Ende 2013 wurden die Regelungen des Wassenaar-Abkommens für ”Exportkontrollen von konventionellen Waffen und doppelverwendungsfähigen Gütern und Technologien” – also dem Handel mit potentiell Waffen-fähigen Materialien und Produkten um Klauseln erweitert, die auch Schadsoftware und dafür benötigte Sicherheitslücken umfassen. (Details dazu hier) Das Wassenaar-Abkommen basiert auf einem Kreis von gegenwärtig 41 Vertragsstaaten, von denen die beschlossenen Regelung jeweils unabhängig interpretiert und eigenständig in nationalem Recht verankert werden. Dies umfasst im besonderen die Implementierung der vorgesehenen Kontrollgremien und den exakten Umfang der zu genehmigenden Güter.
Im Zuge entsprechender Anpassungen US-amerikanischer Gesetze, die durch das US-Handelsministerium (U.S. Department of Commerce’s Bureau of Industry and Security – BIS) vorgeschlagen wurden, formiert sich aktuell ein breiter Widerstand – von Seiten der Industrie, der Wissenschaft und zivilgesellschaftlicher Initiativen. Dies hat zu einer eher ungewöhnlichen neuerlichen Überarbeitungsrunde der Gesetzesänderungen geführt. Hauptkritikpunkt ist dabei die weit über die eigentlichen Regelungen des Wassenaar-Vertragstexten hinaus gehenden Kontrollvorhaben. Diese würden auch Werkzeuge, Hilfsmittel und den Informationsaustausch zu Sicherheitslücken erfassen, die IT-Sicherheitsforscher und Firmen gleichermaßen benötigen um IT-Produkte auf Schwächen zu testen oder entsprechende Produkte für die Sicherheit von IT-Systemen zu entwickeln. All diese Tätigkeiten könnten zukünftig – insofern ausländische Kooperations- oder Handelspartner involviert werden – nur mit der Genehmigung der US Behörden erfolgen können. Dazu gehören:
Systems, equipment, components and software specially designed for the generation, operation or delivery of, or communication with, intrusion software include network penetration testing products that use intrusion software to identify vulnerabilities of computers and network-capable devices. [and] Technology for the development of intrusion software includes proprietary research on the vulnerabilities and exploitation of computers and network-capable devices.
(..)
It appears that BIS has just proposed prohibiting the sharing of vulnerability research without a license (Q: eff.org)
Einige Kritiker können dabei die Notwendigkeit der Regelung von Material für “Cyberwaffen” durchaus nachvollziehen und verweisen auf die Umsetzungsvarianten, wie sie durch die EU oder durch Frankreich erfolgt sind. Andere verfehlen mit ihrer Kritik jedoch gänzlich den Sinn und den Hintergrund des Abkommens, wie bspw. Stewart Baker, von des US-amerikanischen Beratungsunternehmens Steptoe & Johnson LLP auf einer Diskussionsveranstaltung:
“No export control regime is going to have any impact on the bad guys, they already have the tools” (Q: threatpost.com)
Das Wassenaar-Abkommen ist jedoch nur mäßig als Mittel zur Kontrolle der Ausbreitung von gefährlichen Technologien geeignet, für eine effektive Proliferations-Kontrolle bedarf es eines international verbindlichen Abkommens mit einheitlichen und vergleichbaren Standards und Kontrollbestimmungen. Statt dessen handelt es sich bei dem Wassenaar-Prozess um einen Baustein internationaler Rüstungs- und Exportkontrollbestimmungen. Deren Fokus liegt nicht auf den oben zitierten “Bösen” (im Sinne internationaler Terror-Organisationen) sondern ausschließlich auf den zwischenstaatlichen Beziehungen und der Vertrauensbildung mit Hilfe von Transparenzmaßnahmen zu nationalen Rüstungs- und Verteidigungsvorhaben. Vertrauensbildende Maßnahmen – ein Konzept das in den 70’er Jahren im Rahmen der KSZE ( Konferenz über Sicherheit und Zusammenarbeit in Europa) entwickelt wurde – sollen die Glaubhaftigkeit der Abwesenheit von Bedrohungen demonstrieren, Unsicherheiten und Fehlinterpretationen über die Absichten der gegnerischen Seite verringern und Kommunikationskanäle für Krisenzeiten etablieren. Das Wassenaar-Abkommen sieht dafür neben der nationalen staatlichen Handelskontrolle den gegenseitigen Informationsaustausch über erfolgte Export und Importe vor. (Link zum Abkommen mit Details und Hintergründen) Auch wenn das Abkommen mittlerweile durch einige Nicht-Vertragsstaaten eher kritisch und als “elitärer Club mit ökonomisch protektionistischen Absichten” angesehen wird, wäre es voreilig, die Regulierungsvorhaben als solches abzulehnen. Rüstungskontrollmaßnahmen haben sich bspw. in Form der sog. “Australischen Gruppen” oder der UN Handelsdatenbank COMTRADE im Bereich der Verhinderung und Kontrolle chemischer und biologischer Kampfstoffe bewährt. Transparenzmaßnahmen wie die Meldung von Handelsvolumen mit kritischen Materialien und den beteiligten Handelspartnern (die unter anderen auch für die medizinischen Forschung und Arzneiproduktion benötigt werden) bilden einen wichtigen Grundstein der wechselseitigen internationalen Kontrolle beim Bann von solchen Waffen. Multilaterale Verträge wie Wassenaar können dabei einen ersten Schritt in Richtung verbindlicher internationaler Abkommen bilden, insbesondere da es im Bereich der militärischen Nutzung des Cyberspace gegenwärtig einen breiten Dissens gibt und kaum Aussichten auf internationale Verhandlungen im Rahmen der UN bestehen.
Nichts desto trotz übersteigt die Interpretation der erweiterten Wassenaar-Regelungen durch die US Behörden und die daraus resultierenden vorgeschlagenen Bestimmungen des US Handelsministerium den ursprünglichen Zweck des Abkommens bei weitem, insbesondere dort, wo bereits die Forschung zur IT-Sicherheit beeinträchtigt würde. Eine gute Zusammenstellung der Argument ist hier bei der Electronic Frountier Foundation zu finden. In gewissen Maße erinnern die beabsichtigen Kontrollvorhaben an jene Zeiten, als in den USA starke (im Sinne von “effektive und nicht zu knackende”) Kryptographie als militärisch relevante Komponente angesehen und deren Export über Landesgrenzen hinaus ebenfalls durch Genehmigungspflichten beschränkt wurde. In diesem Sinne könnten die aktuellen Bestrebungen der US Regierung auch derart gedeutet werden, dass die Weitergabe von sensiblen Sicherheitsinformationen unterbunden werden soll um solche Informationen für die Entwicklung von Schadsoftware durch die NSA & Co. selbst zu verwenden. Es bleibt daher abzuwarten, welche inhaltlichen Auswirkungen die Proteste bewirken werden und ob die US-Regierung noch von ihren Maximalforderungen abrücken wird.
[Anm.: Danke an Gunnar Jeremias von ZNF für seine Expertise zur Rüstungs- und Exportkontrolle bei biologischen und chemischen Kampfstoffen]