Die „Hackerbehörde“ ZITiS besitzt einen teuren Hochleistungsrechner, mit dem Passwörter geknackt werden sollen. Wie erfolgreich das ist, ist allerdings völlig unklar. Die Grünen verlangen Aufklärung.

Von Florian Flade, WDR

Sie konnten das Handy nicht entsperren; die Berliner Ermittler hatten es im Februar 2018 bei einem Rechtsextremisten beschlagnahmt, der im Verdacht steht, für eine Brandserie im Bezirk Neukölln verantwortlich zu sein. Groß war die Hoffnung, auf dem Mobiltelefon Beweise für die Taten zu finden. Die Fachleute im Landeskriminalamt (LKA) scheiterten jedoch am PIN und schicken das Mobiltelefon deshalb zum Bundeskriminalamt (BKA). Aber auch dort konnte man die Verschlüsselung nicht knacken. Und auch eine Firma, die sich auf Entschlüsselung spezialisiert hat, scheiterte letztlich.

Dann aber kam den Berliner LKA-Beamten eine Idee. Sie baten die Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) in München um Hilfe. Die „Hackerbehörde“ wurde 2017 geschaffen, um Polizei und Geheimdienste bei technische Herausforderungen zu unterstützen, IT-Werkzeuge und Methoden zu entwickeln und zu erforschen. Inzwischen hat die Zentralstelle 200 Mitarbeiter und ein Jahresbudget von 66 Millionen Euro. Sie verfügt über einen Hochleistungsrechner, der für viel Geld angeschafft wurde, um Verschlüsselungen zu brechen.

„Keinerlei Ermittlungsbefugnisse“

Der Grünen-Bundestagsabgeordnete Konstantin von Notz hat ZITiS immer wieder kritisiert. Die Zentralstelle, die dem Bundesinnenministerium untersteht, sei eine „Black Box“, so von Notz. Woran ZITiS genau arbeite, wisse das Parlament nicht. Von der Bundesregierung wollte der Grünen-Fraktionsvize nun wissen, welchen Behörden ZITiS denn mit dem Supercomputer geholfen hat – und auf welcher rechtlichen Grundlage.

Denn laut dem ministeriellen Errichtungserlass hat ZITiS „keinerlei Ermittlungsbefugnisse“ und ist auch „nicht operativ tätig“ – die Technikexperten dürfen also nicht selbst selbst ermitteln und Asservate auswerten. Außerdem soll ZITiS die Sicherheitsbehörden des Bundes unterstützen, die Bedarfsträger sind das Bundeskriminalamt (BKA), die Bundespolizei und das Bundesamt für Verfassungsschutz (BfV) – und eben nicht die Landesbehörden wie das Berliner LKA.

ZITiS dürfe durchaus für Landesbehörden tätig werden, teilt die Bundesregierung auf die Frage des Grünen-Digitalpolitikers mit. Und zwar in Ausnahmefällen, als „behördlicher Verwaltungshelfer“. Die Hackerbehörde werde dabei in Amtshilfe tätig und erhalte „im Normalfall (…) keine Kenntnis verfahrensbezogener Inhalte“. ZITiS hilft demnach dabei, Computer, Handys oder Festplatten zu entschlüsseln, soll jedoch nichts genaueres über den Inhalt der Beweismittel oder die Details des Ermittlungsverfahrens erfahren.

Amtshilfe für Landesbehörden

Tatsächlich zeigt eine Auflistung, dass ZITiS in den vergangenen zwei Jahren seinen Hochleistungsrechner in 15 Fällen im Rahmen der Amtshilfe für andere Behörden eingesetzt hat – allerdings nicht in Ausnahmefällen, sondern fast ausschließlich für Landesbehörden. Anfragen zu einer „Entschlüsselungsdienstleistung“ gab es demnach von den Landeskriminalämtern Berlin, Sachsen, Sachsen-Anhalt, Nordrhein-Westfalen und Bayern, außerdem von den Polizeipräsidien Münster und München, von der Generalstaatsanwaltschaft Bamberg sowie vom Berliner Hauptzollamt. Nur in einem Fall hat ZITiS den Supercomputer für eine Bundesbehörde eingesetzt, für die Bundespolizei.

„Obwohl der Errichtungserlass klare Vorgaben macht, wem ZITiS zuarbeiten darf und wem nicht, scheint man sich in der Realität hieran nicht sonderlich gebunden zu fühlen“, kritisiert von Notz. Es sei fraglich, ob es sich wirklich nur um „Einzelfälle und Ausnahmesituationen“ handele und ob die Behörde nicht doch operativ aktiv werde. „Ob dies rechtlich tatsächlich haltbar ist, werden wir intensiv prüfen lassen. Wir haben da erhebliche Zweifel.“

Erfolg unklar

Wie erfolgreich die Entschlüsselungsversuche mit dem Hochleistungsrechner von ZITiS waren, ist indes unklar. Die Zentralstelle ließ eine Anfrage dazu unbeantwortet. Einige Landesbehörden aber teilten mit, dass die von ihnen „erbetene Entschlüsselung“ nicht gelungen sei.

Auch im Fall des Mobiltelefons des Berliner Rechtsextremisten war ZITiS nicht erfolgreich. Im Juni 2019 schickte das LKA das Smartphone sowie die Daten eines ebenfalls verschlüsselten Laptops des Terrorverdächtigen zu ZITiS. Am 24. April 2020 dann teilten die IT-Experten mit, die Entschlüsselungsversuche der Geräte mit dem Hochleistungscomputer seien „erfolglos eingestellt“ worden.

„Staatstrojaner“ spielt kaum eine Rolle

Bei anderen Projekt des staatlichen Hackings präsentierte die Bundesregierung auch eine eher dürftige Bilanz. Der Staatstrojaner, der seit 2017 heimlich von der Polizei auf Computern und Smartphones installiert werden darf, wurde vom BKA bislang noch in keinem abgeschlossenen Ermittlungsverfahren oder Gefahrenabwehrvorgang eingesetzt, wie das Innenministerium von Notz mitteilte.

Die Angaben bestätigten, dass der Staatstrojaner bei der Strafverfolgung in der Realität kaum eine Rolle spiele, meint der Grünen-Politiker. Dennoch würde die Regierung „immer wieder betonen, dass dieses Ermittlungsinstrument wahnsinnig wichtig sei und demnach zukünftig zwingend auch den Nachrichtendiensten und weiteren Sicherheitsbehörden wie der Bundespolizei zur Verfügung stehen muss“. Ein aktueller Entwurf für ein neues Verfassungsschutzgesetz enthält auch die Befugnis zur Durchführung der Quellen-Telekommunikationsüberwachung, bei der „Staatstrojaner“ eingesetzt werden, für die Verfassungsschutzbehörden. Das Gesetz wurde jedoch noch nicht verabschiedet.

Anfang Januar hatten WDR und NDR recherchiert, dass das Bundesamt für Justiz in einer Statistik für das Jahr 2019 falsche Zahlen zu bundesweiten Einsätzen des „Staatstrojaners“ ausgegeben hatte. Eine korrigierte Statistik will das Bundesamt für Justiz Mitte Februar veröffentlichen.

https://www.tagesschau.de/investigativ/wdr/zitis-111.html

passiert am 04.02.2021