Angeblich wegen Wassenaar: Hacking-Event Pwn2Own verliert HP als Sponsor

Das Rüstungsabkommen Wassenaar scheidet die Security-Gemeinde, jetzt soll HP sein Engagement beim Pwn2Own-Event deswegen beendet haben. Da Zero-Day-Lücken gegen die Exportbestimmungen verstoßen könnten, ist der Wettbewerb wohl zu heikel.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Wassenaar
Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Wie der Organisator des Hacking-Events Pwn2Own über Twitter bekannt gab, muss die nächste Ausgabe ohne Hauptsponsor Hewlett-Packard (HP) auskommen. Dragos Ruiu, Erfinder und Ausrichter der in Security-Kreisen hoch angesehenen Schwachstellen-Jagd, habe dies von der zu HP gehörenden Zero-Day-Initiative (ZDI) erfahren. Schuld sei ein Exportabkommen für Rüstungsgüter, das sogenannte Wassenaar Arrangement. Bei Pwn2Own können Hacker hunderttausende US-Dollar an Preisen für Lücken in Desktop- und Mobilgeräten abräumen – große Teile des Preisgeldes kommen von HP.

Die Firma hatte zwar bereits ein Pwn2Own-Event im März gesponsort, das fand allerdings auf der CanSecWest-Konferenz in Kanada statt. Die aktuelle Ausgabe soll im November in Japan steigen und genau da liegt der Hase im Pfeffer: Im Gegensatz zur kanadischen Umsetzung des Wassenaar-Abkommens seien die japanischen Gesetze so unübersichtlich, dass die Anwälte von HP das Hacker-Event für zu riskant halten. Insgesamt habe HP über eine Million US-Dollar ausgegeben, um die Konsequenzen des Wassenaar-Abkommens abzuschätzen, sagte Ruiu gegenüber der US-Nachrichtenseite Ars Technica.

Änderungen des Wassenaar Arrangement, die seit Anfang des Jahres in Kraft sind und von den einzelnen Unterzeichner-Staaten separat umgesetzt werden müssen, besagen, dass auch Schadcode und Schwachstellen unter die Exportbeschränkungen von Rüstungsgütern fallen. In welchem Umfang dies zutrifft, ist momentan sehr unklar und wird seit Monaten von der Security-Gemeinde debattiert. Wie der aktuelle Fall zeigt, scheinen auch lokale Nuancen bei den Umsetzungen des Abkommens dabei durchaus schwer ins Gewicht zu fallen.

Die Anwälte von HP haben offensichtlich Angst, dass den Sicherheitsforschern die Ein- beziehungsweise Ausfuhr von Speichermedien mit Exploits zum Verhängnis werden könnte. Und eben solche Exploits sind die Ausrüstung, die Hacker dabei haben müssen, um bei Pwn2Own mitzumachen. Immerhin müssen sie live vor Zeugen das entsprechende Gerät übernehmen und brauchen dazu Schwachstellen in dessen Software, die am besten niemand anderes kennt – also genau jene Zero-Day-Exploits die unter Umständen den Exportbeschränkungen von Wassenaar unterliegen. HP will wohl nicht mit den Konsequenzen assoziiert werden.

Ruiu will nun erst einmal alleine mit Pwn2Own weitermachen. Die HP-Preisgelder sind nicht die einzigen Kollateralschäden, die die Unsicherheit über die Wassenaar-Änderungen nach sich zieht. Unter anderem hatte ein Sicherheitsforscher Mitte des Jahres bereits aus dem selben Grund die eigene Dissertation beschnitten. Eine Anfrage von heise Security, ob Wassenaar der Grund für den Ausstieg bei Pwn2Own ist, ließ HP bis jetzt unbeantwortet. Es kursieren ebenfalls Gerüchte, dass die Firma sich aus dem Engagement zurückzieht, weil sie den Verkauf ihrer Tochter Tipping Point erwägt. Auch die ZDI gehört zu Tipping Point. (fab)