Zero-Day-Lücken sollen beim Export Waffen gleichgestellt werden

CyberkriminalitätSicherheit
Schadcode (Bild: Eset)

Das US-Handelsministerium empfiehlt, ihren Export nur noch nach erteilter Genehmigung zu gestatten. Das könnte durch Erweiterung einer bereits vorhandenen internationalen Übereinkunft erreicht werden. Einige einschlägige Unternehmen, darunter die französische Firma Vupen, protestieren lautstark gegen dieses Vorhaben.

Das US-Handelsministerium hat vorgeschlagen, den Verkauf von Zero-Day-Lücken einzudämmen, indem diese wie Waffenlieferungen behandelt werden. Dazu soll eine vorhandene internationale Übereinkunft erweitert werden: Bereits seit 2013 zählt “Dual Use“-Software, die das Eindringen in Computersysteme möglich macht, durch das von den USA, Deutschland und 38 weiteren Ländern unterzeichnete Wassenaar-Abkommen zu den regulierten Exportgütern.

Malware (Bild: Shutterstock / Maksim Kabakou)

Der jetzt unterbreitet Vorschlag sieht auch vor, dass Unternehmen und Sicherheitsforscher eine Lizenz beantragen müssen, um Intrusion-Software und Netzwerk-Überwachungssysteme exportieren zu dürfen. Dies könnte auf Hypervisoren, Debugger und Software für Reverse Engineering ausgedehnt werden. Dabei würden Anträge für Exporte nach Australien, Großbritannien, Kanada und Neuseeland präferiert behandelt. Im Fall von “Gütern mit Rootkit-Funktionalitäten oder der Fähigkeit, Zero-Day-Lücken auszunutzen” würde in der Regel keine Genehmigung erteilt werden.

Der Vorschlag hat heftige Reaktionen ausgelöst. Auf Twitter kommentierte Chaokri Bekrar, CEO des französischen Zero-Day-Spezialisten Vupen, dies mache Exporte in die USA für Forscher zur “Hölle”. Vupen hat seine Zero-Day-Exporte dieses Jahr schon wegen des Wassenaar-Abkommens auf genehmigte Länder begrenzt.

Adriel Desautels, CEO des auf Penetrationstests spezialisierten Unternehmens Netragard, sagte Reuters dagegen: “Eine gewisse Lizenzierung oder Regulation ist nützlich. Aber die hier vorgeschlagene würde die Sicherheitsbranche insgesamt beschädigen. Ich halte das schlicht für dumm.”

Dem widerspricht Sicherheitsforscher Alan Woodward von der Universität Surrey im Gespräch mit ZDNet.com: “Der Zweck dieses Abkommens ist die Kontrolle von Angriffswaffen. Wenn man die Analogie zu Feuerwaffen und Munition, Bomben und Raketen nimmt, wurde die Forschung dazu doch auch nicht beschädigt, oder? Es geht nur um den Export.”

Auch sei es durchaus sinnvol bislang unbekannte und deshalb noch ungepatchte Lücken strenger zu behandeln, wie es das US-Handelsministerium plant: “Jede Zero-Day-Lücke wird als Angriffsmittel behandelt, bis das Gegenteil erwiesen ist. Das ganze Problem von Zero Days ist, dass Hacker sie missbrauchen können. Wenn ich sie geheim halte und verkaufe, können sie als Waffen verwendet werden. Zero Days sind Angriffsmittel.”

Einen Schaden für die Sicherheitsbranche kann Woodward dagegen nicht feststellen: “Durch einen Verkauf erhält jemand einen Vorteil. Das ist das Gegenteil von kompletter Offenlegung, was vermutlich die meisten Menschen in der Sicherheitsbranche vorziehen würden.” Regulierung würde der Branche nur dann Schaden zufügen, wenn sie Veröffentlichungen zu Lücken eindämmen würde.

Als Käufer solcher Zero-Day-Exploits treten nicht nur Kriminelle, sondern wie bereits länger bekannt auch Regierungen, Rüstungsfirmen, Geheimdienste und Ermittlungsbehörden in Erscheinung. Bekannt ist zum Beispiel, dass Vupen dem US-Auslandsgeheimdienst NSA Informationen über derartige Schwachstellen sowie die zugehörige Software verkauft hat, um sie auszunutzen. Für sein Verhalten wurde das französische Unternehmen 2013 von der Organsiation “Reporter ohne Grenzen” sogar als einer der Feinde des Internets gebrandmarkt.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen