32C3: Mit Wassenaar-Exportregeln gegen "Gedankenverbrechen"

Aktivisten und Sicherheitsexperten haben auf dem 32. Chaos Communication Congress (32C3) in Hamburg am Montag kein gutes Haar an der Revision der Wassenaar-Übereinkunft von 2013 gelassen, die seit März gilt. Demnach werden erstmals auch "Infiltrationssoftware" sowie der "immaterielle Transfer" von Computerprogrammen und Technologie dem Abkommen unterworfen.

Mit der Absprache wollen 40 Staaten einschließlich der EU-Mitglieder und der USA eigentlich den Export konventioneller Waffen sowie von Gütern, die im militärischen und zivilen Bereich einsetzbar sind, strenger kontrollieren. Einschlägige Produzenten müssen demnach bei den zugehörigen Behörden wie dem Bundesamt für Wirtschaft und Ausfuhrkontrolle hierzulande zunächst jeweils eine Lizenz beantragen.

Software, mit der Daten oder Informationen aus einem Computer oder netzwerkfähigen Gerät ausgelesen werden können, werde mit dem überarbeiteten Text "als Waffe" angesehen, beklagte der niederländische IT-Fachmann Walter van Holst. Die Definition sei so schwammig, dass selbst Java-Anwendungen im Browser darunter fallen könnten. Offenbar werde mit der Klausel zu immateriellen Gütern gar eine neue Kategorie von "Gedankenverbrechen" eingeführt. In der EU müssten die neuen Regeln zwar noch mit der Novelle einer einschlägigen Verordnung umgesetzt werden, wofür die Vorarbeiten mit einem Bericht der Abgeordneten Marietje Schaake angelaufen seien. Dabei würden in der Regel die Wassenaar-Vorgaben aber nur "kopiert".

Die Sache mit dem "nicht-greifbaren" Technologietransfer sei auf dem Mist der USA und Großbritanniens gewachsen, erläuterte die Biopunk-Autorin Meredith L. Patterson. Schon wer künftig eine Idee in seinem Kopf herumtrage, die als Ansatz zum Ausnutzen von Sicherheitslücken in Form eines Exploits eingestuft werden könnte, dürfe damit künftig nicht mehr einfach in fremde Länder reisen. Selbst wer solches Wissen über Grenzen hinweg mit Dritten teile, dürfte "kriminalisiert" werden.

Offenbar hätten die beteiligten Politiker nicht über solche Nebenwirkungen nachgedacht, monierte Patterson. Dies sei besonders frustrierend, da die Staatsvertreter bei Wassenaar eigentlich Verbündete im Kampf gegen Spionagesoftware darstellen sollten. Es sei aber klar, dass die Beteiligten "technischen Sachverstand" nicht einbezogen und so Geheimdienste wie das GCHQ oder die NSA ihre Ziele hätten verwirklichen können.

Die dunkle Seite der Macht habe den Wassenaar-Prozess offenbar als "attraktives Lobby-Ziel" ausgemacht, pflichtete Richard Tynan von der Datenschutzorganisation Privacy International der Schriftstellerin und Freizeitforscherin bei. Dort müsse man nur eine Institution beeinflussen, der dann zahlreiche Länder folgten. Konkret werde mit der jüngsten Revision etwa nicht mehr zwischen tatsächlichen Überwachungsprogrammen und Anti-Virus-Signaturen oder dem Enthüllen von Malware mit neuen Angriffsvektoren unterschieden. Dies werde "schlimme Folgen für die gesamte Internetsicherheit" haben, da Sicherheitsexperten abgeschreckt werden dürften. Selbst Lehrer bräuchten für Unterrichtsstunden mit internationalen Schülern, in denen sie Wissen über Schadsoftware vermittelten, offenbar künftig eine Exportgenehmigung.

"Schockiert" über den Entwurf des Bureau of Industry and Security (BIS) des US-Wirtschaftsministeriums, mit denen die neuen Regeln in nationales Recht gegossen werden sollen, zeigte sich Nate Cardozo von der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF). Jeder, der Software mit Verschlüsselungsfähigkeiten schreibe und exportieren wolle, müsste damit den Quellcode zunächst der NSA vorlegen. Kryptoprogramme sollten seiner Ansicht nach aber gar nicht mehr unter das Abkommen fallen. Generell sei Software "kein Gewehr".

Andererseits geht Cardozo davon aus, dass die Hersteller umstrittener Trojaner wie die Gamma Group (FinFisher) oder die italienische Firma Hacking Team nach wie vor in ihren Herkunftsländern aufgrund spezieller Regierungsverbindungen problemlos Ausfuhrlizenzen erhalten. Exporten solcher Lieferanten in autoritäre Staaten könne man am besten beikommen, indem Service- und Supportverträge untersagt würden. Ohne diese sei die Software an sich meist nutzlos.

Dass frei über die "Public Domain" verfügbare Programme nicht unter das Abkommen fallen, hält der Aktivist nicht für ausreichend. Freie Software bliebe damit nicht generell außen vor, da sie häufig zumindest in professionellen Versionen kommerziell vertrieben werde. Zudem seien Entwürfe für Open-Source-Programme nicht geschützt, solange sie nicht in konkreten Code verwandelt würden. Van Holst rief die Wassenaar-Staaten dazu auf, die jüngsten Klauseln baldmöglichst zu überarbeiten oder ganz zu streichen und bis dahin zumindest die geplanten Implementierungen zu verzögern und damit Schaden zu begrenzen. (hos)