Streit um Zero-Day-Exploits

Menschenrechtler begrüßten die neuen Regeln damals, viele Hacker und Sicherheitsforscher sehen das Abkommen jedoch als Bedrohung ihrer Arbeit an, weil auch einige offensive Recherchetechniken davon betroffen sein könnten. Umstritten ist nach wie vor, ob die Regulierung des Wassenaar-Abkommens Zero-Day-Exploits beinhaltet oder nicht. Zudem wurde kritisiert, dass das Abkommen eine legitime Nutzung von Exploit-Techniken erschweren, Unternehmen wie Hacking Team, Finfisher und Trovicor aber nicht am Export der Produkte hindern würde.

Das Deutsche Bundeswirtschaftsministerium sagte auf Anfrage von Golem.de: "Für die Forschung bestehen keine generellen Exportbeschränkungen oder Genehmigungspflichten. Die Ergebnisse der IT-Sicherheitsforschung können aber unter bestimmten, sehr engen Voraussetzungen unter einzelne Genehmigungspflichten fallen. So kann der Verkauf von Sicherheitslücken z. B. als Technologieausfuhr genehmigungspflichtig sein, wenn diese der Entwicklung von gelisteten Staatstrojanern oder anderer genehmigungspflichtiger Überwachungstechnik dient." Wenn Hacker Sicherheitslücken direkt den betroffenen Unternehmen zur Verfügung stellten, werde die Bewertung in aller Regel gegen eine Genehmigungspflicht ausfallen. Beim zuständigen Bundesamt für Ausfuhrkontrolle können Hacker im Zweifel eine formlose Nachfrage stellen.

USA wollen Abkommen neu verhandeln

In den USA war die dort vorgeschlagene Umsetzung des Wassenaar-Abkommens besonders umstritten. Der Entwurf verzichtete auf in dem Abkommen eigentlich vorgesehene Ausnahmen, etwa für Hacking zu Forschungszwecken. Nach einer intensiven Auseinandersetzung mit der dortigen Community kündigte die US-Regierung vor einigen Wochen an, eine Veränderung der Wassenaar-Regeln anzustreben. Diese Änderung der Regeln müsste erneut im Konsens aller Mitglieder beschlossen werden. Ob die Verhandlungen bis zur diesjährigen Plenarsitzung der Organisation im Dezember entscheidungsreif sind, darf bezweifelt werden. Vertreter von Bounty-Plattformen wie Hacker One und Bugcrowd begrüßten die Ankündigung der US-Regierung im Gespräch mit Golem.de.

Die geleakten Unterlagen belegen auch, dass Hacking Team zwischenzeitlich über die Auslagerung seines Geschäfts nach Saudi-Arabien nachgedacht hat. Vertreter der dortigen Regierung hatten zeitweise sogar vor, das gesamte Unternehmen zu kaufen. Letztlich platzte der Deal aber.

Hacking Team bewirbt seine Produkte damit, die Verschlüsselung auf den Geräten knacken zu können. Die Trojaner sind für zahlreiche Plattformen wie Windows, Mac und Linux aber auch für Android verfügbar. Wir haben das Unternehmen um einen Kommentar gebten und werden diesen gegebenenfalls ergänzen.