Categories: Sicherheit

USA wollen Verkauf von Zero-Day-Lücken eindämmen

Das US-Handelsministerium hat vorgeschlagen, den Verkauf von Zero-Day-Lücken einzuschränken, indem man sie wie Waffenlieferungen behandelt. Dazu soll eine bestehende internationale Übereinkunft ausgeweitet werden: Schon seit 2013 gehört „Dual Use„-Software, die das Eindringen in Computersysteme ermöglicht, durch das von den USA, Deutschland und 38 weiteren Staaten unterzeichnete Wassenaar-Abkommen zu den regulierten Exportgütern.

Der neue Vorschlag beinhaltet, dass Firmen und Sicherheitsforscher eine Lizenz beantragen müssen, um Intrusion-Software und Netzwerk-Überwachungssysteme zu exportieren. Dies könnte auf Hypervisoren, Debugger und Software für Reverse Engineering erweitert werden. Dabei würden Anträge für Exporte in die „Five Eyes“-Partnerländer Australien, Großbritannien, Kanada und Neuseeland bevorzugt behandelt. Im Fall von „Gütern mit Rootkit-Funktionalitäten oder der Fähigkeit, Zero-Day-Lücken auszunutzen“ würde demnach normalerweise keine Genehmigung erteilt werden.

Der Vorschlag hat zu heftigen und widersprüchlichen Reaktionen geführt. Auf Twitter kommentierte Chaokri Bekrar, CEO des französischen Zero-Day-Spezialisten Vupen, dies mache Exporte in die USA für Forscher zur „Hölle“. Vupen hat seine Zero-Day-Exporte dieses Jahr schon aufgrund des Wassenaar-Abkommens auf genehmigte Länder beschränkt.

Adriel Desautels, CEO der auf Penetrationstests spezialisierten Firma Netragard, sagte Reuters: „Eine gewisse Lizenzierung oder Regulation ist nützlich. Aber die hier vorgeschlagene würde die Sicherheitsbranche insgesamt beschädigen. Ich halte das für schlicht dumm.“

Ihm widerspricht Sicherheitsforscher Alan Woodward von der Universität Surrey im Gespräch mit ZDNet.com: „Der Zweck dieses Abkommens ist die Kontrolle von Angriffswaffen. Wenn man die Analogie zu Feuerwaffen und Munition, Bomben und Raketen nimmt, wurde die Forschung dazu doch auch nicht beschädigt, oder? Es geht nur um den Export.“

Auch sei es durchaus sinnvoll, Zero Days – also bisher unbekannte und daher ungepatchte Lücken – strenger zu behandeln, wie es das US-Handelsministerium vorhat: „Jede Zero-Day-Lücke wird als Angriffsmittel behandelt, bis das Gegenteil erwiesen ist. Das ganze Problem von Zero Days ist, dass Hacker sie missbrauchen können. Wenn ich sie geheim halte und verkaufe, können sie als Waffen verwendet werden. Zero Days sind Angriffsmittel.“

Einen Schaden für die Sicherheitsbranche kann Woodward nicht erkennen: „Durch einen Verkauf erhält jemand einen Vorteil. Das ist das Gegenteil von kompletter Offenlegung, was vermutlich die meisten Menschen in der Sicherheitsbranche vorziehen würden.“ Regulierung würde der Branche nur schaden, wenn sie Veröffentlichungen zu Lücken einschränken würde.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago