Zeugenstand trat er als "WK" auf. Der volle Name, sagt er, ist kein Pseudonym.

Karls BND-Abteilung war gegenüber den Amerikanern sehr entgegenkommend, um von deren überlegener Technik mit profitieren zu dürfen. Auch wer das nicht per se skandalös fand - Abgeordnete der Union und teils der SPD etwa - staunte im Untersuchungsausschuss über linke Hände, die hinterher von rechten Händen nichts gewusst haben wollten. Die Abteilung, so hat selbst die Bundesregierung in Statements zu "organisatorischen Defiziten" resümiert, war schlecht geführt.


5.10.2017 - Nachfrage beim BMI


Sehr geehrter Herr xxx,

können Sie uns schon mitteilen, wann wir mit Antworten auf unsere Nachfragen rechnen können?

Viele gute Grüße,


6.10.2017 - Rückmeldung vom BMI: Unsere Nachfrage-Mail sei bei denen angeblich nicht angekommen


Sehr geehrter Herr xxx,

Ihre Nachfragen vom 23.9. waren hier nicht eingegangen. Auch beim Empfang Ihrer nachstehenden Mail gab es zunächst technische Probleme. Wir werden uns gern ab jetzt um Ihre Nachfragen kümmern.

Gruß
xxx


9.10.2017 - ZEIT-Bericht, passend hier zum Thema: "IT-Sicherheit: Außenministerium will Internet sicherer machen, BND nicht"


Quelle: http://www.zeit.de/digital/datenschutz/2017-10/it-sicherheit-bnd-zero-day-aussenministerium

In der Bundesregierung wird gestritten, wie mit IT-Sicherheitslücken umzugehen ist: Der BND möchte sie heimlich nutzen; das Auswärtige Amt die Nutzung weltweit ächten.

Von Kai Biermann

Das Auswärtige Amt versucht, die digitale Welt sicherer zu machen. Diplomaten des Außenministeriums arbeiten im Rahmen einer Expertengruppe der Vereinten Nationen daran, sogenannte Zero-Day-Exploits – Schadsoftware, die bislang unbekannte Sicherheitslücken ausnutzt – international zu ächten. IT-Sicherheitsexperten halten diesen Plan für notwendig und wichtig, doch stößt er auch auf heftigen Widerstand, vor allem in der eigenen Regierung. Denn der Bundesnachrichtendienst will Zero Days nutzen, um in andere Computersysteme einzudringen.

Zero Days sind so etwas wie die Biowaffen der digitalen Welt: Wer als erster Lücken und Mängel in Software oder Hardware entdeckt, kann sie mit Viren und Trojanern angreifen, gegen die es noch keine Gegenwehr, keine Impfung gibt, da nicht einmal die Hersteller von ihnen wissen. Sie haben null Tage Zeit – daher der Name – eine Abwehr zu entwickeln. Ohne die Chance auf ein Update aber sind die Opfer schutzlos, weswegen Kriminelle und Geheimdienste solche Zero Days für hohe Summen handeln.

Gleichzeitig wird genau deswegen die Nutzung solcher Lücken weltweit kritisiert. Denn werden die Probleme heimlich ausgenutzt, statt sie zu beseitigen, bleiben die Programme und Computer unsicher. Schließlich könnte auch jemand anderes die Schwachstellen finden, wodurch schlimmstenfalls Daten, Geld und im Zweifel das Leben von Millionen Menschen gefährdet werden könnte. Wie bedrohlich Angriffe auf die IT-Infrastruktur sein können, hat nicht zuletzt die Ransomware belegt, mit der im Frühjahr weltweit Firmen, Krankenhäuser und Ministerien attackiert worden waren.

Eine Expertengruppe der Vereinten Nationen hatte daher mit deutscher Beteiligung bereits 2015 dringend empfohlen, dass alle Staaten IT-Sicherheitsprobleme, die sie entdecken, offenlegen und alle Betroffenen informieren (hier der Bericht der Gruppe als PDF). Im englischen Original lautet der entsprechende Absatz: "States should encourage responsible reporting of ICT vulnerabilities and share associated information on available remedies to such vulnerabilities, in order to limit and possibly eliminate potential threats to ICTs and ICT-dependent infrastructure". Die UN-Generalversammlung hat diese Empfehlung anschließend einstimmig verabschiedet. Denn die Welt ist abhängig von der Sicherheit ihrer IT-Infrastruktur. Moratorium wie bei Giftgas oder Atomwaffen

Zero Days stellen eine Bedrohung der Internet- und der Computersicherheit dar, die so gravierend ist, dass niemand sie verwenden sollte, finden die Diplomaten. Das Internet sollte vielmehr sicher sein vor Zugriffen und Manipulationen. So wie der Einsatz von Giftgas, Streubomben oder Atomwaffen international geächtet ist, sollten sich daher alle Staaten der Welt verpflichten, auch Zero Days nicht auszunutzen. Wer Fehler und Mängel in Soft- und Hardware finde, müsse umgehend alle betroffenen Firmen und Länder informieren.

Bis ein solches Moratorium weltweit verhandelt und anerkannt ist, können Jahrzehnte vergehen. Die Empfehlung der UN sei aber bereits ein erster, wichtiger Schritt, heißt es beim Auswärtigen Amt. Sie sei zwar keine völkerrechtlich bindende Vereinbarung, wohl aber eine sehr starke politische Verpflichtung.

Doch Geheimdienste, auch deutsche, wollen sich dieser politischen Verpflichtung nicht unterwerfen. Vor allem der Bundesnachrichtendienst (BND) ist an Zero Days interessiert und möchte nicht darauf verzichten, sie zu kaufen und einzusetzen. Mehrere Millionen Euro sind dafür in seinem geheimen Etat reserviert. BND-Präsident Bruno Karl sagte gerade in einer öffentlichen Bundestagsanhörung, es sei wichtig, dass der BND im Ausland aufklären könne und dazu seien auch Lücken in Informationssystemen geeignet. "Daher haben wir keinen Grund, solche Aufklärungsmöglichkeiten auszuschlagen."

Ein Verbot von Zero Days würde gleich mehrere Arbeitsbereiche der Sicherheitsbehörden erschweren. Zum Beispiel den sogenannten Staatstrojaner und die Quellen-Telekommunikationsüberwachung. Unter anderem das Bundeskriminalamt soll diese Spähprogramme nutzen, um Computer von Verdächtigen zu durchsuchen. Softwarelücken machen es einfacher, sie aus der Ferne zu installieren. Ohne sie müssten die Beamten versuchen, den Rechner des Verdächtigen in die Finger zu bekommen, was leichter entdeckt werden kann. Aber auch das Cyberkommando der Bundeswehr ist an Zero Days interessiert. Die Soldaten wollen daraus digitale Waffen entwickeln, um die Server von Angreifern attackieren zu können. Der BND schließlich will sie, um damit heimlich zu spionieren, ohne dass die ausgespähten Systeme Alarm schlagen.

Die Folge: In der Bundesregierung wird derzeit darum gestritten, wie mit bislang unbekannten Schwachstellen in Computersystemen umgegangen werden soll.

Offiziell äußert sich die Bundesregierung nur sehr vage zu diesem Streit und ihren Plänen. Der BND selbst schweigt, wie immer in solchen Fällen: Zu "geheimhaltungsbedürftigen Angelegenheiten" äußere man sich nur "gegenüber der Bundesregierung und den zuständigen parlamentarischen Gremien".

Doch auch gegenüber Parlamentariern ist die Auskunft nicht viel gehaltvoller. Die SPD-Bundestagsabgeordnete Saskia Esken hat gerade versucht, eine Antwort darauf zu bekommen. "Der (...) Kauf, die Entwicklung und die Nutzung von Schwachstellen und Exploits durch Strafverfolgungsbehörden ist ein für die Bundesregierung relevantes Thema", heißt es in der Antwort des Innenministeriums, die ZEIT ONLINE vorliegt. Man setze sich derzeit "inhaltlich intensiv mit dieser Problematik auseinander". Und weiter: "Die Überlegungen sollen in einen Prozess münden, sind allerdings nicht abgeschlossen und bedürfen noch einer Konkretisierung."

Klarer wird die Auskunft nicht. Doch ist mit "ein Prozess" nach Informationen von ZEIT ONLINE das Verfahren gemeint, das die US-Regierung für den amerikanischen Geheimdienst NSA vorgeschrieben hat. Es heißt "Vulnerabilities Equities Process" (VEP). Die Regierung untersucht dabei, wie gefährlich eine technische Lücke ist und entscheidet anschließend, ob die eigenen Geheimdienste sie für ihre Zwecke ausnutzen dürfen, oder ob besser die Hersteller und Betreiber der Systeme gewarnt werden, damit sie sie schließen können. Bestehen Zweifel, solle eher für eine verantwortungsbewusste Offenlegung entschieden werden als dagegen, so die Idee.

Ein Nutzungsverbot ist das nicht. Es ist auch keine Garantie dafür, dass die Interessen der Techniknutzer wichtiger genommen werden als die Wünsche der Geheimdienste. In den USA wird VEP daher durchaus kritisiert. Denn der Prozess der Auswahl ist nicht transparent. Und er sorgt für eine Verzögerung, die allein schon genügen kann, um riskante Lücken zu einer Bedrohung für sehr viele Menschen zu machen. BND und Bundeswehr sollen beteiligt werden

Die Bundesregierung möchte sich bei ihrer Regelung trotzdem daran orientieren. Noch ist nicht ganz geklärt, wie genau der Prozess zur Bewertung der Lücken aussehen soll, doch scheint bereits klar zu sein, welche Behörde die Prüfung vornehmen wird: die neu gegründete ZITiS, die Zentrale Stelle für Informationstechnik im Sicherheitsbereich. Auf die schriftliche Frage von ZEIT ONLINE, ob ZITiS sich mit Zero Days befassen wird, antwortete das Bundesinnenministerium: "ZITiS soll Expertise in allen technischen Fragestellungen mit Cyberbezug für die Sicherheitsbehörden bündeln." Das kann als Ja verstanden werden.

Da Zero-Day-Exploits so viele Bereiche betreffen, sollen an dem Bewertungsprozess aber auch der BND, das Bundesamt für Sicherheit in der Informationstechnik und die Bundeswehr beteiligt werden, ist von Beteiligten zu hören. Priorität solle dabei wie in den USA die Prävention haben, also die Sicherung der Systeme. Schließlich müsse ja auch die eigene IT sicherer werden.

Genau deswegen haben IT-Fachleute etwa aus dem Chaos Computer Club schon seit langer Zeit eine eindeutige Haltung zu Zero Days. Mit ihnen sollen "kritische Sicherheitslücken missbraucht werden, die auch anderen Kriminellen einen Angriffspunkt bieten. Gleichzeitig wird es Bürgern und Unternehmen erschwert, sich vor technischen Angriffen auf persönliche Daten oder Geschäftsgeheimnisse zu schützen", so der CCC. Vor allem aber befeuere dieses Verhalten den Anreiz, aufgespürte Sicherheitslücken im Geheimen zu handeln, statt sie zu beseitigen.


12.10.2017 - Antworten aus dem BMI


Sehr geehrter Herr xxx,

zu Ihren Nachfragen kann ich Ihnen als eine Sprecherin des Bundesinnenministeriums Folgendes mitteilen:

1. Gemeint war die Sorge, dass z.B. im Rahmen der gemeinsamen Beirats-Sitzungen, in denen konkrete Aufgaben für die ZITiS besprochen und vereinbart werden, Informationen über konkrete Einzelfälle der jeweiligen Behörden besprochen und insofern ein Informationsaustausch stattfinden kann. Wie tritt man seitens des BMI diesen Bedenken entgegen, mittels welcher Vorkehrungen werden solcherlei Informationsflüsse unterbunden?

ZITiS erbringt für die Bedarfsträger Forschungs-, Entwicklungs- und Unterstützungs-/Beratungsleistungen im Hinblick auf deren informationstechnische Fähigkeiten. Beiratssitzungen finden einmal im Jahr statt und dienen der Abstimmung des Jahresarbeitsprogramms der ZITiS. Konkrete Einzelfälle sind nicht Gegenstand dieser Abstimmung.

2. Wie viele Personen sind im Beirat insgesamt anwesend bzw. gehören diesem an?

Mitglieder des Beirats sind BKA, BfV, BPOLP und ZITiS. Im Beirat ZITiS werden diese vertreten durch ihre jeweiligen Präsidenten oder von ihnen bestimmte Vertreter.

3. Wann ist der Auftrag zur Immobiliensuche für die ZITiS an die BImA erteilt worden?

Am 07.04.2017 wurde ein Erkundungsauftrag durch das BMI erteilt.

4. Die Aufgabe des behördliche Datenschutzbeauftragten wird in der Aufbauphase vorübergehend von Beschäftigten einer anderen Behörde übernommen, bis ZITiS selbst entsprechendes Personal gewonnen hat. Um welche Behörde handelt es sich dabei?

Bis zur Bestellung eines behördlichen Datenschutzbeauftragten wird diese Funktion vorübergehend durch eine Beschäftigte des BfV wahrgenommen.

5. Das Gemeinsame Ministerialblatt ist leider nicht offen bzw. nur bei Registrierung und gegen Bezahlung einsehbar, siehe hier: http://www.gmbl-online.de/dokument/?user_nvurlapi_pi1[did]=7857281&cHash=c7b91bc7f2&src=redirect

Das gemeinsame Ministerialblatt ist öffentlich zugänglich. Eine Übersendung des Wortlautes ist leider nicht möglich.

6. Stimmt es, dass das Gebäude der Zamdorfer Straße 88 von dem Fürther Unternehmen P&P angemietet worden ist und falls ja, wie hoch sind die Kosten für Miete und im Rahmen des ZITiS-Einzugs notwendig gewordenen/werdenden Umbaumaßnahmen?

ZITiS wird durch Anmietung durch die Bundesanstalt für Immobilienaufgaben (BImA) im Rahmen des Einheitlichen Liegenschaftsmanagements Mieterin des Gebäudes. Die Anmietung des Gebäudes erfolgte durch die BImA. Der Mietzins, den ZITiS an die BImA entrichten muss und die Kosten der Umbaumaßnahmen sind Gegenstand laufender Vertragsverhandlungen.

7. Was ist/war die offizielle Begründung dafür, dass die BfDI nicht bereits im Zuge der Errichtung bzw. der Planungen der ZITiS einbezogen worden ist?

Der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sind seitens BMI Informationen im erforderlichen Umfang bereits angeboten worden. Eine Beteiligung erfolgt im Rahmen der gesetzlichen Regelungen.

8. Bedeutet das, dass die Möglichkeit zur PGP-verschlüsselten E-Mail-Kommunikation mit der ZITiS später eingerichtet wird?

Dies bedeutet, dass ZITiS erst zu einem späteren Zeitpunkt über PGP- verschlüsselte E-Mail-Kommunikation verfügen wird und erst zu diesem Zeitpunkt externe PGP- verschlüsselte E-Mail-Kommunikation nutzen kann.

Mit freundlichen Grüßen
xxx

Im Auftrag
Dr. xxx
Pressestelle
Bundesministerium des Innern


Der Errichtungerlaß der ZITiS


Bundesministerium des Innern

Z. Zentralabteilung

Erlass über die Errichtung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich

Vom 6. April 2017

§ 1

(1) Es wird die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) als nicht rechtsfähige Bundesanstalt im Geschäftsbereich des Bundesministeriums des Innern errichtet.

(2) Der Sitz der Zentralen Stelle ist in der Region München.

§ 2

(1) Die Zentrale Stelle hat die Aufgabe, Behörden des Bundes mit Sicherheitsaufgaben im Hinblick auf informationstechnische Fähigkeiten zu unterstützen und zu beraten. Dazu entwickelt und erforscht die Zentrale Stelle Methoden und Werkzeuge.

(2) In diesem Kontext obliegen ihr insbesondere folgende Aufgaben:

1. Unterstützungs- und Beratungsleistungen

Die Zentrale Stelle unterstützt die Behörden des Bundes mit Sicherheitsaufgaben in technischer Hinsicht unter anderem bei der Verwendung der entwickelten Produkte, im Rahmen von Wissensmanagement durch Bereitstellung einer Wissensplattform sowie insbesondere auch durch technischen Support. Im Rahmen ihrer Aufgaben werden von der Zentralen Stelle fachbezogene Aus- und Fortbildungsmaßnahmen angeboten. Zusätzlich berät die Zentrale Stelle in strategischen Fragestellungen. Dies umfasst auch Entscheidungsvorbereitungen bei Beschaffungen.

2. Entwicklungsleistungen

Die Zentrale Stelle entwickelt Produkte (zum Beispiel Programme und technische Tools), welche die Behörden des Bundes mit Sicherheitsaufgaben zur Wahrnehmung ihrer Aufgaben und Ausübung ihrer Befugnisse benötigen. Dies kann den kompletten Produktlebenszyklus von der Idee, Konzeption, Entwicklung und Realisierung bis hin zur Integration, Pflege und Aktualisierung beinhalten.

3. Forschung

Die Zentrale Stelle führt anwendungsbezogene Forschung, forschungsgetriebene Produktentwicklung sowie fachbezogen Grundlagenforschung durch. Die Ergebnisse aus der Forschung fließen in die Entwicklungsleistungen der Zentralen Stelle ein.

(3) Mit der Durchführung weiterer Aufgaben nach Absatz 1 kann die Zentrale Stelle vom Bundesministerium des Innern oder mit dessen Zustimmung von der zuständigen obersten Bundesbehörde beauftragt werden.

(4) Die Zentrale Stelle etabliert und unterhält im Benehmen mit der zuständigen Behörde des Bundes nach Absatz 1 Satz 1 Verbindungen zu Forschungseinrichtungen, Behörden und Einrichtungen mit Sicherheitsaufgaben des In- und Auslandes.

§ 3

(1) Die Zentrale Stelle wird von einer Präsidentin oder einem Präsidenten geleitet.

(2) Die Präsidentin oder der Präsident führt die Zentrale Stelle in eigener Verantwortung nach Maßgabe dieses Erlasses und auf Grundlage des in § 4 festgelegten Jahresarbeitsprogramms.

(3) Die Präsidentin oder der Präsident wird durch eine ständige Vertreterin (Vizepräsidentin) oder einen ständigen Vertreter (Vizepräsident) unterstützt.

(4) In der Zentralen Stelle wird ein Zentralbereich eingerichtet. Der Zentralbereich erbringt Querschnittsaufgaben in den Bereichen Haushalt, Organisation, Personal, Innere Dienste und IT, die nicht durch zuständige Dienstleister erbracht oder durch sonstige Unterstützungsleistungen zur Verfügung gestellt beziehungsweise abgerufen werden.

(5) Der Zentralen Stelle wird die haushaltsmäßige Bewirtschaftung der für ihren Dienstbetrieb veranschlagten Ressourcen übertragen. Die Dienststelle bestellt dazu eine Beauftragte oder einen Beauftragten für den Haushalt gemäß § 9 BHO.

(6) Die Dienst- und Fachaufsicht über die Zentrale Stelle übt das Bundesministerium des Innern aus.

§ 4

(1) Die Zentrale Stelle erstellt federführend gemeinsam mit dem Bundeskriminalamt, dem Bundesamt für Verfassungsschutz und dem Bundespolizeipräsidium ein Jahresarbeitsprogramm, das die drei Aufgabengebiete nach § 2 angemessen abbildet. Entscheidungen über die Inhalte des Jahresarbeitsprogramms werden einstimmig getroffen. Das Bundesministerium des Innern billigt das Programm.

(2) Zur Abstimmung des Jahresarbeitsprogramms richtet die Zentrale Stelle mit den Behörden nach Absatz 1 Satz 1 einen Beirat ein. Der Beirat gibt sich eine Geschäftsordnung. Die Geschäftsordnung ist vom Bundesministerium des Innern zu billigen.

(3) Die Zentrale Stelle berichtet jährlich über die gemäß dem Programm nach Absatz 1 erreichten Ziele und Forschungsstände. Der Jahresbericht ist nach Abstimmung mit den beteiligten Behörden nach Absatz 1 Satz 1 dem Bundesministerium des Innern zur Billigung vorzulegen.

§ 5

Der Erlass tritt am 6. April 2017 in Kraft.

Berlin, den 6. April 2017

ZI2-50001/1#1

Der Bundesminister des Innern

Dr. Thomas de Maizière

GMBl 2017, S. 274


22.11.2017 - heise.de: Hackback: Zitis-Chef spricht sich für Cyber-Gegenschlag aus


Quelle: https://www.heise.de/newsticker/meldung/Hackback-Zitis-Chef-spricht-sich-fuer-Cyber-Gegenschlag-aus-3897897.html

Der Präsident der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis) hat sich im “Spiegel” für mehr Kompetenzen der Sicherheitsbehörden bei der Reaktion auf Cyber-Angriffe ausgesprochen. Der Staat müsse handlungsfähig bleiben.

Der Chef der neuen Entschlüsselungsbehörde des Bundes will die Sicherheitsbehörden bei Cyberangriffen zum Gegenschlag befähigen. „Als Bürger erwarte ich, dass unser Staat auch bei neuartigen digitalen Bedrohungen handlungsfähig bleibt”, sagte Wilfried Karl, Präsident den Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis), dem Nachrichtenmagazin Der Spiegel. Im Hinblick auf den Hacker-Angriff auf den Bundestag im Jahr 2015 hält Karl es für „wünschenswert, entwendete Dateien und Dokumente zumindest auf den Servern der Diebe zu löschen“.

Vorbild Schweiz

Ein Vorbild könne die Schweiz sein, wo sogenannte Hackbacks unter bestimmten Voraussetzungen erlaubt sind, meint der Zitis-Präsident weiter. Im Rahmen des neuen Nachrichtendienstgesetzes kann der Schweizer Geheimdienst NDB zur Cyberabwehr auch Trojaner in Rechner einschleusen oder Computernetzwerke hacken. Das Gesetz war 2015 durchs Parlament gegangen und ist seit dem 1. September 2017 in Kraft.

Darüber hinaus gehende Befugnisse zur offensiven Verteidigung auch für Unternehmen, wie sie etwa derzeit in den USA diskutiert werden, hält Karl hingegen für keine gute Idee. „Derlei offensive Maßnahmen sollten staatlichen Behörden vorbehalten bleiben”, sagte der Zitis-Chef dem Spiegel. Damit meint Karl unter anderem sein Haus, das ins Leben gerufen wurde, um die Bundesbehörden mit Entschlüsselungs-Kompetenz zu unterstützen.

Neue Behörde

Die Bundesregierung hatte im vergangenen Jahr entschlossen, eine neue Behörde einzurichten, die andere Sicherheitsbehörden mit dem Knacken von Verschlüsselungen und eigentlich abhörsicherer Kommunikationstechnik unterstützen soll. Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich hat Mitte September in München mit zunächst 20 Mitarbeitern offiziell ihre Arbeit aufgenommen.

Bei seinem ersten öffentlichen Auftritt hatte Karl betont, dass Zitis streng rechtsstaatlich arbeiten werde. "Es ist nicht Aufgabe von Zitis, Kommunikation unsicher zu machen", sagte der Behördenchef. "Unsere Aufgabe ist gesetzlich festgelegt und gesetzesorientiert. Das bedeutet: Es gibt keinen Ankauf von 0-Days auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen." Zitis werde an der Praxis ausgerichtete Forschung und Entwicklung betreiben.

Hacker verzweifelt gesucht

Sein Dienstherr, der inzwischen geschäftsführende Bundesinnenminister Thomas de Maizière (CDU), hält den Ankauf von Software für Online-Durchsuchung und Quellen-Telekommunikationsüberwachung nicht für ausgeschlossen. Dabei müsse es natürlich rechtsstaatlich zugehen. Dem Wunsch der Datenschutzbeauftragten Andrea Voßhoff nach Beteiligung erteilte der Minister jedoch eine Absage.

Bis Zitis seine eigentlich Aufgabe angehen kann, wird es wohl noch etwas dauern. Die Behörde plant bis 2022 mit rund 400 Mitarbeitern. Die müssen erst einmal gefunden werden. Die Rekrutierung von einschlägig vorgebildetem Personal gestaltet sich allerdings schwierig: Computer- und Sicherheitsexperten auf dem gewünschten Niveau wachsen nicht auf den Bäumen. Im Wettbewerb um Talente muss sich die Behörde darüber hinaus mit internationalen IT-Konzernen messen, die attraktive Konditionen bieten.


8.12.2017, heise.de: Crypto Wars: Europol soll Europas Ermittlern bei Entschlüsselung helfen


Quelle: https://www.heise.de/newsticker/meldung/Crypto-Wars-Europol-soll-Europas-Ermittlern-bei-Entschluesselung-helfen-3914261.html

08.12.2017 15:39 Uhr Christiane Schulzki Haddouti

Europas Justiz- und Innenminister haben beschlossen, dass die Polizeibehörde Ermittlern künftig bei der Entschlüsselung von Daten helfen soll. Dafür sollten in Kooperation mit Providern Werkzeuge geschaffen werden – etwa auf Basis von Sicherheitslücken.

Europol soll zu einer zentralen Entschlüsselungsstelle in der Europäischen Union ausgebaut werden. Die Justiz- und Innenminister im Europäischen Rat gaben entsprechenden Plänen der Europäischen Kommission auf ihrer Sitzung am gestrigen Donnerstag grünes Licht. Europol soll demnach Fähigkeiten aufbauen, um Polizei- und Justizbehörden in den europäischen Mitgliedstaaten bei der Entschlüsselung zu unterstützen. Damit erhält nicht nur die deutsche Entschlüsselungsbehörde Zitis, deren Mitarbeiterzahl seit Monaten noch immer bei rund 20 stagniert, Unterstützung. Mitgliedstaaten, die über solche Einrichtungen noch nicht verfügen, werden damit nicht länger benachteiligt.

Europol soll eine Toolbox für "alternative Untersuchungstechniken" entwickeln, um die Zugriff auf verschlüsselte Informationen zu ermöglichen. Die neuen Kenntnisse und Fähigkeiten sollen dann in Ausbildungseinheiten an die nationalen Polizei- und Justizbehörden weitergegeben werden. Überdies soll Europol mit Internet-Service-Providern "zusammenarbeiten", damit diese bei der Bereitstellung von "Lösungen" helfen und gleichzeitig "starke Verschlüsselung" behalten können.

Keine Hintertüren, aber digitale Wanzen

Technisch könnte diese "Lösungen" daher auf bislang unveröffentlichte Sicherheitsschwachstellen aufsetzen, da es eine Meldepflicht von Sicherheitslücken für Behörden bislang nicht gibt. Internetprovider könnten beispielsweise Überwachungsfunktionen auf Geräte- und Dienstebene für Europol implementieren, damit die Ermittler an den Klartext von Nachrichten kommen, bevor sie verschlüsselt werden.

Was die im Rat gefundene Kompromissformulierung konkret bedeutet, wird aber nicht ausformuliert. Eine Schlüsselhinterlegung wird vorerst nicht geregelt, obgleich das französische Innenministerium dies fordert. Eine Schwächung der IT-Sicherheitsarchitektur durch Hintertüren wird von der europäischen IT-Sicherheitsagentur ENISA entschieden abgelehnt. Gleichwohl schließen die Minister Maßnahmen wie Staatstrojaner nicht aus. Der linke Abgeordnete im Bundestag Andrej Hunko hält beide Maßnahmen für einen "Alptraum für die Bürgerrechte" und fordert deshalb dazu eine breite gesellschaftliche Debatte.

Grenzüberschreitende Beweisführung

Im März 2018 soll die Kommission bereits über Fortschritte bei der Umsetzung dieser als "technischen Maßnahmen" titulierten Aufgabenerweiterungen von Europol berichten. Gesetzlich sind hierzu keine Regelungen geplant. Die Minister kündigten aber an, den grenzüberschreitenden Zugriff auf elektronische Beweise unter dem Stichwort E-Evidence rechtlich zu regeln. Damit wäre Europol befugt in grenzüberschreitenden Ermittlungen Beweise mit den nationalen Behörden auszutauschen. Ein Regelungsvorschlag soll bereits im Januar vorgelegt werden.

Hunko glaubt, dass davon vor allem Daten in der Cloud sowie der Zugang zu verschlüsselten Inhalten betroffen seien. Er verweist außerdem auf die deutschen Bemühungen für ein Zweites Zusatzprotokoll zum Übereinkommen über Computerkriminalität. Das Cybercrime-Komitee des Europarates soll hierzu bis 2019 einen Entwurf erarbeiten, der die Zusammenarbeit von Internetanbietern mit Behörden bei der Herausgabe elektronischer Daten regeln soll. Hunko: "Damit würde dann auch die Mitarbeit der Firmen bei der Entschlüsselung von Daten zur Pflicht."

Vorratsdatenspeicherung auch für das Internet der Dinge

Beim Thema Vorratsdatenspeicherung einigten sich die Ministern noch nicht, erteilten jedoch einen Arbeitsauftrag an eine Expertengruppe. Um den Vorgaben des Europäischen Gerichtshofs zu entsprechen sollen die Experten darüber diskutieren, wie der Anwendungsumfang eingeschränkt und der Zugriff auf die gespeicherten Daten beschränkt werden kann. Allerdings sollen sie sich auch damit befassen, wie die Vorratsdatenspeicherung mit der geplanten e-Privacy-Verordnung in Einklang gebracht werden kann. Damit ist eine Ausweitung des Anwendungsbereichs der Vorratsdatenspeicherung gemeint, da die Verordnung nicht nur Internet- und Telekommunikationsdienste, sondern auch das Internet der Dinge und vernetzte Fahrzeuge erfassen wird.

Im Zusammenhang mit dieser europäischen Diskussion ist auch der jüngste Vorstoß von Bundesinnenminister Thomas de Maizière einzuordnen, der eine Mitwirkung von Herstellern etwa beim Zugriff auf vernetzte Fahrzeuge fordert. Die Mitwirkung des deutschen Bundestags wäre insofern zunächst nicht notwendig. (Christiane Schulzki Haddouti) / (mho)


6.6.2018 - heise.de: Cyber-Sicherheitspolitik: Fünf Prozent Zero-Day-Lücken für staatliche Überwachung von Kriminellen


Quelle: https://www.heise.de/newsticker/meldung/Cyber-Sicherheitspolitik-Fuenf-Prozent-Zero-Day-Luecken-fuer-staatliche-Ueberwachung-von-Kriminellen-4072578.html

"Hält der Staat Schwachstellen zurück und nutzt er sie aus, um selbst zu hacken?", hieß eine Frage auf einer Konferenz in Berlin. Sie wurde auch beantwortet.

Welche Cyber-Waffen darf ein Staat einsetzen, ohne die Cyber-Sicherheit von Bürgern, Staat und Wirtschaft zu gefährden. Wie sieht ein staatliches Schwachstellenmanagement aus? Das waren Fragen, die am Mittwoch in Berlin auf einer Tagung der Bundesakademie für Sicherheitspolitik und der Stiftung Neue Verantwortung in Berlin diskutiert wurden.

"Hält der Staat Schwachstellen zurück und nutzt er sie aus, um selbst zu hacken?", fragte Karl-Heinz Kamp, Präsident der Bundesakademie für Sicherheitspolitik, gleich zu Beginn der Tagung. Die Antwort gab Andreas Könen, Abteilungsleiter Cyber- und IT-Sicherheit im Bundesinnenministerium: "Heute werden keine Schwachstellen genutzt, weil es den Entwicklungs-/Beschaffungs-Prozess noch nicht gibt. Diesen Prozess haben wir erst jetzt in Gang gesetzt", erklärte Könen, um gleich weiter einzuschränken: "Zero-Day-Lücken sind höchstens 5 Prozent des 'Enabling Prozesses' der Sicherheitsbehörden." Gleichwohl verteidigte Könen den Einsatz von Zero-Day-Lücken. "Wogegen wir kämpfen, sind schlimme Gegner, siehe Kinderpornografie. Wir haben die moralische Verantwortung, alles einzusetzen."

Ungelöstes Problem Messenger

Insgesamt hielt Könen ein engagiertes Plädoyer für digitale "Türöffner", die den Zugriff auf IT-Systeme von Kriminellen nach den Vorgaben der Quellen-TKÜ und der Online-Durchsuchung ermöglichen. Sie seien dank der standardisierten Leistungsbeschreibung genormt und kontrollierbar sowie zudem der starken Kontrolle der Parlamente und der G10-Komission unterworfen.

Lucie Krahulcova von der Bürgerrechtsorganisation Access Now gab zu Bedenken, dass es eine eigene Industrie für Überwachungsprodukte auch in Europa gibt. Wenigstens die EU-Staaten müssten durch Exportverbote verhindern, dass solche Produkte in Diktaturen gegen die eigenen Bürger eingesetzt werden.

In der abschließenden Diskussion aller Teilnehmer begrüßte wiederum Könen den Beginn einer offenen Schwachstellendiskussion, durch die ein "guter Prozess" in Deutschland erreicht werden könnte. "Wir brauchen noch eine Diskussion des Telemediengesetzes, vor allem gegenüber Messenger-Diensten, da müssen wir eine Lösung finden. Wir brauchen da keine Backdoors, aber wir müssen über die Verantwortung der Telekommunikations-Dienstleister reden, sonst haben wir ein riesiges Cybersicherheitsproblem." (Detlef Borchers)


13.5.2019 - Antwort der Bundesregierung zum ZITiS-Arbeitsprogramm


Frage des Abgeordneten Manuel Höferlin (FDP):

Welche Projekte enthält das von der Zentralen Stelle für Informationstechnik im Sicherheitsbereich gemeinsam mit dem Bundeskriminalamt, der Bundespolizei und dem Bundesamt für Verfassungsschutz erstellte Jahresarbeitsprogramm für das Jahr 2019 und, falls bereits erarbeitet, das für das Jahr 2020?

Antwort des Parlamentarischen Staatssekretärs Dr. Günter Krings vom 9. Mai 2019:

Das Jahresarbeitsprogramm 2019 der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) umfasst Projekte aus den drei im Errichtungserlass genannten Aufgabengebieten Forschung, Entwicklung und Unterstützungs- und Beratungsleistungen. In den Projekten befasst sich die ZITiS mit den gemeldeten Bedarfen der Bedarfsträger wie dem Aufbau einer Wissensplattform, Forschungs- und Entwicklungsprojekten in der Digitalen Forensik (u. a. Auswertung von Smartphones), der Telekommunikationsüberwachung (u. a. Verbesserung des internationalen Datenaustauschs auf Grundlage der Europäischen Ermittlungsanordnung und der Auswertung von IP-Daten), der Kryptoanalyse (u. a. Passwortsuche) und Big Data (u. a. Aufbau und Betrieb eines Hochleistungsrechners).

Eine weiterführende Beantwortung der Frage würde einen vertieften und umfassenden Einblick in bestehende informationstechnische Fähigkeiten bei den polizeilichen und nachrichtendienstlichen Bedarfsträgern geben. Die Informationen betreffen spezifische polizeiliche wie nachrichtendienstliche Methoden und Werkzeuge und können deshalb nicht offengelegt werden. Durch das Offenlegen der Methoden, Werkzeuge und informationstechnische Fähigkeiten der Bedarfsträger gegenüber Stellen außerhalb würden spezifische Informationen zur Tätigkeit, insbesondere zur Methodik und den konkreten technischen Fähigkeiten der Bedarfsträger einem nicht eingrenzbaren Personenkreis – auch außerhalb der Bundesrepublik Deutschland – zugänglich. Aus ihrem Bekanntwerden könnten Rückschlüsse auf deren Fähigkeiten gezogen werden und diese Möglichkeiten polizeilicher wie nachrichtendienstlicher Ermittlungsarbeit in der Folge entfallen. Eine Freigabe dieser Inhalte könnte die Aufklärungsaktivitäten der Bedarfsträger gefährden. Dies würde die wirksame Erfüllung des gesetzlichen Auftrags der Behörden gefährden und lässt eine erhebliche Beeinträchtigung oder Gefährdung der inneren und äußeren Sicherheit der Bundesrepublik Deutschland befürchten, mithin das Staatswohl beeinträchtigen und damit für die Interessen der Bundesrepublik Deutschland nachteilig sein.

Quelle: http://dipbt.bundestag.de/doc/btd/19/103/1910303.pdf


Bearbeiten - Versionen - Druckansicht - Aktuelle Änderungen - Suchen
Zuletzt geändert am 22.05.2019 22:33 Uhr