Als Ergebnis von zwei Presseanfragen (1 / 2) an das Bundesinnenministerium (BMI) zur Gründung der Bundeshackerei ZITiS, deren Beantwortung sich aus unbestimmten Gründen leider ein wenig hinzog, gibt es ein paar zwar nicht sensationelle, aber im Detail vielleicht interessante neue Erkenntnisse, die wir hiermit stichpunktartig aufführen und teilen möchten:
- Die ZITiS wurde aufgrund eines Errichtungserlasses vom 6.4.2017 ins Leben gerufen. Dieser Erlass ist ca. eine Seite lang und kann leider nur gegen Gebühren abgerufen werden. Auch auf explizite Nachfrage war das BMI nicht bereit, uns diesen Text kostenfrei zugänglich zu machen.
- Der Beirat der ZITiS soll – so die Ankündigung im Rahmen der offiziellen Eröffnung der Bundes-Hack-Anstalt in München vom 14.9.2017 – dafür sorgen, dass die ZITiS nicht ins Leere arbeitet sondern sich konkret an Bedürfnissen und Nöten der von Ihnen unterstützten Stellen orientiert.
- Der Beirat wird durch die Präsidenten der Bundespolizei, des Bundeskriminalamts, des Inlandsgeheimdienstes (Bundesamt für Verfassungschutz) und der ZITiS selber bzw. durch von diesen Präsidenten bestimmte Vertreter gebildet.
- Der Beirat soll regulär einmal pro Jahr zusammentreffen und hat das erste mal am 30.8.2017 konstituierend getagt. An diesem ersten Treffen hat auch noch jemand aus dem Bundesinnenministerium teilgenommen. (Wie der Beirat bei diesen Treffen mit großem Zeitabstand das Ideal der engen Begleitung der ZITiS und dessen optimaler Arbeitsausrichtung ermöglichen soll, ist uns dabei jedoch nicht verständlich.)
- Inwiefern das Trennungsgebot bei den gemeinsamen Treffen des Beirats eingehalten werden soll, kann uns das BMI nicht schlüssig erklären.
- Eine Zusammenarbeit von ZITiS mit dem militärischen Geheimdienst (MAD) oder dem Auslandsgeheimdienst (BND) ist nach den Bedingungen des aktuellen Errichtungserlasses nicht möglich. So eine Ausweitung wäre aber durch eine Änderung oder Erweiterung des Erlasses möglich und so eine Mutation der ZITiS ist durch einfache Anordnung des Bundesinnenministers jederzeit machbar.
- Gleiches gilt sicherlich auch für eine internationale Zusammen- oder Zuarbeit, wie sie jüngst erst offenbar bzw. denkbar wurde. Diese Befürchtung hatten wir bereits in unserer Berichterstattung zur ZITiS-Eröffnung angedeutet, denn in der Eröffnungsrede des Bundesinnenministers klang das in einem kurzen Nebenwort an, auch wenn das in der sonstigen Berichterstattung dazu bislang nie aufgetaucht ist.
- In der eben genannten Veröffentlichung bei netzpolitik.org klingt weiter an, dass sich die „Sicherheitsbehörden“ Deutschlands und Frankreichs nicht einig darüber sind, welchen staatlichen Hebel man in der Praxis des staatlichen Hackens privater Rechner ansetzen wird: Entweder via Staatstrojaner (z.B. mittels der Ausnutzung von Zero-Day-Exploits oder Fake-Mail-Attacken, beides die Favoriten deutscher Ämter) oder mittels des Einbaus von Hintertüren in Soft- oder Hardware oder der Nutzung von Generalschlüsseln (so wünschen es sich die französischen staatlichen Stellen). Letzteres hatte der Bundesinnenminister auf der ZITiS-Eröffnungsrede noch kategorisch ausgeschlossen.
- Auch zur Frage der etwaigen Nutzung von Zero-Day-Exploits durch BKA, Bundespolizei oder Inlandsgeheimdienst mit Unterstützung durch ZITiS, um deren klare Beantwortung sich der Bundesinnenminister am 14.9.2017 wortreich herumgewunden hatte, ist inzwischen Neues bekannt geworden: Einen Bericht der ZEIT vom 9.10.2017 zufolge gibt es hierzu einen behördeninternen Streit zwischen dem BND und dem MAD als Befürworter der heimlichen Nutzung von IT-System-Schwächen auf der einen Seite und dem Auswärtigen Amt auf dern anderen.
- ZITiS hat derzeit keine*n eigene*n Datenschutzbeauftragte*n. Dieser Job wird im Moment „durch eine Beschäftigte“ des Inlandsgeheimdienstes (!) mit-erledigt, bis die ZITiS „entsprechendes Personal“ gewonnen habe.
- Der Frage, warum man die Bundesdatenschutzbeauftragte nicht bei der Entstehung und Ordnung der ZITiS eingebunden bzw. diese noch nicht einmal darüber informiert hat, dieser Frage weicht das BMI nachhaltig aus.
- Die neue Campus-Suite auf dem Gelände der kasernenhaften Bundeswehr-Universität München, in dem ZITiS gemeinsam mit dem militärischen Cyberprojekt CODE einziehen wird, wird – anders als bislang berichtet – erst 2024 planmäßig fertiggestellt.
- Bis dahin wird ZITiS in der Zamdorfer Straße 88 in München untergebracht sein, wie schon berichtet mit einem oder mehreren Büros für das Bundeswehr-Cyber-Projekt CODE im Gebäude.
- Wie hoch die Miete für das Gebäude in der Zamdorfer Straße sein wird und wie hoch die bisherigen oder zukünftigen Umbau- oder Ertüchtigungskosten dort sein werden, darüber gibt es merkwürdigerweise angeblich noch gar keine Festlegungen, das sei „Gegenstand laufender Verhandlungen“. In diesem Punkt stellt sich das BMI dumm und verweist auf die Bundesanstalt für Immobilienaufgaben (BImA). Man ist also in ein Gebäude eingezogen ohne zu wissen, wie teuer die Immobilie und deren Betrieb ist?
- Als Randnotiz zum letzten Punkt: Das Gebäude wurde im Dezember 2016 von dem Fürther Immobilien-Unternehmen P&P aufgekauft, das sich bislang nur dem Trend der „Micro-Appartments“ verschrieben hat. Der Kauf dieser speziellen Gewerbeimmobilie nur wenige Monate vor der (offiziellen) Interessenbekundung durch den Bund (am 7.4.2017) erscheint sehr merkwürdig.
- Mit ZITiS kann man nicht Ende-zu-Ende-verschlüsselt per E-Mail kommunizieren, bzw. man bietet derzeit nur die ungar verschlüsselte Kontaktaufnahme via DE-Mail-Adresse an. PGP werde erst später installiert.