bedeckt München

Spähsoftware aus Deutschland:Was ist eine "unkritische Verwendung"?

Hat ein Kunde der Sicherheitsfirma seinen Sitz außerhalb der EU, was oft der Fall ist, muss jeder einzelne Auftrag dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (Bafa) vorgelegt werden. Ein an sich legitimes und legales Geschäft stünde damit unter Generalverdacht. Das ärgert Horchert vom Chaos Computer Club: "Das, was wir machen, ist IT-Sicherheit, das ist etwas zutiefst Ziviles." Denn je mehr Schwachstellen behoben werden, desto sicherer werden IT-Systeme. Und weniger anfällig für die Spionage-Software, die die Exportkontrollen gerade verbieten wollen.

Auch Morgan Marquis-Boire sieht das Abkommen in seiner jetzigen Form kritisch. Er arbeitet beim Citizen Lab an der Universität in Toronto und ist einer der Forscher, die nachgewiesen haben, dass Aktivisten in Bahrain mit Software von Gamma International, einer britisch-deutschen Firma, ausgespäht wurden. "Dass diese Software in solchen Ländern eingesetzt wird, das ist besorgniserregend", sagt er. Es sollte einen Rahmen geben, "um jene zu bestrafen, die Programme mit so einem Potenzial unverantwortlich verkaufen." Aber er sagt auch, dass der aktuelle Text mehr Fragen offen lässt als Antworten gibt: "Meine größte Sorge ist, dass hier eine Industrie reguliert wird von exakt den Regierungen, die eine Entwicklung solcher Produkte in Auftrag geben."

Der US-Geheimdienst NSA etwa kaufte im vergangenen Jahr für 25 Millionen Dollar Wissen um Schwachstellen in Computersystemen ein. Je mehr Schwachstellen, umso mehr Mittel, Menschen abzuhören. Und die Bundesregierung bestätigte 2013, dass sie für eine Überwachungssoftware namens Finfisher knapp 150 000 Euro ausgegeben hat. Hergestellt übrigens von der Firma, deren Software Marquis-Boire auch auf den infizierten Computern von bahrainischen Aktivisten gefunden hat. "Die Sorge unter den Sicherheitsforschern ist nun diese: Wenn der Staat anfängt, in diesem Bereich zu regulieren, wird die Forschung nur noch für die möglich sein, die auch für den Staat arbeiten - alle anderen werden aus dem Geschäft gedrängt."

Ben Wagner arbeitet an der Universität Viadrina und ist Mitglied der Digitalen Gesellschaft, einer Organisation, die sich für Exportkontrollen bei solcher Software einsetzt. Er hat eine Studie über das Wassenaar-Abkommen geschrieben (PDF-Version) und verteidigt die Änderungen, obwohl auch er problematische Stellen im Text sieht. "Das Abkommen zielt nicht auf die Schwachstelle selbst ab, sondern auf das Komplettpaket." Es sei eines der wenigen internationalen Mechanismen, mit denen Staaten sich untereinander abstimmen können, um Dual-Use-Produkte zu regulieren.

Die Digitale Gesellschaft habe kein Interesse daran, die alltägliche Arbeit der Sicherheitsforscher zu blockieren, sagt er: "Wir sind sehr eng mit dieser Community im Gespräch - schon seit Jahren." Die Verantwortung für eine sinnvolle Umsetzung liege aber letztlich bei den Regierungen. Aus dem Wirtschaftsministerium heißt es dazu, dass eine "unkritische Verwendung" der Technologie von der Exportregulierung nicht erfasst werden solle. Doch was soll das sein, eine "unkritische Verwendung"? So genau weiß das niemand. Und genau das ist das Problem.

© SZ vom 22.07.2014/pauk
Zur SZ-Startseite

Lesen Sie mehr zum Thema