Spähsoftware aus Deutschland Unter Generalverdacht

Hallo, Hacker! Das meistgenutzt Passwort ist 123456

(Foto: dpa)

Das Wirtschaftsministerium will den Export deutscher Spähsoftware einschränken; also die Ausfuhr von Programmen, mit der in Diktaturen Regimegegner überwacht werden. Doch eine solche Regelung könnte die tägliche Arbeit von Sicherheitsforschern kriminalisieren.

Von Hakan Tanriverdi

Spionage-Software ist kein Produkt, mit dem man sich besonders beliebt macht. Und wenn deutsche Firmen sie auch noch in Länder verkaufen, die nicht wissen, wie man Menschenrechte buchstabiert, hat das erst recht einen bitteren Beigeschmack. Denn man kann damit Gespräche mithören, Fotos ansehen, Datensätze abgreifen - also auch Regimegegner ausspionieren. Wenn diese dann aufgespürt und gefoltert werden, ist das eine Folge solcher Deals. Deshalb erklärte Bundeswirtschaftsminister Sigmar Gabriel kürzlich, solchen Firmen über Exportverbote das Geschäft mit der Überwachung erschweren zu wollen. Klingt einfach und richtig - könnte aber verhängnisvoll sein.

Im Wassenaar-Abkommen haben sich 41 Staaten weltweit auf Ausfuhrkontrollen von sogenannten Dual-Use-Gütern verständigt. Produkte also, die sich sowohl zivil als auch militärisch nutzen lassen. Mit einer Faserwickelmaschine zum Beispiel, eine Art Webstuhl für Karbonfasern, können Teile von Tennis- und Golfschlägern hergestellt werden - aber mit ihr können auch Raketenteile produziert werden. Der Export muss Fall für Fall genehmigt werden. Nach den Vorstellungen Sigmar Gabriels soll nun auch die EU ihre Vorschriften zur Exportkontrolle überarbeiten und "die jüngsten internationalen Beschlüsse des Wassenaar-Abkommens" einfügen, wie es aus dem Wirtschaftsministerium heißt. Das würde bedeuten: Mit Ende des Jahres wäre auch Spionage-Software betroffen.

Sicherheitsforscher befürchten jedoch, dass die geplanten Änderungen am Ende ihre tägliche Arbeit kriminalisieren. Ihr Job besteht darin, Schwachstellen in Computersystemen zu finden und zu beseitigen. Alles, was programmiert wird, hat solche Schwachstellen. Denn Computerprogramme werden von Menschen geschrieben, Menschen aber machen Fehler - und dadurch wird jedes System angreifbar. Laut Schätzungen passieren pro 1000 Zeilen Programmcode zwischen einem und dreißig Fehler. Und Betriebssysteme etwa haben Millionen Zeilen. In einer Zeit, in der selbst ein Bäcker seine Logistik mithilfe von Software organisiert, ist die Arbeit dieser Sicherheitsforscher zentral.

Von null auf Sicherheit

Ausgerechnet die IT-Branche ist vom Internet überfordert. Hard- und Software sind auf Leistung ausgelegt, nicht auf Sicherheit. Hacker-Angriffe sind deswegen sehr erfolgreich. Eine hochkarätige Forschergruppe will das nun ändern. Von Hakan Tanriverdi mehr ...

Technisch macht es keinen Unterschied, ob man ein System angreifen oder verteidigen will

Christian Horchert ist einer von ihnen. Er arbeitet bei der Kölner IT-Firma Sektion Eins, ist Mitglied beim Chaos Computer Club und gilt als eine Instanz auf seinem Gebiet. Wenn er über die geplante Regelung spricht, stellt er zuerst klar: "Ich finde das, was diese Firmen machen, auch verwerflich". Eine Haltung, die viele teilen: Niemand will indirekt das Geschäftsmodell der Spähsoftware-Firmen verteidigen. Gleichzeitig aber müssten IT-Systeme ständig sicherer gemacht werden, "das ist das Problem", sagt Horchert. Und Angriff ist eben die beste Verteidigung. "Wenn ich für meine Kunden in ihre Systeme eindringe, dann muss ich beispielhaft zeigen, wie ein Angreifer die Lücken nutzen würde. Ich muss also handeln wie ein Angreifer. Das ist Teil unseres Tagesgeschäfts", sagt Horchert. Technisch macht es keinen Unterschied, ob man ein System angreifen oder verteidigen will.

Das neue Export-Abkommen soll aber genau auf dieser technischen Ebene ansetzen. Auch die Firmen, die ihre Überwachungssoftware an Staaten wie Bahrain verkaufen, nutzen diese Schwachstellen und bauen um sie herum ein Programm mit leicht zu bedienender Oberfläche auf. Ihre Programme packen etwa Schadsoftware in E-Mail-Anhänge; wer darauf klickt, infiziert seinen Computer und kann überwacht werden. Ist die genutzte Schwachstelle beseitigt worden, suchen die Experten der Exportfirmen nach der nächsten. Ein Rundum-Sorglos-Paket.

Was genau das Abkommen regulieren wird, ist noch unklar. Innerhalb des Textes finden sich Passagen, die so breit formuliert sind, dass mit ihnen alles gemeint sein könnte. Zum Beispiel steht da, dass Technologie beschränkt wird, die zur Entwicklung von "intrusion software" geeignet ist. Wenn man diesen Satz liest, wie er dasteht, wird nicht das Gesamtpaket reguliert, sondern das bloße Arbeiten mit Schwachstellen, also das Tagesgeschäft von Sicherheitsforschern. Je mehr von ihnen sich das Abkommen durchlesen, desto mehr Bedenken haben sie und sammeln Fälle aus ihrem Arbeitsalltag, die betroffen wären. Programme, die die Fehleranfälligkeit eines Systems überprüfen, um Schwachstellen zu finden, müssen sich nach dem vorliegenden Text der Exportkontrolle unterziehen. Das ist in etwa so, als ob ein Künstler um Erlaubnis bitten müsste, um in seinen Bildern die Farbe Blau zu verwenden.