Die neuen digitalen Waffenhändler ?

Es ist ein offenes Geheimnis dass Staaten an Software arbeiten, die es Ihnen ermöglicht Computer zu überwachen, Daten zu entwenden oder IT-Systeme zu stören. Der sog. ANT-Katalog der NSA hat dabei deutlich gezeigt, in welchem Umfang und mit welcher technologischen „Breite“ sich Dienste entsprechende Hilfsmittel und Werkzeuge aufbauen.

Eine der wichtigsten Funktionen für die Entwicklung von derartiger Programme stellen Sicherheitslücken, idealerweise in großflächig verwendeter Software wie Betriebssystemen oder Browsern dar, die der Fachwelt noch unbekannt sind und für die es keine Sicherheitsaktualisierungen gibt. Solche als Zero Day Exploits bezeichneten Schwächen bilden oft den Ausgangspunkt von spezialisierter Spionage- oder Sabotage-Software, indem sie bildlich gesprochen als Loch in einer Mauer vorhandener Schutzmaßnahmen dienen, über das die eigentliche Software mit der Schadfunktion (der sog. Payload) auf den Zielcomputer geschleust und in Umgehung der Sicherungsbarrieren installiert werden kann.

Zero Day Exploits sind dabei in aller Regel fehlerhaft programmierte Funktionen und gerade wenn Sie aktuelle Software betreffen selten und daher sehr begehrt. Es ist darf daher nicht verwundern, dass es neben einem florierenden Schwarzmarkt für Exploits auch offizielle Firmen gibt, die gezielt derartige Sicherheitslücken suchen, aufkaufen oder auf eigens veranstalteten Treffen von Hackern sammeln um diese zu vermarkten. Der bekannteste Spieler in diesem Markt ist die französische Firma „Vupen Security„. Eigenen Aussagen zufolge beliefert Vupen ausschließlich Staaten und deren Institutionen:

“Not one of our exploits have ever been discovered in the wild,” Bekrar [Gründer von Vupen Security] added. “All of our customers use exploits in a targeted way for specific national security missions.” (Quelle: threatpost.com)

Nachdem in der Vergangenheit vor allem noch davon gesprochen wurde solche Exploits für die Tests und Pflege von Defensiv-Systemen zu verkaufen, damit Staaten sich gegen Angriffe aus dem Cyberspace wappnen können, scheinen mittlerweile offensive Cyber-Fähigkeiten salonfähig geworden zu sein:

VUPEN provides government-grade zero-day exploits specifically designed for law enforcement agencies and the intelligence community to help them achieve their offensivecyber missions and network operations (Quelle: vupen.com [Link offline], lokale Kopie)

Die Bedeutung, die aus internationaler Sicht diesen Exploits zukommt wird unter anderem daran sichtbar, dass am 4. Dezember 2013 „Intrusion software“ auf die Liste der durch das Wassenaar-Abkommen regulierten, kritischen Güter aufgenommen wurden.

“Software” specially designed or modified to avoid detection by ‘monitoring tools’, or to defeat ‘protective countermeasures’, of a computer or network capable device, and performing any of the following:

a. The extraction of data or information, from a computer or network capable device, or the modification of system or user data; or

b. The modification of the standard execution path of a program or process in order to allow the execution of externally provided instructions.

(Q: „The Wassenaar arrangement on export controls for conventional arms and dual-use goods and technologies list of dual-use goods and technologies and munitions list„)

Staaten die dem Abkommen beigetreten sind müssen Ausfuhren der regulierten Güter durch nationale Firmen genehmigen. Zum einen haben sie dabei jedoch relativ weite Hand hinsichtlich der Entscheidung darüber, welche Güter im Detail reguliert werden und zum anderen müssen die neuen Regelungen erst in nationales Recht überführt werden. Zusätzlich verpflichten sich Staaten alle anderen Mitgliedsstaaten des Abkommens über entsprechende Exporte zu unterrichten, jedoch erst nachdem der Export stattgefunden hat. Eine effektive Kontrolle der Verbreitung solcher Güter (die sog. Proliferation), ein wichtiger Bestandteil von klassischen Rüstungskontrollabkommen, ist damit nur bedingt möglich, unter anderem da das Wassenaar-Abkommen bisher nur von 41 Staaten ratifiziert wurde und somit keine weltweite Reichtweite erzielt.

In wieweit sich die Sichtweise das Wassenaar-Abkommens in den kommenden Jahren auch in größeren Foren durchsetzen kann und sich in einer international einheitlichen und verbindlichen Regelung niederschlägt bleibt abzuwarten. Unter anderem arbeiten die UN seit mehreren Jahren im Rahmen einer „group of governmental experts“ (GGE) an der Etablierung von Maßstäben zur friedlichen Entwicklung des Cyberspace, diese wird jedoch oft durch Fragen der einheitlichen Sichtweisen der beteiligten Staaten gebremst.

Ob Firmen wie Vupen zukünftig als Waffenhändler betrachtet oder in die Riege von Rüstungsfirmen aufgenommen werden ist gegenwärtig sehr unklar, deutlich wird jedoch, dass diesen Firmen ein rasant wachsender Markt offen steht und weitere Regelungen dringend geboten sind, wenn eine effektive internationale Kontrolle der Existenz und Verbreitung offensiv schädlicher Software erreicht werden soll.