Am letzten Donnerstag nachmittag wurde in München die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“, kurz „ZITiS“ mit 2wöchiger Verspätung offiziell durch Innenminister de Maiziere eröffnet. Wir haben an der (kurzen) Pressekonferenz zu diesem Anlaß teilgenommen.
Anstelle ausführlich über die Pressekonferenz zu berichten, möchten wir für das Grobe auf den im wesentlichen gut zusammenfassenden heise-Beitrag zu diesem Anlass (sowie auf unsere Bilder von der Veranstaltung – alle unter CC-BY-SA) verweisen und uns stattdessen auf einige Details konzentrieren und mit über die sonstige Berichterstattung hinausgehenden Bemerkungen und Informationen der Diskussion um die ZITiS Vorschub leisten.
- Zur Entstehungsgeschichte von ZITiS
- Das neue ZITiS-Gebäude in der Zamdorfer Straße 88 in München
- Vom Zusammenwachsen von Militär und Polizei
- Dokumentation der Abkehr des Bundesinenministeriums vom Grundsatz der Aufdeckung von IT-Sicherheitslücken
- Vom Aussitzen heikler Pressefragen bzw. die Verweigerung einer öffentlichen kritischen Debatte zum staatlichen Umgang mit Zero-Day-Exploits
- Zum Streit zwischen Bundesinnenministerium und Bundesdatenschutzbeauftragter
- ZITiS-Neusprech: „Hacken“ heißt nun „Forschen“
- Bislang offen gebliebene Fragen
Im Einzelnen:
Zur Entstehungsgeschichte von ZITiS
23.6.2016 – Mehrere Medien berichten erstmals über das ZITiS-Vorhaben.
15.7.2016 – Die BMI-Pressestelle antwortet mit Verzögerung auf unsere Anfrage vom 29.6.2016 äußerst verhalten, möchte noch nicht einmal den Namen bestätigen. Zumindest schriftlich möchte man uns so gut wie gar nichts mitteilen …
20.1.2017 – Das BMI macht per Pressemitteilung Werbung für die ZITiS.
24.1.2017 – Auf Nachfrage von uns gibt das BMI bekannt, dass die ZITiS zusammen mit militärischen Hackern in der Bundeswehr-Universität München eingerichtet werden soll.
6.4.2017 – BMI-Erlass zur Einrichtung der ZITiS. (Darüber wurde allerdings erst nachträglich im September 2017 informiert.)
30.8.2017 – Erste ZITiS-Beirats-Sitzung.
14.9.2017 – Offizielle (nachträgliche) Eröffnung der ZITiS in dem noch leerstehenden Gebäude der Zamdorfer Straße 88 in München.
Zum Chef/Präsidenten der ZITiS wurde der zuvor fast 25 Jahre beim deutschen Auslands-Geheimdienst (BND) arbeitende Wilfried Karl. Zuletzt war Herr Karl Leiter dessen Technik-Abteilung und in dieser Funktion mehrfach als Zeuge vor den NSA-Untersuchungsausschuss geladen worden. Dort hatte er 2014 die mehr als fragwürdige Ansicht vertreten, dass im Ausland erfasste Metadaten nicht personenbeziehbar seien.
Auf der Pressekonferenz sagte Herr Karl:
„Ich musste nicht lange überlegen, als ich gefragt wurde, die Leitung von ZITiS zu übernehmen.“
Das neue ZITiS-Gebäude in der Zamdorfer Straße 88 in München
- Direkt an der A94 in einem Industriegebiet gelegen, nur ca. 300m von der Ausfahrt München-Zamdorf und 7km Luftlinie von der Bundeswehr-Universität entfernt.
- Ehemaliges Gebäude des eng mit staatlichen Behörden zusammen arbeitenden Unternehmens Giesecke & Devrient.
- Das Gebäude wurde im Dezember 2016 – also kurz bevor allgemein öffentlich wurde, dass die ZITiS in München eingerichtet werden würde – vom Fürther Immobilien-Unternehmen P&P aufgekauft. Das Unternehmen ist ansonsten eigentlich aus dem Wohnungsbau-Sektor bekannt.
- Auswahlkritieren für die Immobilie waren angeblich bereits vorhandene Gebäude-Absicherungs-Anlagen (z.B. Videoüberwachung).
- Randnotiz: Rückseitig grenzt das Grundstück an einen großen Vodafone-Komplex samt großem Funkmasten … und inklusive der Münchner Niederlassung der Verizon Deutschland GmbH. (!)
- Das Gebäude ist 5stöckig, hat einen U-förmigen Grundriss, in dessen Mitte sich im Erdgeschoss das so genannte lichtige „Atrium“ befindet, in dem auch die Pressekonferenz stattgefunden hat.
- Je Geschoß finden schätzungsweise 15-20 Büroräume Platz, je nach Bemessung und Aufteilung der Räume.
- Im fünften Stock soll mindestens ein Büro mit Vertretern des militärischen „Cyber-Forschungszentrums CODE“ eingerichtet werden. (!)
- Zum Zeitpunkt der Pressekonferenz war das Gebäude im Prinzip noch unbelebt, Hinweisschilder in den Gängen vom Eingangsbereich zum Atrium sowie zu den Toiletten waren als einfache A4-Ausdrücke in Prospekthüllen gestaltet. Allerdings ist das Gebäude außen und im Eingangbereich mit einer Menge neuer ZITiS-Logos versehen und beschildert worden.
- Nachdem die ZITiS seit ihrer formellen Begründung bislang übergangsweise Räume in der Bundeswehr-Universität zur Verfügung gestellt bekommen hat, wird man von an für ca. fünf Jahre lang das Gebäude der Zamdorfer Straße als ZITiS-Liegenschaft betreiben. Dann erfolgt der vollständige und endgültige Umzug zur Militär-Uni in München-Neubibach – ein Campus, der von außen wie eine Militärkaserne abgezäunt und abgeschirmt ist.
- Anfang dieses Jahres war geplant, die ZITiS mit 120 Personen zu besetzen, bis 2022 sollen es 400 Menschen sein, die in der „Bundeshackerei“ arbeiten. Im Juni 2017 hatte die Behörde genau acht Mitarbeiter, am vergangenen Donnerstag war von 17 ZITiS-Beschäftigten die Rede.
- Dass ZITiS in München angesiedelt wurde, ist kein Zufall, sondern wohl auch sehr dem „Engagement“ einiger CSU-Politiker zu verdanken (siehe auch unsere Nachfrage Nr. 6 weiter unten).
- Der Bundesinnenminister sprach in seinem Pressestatement zur ZITiS-Eröffnung am letzten Donnerstag äußerst warmherzig von einer Reihe von Stellen und Unternehmen und dankte diesen dafür, dass ZITiS nun in München eine Heimat gefunden hätte. Er zählte namentlich insbesondere auf:
- Die Militär-Universität München
- Fraunhofer-Institut Garching bei München
- Max-Planck-Gesellschaft München
- Siemens
- Rohde & Schwarz
- IBM
- Man kann also davon ausgehen, dass diese Unternehmen ein eigenes Interesse an der Arbeit von ZITiS haben.
Vom Zusammenwachsen von Militär und Polizei
Verfolgt man die Öffentlichkeitsarbeit zu ZITiS seit deren Beginn (Juni 2016), über die erste BMI-Pressemitteilung hinweg (Januar 2017) bis hin zur ZITiS-Pressekonferenz (September 2017) hin, so kann man leicht erkennen, dass immer wieder die gleichen Textbausteine zur Beschreibung der Arbeit der neuen Stelle Verwendung finden. Das geht sogar soweit, dass Herr de Maiziere auf der Pressekonferenz bei der (Nicht-)Beantwortung von Fragen auf diese Texte (auswendig!) zurückgriff, selbst wenn diese die Fragen der Presse gar nicht beantworten konnten.
Zur spannenden Frage, wie man das Trennungsgebot zwischen Polizei- und Geheimdienstarbeit bewahren kann, wenn ZITiS doch für beide Seiten arbeitet, ja mit diesen an einem gemeinsamen Tisch sitzt, heißt es in den ZITiS-Standard-Texten uniform:
„Die Befugnisse der Sicherheitsbehörden verbleiben bei diesen Behörden und werden durch die Einrichtung der zentralen Stelle nicht berührt oder ausgeweitet. ZITiS selbst erhält keine Eingriffsbefugnisse. (…) ZITiS wird Beratungs- sowie Unterstützungsaufgaben übernehmen und sich mit der Erforschung und Entwicklung von Methoden, Produkten / Tools und übergreifenden Strategien für die Sicherheitsbehörden beschäftigen. Die Beschaffung der Produkte und Tools und vor allem deren Einsatz und Betrieb erfolgt in den Sicherheitsbehörden.“
Ein Journalist fragte auf der Pressekonferenz dazu:
„Wie wollen Sie sicherstellen, dass durch solche Projekte wie ZITiS, das eigentliche Trennungsgebot zwischen polizeilichen Aufgaben und geheimdienstlicher nicht eigentlich begraben und umgangen sind?“
Herr de Maiziere antwortete:
„Ja das wird dadurch gewährleistet, dass die ZITiS-Stelle nur entwickelt und forscht, diese Ergebnisse dann den Sicherheitsbehörden zur Verfügung stellt, etwa der BP, dem BKA oder dem Bundesverfassungsschutz, und die dann die Anwendung im Rahmen ihrer rechtlichen Möglichkeiten und Rechtsordnung nutzt. Das bedeutet, es kann sein, dass ein Forschungsergebnis zur Verfügung steht, dass das BKA nutzen darf, nicht aber das BfV oder umgekehrt. Oder dass es zwar bestimmte Fähigkeiten hat, dieses Produkt, das entwickelt wurde, aber diese Fähigkeiten von dem BfV nicht eingesetzt werden darf, weil es den gesetzlichen Grundlagen nicht entspricht. Das ist etwas, das kennen wir sonst auch. Jede Forschungseinrichtung privater oder öffentlicher Art kommt zu Forschungsergebnissen und die Anwendung richtet sich dann nach Rechtsregeln des Anwenders. Das Ergebnis ist geradezu eine Erleichterung für die jeweiligen Behörden, dass sie von der Frage der Last, dürfen wir so etwas entwickeln, von dem wir noch gar nicht wissen, ob wir so etwas überhaupt einsetzen dürfen oder nur ein Teil anwenden dürfen aber sofort die Frage im Raume steht, wieso forscht ihr danach, wenn ihr das gar nicht anwenden dürft und dadurch das Konzept erst zentral gemacht wird, ist diese Trennung, die Einhaltung der rechtlichen Regelungen für den Anwender sogar noch besser möglich als vorher.“
Der Vergleich, den Herr de Maiziere hier zieht, hinkt.
Zum einen bleibt die Frage wie vorher schon angedeutet ungeklärt, inwiefern ZITiS-Mitarbeiter in der Alltagspraxis nicht doch aus nachvollziehbaren Gründen doch in die praktische Arbeit der Polizeien und Geheimdienste eingebunden und mit konkreten Tatsachen aus deren Tätigsein konfrontiert werden.
Zum anderen arbeitet ZITiS nicht wie eine frei forschende Stelle. Der ZITiS-Beirat setzt sich aus Mitarbeitern der ZITiS selber, des BKA, der Bundespolizei und des Inland-Geheimdienstes zusammen. Dessen Tagungen sollen das konkrete Arbeitsprogramm der ZITiS bestimmen und damit für möglichst praxisbezogene und effektive Arbeit der neuen Behörde sorgen. So weit, so gut, aber mit Blick auf die Praxis muss davon ausgegangen werden, dass wenigstens in diesen Beirats-Sitzungen, wenn nicht sogar darüber hinaus, ein Informationsfluß und -austausch entsteht, der dem Trennungsgebot zuwider läuft.
Dokumentation der Abkehr des Bundesinenministeriums vom Grundsatz der Aufdeckung von IT-Sicherheitslücken
15.7.2016 – Antwort der BMI-Pressestelle auf Nachfrage von uns:
„Ankauf und Ausschöpfung von Zero-Day-Exploits sind nicht Teil der hiesigen Planungen.“
12.9.2017 – Der frische Chef der ZITiS gegenüber heise.de:
„Es gibt keinen Ankauf von 0-Days auf Grau- oder Schwarzmärkten. Es gibt keine Zusammenarbeit mit unseriösen Firmen.“
14.9.2017 – Bundesinnenminister de Maiziere im Rahmen der ZITiS-Eröffnungs-Pressekonferenz:
Obwohl Herr de Maiziere insgesamt drei mal ausdrücklich dazu gefragt wurde, wie die „Sicherheitsbehörden“ (und die ZITiS als Teil davon) mit Sicherheitslücken umgehen werden, die bislang nicht öffentlich bekannt sind (sog. Zero-Day-Exploits), hat er alle Fragen nicht beantwortet. Stattdessen gab es viele zeitlich umfangreich ausgeführte Schilderungen zum Umgang mit bereits bekannten Sicherheitslücken, Behauptungen, dass man in Deutschland die Verschlüsselung von Kommunikation nicht generell knacken wolle, ja dass sogar (ebenfalls eine bereits öfters ausgeführte Floskel) „Deutschland zum Verschlüsselungsland Nr. 1“ werden solle.
Wir selber hatten auf der Pressekonferenz gefragt, ob ZITiS Zero-Day-Exploits nutzen oder die Sicherheitsbehörden zur Nutzung solcher raten bzw. dabei technische Hilfestellung geben würden. Herr de Maiziere redete um den heißen Brei herum. Auf unsere kurze Nachfrage am Ende seiner Ausführungen dazu, dass also Exploits genutzt werden würden reagierte der Innenminister kurzangebunden mit: „Ich habe meine Antwort dazu gegeben.“
14.9.2017 – ZITiS-Chef Karl im Rahmen der ZITiS-Eröffnungs-Pressekonferenz:
„Man darf nicht den Fehler machen, alle Sicherheitslücken über einen Kamm zu scheren. Und was man auch nicht machen darf ist zu sagen, wenn ich alle Sicherheitslücken kenne, dann ist mein System sicher. (…) IT-Sicherheit muss weit darüber hinaus gehen.“
Herr Karl redet weiter recht abstrakt von der Frage der IT-System-Sicherheit, ohne aber auch nur mit einem Wort auf die Frage zum Umgang mit Zero-Day-Exploits einzugehen.
Zur Bewertung des Drumherumredens zu dieser Frage siehe dazu auch den nachfolgenden Punkt:
Vom Aussitzen heikler Pressefragen bzw. die Verweigerung einer öffentlichen kritischen Debatte zum staatlichen Umgang mit Zero-Day-Exploits
Die Pressekonferenz vom letzten Donnerstag dauerte insgesamt ziemlich genau 30 Minuten, von denen 15 Minuten für glattgeschliffene und inhaltlich wenig neu-informative Statements der Herren Karl und de Maiziere sowie von Frau Aigner verloren gingen.
Die verbleibenden 15 Minuten Zeit für Pressefragen gliederten sich dann inhaltlich wie folgt auf:
- Eine Frage zur Einhaltung des Trennungsgebots: 15 Sekunden Frage, 2 Minuten Antwort des Bundesinnenministers.
- Eine Frage zur aktuellen Frage des Kaspersky-Banns durch die US-Behörden: 15 Sekunden Frage, 30 Sekunden Antwort des Bundesinnenministers.
- Insgesamt drei Fragen (plus zwei Nachfragen) zum Umgang mit Zero-Day-Exploits: 90 Sekunden Fragen und Nachfragen, 9 Minuten zumeist inhaltlich nicht die Fragen betreffende Antworten des Bundesinnenministers und (ein wenig gehaltvoller) des ZITiS-Chefs.
- Schließlich noch 30 Sekunden Statement des Bundesinnenministers zum Streit mit der BfDI, ohne danach gefragt worden zu sein.
Anschließend ging es in einen neben dem Atrium hinter einer Glaswand befindlichen Büroraum, der – nach Angaben des ZITiS-Chefs Karl – nach den eigenen Wünschen musterhaft als typisches ZITiS-Arbeitsbüro eingerichtet worden sei. Außer ein paar leblos wirkenden Inneneinrichtungsgegenständen und zwei pauschal aufgestellten Rechnerarbeitsplätzen gab es dort aber nichts zu sehen. Die Zeit für diese „Präsentation“ wäre in der Beantwortung weiterer Fragen besser angelegt gewesen.
Die ganze Szenerie im Überblick betrachtend kann man nicht anders als den Eindruck gewinnen, dass wenigstens der Bundesinnenminister vor einer öffentlichen Debatte zu der Frage scheut, wie staatliche Behörden mit etwaigem Wissen exklusiver oder bislang zumindest noch nicht öffentlich gewordener IT-Sicherheitslücken umzugehen habe.
Dass diese Frage nicht mit wenigen Sätzen zu beantworten ist, liegt auf der Hand, wird aber auch gar nicht verlangt. Das Bundesinnenministerium verschließt sich allerdings jedem Ansatz einer öffentlichen Diskussion zu dieser Frage.
Warum sonst ging Herr de Maiziere trotz drei zu dieser Diskussion explizit anfragenden Journalisten (BR, freiheitsfoo, heise) inhaltlich überhaupt nicht auf die konkrete Problematik ein? Dass der Minister stattdessen viele lang bekannte Allgemeinplätze und Standardtexte zum besten gab (Audio-Mitschnitt zum Nachhören weiter unten) und sich inhaltlich mehrfach konkret zum Umgang mit bereits öffentlich gewordenen Sicherheitslücken äußerte kann nicht auf Dummheit oder technisches Unwissen entschuldigt werden. Ersteres scheidet von sich aus aus, bei fehlender Kompetenz zum Thema hätte Herr de Maiziere auf andere Stellen oder Personen verwiesen und sich einer Antwort ganz enthalten, wie er es sonst in solchen Fällen auch zurecht tut.
Die langatmigen, die wertvollen Minuten der knappen Pressekonferenz-Zeit und bezüglich der Fragestellung belanglosen Antworten von Herrn de Maiziere lassen sich nicht anders interpretieren, als dass politisches bzw. strategisches Kalkül der Grund für diesen Umgang mit den kritischen Fragen ist: Die Bundesregierung möchte eine öffentliche Diskussion vermeiden, in der der intransparente Umgang staatlicher „Sicherheitsbehörden“ mit IT-Sicherheitslücken be- und verhandelt wird.
Wenn Polizeien, Geheimdienste und Behörden wie die neue ZITiS beispielsweise mit Zero-Day-Exploits hantieren und diese nicht an das BSI bzw. die Öffentlichkeit bekanntgeben, dann gehen sie damit ein großes Risiko mit möglicherweise gewaltigen Folgen und Schäden für Privatpersonen wie die Gesellschaft insgesamt ein. Wie beim Eingehen dieses Risikos die Waagschale zwischen (angeblichen) Sicherheitsbelangen staatlicher Behörden versus der tatsächlichen IT-Sicherheit zahlreicher Menschen austariert wird, dazu möchte sich die Bundesregierung nicht in die Karten schauen lassen: Eine wichtige gesellschaftspolitische Frage soll unter den Tisch gekehrt werden.
Wir haben das Frage- und Antwortspiel zu diesem Themenkomplex mitgeschnitten und stellen die gut 10minütige Aufnahme – die leider von sehr schlechter Tonqualität ist – hier zum Nachhören zur Verfügung. So kann sich jede*r Interessierte*r selber eine Meinung bilden:
Zum Streit zwischen Bundesinnenministerium und Bundesdatenschutzbeauftragter
Ohne in der kurzen Pressefragezeit darauf angesprochen worden zu sein, äußerte sich Herr de Maiziere dazu von ganz alleine:
„Die Datenschutzbeauftragte hat heute der Presse gesagt, sie sei nicht beteiligt worden. Bei der Errichtung einer solchen Forschungsstelle ist die Datenschutzbeauftragte gar nicht zu beteiligen, aber ich möchte sehr gerne feststellen und mitteilen, dass die Datenschutzbeauftragte herzlich eingeladen ist, hier her zu kommen, ihre Kontrollbefugnisse wahrzunehmen und sich darüber zu unterrichten, was hier stattfindet. Das kann jederzeit geschehen.“
Ob man darin einen Widerspruch erkennen kann, dass die BfDI nach Ansicht des Innenministers einerseits gar nicht bei der Errichtung (und Strukturierung!) der ZITiS gar nicht zu beteiligen sei, aber dennoch Kontrollbefugnisse habe, darüber mag man diskutieren können.
Spannender ist aber der Punkt, dass die ZITiS in diesem Zusammenhang und auch sonst immer wieder auf der Pressekonferenz ausdrücklich und alleinig als „Forschungsstelle“ bezeichnet worden ist.
Das führt zu dem nächsten Punkt:
ZITiS-Neusprech: „Hacken“ heißt nun „Forschen“
Was soll die ZITiS tun?
Nach eigenen Angaben des Ministeriums gibt es fünf Aufgabengebiete:
- Telekommunikationsüberwachung
- Digitale Forensik
- Kryptoanalyse (Dekryptierung)
- Massendatenauswertung/Big-Data
- Behandlung technischer Fragen von Kriminalitätsbekämpfung, Gefahrenabwehr und Spionageabwehr
Die Unterscheidung der Arbeitsgebiete Digitale Forensik und Big Data lässt sich unter Berücksichtigung der BMI-eigenen Ausführungen dazu nicht immer klar treffen. Doch zumindest in der IT-Forensik geht es nicht ohne Hacker-Kenntnisse, ebenso hängen Kryptoanalyse und Hackerpraxis oft eng zusammen und vor allem die TK-Überwachung ist nichts anderes als das, was gemeinhin (u.a.) unter „Hacken“ verstanden wird.
Nebenbei angemerkt: Zum letzten Aufgabenfeld „Behandlung technischer Fragen“ lässt sich die auf der Pressekonferenz ausgehändigte 7seitige Informationsbroschüre gar nicht aus. Was im Detail darunter verstanden wird, lässt das Ministerium also offen und sich selber damit recht freie Hand.
Zusammengefasst kann man also sagen, dass vieles, wenn nicht das meiste, was in der ZITiS behandelt wird, unter dem (zugegeben breiter auslegbaren) Begriff des Hackens zusammengefasst werden kann. Ausdrücklich verwehrt sich das BMI jedoch gegen die Begrifflichkeit des „Bundeshackers“, wie er wohl in der bisherigen öffentlichen Berichterstattung hier und da schon einmal aufgetaucht ist.
Stattdessen spricht man von einer „Forschungseinrichtung“. Also „Forschen“ statt „Hacken“ – ein klassischer Fall von Neusprech.
Wir möchten abschließend noch darauf hinweisen, dass das BMI angedeutet hat, die ZITIiS auch einer Zusammenarbeit mit „internationalen oder EU-Partnern“ zu öffnen. Wohl nicht ganz ohne Grund hatte man der Presse im ZITiS-Atrium eine mit der Deutschlandfahne gekreuzte EU-Flagge präsentiert. Nachfragen zu dieser Perspektive hat es aber nicht gegeben.
Bislang offen gebliebene Fragen
Auch nach der Pressekonferenz bleiben eine Menge Fragen offen oder gar unbeantwortet. Wir haben dem BMI zeitgleich mit der Veröffentlichung dieses Beitrags eine Presseanfrage mit den folgenden Fragen zugesendet und sind gespannt auf die Rückmeldung aus Berlin:
1.) In der BMI-eigenen Darstellung der Arbeit von ZITiS heißt es einerseits, dass deren Mitarbeiter keinerlei „Eingriffsbefugnisse“ hätten, zugleich aber „Unterstützungsaufgaben“ für BKA, Bundespolizei und Inlands-Geheimdienst erledigen sollen. Wie ist das eine vom anderen zu trennen?
2.) Wie wird der Sorge Rechnung getragen, dass Informationen, die bspw. via Beirat-Sitzungen zwischen den Polizeien des Bundes und dem Inlandsgeheimdiensten ausgetauscht werden, das Trennungsgebot verletzen?
3.) Welche Behörden sind namentlich direkt oder indirekt im ZITiS-Beirat vertreten und in je welcher Anzahl von Personen?
4.) Welche Behörden haben konkret an der konstituierenden ZITiS-Beirats-Sitzung (vom 30.8.2017?) teilgenommen?
5.) Ist es denkbar und möglich, dass auch militärischer Geheimdienst (MAD) und Auslandsgeheimdienst (BND) von ZITiS profitieren können oder mit der ZITiS zusammenarbeiten?
6.) Der CSU-Bundestagsabgeordnete Florian Hahn hat eigenen Angaben zufolge die Ansiedlung der ZITiS in München „vorangetrieben“. Herr Hahn ist (oder war bis mindestens 2017) zugleich Aufsichtsratmitglied der IABG GmbH, die ebenfalls in München ihren Hauptsitz hat und mindestens mit dem BKA bereits Geschäftsbeziehungen in Sachen BigData-Analytik führt. Wird es eine Zusammenarbeit der ZITiS mit der IABG geben oder, falls das noch nicht absehbar ist, ist eine solche aus Gründen möglicher Interessenkonflikte ausgeschlossen?
7.) Wann ist die Entscheidung gefallen, das Gebäude in der Zamdorfer Straße 88 als zwischenzeitliche Residenz der ZITiS auszuwählen und welche Stelle war mit der Immobiliensuche und -auswahl betraut?
8.) Welche weiteren Anreize neben außerordentlichen Sabbaticals werden angeboten, um IT-Fachkräfte in die ZITiS erfolgreich anzuwerben und welche Erfahrungen gibt es bislang mit diesen Anwerbeanreizen?
9.) Gibt es derzeit eine(n) eigene(n) Datenschutzbeauftragte(n) innerhalb der ZITiS und falls ja, wer erfüllt diese Aufgabe und handelt es sich dabei um eine Voll- oder Teilzeitstelle?
10.) Wie lautet der Erlass des BMI zu Errichtung der ZITiS vom 6.4.2017 im Wortlaut oder wo kann dieser nachgelesen werden?
11.) Wie ist der Stand der Um- und Neubauten der ZITiS in der Bundeswehr-Universität gediehen bzw. wann ist – aus heutiger Sicht – mit dem Umzug der ZITiS auf dieses Gelände zu rechnen?
12.) Stimmt es, dass das Gebäude der Zamdorfer Straße 88 von dem Fürther Unternehmen P&P angemietet worden ist und falls ja, wie hoch sind die Kosten für Miete und im Rahmen des ZITiS-Einzugs notwendig gewordenen/werdenden Umbaumaßnahmen?
13.) Ist diese Grundlage für die Arbeit und Organisation der ZITiS änderbar und falls ja, welche Person oder welche Stelle könnte eine solche Änderung verfügen?
14.) Nach Angaben des Innenministers ist eine Beteiligung der BfDI nicht notwendig, weil es sich bei der ZITiS um eine „Forschungseinrichtung“ handelt. Ist dieses die offizielle Begründung für die Nicht-Einbeziehung der BfDI in Einrichtung und Aufbau der ZITiS oder gibt es eine genauere, formellere für diesen Umstand?
15.) Ist die ZITiS eine reine Forschungseinrichtung und an welchen Punkten macht das BMI diese Klassifikation/Einstufung fest?
16.) Ist es möglich, mit der ZITiS PGP-verschlüsselt E-Mail-Kontakt aufzunehmen?
