USA überdenken Exportbestimmungen für Sicherheitslücken

Das zum US-Wirtschaftsministerium gehörende Bureau of Industry and Security (BIS) will die Regeln überarbeiten, die den Export von Software und Sicherheitslücken zum Ausspähen von Computern und Smartphones einschränken sollen. Es reagiert damit auf hunderte Stellungnahmen aus der Sicherheits-Community, die die geplante Neufassung des sogenannten Wassenaar-Abkommens als zu weit gefasst kritisiert hatten.

„Alle Kommentare werden genau geprüft und ausgewertet, und die Behörden werden entscheiden, wie die Regeln geändert werden sollten“, zitiert Reuters einen Sprecher des Wirtschaftsministeriums. „Eine zweite Version der Regeln wird öffentlich bekannt gegeben und Sie können daraus ableiten, dass die erste Version zurückgezogen wird.“ Der Sprecher erwartet, dass dies allerdings noch mehrere Monate dauert.

Der Schritt an sich war Reuters zufolge erwartet worden. Selbst Aktivisten, die Einschränkungen für den Verkauf von Spähsoftware an repressive Staaten begrüßten, hätten den ersten Entwurf abgelehnt. Google hatte sich zudem mit Ablauf der Kommentarfrist am 20. Juli mit einem offenen Brief gegen die geplanten Exportbestimmungen gewandt. „Sie würden unsere Möglichkeiten einschränken, uns selbst und unsere Nutzer zu schützen und das Web sicherer zu machen. Es wäre ein desaströses Ergebnis, wenn Exportbestimmungen, die den Menschen mehr Sicherheit geben sollen, die Sicherheit von Milliarden von Nutzern weltweit schwächen würden“, kommentierte der Internetkonzern in einem Blogeintrag.

Der erste Entwurf zwingt Google seiner Ansicht nach, Exportlizenzen für Bug-Tracking-Systeme, Code-Review-Systeme und sogar Kommunikation über Sicherheitslücken wie E-Mails und Sofortnachrichten zu beantragen. Es forderte deswegen Ausnahmeregeln für jeden, der Informationen mit dem Zweck an einen Hersteller weitergibt, eine Schwachstelle zu beseitigen. Zudem müsse sichergestellt sein, dass weltweit agierende Unternehmen ohne Beschränkungen auch Informationen über Schadsoftware jederzeit uneingeschränkt mit ihren Technikern austauschen können.

„Ich glaube, das BIS hat an einem bestimmten Punkt verstanden, dass es nicht alle benötigten Informationen hat“, sagte der US-Sicherheitsforscher Collin Anderson im Gespräch mit ThreatPost. „Sie haben erkannt, dass ihre Fähigkeit, die Auswirkungen auf die Sicherheitsindustrie einzuschätzen, eine Grenze erreicht hat.“

ThreatPost zufolge soll der neue Entwurf noch vor dem nächsten geplanten Treffen der Wassenaar-Mitgliedstaaten im Dezember veröffentlicht werden. Die Entscheidung des BIS, den Entwurf zu überarbeiten, sei nur „ein kleiner Sieg“ und nur „ein erster Schritt“, führte Nate Cardozo, Anwalt der Electronic Frontier Foundation, aus. „Die wirklich schwere Arbeit kommt noch.“ Die Sicherheits-Community forderte er auf, auch künftig mit dem BIS zusammenzuarbeiten.

In seiner vorliegenden Form soll das Wassenaar-Abkommen die Verbreitung von Spähsoftware an repressive Staaten verhindern. Die dem italienischen Anbieter Hacking Team gestohlenen Unterlagen zeigen jedoch, dass solche Firmen in der Lage sind, sich an Exportbestimmungen anzupassen. The Verge unterstellte im vergangenen Monat sogar, dass einige der Anbieter, falls notwendig, ihre Geschäfte eben im geheimen durchführten.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.