„Wir sehen uns jetzt als Behörde 4.0“

VdZ: In Deutschland sind zahlreiche Behörden im Cyber- und IT-Bereich tätig. Wo ordnen Sie die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) in dieser Behördenlandschaft ein, wo gibt es Schnittmengen zu anderen Akteuren, wo grenzen Sie sich voneinander ab?

Witthauer: Wir sind Teil der Sicherheitsarchitektur Deutschlands. Das steht auch in der Cybersicherheitsstrategie der Bundesregierung.

ZITiS ist ein neuer und zusätzlicher Player in dieser Gesamtstruktur.

Wir haben auf Bundes- und Landesebene viele Behörden. Diese haben unterschiedliche Aufgaben, die technischen Herausforderungen überlappen sich aber sehr stark. Da macht es nicht nur aus Steuerzahler-Sicht Sinn, wenn nicht nur die technische Forschung und Entwicklung an einer zentralen Stelle landet, sondern auch fachlich. Die Experten in den verschiedenen Disziplinen sitzen bei uns an einer Stelle und können sich leicht gegenseitig ergänzen. Dazu kommt die Nähe zur universitären Forschung und zur industriellen Forschung.

Kurz gesagt: Wir sind eine Einrichtung mit einer zentralen Funktion, einer zentralen Aufgabe, die es in dem Maße noch nicht gab und deshalb eine Ergänzung der bisher bestehenden Sicherheitsstrategien und Sicherheitsbehörden.

VdZ: Was macht die ZITiS zum „Start-up unter den Behörden“?

Witthauer: Wenn man eine Behörde komplett neu schafft, so wie uns, aus dem Nichts heraus, dann kann man natürlich immer sagen, man ist ein Startup. Wir sind aber auch tatsächlich mit Start-ups vergleichbar, weil wir einen kompletten Neustart hingelegt haben, von Null ab, ohne Rahmenbedingungen zu haben außer unserem Errichtungserlass.

Ich glaube, was uns mit einem Start-up noch vergleichbar macht, ist der Charakter, wie wir arbeiten: wir arbeiten dynamisch, wir sind offen für ungewöhnliche Ideen und Herangehensweisen, wir haben flache Hierarchien,  wir sind von Innovationen bestimmt. Das sind alles Elemente, die ein Start-up ausmachen.

Ich will aber noch ergänzen: Jetzt gibt es uns gute zwei Jahre und im eigenen Verständnis sind wir über die Start-up-Phase jetzt hinweg – die meisten Start-ups scheitern und das nehmen wir für uns nicht in Anspruch. Wir sehen uns jetzt als Behörde 4.0, weil wir – bleiben wir mal beim Bild des Start-ups – den Schritt auf den Markt geschafft, uns etabliert haben und uns die Agilität aber weiter bewahren.

VdZ: Mit ZITiS wurde sozusagen eine Lücke geschlossen. Es gibt jedoch weitere Agenturen und Service-Gesellschaften, die in den letzten Jahren gegründet wurden oder deren Gründung angekündigt wurde, etwa die Agentur für Innovation in der Cybersicherheit. Warum braucht es weitere Behörden? Gibt es tatsächlich weitere Lücken, die geschlossen werden müssen und aus der bestehenden Landschaft heraus nicht bedient werden können?

Witthauer: Die Gründung der neuen Agenturen war im Koalitionsvertrag festgelegt. Das ist jetzt natürlich nicht die Begründung an sich. Die Agenturen haben andere und neue Aufgabenstellungen  und stoßen in Nischen oder füllen Bereiche aus, die es vorher nicht gab.

Die Agentur für Innovation in der Cybersicherheit arbeitet nach dem amerikanischen DARPA-Modell (Defense Advanced Research Projects Agency),  das gab es bei uns in dieser Ausprägung noch nicht. Nach dem DARPA-Modell Grundlagenforschung zu betreiben, dass Dinge auch mal schief gehen können, und auch eine gemeinsame Einrichtung zwischen BMVg (Bundesministerium der Verteidigung) und BMI (Bundesministeriums des Innern, für Bau und Heimat), da wo die Schnittstellen entstehen,  hat es noch nicht gegeben.

Der Unterschied zu ZITiS: Diese Agentur ist hauptsächlich im Grundlagenbereich unterwegs und ein wesentlicher Teil ist eben auch das BMVg – und das BMVg hat andere Aufgaben und andere Bedarfe. ZITiS arbeitet im Geschäftsbereich des BMI anwenderbezogen für unsere Kunden (BPOL, BfV und BKA), und damit sind die Aufgabenstellungen klar abgegrenzt. Wir haben die Aufstellung der Agentur eng begleitet und sobald sie die Arbeit aufnimmt können wir uns gut vorstellen, dass ZITiS beiderseitig sowohl Auftragnehmer als auch Auftraggeber im Sinne dieser Agenturleistungen ist – und damit ergänzen wir uns automatisch.

VdZ: Sie haben es schon etwas vorweg genommen: Es gibt Parallelstrukturen nicht nur auf Bund- und Länderebene, sondern beispielsweise auch im zivilen und im militärischen Bereich. Wo Sie neue informationstechnische Methoden und Werkzeuge für den Geschäftsbereich des BMI entwickeln und erforschen, greift das BMVg etwa auf das Cyber Innovation Hub (CIH) oder das Forschungsinstitut Cyber Defence (CODE) zurück. Trotz aller geografischen Nähe: Ließen sich nicht Synergieeffekte realisieren, wenn die Bedarfe aus einer Hand bedient würden, oder ist es wirklich so, dass BMI und BMVg inhaltlich so weit auseinander liegen, dass das vom Bedarf her überhaupt nicht möglich ist?

Witthauer: Grundsätzlich haben BMVg und BMI jeweils einen eigenen Haushalt. Ich glaube aber, dass es Synergie-Effekte geben wird. Bleiben wir mal beim Forschungsinstitut Cyber Defence (CODE), mit dem wir in engen Kontakt stehen und tatsächlich auch gemeinsam kooperieren und inhaltlich zusammenarbeiten. Dabei ist das CODE eher auf die Frage der IT-Sicherheit ausgelegt, was aber kein Widerspruch ist, weil wir in vielen Fällen dieselben Themen haben.

Nehmen wir mal das Beispiel Smart Home: Wenn Sie eine Smart Home-Technologie haben, dann wird CODE sich mit den Aspekten auseinandersetzen, welche Technologie das ist, welchen Sicherheitsaspekt diese hat. Damit arbeiten wir ein gutes Stück eng zusammen und irgendwann werden wir an einen Punkt kommen, wo wir untersuchen, wie wir die Technologie für unsere Tätigkeit, für unsere Kunden nutzen können. Bis dahin haben  wir einen gemeinsamen Weg, weil die technischen und inhaltlichen Aufgabenstellungen immer sehr ähnlich sind. Damit ergänzen wir uns sehr gut. CODE ist eine Forschungseinrichtung, wir haben Forschung bei uns im Auftrag. München entwickelt sich zu einem ganz deutlichen Cybercluster und deshalb ist es auch eine richtige und wichtige Entscheidung, dass wir gemeinsam vor Ort zusammenarbeiten.

VdZ: Die ZITiS wurde 2017 gegründet und versorgt das Bundeskriminalamt (BKA), das Bundesamt für Verfassungsschutz (BfV) und die Bundespolizei (BPol) mit ihrer Expertise. Wo sehen Sie Ihre Behörde in 3 oder 5 Jahren?

Witthauer: Unsere Aufgabenstellung orientiert sich natürlich immer an den praktischen Bedarfen unserer Kunden, deswegen kann man die zukünftige Aufgabenstellung und Inhalte nicht  genau vorhersagen. Unsere Arbeit  wird immer darauf ausgelegt sein.

Unser Ziel ist, dass wir in drei oder fünf Jahren in der gesamten Community etabliert sind als erster Berater und Technologieentwickler für die Sicherheitsbehörden und die Sicherheitsstrukturen in Deutschland. Darüber hinaus auch als erster Ansprechpartner für Firmen, die in diesem Bereich tätig sind.

Dabei gibt es noch ein Thema, das uns immer bewegt, das aber nicht nur uns betrifft, sondern alle Behörden und Einrichtungen, die mit Personalgewinnung im IT-Bereich unterwegs sind. Das ist die Frage der Mitarbeitergewinnung in einem eher starren Personalgewinnungssystem. Der Staat achtet zuerst auf formale Kriterien und  danach auf Kompetenzen. Dadurch schließt man talentierte Fachkräfte aus, die sich ihre Expertise auf anderen, nicht klassischen Wegen angeeignet haben.

Unsere Rekrutierung ist bisher sehr erfolgreich. Wir haben jetzt, nach nur zwei Jahren, knapp 150 Stellen besetzt, um die 120 Mitarbeiter sind bereits vor Ort. Das gelingt uns, aber es ist keine leichte Aufgabe, und in Gesamtheit für den Staat wird es immer komplexer, immer schwieriger.

Von einer Anpassung dieses Systems, das einige Jahrzehnte alt ist, könnten alle Behörden profitieren.