iOS-Apps unter Exportkontrolle: Wie man Software weltweit im App Store anbietet

Inhaltsverzeichnis

Als Entwickler darf man Software mit kryptographischen Funktionen nicht beliebig und ohne Genehmigung aus den USA ausführen. Als außerhalb der USA tätiger Programmierer fragt man sich zu Recht, inwiefern einen diese Regel betrifft; man führt ja keine Software aus den USA aus, denkt man. Und kryptographische Funktionen hat man vielleicht auch nicht verwendet. Beides ist leider oftmals ein Trugschluss. Und es drohen Strafen und andere Probleme. Wir erklären, was Developer zu beachten haben.

US-Exportkontrolle

Jede App, die eine Netzwerkverbindung über eine HTTPS-Verbindung aufbaut oder Daten verschlüsselt, verwendet kryptographische Funktionen. Und da die App-Store-Server in den USA stehen, exportiert beziehungsweise genauer reexportiert man Software aus den USA, wenn man eine App aus Deutschland in ein anderes Land verkauft, egal ob nach Deutschland, Großbritannien oder Frankreich. Damit unterliegen die meisten Apps den US-Exportregulierungen (Export Administration Regulations, EAR). Um einen Reexport handelt es sich, weil die Software zunächst aus einem anderen Land in die USA importiert wurde.

Die EAR-Regeln der US-Exportkontrolle definieren, ob für die Ausfuhr einer App eine Genehmigung erforderlich ist – oder nicht. In den USA besteht eine Exportbeschränkung beispielsweise für symmetrische Algorithmen mit einer Schlüssellänge von mehr als 64 Bit, für asymmetrische Algorithmen mit einer Schlüssellänge von mehr als 768 Bit und für auf elliptischen Kurven basierende Algorithmen mit einer Schlüssellänge von mehr als 128 Bit. Alle kommerziellen Produkte, die eine stärkere Kryptographie verwenden, muss man beim BIS (US Bureau of Industry and Security) melden.

Das war die Leseprobe unseres heise-Plus-Artikels " iOS-Apps unter Exportkontrolle: Wie man Software weltweit im App Store anbietet". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.