Google: Geplante US-Exportbestimmungen gefährden Sicherheit

Google hat sich in einem offenen Brief gegen die Einführung neuer Exportbestimmungen ausgesprochen. Sie basieren auf dem von den USA ratifizierten Wassenaar-Abkommen, das Exportkontrollen für konventionelle Waffen und doppelverwendungsfähige Güter und Technologien vorsieht. Der Internetkonzern befürchtet, dass damit vor allem die Arbeit der Sicherheits-Community, die herstellerübergreifend wichtige Beiträge zur Beseitigung von Softwarelücken leistet, erschwert wird.

„Sie würden unsere Möglichkeiten einschränken, uns selbst und unsere Nutzer zu schützen und das Web sicherer zu machen“, schreiben Neil Martin, Export Compliance Counsel, und Tim Willis, Mitglied des Chrome Security Team, in einem Blogeintrag. „Es wäre ein desaströses Ergebnis, wenn Exportbestimmungen, die den Menschen mehr Sicherheit geben sollen, die Sicherheit von Milliarden von Nutzern weltweit schwächen würden.“

Google würde seiner Ansicht nach, sollten die Regeln in Kraft treten, künftig Exportlizenzen für Bug-Tracking-Systeme, Code-Review-Systeme und sogar Kommunikation über Sicherheitslücken wie E-Mails und Sofortnachrichten benötigen. Das Bureau of Industry and Security (BIS) des US-Wirtschaftsministeriums schreibe zwar in einer FAQ, dass Informationen über Anfälligkeiten nicht kontrolliert würden, „wir glauben aber, dass sie manchmal zu kontrollierende Informationen sein könnten“, schreiben die beiden Google-Mitarbeiter.

Sie fordern deswegen Ausnahmeregeln für jeden, der der Exportkontrolle unterliegende Informationen an einen Hersteller weitergibt, mit dem Zweck, eine Schwachstelle zu beseitigen. „Das würde Sicherheitsforscher schützen, die Anfälligkeiten, Exploits oder andere einer Kontrolle unterliegenden Informationen zur Verfügung stellen.“

Zudem müsse sichergestellt sein, dass weltweit agierende Unternehmen ohne Beschränkungen auch Informationen über Schadsoftware jederzeit uneingeschränkt mit ihren Technikern austauschen können – „egal wo sie sich aufhalten“. Des Weiteren müssten die Regeln klarer und verständlicher formuliert werden. Google verlangt auch, dass der Begriff „Intrusion Software“ im Wassenaar-Abkommen schon beim nächsten Treffen der Mitgliedstaaten im Dezember 2015 neu definiert wird.

Wie The Verge berichtet, soll das Wassenaar-Abkommen in seiner vorliegenden Form vor allem die kommerzielle Verbreitung von Spähsoftware an repressive Staaten wie Äthiopien oder Bahrain einschränken. Die Hacking-Team-Unterlagen hätten jedoch gezeigt, dass solche Firmen inzwischen in der Lage seien, sich an die Exportbestimmungen anzupassen. Falls notwendig führten sie ihre Geschäfte eben auch im Geheimen durch.

Die inzwischen von Wikileaks veröffentlichten Geschäftsdokumente von Hacking Team sollen unter anderem belegen, dass das italienische Unternehmen den Sudan zu seinen Kunden zählt, obwohl sich das Land auf einer Embargoliste der Vereinten Nationen befindet. Das Unternehmen hatte die Lieferung von Spähsoftware an den Sudan bisher stets dementiert.

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.