Staatstrojaner: Hacking Team darf nur noch in Europa verkaufen
Das umstrittene Überwachungstechnikunternehmen Hacking Team darf seine Überwachungsprodukte nur noch in Europa anbieten, wie eine italienische Zeitung zuerst berichtete(öffnet im neuen Fenster) . Das Unternehmen steht seit Jahren in der Kritik von Menschenrechtlern, weil es seine Software an zahlreiche autoritäre Regime verkauft haben soll. Die im vergangenen Jahr geleakten internen Unterlagen belegen diese Vorwürfe.
In den E-Mails enthalten waren auch Berichte über Gespräche zwischen Hacking-Team-Mitarbeitern und Vertretern der italienischen Regierung, etwa dem Ministerium für wirtschaftliche Entwicklung. Diese hatten Hacking Team zunächst versichert, nicht von neuen Exportbeschränkungen durch das internationale Wassenaar-Abkommen für Waffenexporte betroffen zu sein und eine breite Exportgenehmigung erlassen.
Ministerium nimmt die Lizenz zurück
Jetzt hat das Ministerium jedoch offenbar beschlossen, die globale Exportlizenz von Hacking Team zu revidieren. Damit darf das Unternehmen seine Dienste den Berichten zufolge derzeit nur noch innerhalb der EU anbieten. Konkret gibt es eine Liste von 46 Ländern, in die Hacking Team nicht mehr exportieren darf, bei anderen Staaten müssten im Einzelfall Exportanträge gestellt werden. Ob von der Rücknahme der Lizenz auch bestehende Verträge mit Nicht-EU-Staaten betroffen sind, ist derzeit unklar. Außerdem wird offenbar gegen den Chef von Hacking Team, David Vincenzetti, wegen einiger der Exporte ermittelt.
Das Wassenaar-Abkommen stammt noch aus der Zeit des Kalten Krieges und regelt den Export von Waffen und bestimmten Sprengstoffen, aber auch von sogenannten Dual-Use-Gütern. Unter den 42 Mitgliedern befinden sich neben den EU-Mitgliedsstaaten auch die USA, Russland und Japan. Im Jahr 2013 hatten die Mitgliedsstaaten im Konsens beschlossen, auch bestimmte Spyware wie Staatstrojaner und Monitoring-Center zur Internetüberwachung in das Abkommen mit aufzunehmen. Seit dem Winter 2014 ist das Abkommen auch in der EU in nationales Recht umgesetzt. Spyware wird nicht als Waffe deklariert, sondern als sogenanntes Dual-Use-Gut, eine Kategorie, die zwischen privater und militärischer Nutzung eines Gutes differenziert.
Streit um Zero-Day-Exploits
Menschenrechtler begrüßten die neuen Regeln damals, viele Hacker und Sicherheitsforscher sehen das Abkommen jedoch als Bedrohung ihrer Arbeit an, weil auch einige offensive Recherchetechniken davon betroffen sein könnten. Umstritten ist nach wie vor, ob die Regulierung des Wassenaar-Abkommens Zero-Day-Exploits beinhaltet oder nicht. Zudem wurde kritisiert, dass das Abkommen eine legitime Nutzung von Exploit-Techniken erschweren, Unternehmen wie Hacking Team, Finfisher und Trovicor aber nicht am Export der Produkte hindern würde.
Das Deutsche Bundeswirtschaftsministerium sagte auf Anfrage von Golem.de: "Für die Forschung bestehen keine generellen Exportbeschränkungen oder Genehmigungspflichten. Die Ergebnisse der IT-Sicherheitsforschung können aber unter bestimmten, sehr engen Voraussetzungen unter einzelne Genehmigungspflichten fallen. So kann der Verkauf von Sicherheitslücken z. B. als Technologieausfuhr genehmigungspflichtig sein, wenn diese der Entwicklung von gelisteten Staatstrojanern oder anderer genehmigungspflichtiger Überwachungstechnik dient." Wenn Hacker Sicherheitslücken direkt den betroffenen Unternehmen zur Verfügung stellten, werde die Bewertung in aller Regel gegen eine Genehmigungspflicht ausfallen. Beim zuständigen Bundesamt für Ausfuhrkontrolle können Hacker im Zweifel eine formlose Nachfrage stellen.
USA wollen Abkommen neu verhandeln
In den USA war die dort vorgeschlagene Umsetzung des Wassenaar-Abkommens besonders umstritten. Der Entwurf verzichtete auf in dem Abkommen eigentlich vorgesehene Ausnahmen, etwa für Hacking zu Forschungszwecken. Nach einer intensiven Auseinandersetzung mit der dortigen Community kündigte die US-Regierung vor einigen Wochen an, eine Veränderung der Wassenaar-Regeln anzustreben. Diese Änderung der Regeln müsste erneut im Konsens aller Mitglieder beschlossen werden. Ob die Verhandlungen bis zur diesjährigen Plenarsitzung der Organisation im Dezember entscheidungsreif sind, darf bezweifelt werden. Vertreter von Bounty-Plattformen wie Hacker One und Bugcrowd begrüßten die Ankündigung der US-Regierung im Gespräch mit Golem.de.
Die geleakten Unterlagen belegen auch, dass Hacking Team zwischenzeitlich über die Auslagerung seines Geschäfts nach Saudi-Arabien nachgedacht hat. Vertreter der dortigen Regierung hatten zeitweise sogar vor, das gesamte Unternehmen zu kaufen . Letztlich platzte der Deal aber.
Hacking Team bewirbt seine Produkte damit, die Verschlüsselung auf den Geräten knacken zu können. Die Trojaner sind für zahlreiche Plattformen wie Windows, Mac und Linux aber auch für Android verfügbar. Wir haben das Unternehmen um einen Kommentar gebten und werden diesen gegebenenfalls ergänzen.