Categories: Sicherheit

USA wollen Verkauf von Zero-Day-Lücken eindämmen

Das US-Handelsministerium hat vorgeschlagen, den Verkauf von Zero-Day-Lücken einzuschränken, indem man sie wie Waffenlieferungen behandelt. Dazu soll eine bestehende internationale Übereinkunft ausgeweitet werden: Schon seit 2013 gehört „Dual Use„-Software, die das Eindringen in Computersysteme ermöglicht, durch das von den USA, Deutschland und 38 weiteren Staaten unterzeichnete Wassenaar-Abkommen zu den regulierten Exportgütern.

Der neue Vorschlag beinhaltet, dass Firmen und Sicherheitsforscher eine Lizenz beantragen müssen, um Intrusion-Software und Netzwerk-Überwachungssysteme zu exportieren. Dies könnte auf Hypervisoren, Debugger und Software für Reverse Engineering erweitert werden. Dabei würden Anträge für Exporte in die „Five Eyes“-Partnerländer Australien, Großbritannien, Kanada und Neuseeland bevorzugt behandelt. Im Fall von „Gütern mit Rootkit-Funktionalitäten oder der Fähigkeit, Zero-Day-Lücken auszunutzen“ würde demnach normalerweise keine Genehmigung erteilt werden.

Der Vorschlag hat zu heftigen und widersprüchlichen Reaktionen geführt. Auf Twitter kommentierte Chaokri Bekrar, CEO des französischen Zero-Day-Spezialisten Vupen, dies mache Exporte in die USA für Forscher zur „Hölle“. Vupen hat seine Zero-Day-Exporte dieses Jahr schon aufgrund des Wassenaar-Abkommens auf genehmigte Länder beschränkt.

Adriel Desautels, CEO der auf Penetrationstests spezialisierten Firma Netragard, sagte Reuters: „Eine gewisse Lizenzierung oder Regulation ist nützlich. Aber die hier vorgeschlagene würde die Sicherheitsbranche insgesamt beschädigen. Ich halte das für schlicht dumm.“

Ihm widerspricht Sicherheitsforscher Alan Woodward von der Universität Surrey im Gespräch mit ZDNet.com: „Der Zweck dieses Abkommens ist die Kontrolle von Angriffswaffen. Wenn man die Analogie zu Feuerwaffen und Munition, Bomben und Raketen nimmt, wurde die Forschung dazu doch auch nicht beschädigt, oder? Es geht nur um den Export.“

Auch sei es durchaus sinnvoll, Zero Days – also bisher unbekannte und daher ungepatchte Lücken – strenger zu behandeln, wie es das US-Handelsministerium vorhat: „Jede Zero-Day-Lücke wird als Angriffsmittel behandelt, bis das Gegenteil erwiesen ist. Das ganze Problem von Zero Days ist, dass Hacker sie missbrauchen können. Wenn ich sie geheim halte und verkaufe, können sie als Waffen verwendet werden. Zero Days sind Angriffsmittel.“

Einen Schaden für die Sicherheitsbranche kann Woodward nicht erkennen: „Durch einen Verkauf erhält jemand einen Vorteil. Das ist das Gegenteil von kompletter Offenlegung, was vermutlich die meisten Menschen in der Sicherheitsbranche vorziehen würden.“ Regulierung würde der Branche nur schaden, wenn sie Veröffentlichungen zu Lücken einschränken würde.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago