Exportverbot könnte Sicherheitsexperten treffen

Um die Ausfuhr von Überwachungsprodukten in autoritäre Staaten zu erschweren, wurden bestimmte Systeme in die Liste des Wassenaar-Abkommens für Exportkontrollen von konventionellen Waffen und doppelverwendungsfähigen (dual use) Gütern und Technologien aufgenommen. Dazu zählen unter anderem IMSI-Catcher, Staatstrojaner (Intrusionssoftware), Satellitenfunküberwachung und Netzwerkmanagementsysteme. Die EU arbeitet derzeit daran, die Geräte in ihre Dual-Use-Verordnung EG 428/2009 aufzunehmen, deren Einhaltung in Deutschland vom Bundesamt für Wirtschaft und Ausfuhrkontrolle (Bafa) überwacht wird. Bis Ende des Jahres soll die Liste aktualisiert werden.

Im vergangenen Mai stoppte das Wirtschaftsministerium bereits vorläufig den Export von Überwachungsprodukten in Unrechtsstaaten. Auf Anfrage von Golem.de hieß es, das Ministerium stehe bereits seit Anfang des Jahres mit den betroffenen deutschen Unternehmen in Kontakt. Eine formale Ablehnung habe es seit dem Exportstopp noch nicht gegeben, da einzelne Firmen "bei kritisch einzustufenden Lieferungen" von entsprechenden Aufträgen Abstand genommen hätten, ohne ein Antragsverfahren beim Bafa zu starten. Im vergangenen Jahr sei jedoch in zwei Fällen der Export von TKÜ-Systemen abgelehnt worden, in diesem Jahr in einem Fall.

Hacker warnen vor zu großem Aufwand für kleine Unternehmen

Sicherheitsforscher befürchten inzwischen, dass die Exportbestimmungen über das Ziel hinausschießen könnten. Christian Horchert vom Chaos Computer Club, besser bekannt unter seinem Nickname Fukami, verweist in der Süddeutschen Zeitung (SZ) darauf, dass Sicherheitsexperten für ihre Arbeit auch Angriffsprogramme benötigen, um Systeme auf mögliche Lücken zu prüfen. Eine Problematik, die im Zusammenhang mit den sogenannten Hackerparagrafen hinreichend bekannt ist. Das Wassenaar-Abkommen definiert in seiner Kontrollliste Intrusionssoftware unter anderem damit, dass die Programme den "Standardausführungspfad eines Programms oder Prozesses modifizieren, um die Ausführung von außen bereitgestellter Befehle zu erlauben".

Dies ist für Horchert "ganz klar eine Definition von Exploits" und nicht von Überwachungssoftware. Exploits seien aber erforderlich, um Schutzsysteme zu entwickeln und den Kunden deren Sicherheitslücken vorzuführen, sagte er auf Anfrage von Golem.de. Kleine Unternehmen hätten keine Ressourcen, um sich um Exportlizenzen zu kümmern oder Anwälte dafür zu bezahlen, sagte Horchert, der auch für die Sicherheitsfirma Sektion Eins arbeitet. Der Sicherheitsforscher Morgan Marquis-Boire vom Citizen Lab äußerte in der SZ die Sorge, dass mit den Exportkontrollen eine Industrie von exakt den Regierungen reguliert werde, die die Entwicklung von Spähprogrammen in Auftrag gäben.

Kunden weichen auf andere Firmen aus

Ob und wie sich das Wassenaar-Abkommen auf die deutschen Firmen auswirken wird, ist schwer vorherzusagen. Schon jetzt habe die Debatte über die Gamma Group dazu geführt, dass vermutlich viele Kunden von Finfisher auf die Produkte des italienischen Herstellers Hacking Team umgestiegen seien, sagte ein Sicherheitsforscher vom Citizen Lab jüngst dem Guardian. Kaspersky und Citizen Lab berichteten Ende Juni über mobile Trojaner für Android und iOS von Hacking Team. Von den EU-Exportregeln wäre jedoch auch die italienische Firma betroffen. Die Eröffnung einer Niederlassung in der Schweiz, wie von der Gamma Group berichtet, dürfte ebenfalls kein Ausweg sein, da auch die Schweiz dem Wassenaar-Abkommen beigetreten ist.

Vielleicht bietet aber der heimische Markt der Überwachungstechnik in Zukunft genug Chancen. Die Debatte über die Vorratsdatenspeicherung ist schließlich noch nicht abgeschlossen. Wie der Streit über die Netzneutralität zeigt, könnten Netzwerkmanagementsysteme mit DPI bald auch in Europa stark nachgefragt werden.