USA überdenken Exportbestimmungen für Sicherheitslücken

Das Wirtschaftsministerium zieht einen umstrittenen Entwurf zurück. Es reagiert damit auf zahlreiche Rückmeldungen aus der Sicherheits-Community. Ein neuer Entwurf soll noch in diesem Jahr veröffentlicht werden.

Das zum US-Wirtschaftsministerium gehörende Bureau of Industry and Security (BIS) will die Regeln überarbeiten, die den Export von Software und Sicherheitslücken zum Ausspähen von Computern und Smartphones einschränken sollen. Es reagiert damit auf hunderte Stellungnahmen aus der Sicherheits-Community, die die geplante Neufassung des sogenannten Wassenaar-Abkommens als zu weit gefasst kritisiert hatten.

Security in Firmen (Bild: Shutterstock/Mikko Lemola)„Alle Kommentare werden genau geprüft und ausgewertet, und die Behörden werden entscheiden, wie die Regeln geändert werden sollten“, zitiert Reuters einen Sprecher des Wirtschaftsministeriums. „Eine zweite Version der Regeln wird öffentlich bekannt gegeben und Sie können daraus ableiten, dass die erste Version zurückgezogen wird.“ Der Sprecher erwartet, dass dies allerdings noch mehrere Monate dauert.

Der Schritt an sich war Reuters zufolge erwartet worden. Selbst Aktivisten, die Einschränkungen für den Verkauf von Spähsoftware an repressive Staaten begrüßten, hätten den ersten Entwurf abgelehnt. Google hatte sich zudem mit Ablauf der Kommentarfrist am 20. Juli mit einem offenen Brief gegen die geplanten Exportbestimmungen gewandt. „Sie würden unsere Möglichkeiten einschränken, uns selbst und unsere Nutzer zu schützen und das Web sicherer zu machen. Es wäre ein desaströses Ergebnis, wenn Exportbestimmungen, die den Menschen mehr Sicherheit geben sollen, die Sicherheit von Milliarden von Nutzern weltweit schwächen würden“, kommentierte der Internetkonzern in einem Blogeintrag.

Der erste Entwurf zwingt Google seiner Ansicht nach, Exportlizenzen für Bug-Tracking-Systeme, Code-Review-Systeme und sogar Kommunikation über Sicherheitslücken wie E-Mails und Sofortnachrichten zu beantragen. Es forderte deswegen Ausnahmeregeln für jeden, der Informationen mit dem Zweck an einen Hersteller weitergibt, eine Schwachstelle zu beseitigen. Zudem müsse sichergestellt sein, dass weltweit agierende Unternehmen ohne Beschränkungen auch Informationen über Schadsoftware jederzeit uneingeschränkt mit ihren Technikern austauschen können.

„Ich glaube, das BIS hat an einem bestimmten Punkt verstanden, dass es nicht alle benötigten Informationen hat“, sagte der US-Sicherheitsforscher Collin Anderson im Gespräch mit ThreatPost. „Sie haben erkannt, dass ihre Fähigkeit, die Auswirkungen auf die Sicherheitsindustrie einzuschätzen, eine Grenze erreicht hat.“

ThreatPost zufolge soll der neue Entwurf noch vor dem nächsten geplanten Treffen der Wassenaar-Mitgliedstaaten im Dezember veröffentlicht werden. Die Entscheidung des BIS, den Entwurf zu überarbeiten, sei nur „ein kleiner Sieg“ und nur „ein erster Schritt“, führte Nate Cardozo, Anwalt der Electronic Frontier Foundation, aus. „Die wirklich schwere Arbeit kommt noch.“ Die Sicherheits-Community forderte er auf, auch künftig mit dem BIS zusammenzuarbeiten.

In seiner vorliegenden Form soll das Wassenaar-Abkommen die Verbreitung von Spähsoftware an repressive Staaten verhindern. Die dem italienischen Anbieter Hacking Team gestohlenen Unterlagen zeigen jedoch, dass solche Firmen in der Lage sind, sich an Exportbestimmungen anzupassen. The Verge unterstellte im vergangenen Monat sogar, dass einige der Anbieter, falls notwendig, ihre Geschäfte eben im geheimen durchführten.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

 

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Themenseiten: Sicherheit, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu USA überdenken Exportbestimmungen für Sicherheitslücken

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *