ZITiS: Forschung und Entwicklung für Sicherheitsbehörden

0
1463

Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) soll als Dienstleister der deutschen Sicherheitsbehörden Forschungs- und Entwicklungskompetenzen für Methoden, technische Lösungen und Werkzeuge mit Cyber-Bezug bündeln. Im Behörden Spiegel-Interview sprach ZITiS-Präsident Wilfried Karl über Aufgaben der jungen Behörde, sektorübergreifende Zusammenarbeit und Personal-Recruiting.

Behörden Spiegel: Herr Karl, ZITiS soll als Dienstleister für deutsche Sicherheitsbehörden tätig werden. Betrifft das nur die Bundesebene?

Karl: Unsere Kunden sind im Errichtungserlass des Bundesinnenministeriums (BMI) explizit genannt. Das sind Bundeskriminalamt (BKA), Bundesamt für Verfassungsschutz (BfV) und Bundespolizei. Über die Zentralstellenfunktion von BKA und BfV erreichen wir auch die Landeskriminalämter und die Landesämter für Verfassungsschutz. Auch wenn Bund- und Länderbehörden unterschiedliche Aufgaben haben, gibt es schließlich kaum Unterschiede bei den technischen Anforderungen in den zentralen Arbeitsbereichen von ZITiS. Wenn es um konkrete Projekte und die entsprechenden Ressourcen geht, stimmen wir uns im Beirat mit den drei Bundesbehörden ab. Aber natürlich sind wir mit den Landesbehörden im regelmäßigen Austausch.

Behörden Spiegel: Was sind Ihre zentralen Arbeitsbereiche?

Karl: Mit Beginn unserer Arbeit haben wir eine Umfrage unter den drei Kunden durchgeführt, welche Probleme sie an ZITiS herantragen würden. Das Ergebnis war ein sehr dicker Katalog mit Bedarfen, die sich in vier Kategorien zusammenfassen lassen: Digitale Forensik, Telekommunikationsüberwachung (TKÜ), Kryptoanalyse und Big Data – auch in dieser Reihenfolge der Priorität. Für Big Data gab es noch nicht so viele Anfragen. Meines Erachtens wird das aber in Zukunft der wichtigste Themenbereich. Wenn Sie heute z. B. in einem Fall von Wirtschaftskriminalität Daten beschlagnahmen, dann ist das nicht nur einen Aktenordner mit ein paar Blättern Papier. Da kommen schnell hunderte Terabyte an unstrukturierten Daten zusammen. Ein polizeilicher Ermittler muss in vertretbarer Zeit das für den Fall relevante Material identifizieren und sichten. Dafür braucht man immer mehr maschinelle Unterstützung, um Daten zu kategorisieren, zu übersetzen und zu ordnen. Ich glaube, eine künstliche Intelligenz einzuführen, die die Ermittler bei dieser noch sehr manuellen Arbeit unterstützt, wird eine unserer größten Aufgaben sein.

Behörden Spiegel: Sie sagten  Digitale Forensik steht an erster Stelle der Bedarfe. Woran fehlt es da aus Ihrer Sicht?

Karl: Wir beschäftigen uns vor allem mit dem Überwinden von Zugangssperren. Beschlagnahmte Festplatten, Notebooks, Handys aber auch Spezialhardware oder Cloud-Speicher sind heute in aller Regel zugangsgeschützt. Die Frage ist: Wie kommen Sie an die Daten, wenn es rechtlich erlaubt und für eine Ermittlung notwendig ist? Das ist nicht neu, aber die technische Entwicklung schreitet ständig voran. Modernere Hardware und modernere Zugangssperren werden uns noch über Jahre immer wieder vor neue Herausforderungen stellen.

Behörden Spiegel: Ähnliches dürfte ja auch für den Bereich Kryptoanalyse gelten. Wie können Sie Ermittler unterstützen, auf verschlüsselte Daten zuzugreifen? Geht es im Kern tatsächlich um Dechiffrierung?

Karl: Es gibt heute Verschlüsselungsmethoden, die mathematisch nicht zu brechen sind. Wir maßen uns nicht an, hierfür eine Lösung zu finden. Aber es gibt durchaus Möglichkeiten, mit entsprechender Hardware und schlauen Algorithmen sowie den entsprechenden Experten zu Ergebnissen zu kommen. Etwa, wenn eine Verschlüsselung nicht ordentlich implementiert wurde oder wenn Anwender Fehler gemacht haben. Wenn wir Methoden finden, dann stellen wir sie unseren Kunden zur Verfügung.

Wir ändern übrigens nichts an der Kryptopolitik der Bundesregierung. Es geht hier nicht um eine Schwächung von Kryptoverfahren. Weder durch Schlüsselhinterlegungspflichten, noch durch den Einbau von Hintertüren. Es geht darum, im Rahmen von Ermittlungen an relevante Daten zu gelangen, wo es technisch noch möglich ist.

Behörden Spiegel: Für die TKÜ wird gerade beim BKA eine neue Generation eingeführt. Zumindest die Nordländer bauen technologisch auf eine andere Lösung. Wo sehen Sie bei dem Thema noch Verbesserungsbedarf?

Karl: Schlicht ausgedrückt wollen wir der technologischen Entwicklung folgen. Nach der Erfindung des Telefons hat es fast hundert Jahre bis zum Mobilfunktelefon gedauert. Dagegen ging die Entwicklung über das Smartphone, über erste Messenger Apps bis hin zur verschlüsselten Kommunikation für jedermann immer dynamischer vonstatten. Die Nutzungszyklen bei Kommunikationstechnologien werden immer kürzer und das ist das eigentliche Problem für Polizeien und Nachrichtendienste. Sie müssen der rasanten Entwicklung folgen. Wenn jetzt eine neue Generation von TKÜ-Anlagen eingeführt wird, hat auch diese im nächsten Jahr Weiterentwicklungsbedarf.

Behörden Spiegel: Und perspektivisch wird über ZITiS eine Bündelung angestrebt?

Karl: Es macht natürlich Sinn, dass nicht jede Behörde einzeln Lösungen erarbeitet, sondern dass das zentral an einer Stelle erfolgt. Dafür ist ZITiS gegründet worden. Auf Bundes- und Landesebene gibt es fast 40 Behörden, die als sogenannte berechtigte Stellen TKÜ-Maßnahmen durchführen dürfen. Darunter sind große Behörden, die sich eine Marktsichtung und Produktevaluation bzw. eine Entwicklung leisten können. Es gibt aber auch viele, die schlichtweg nicht die Ressourcen dafür haben. Deutlich wird der Sinn einer zentralen Herangehensweise auch beim Thema Kryptoanalyse. Die notwendige Hardware ist sehr kostenintensiv und muss ständig gepflegt werden. Das Personal, das solche Anlagen warten und reparieren kann, ist knapp. Hier drängt sich der Vorteil einer Zentralisierung für alle Behörden geradezu auf.

Behörden Spiegel: Über das BKA als Zentralstelle wird das Projekt Polizei 2020 zur Verbesserung des gemeinsamen Informationswesens der Polizei verfolgt. Teil dessen sind auch Instrumente in den Bereichen Digitale Forensik, TKÜ und Big Data, die ja gleichzeitig ins Aufgabengebiet von ZITiS fallen. Wie wird die Zusammenarbeit bzw. Aufgabenteilung koordiniert?

Karl: Wir arbeiten nicht ins Blaue hinein, sondern in der Abstimmung mit unseren Kunden. Dazu gehört das BKA. Polizei 2020 ist ein großes Projekt mit vielen Teilprojekten. Wenn in diesem Rahmen Teilprojekte durch ZITiS bearbeitet werden sollen, dann wird das entsprechend abgestimmt. Bisher ist das nicht der Fall, da wir auch erst mit einem kleinen Jahresarbeitsprogramm begonnen haben. Ausschließen will ich es aber nicht, wenn sich z. B. ein Entwicklungsauftrag ergibt oder wenn Forschungsbedarf besteht.

Behörden Spiegel: Gibt es eigentlich auch Überschneidungen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI)?

Karl: Die Cybersicherheitsstrategie der Bundesregierung umfasst im Wesentlichen zwei Säulen. Das eine ist die IT-Sicherheit, dafür gibt es etablierte Stellen: das BSI ist die wichtigste. Die andere Säule ist die Handlungsfähigkeit der Sicherheitsbehörden. Hierfür wurde ZITiS gegründet. Natürlich gibt es Überschneidungen zwischen den Bereichen. Wenn wir z. B. für ein Projekt eine verschlüsselte Übertragungslösung brauchen, dann müssen wir die nicht selbst entwickeln, sondern gehen natürlich auf das BSI zu, das Dienste zur Verfügung stellen kann.

Behörden Spiegel: Ist auch eine Kooperation mit ausländischen Sicherheitsbehörden angedacht? Europol fungiert ja als Informationsdrehscheibe bei Geldwäsche, Terrorismus und Kinderpornografie. Bei der Datenauswertung werden dort sicherlich die gleichen Probleme bestehen wie bei LKÄs und BKA.

Karl: Auch die Zusammenarbeit mit ausländischen Partnern ist ein wichtiges Element für uns. Es soll ja nicht jeder das Rad für sich neu erfinden. In Europa haben wir die glückliche Lage, dass die gesetzlichen Regelungen immer mehr harmonisiert werden. Wenn also Niederländer oder Franzosen eine Lösung für eine Herausforderung haben, vor der bei uns irgendein LKA steht, dann können wir diese in der Regel ohne große Änderungen übernehmen. Wir sprechen bereits mit internationalen Partnern. Die Kanäle befinden sich noch im Aufbau. ZITiS ist weder Polizei noch Nachrichtendienst, wir sind nicht operativ tätig. Im Ausland sind entsprechende Tätigkeiten aber meistens entweder beim einen oder beim anderen verortet. Wir müssen also die Ansprechpartner für die einzelnen Themen, sei es TKÜ, Forensik oder Kryptoanalyse erst einzeln identifizieren. Selbst in Ländern, die sehr zentral organisiert sind, kümmern sich oftmals verschiedene Sicherheitsbehörden um diese technischen Themen.

Behörden Spiegel: Am Ende des Tages müssen Produkte her. Eine relativ enge Zusammenarbeit mit der Industrie ist da unbedingt erforderlich. Wie ist diese Zusammenarbeit strukturiert?

Karl: Es hat natürlich einen Grund, dass wir in München sitzen. Denn hier haben wir die Umgebung, die wir brauchen und nutzen werden: Universitäten, Forschungsinstitute und vor allem Industrieunternehmen. Auch wenn ZITiS eine Zielgröße von 400 Mitarbeitern hat, werden wir selten allein in den genannten Kernbereichen forschen und entwickeln. Wir müssen Aufträge an die Industrie vergeben. Das tun wir jetzt schon. In unserem ersten Jahresarbeitsprogramm haben wir zwölf Projekte und fast alle in Zusammenarbeit mit Instituten und der Industrie. Wir wollen diese Möglichkeiten nicht nur jetzt nutzen, wo wir noch wenige Ressourcen haben, sondern auch im weiteren Aufbau und in der langfristigen Arbeit von ZITiS.

Behörden Spiegel: Dieser kooperative Ansatz steht auch hinter der Entscheidung, ZITiS im geplanten Neubau der UniBw zusammen mit dem Forschungsinstitut Cyber Defence zu verorten?

Karl: Ja. Viele der Themen die vom Forschungsinstitut Cyber Defence und ZITiS in der Grundlagenforschung bearbeitet werden, überlappen sich fachlich. Da macht es natürlich Sinn, dieses Know-how nicht zwei Mal aufzubauen, nicht zwei Mal das gleiche Labor einzurichten, nicht zwei Mal Fachkräfte auszubilden, sondern gemeinsam an den Problemen zu arbeiten. Entsprechend haben sich das BMI und das Bundesministerium der Verteidigung (BMVg) entschieden, das auch in einem gemeinsamen Gebäude zu tun.

Behörden Spiegel: Bedeutet gemeinsame Arbeit an Problemen, dass Sie nicht nur das Gebäude, sondern auch Labore teilen?

Karl: Ja, wir werden auch gemeinsame Labore haben und an manchen Themen gemeinsam forschen. Die Ausschreibung des Generalunternehmers läuft bis Herbst, sodass der Bau aller Voraussicht nach im 2019 beginnt. Ich bin zuversichtlich, dass wir in wenigen Jahren einziehen können.

Behörden Spiegel: Die Bundeswehr verfolgt die Strategie, über den Cyber Innovation Hub in Berlin gezielt neue Ideen aber auch konkrete Entwicklungen aus dem Start-up-Umfeld ausfindig zu machen. Könnten Polizei und Nachrichtendienste nicht auch von den schnellen Innovationen von Start-ups profitieren?

Karl: Tatsächlich werde ich manchmal gefragt, warum ZITiS nicht in Berlin gegründet wurde, weil es doch dort so eine lebendige Start-up-Szene gebe. Natürlich macht es Sinn, sich mit Start-ups zu beschäftigen und vielleicht sogar solche zu fördern, die sich in ersten Stadien einer Produktentwicklung befinden. Insofern ist der Ansatz der Bundeswehr zu begrüßen. Man darf aber nicht die vielen kleinen und mittleren Unternehmen vergessen, die gerade hier in der Region München ansässig sind. Viele davon bieten wirklich sehr innovative Produkte im Bereich Cyber an. Anders als bei Start-ups finde ich hier eine Industrie vor, die mir die Erstellung eines Produktes auch zusagen kann, wenn ich die Unterstützung brauche.

Behörden Spiegel: Die Start-ups überlassen Sie also eher der Bundeswehr?

Karl: Ich schließe nicht aus, dass wir auch mal mit Start-ups zusammenarbeiten. So im Bereich Forschung oder gerade, wenn es darum geht, von Forschungsergebnissen zu Entwicklungen zu kommen. Unsere Hauptpartner werden aber wahrscheinlich etablierte Unternehmen sein. Da ergänzen wir uns dann mit der Bundeswehr. Zum einen die Zusammenarbeit mit Start-ups, zum anderen anwendungsbezogen mit der Industrie und als drittes die Grundlagenforschung mit der Universität.

Behörden Spiegel: Wie kommen Ihre Kunden an die Produkte, um die es letztlich geht?

Karl: Das kommt darauf an. Entweder entwickeln wir ein Verfahren oder ein Produkt z. B. in Zusammenarbeit mit einem Institut und übergeben das dann an unsere Kunden. Oder wir finden auf dem deutschen oder internationalen Markt ein Produkt, das sich technisch und vor unserem rechtlichen Hintergrund für den Einsatz eignet. Das können wir dann evaluieren und unseren Kunden empfehlen. Kaufen müssen sie es dann allerdings selbst. Oder wir entwickeln eine Lösung zusammen mit der Industrie und die bietet ein entstehendes Produkt dann direkt an.

Behörden Spiegel: ZITiS ist also nicht als Beschaffungs- oder Vergabestelle gedacht, die teure Innovationen gebündelt für verschiedene Behörden einkauft?

Karl: ZITiS ist auf keinen Fall ein weiteres Beschaffungsamt. Wir können nicht für andere Behörden beschaffen, obwohl schon einige mit diesem Ansinnen an uns herangetreten sind. Wir haben ein eigenes Budget für Forschung und Entwicklung. Wenn es aber um ein Produkt geht, das wir empfehlen oder mit der Industrie entwickelt haben, dann müssen es die Behörden selbst mit ihrem eigenen Budget beschaffen.

Behörden Spiegel: Könnten Sie nicht mit der Industrie Konditionen aushandeln und Rahmenverträge abschließen?

Karl: Das kann man schon. Da werden wir durchaus schon tätig. Bei Rahmenverträgen geht es aber nicht nur um finanzielle Vorteile. ZITiS kann als zentraler Point of Contact gegenüber der akademischen Welt und auch der Industrie auftreten. So können wir die Bedarfe bündeln – auch die der Länderbehörden. Mit Problemen, die manche Behörden vielleicht mit dem einen oder anderen Produkt hatten, können wir auf die Hersteller zugehen. Außerdem können wir nicht nur finanzielle Konditionen aushandeln, sondern auch bewirken, dass ein Produkt speziellen Anforderungen entsprechend angepasst wird. Wir haben da einfach ein ganz anderes Gewicht als eine kleine Behörde mit singulären Problemen.

Behörden Spiegel: Verfolgen Sie eigentlich eine Linie, was den Anteil von Selbstproduktion im Verhältnis zum Einkauf angeht?

Karl: Da möchte ich mich nicht festlegen. Je nach Projekt und je nach Bedarf wird es mal einfacher und mal schwerer sein, etwas einzukaufen. Vielleicht gibt es schon ein Produkt, das ohne weitere Änderungen eingesetzt werden kann. Man muss prüfen, ob es technisch tut, was es soll, und rechtlich auch nicht mehr, als es darf. Wo nötig, wird man mit Herstellern vereinbaren können, dass Produkte an spezielle Bedarfe angepasst werden. Beim Thema Quellen-TKÜ macht es aber z. B. Sinn, so viel wie möglich selbst zu entwickeln. Gerade wenn es um Risikoabwägungen geht dahingehend, ob bestimmte Softwareschwachstellen genutzt und entsprechend offengehalten werden sollen. Solche Fragen kann ich leichter beantworten, wenn ich selbst die Schwachstelle gefunden habe.

Behörden Spiegel: Ein vieldiskutiertes Thema ist die aktive Cyber-Abwehr bis hin zum sog. Hackback. Das BMI hat schon gegen Ende der letzten Legislatur einen Fünfstufenplan zur Cyber-Abwehr ausgearbeitet. Diskutiert wird noch, wie man das auf eine gesetzliche Grundlage bekommt. Ist ZITiS in das Thema involviert?

Karl: Wenn überhaupt, dann nur in technologischer Hinsicht. Wenn einem unserer Kunden die Aufgabe im operativen Sinne übertragen werden sollte und er dann mit einem entsprechenden technischen Problem an uns herantritt, dann werden wir natürlich daran arbeiten. Zuvor muss aber politisch entschieden werden, wer überhaupt zuständig sein soll.

Behörden Spiegel: Das Thema Personal-Recruiting war seit der Geburt von ZITiS ein großes Thema. Wir erfolgreich waren Sie denn bis jetzt?

Karl: Dazu möchte ich ein bisschen ausholen. Wenn Sie eine Behörde wie ZITiS gründen, haben Sie zwei Alternativen. Sie können sich Personal aus Abteilungen und Referaten anderer Behörden zusammenholen und unter ein neues Dach setzen. Der Vorteil ist, dass Sie gleich eine Menge Leute haben und loslegen können. Die andere Möglichkeit ist, bei Null anzufangen. Dieses Vorgehen ist zukunftssicherer, denn Sie können die Organisation und Prozesse so etablieren, wie Sie sie brauchen. Ganz wichtig ist, dass Sie auch ein anderes Arbeitsklima schaffen können, das besser für Innovationen geeignet ist, als wenn Sie ganze Bereiche mit ihrer entsprechenden Kultur übernehmen. Wir haben uns deshalb für die zweite Alternative entschieden.

Behörden Spiegel: Es ist aber sicher nicht leicht, entsprechendes Fachpersonal zu finden?

Karl: Als wir im Mai 2017 angefangen haben, waren wir fünf Leute. Ich habe mich über die Berichterstattung der Tagespresse im Sommer gewundert, die sich darüber lustig gemacht hat, dass wir noch nicht 120 Stellen besetzt hatten. So viele Planstellen wurden uns zu Beginn zur Verfügung gestellt, aber natürlich kann man nicht in vier Monaten so viele Leute einstellen. Wir haben zunächst begonnen, die Verwaltung aufzubauen und Leute einzustellen, die weiteres Personal rekrutieren. Jetzt haben wir weit mehr als die Hälfte der Stellen besetzt. Ich habe mal das Ziel ausgegeben, bis Jahresende 80 Stellen zu besetzen. Ich glaube das schaffen wir schon früher. Darauf können wir alle stolz sein, vor allem diejenigen, die die Arbeit hier gemacht haben.

Behörden Spiegel: Wie viele der Stellen entfallen auf die Administration und wie viele auf die Forschung?

Karl: Am Anfang haben wir nur Administration aufgebaut. Damit müssen Sie loslegen. Jetzt haben wir etwa ein Drittel Fachkräfte im IT-Bereich. Im Augenblick sind alle Anstrengungen zur Personalgewinnung auf den IT-Bereich ausgerichtet. Wir nutzen beim Aufbau der Organisation alles an Dienstleistern, was es in der öffentlichen Verwaltung für den Bund gibt: Dienstleister für die IT-Ausstattung, für Gehaltsabrechnungen oder für Reisekostenmanagement. Das macht es uns möglich, dass wir in der Zielgröße von 400 Mitarbeitern einen geringen Verwaltungsanteil von unter 14 Prozent haben werden. Der Rest sind dann tatsächlich die MINT-Fachkräfte, die wir für unsere Aufgabenerfüllung brauchen.

Behörden Spiegel: Haben Sie bei der Vergütung Sondermöglichkeiten?

Karl: Die Vergütung richtet sich nach TVöD und nach Bundesbesoldungsgesetz, im Rahmen dessen können wir auch einige Zulagen zahlen. Es wird immer pauschal gesagt, der Öffentliche Dienst finde keine Leute, weil er sie nicht bezahlen kann. Natürlich können wir mit manchen Gehaltssphären in der Industrie nicht mithalten. Aber gerade für Juniorexperten, Seniorexperten und für Absolventen sind wir durchaus attraktiv. Sie interessieren sich für ZITiS, weil wir einen Mix zwischen Start-up und Behörde darstellen. Auf der einen Seite bieten wir den sicheren Arbeitsplatz, flexible Arbeitszeitgestaltung und Vereinbarkeit von Beruf und Familie. Auf der anderen Seite können die Mitarbeiter selber mitgestalten wie es sonst nur bei Start-ups möglich ist und noch dazu mit interessanter Technologie arbeiten.

Behörden Spiegel: Gibt es einen Plan, wie viele Beamte und viele Tarifbeschäftigte es geben soll?

Karl: Das hängt ganz von der persönlichen Karriereplanung und dem Lebensmodell ab. Sie können bei uns Beamter werden, wenn Sie wollen, Sie müssen aber nicht. Ich glaube wir müssen uns ein Stück weit davon verabschieden, dass Leute, die jetzt bei uns anfangen, bis zur Pension bleiben. Gerade im MINT-Bereich suchen sich die Leute nach einigen Jahren einen neuen Arbeitgeber, weil sie sich auch fachlich weiterentwickeln wollen. Dagegen habe ich gar nichts, vielleicht ändert sich ja das Lebensmodell später wieder und Mitarbeiter kommen mit neuem Know-how zurück.

Behörden Spiegel: Haben Sie auch ein Konzept für die Ausbildung?

Karl:  Ja, wir kooperieren dazu mit der Universität der Bundeswehr. Wir bieten jährlich zehn Plätze im Master-Studiengang Cyber-Sicherheit und zehn im Bachelor-Studiengang Informatik an. Zukünftig werden wir für Bewerber mit Hochschulreife den Studiengang Informatik und Bewerber mit Fachhochschulreife den Studiengang Technische Informatik und Kommunikationstechnik anbieten. Obwohl wir dieses Jahr nur wenig Zeit hatten die Studiengänge zu bewerben, haben wir einige Interessenten für Master- und Bachelor- Studiengang, die im Herbst bzw. im Frühjahr anfangen.

Behörden Spiegel: Bei der Polizei gibt es ja das Modell, dass die Studenten Beamte auf Probe sind und schon ein Grundgehalt bekommen.

Karl: Wir bezahlen unseren Bachelor-Studenten eine Studienförderung in Höhe des BAFöG-Höchstsatzes. Mit dem Abschluss haben sie dann einen Arbeitsvertrag in der Tasche. Die Master-Studenten kriegen bei uns bereits vor Studienbeginn einen Arbeitsvertrag. Dafür verpflichten sie sich, für fünf bzw. drei Jahre bei uns zu bleiben. Wir freuen uns natürlich auch, wenn sie länger bleiben, denn es ist eine unbefristete Anstellung. Während des Studiums können sie ihre Praktika und ihre Bachelor- bzw. Masterarbeit bei uns machen. Da das Studium in Trimesterform stattfindet, gibt es wenig vorlesungsfreie Zeit, aber diese können und sollen die Studenten für kleine Projekte und Aufgaben bei ZITiS nutzen.

Das von Ihnen angesprochene Modell werden wir zukünftig ebenfalls anbieten. Die Hochschule des Bundes plant den Bachelor-Studiengang IT-Sicherheit, in den wir drei bis fünf ZITiS-Studenten für den Start im Herbst 2019 entsenden werden.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here