USA wollen Verkauf von Zero-Day-Lücken eindämmen

Das US-Handelsministerium hat vorgeschlagen, den Verkauf von Zero-Day-Lücken einzuschränken, indem man sie wie Waffenlieferungen behandelt. Dazu soll eine bestehende internationale Übereinkunft ausgeweitet werden: Schon seit 2013 gehört „Dual Use„-Software, die das Eindringen in Computersysteme ermöglicht, durch das von den USA, Deutschland und 38 weiteren Staaten unterzeichnete Wassenaar-Abkommen zu den regulierten Exportgütern.

Der neue Vorschlag beinhaltet, dass Firmen und Sicherheitsforscher eine Lizenz beantragen müssen, um Intrusion-Software und Netzwerk-Überwachungssysteme zu exportieren. Dies könnte auf Hypervisoren, Debugger und Software für Reverse Engineering erweitert werden. Dabei würden Anträge für Exporte in die „Five Eyes“-Partnerländer Australien, Großbritannien, Kanada und Neuseeland bevorzugt behandelt. Im Fall von „Gütern mit Rootkit-Funktionalitäten oder der Fähigkeit, Zero-Day-Lücken auszunutzen“ würde demnach normalerweise keine Genehmigung erteilt werden.

Der Vorschlag hat zu heftigen und widersprüchlichen Reaktionen geführt. Auf Twitter kommentierte Chaokri Bekrar, CEO des französischen Zero-Day-Spezialisten Vupen, dies mache Exporte in die USA für Forscher zur „Hölle“. Vupen hat seine Zero-Day-Exporte dieses Jahr schon aufgrund des Wassenaar-Abkommens auf genehmigte Länder beschränkt.

Adriel Desautels, CEO der auf Penetrationstests spezialisierten Firma Netragard, sagte Reuters: „Eine gewisse Lizenzierung oder Regulation ist nützlich. Aber die hier vorgeschlagene würde die Sicherheitsbranche insgesamt beschädigen. Ich halte das für schlicht dumm.“

Ihm widerspricht Sicherheitsforscher Alan Woodward von der Universität Surrey im Gespräch mit ZDNet.com: „Der Zweck dieses Abkommens ist die Kontrolle von Angriffswaffen. Wenn man die Analogie zu Feuerwaffen und Munition, Bomben und Raketen nimmt, wurde die Forschung dazu doch auch nicht beschädigt, oder? Es geht nur um den Export.“

Auch sei es durchaus sinnvoll, Zero Days – also bisher unbekannte und daher ungepatchte Lücken – strenger zu behandeln, wie es das US-Handelsministerium vorhat: „Jede Zero-Day-Lücke wird als Angriffsmittel behandelt, bis das Gegenteil erwiesen ist. Das ganze Problem von Zero Days ist, dass Hacker sie missbrauchen können. Wenn ich sie geheim halte und verkaufe, können sie als Waffen verwendet werden. Zero Days sind Angriffsmittel.“

Einen Schaden für die Sicherheitsbranche kann Woodward nicht erkennen: „Durch einen Verkauf erhält jemand einen Vorteil. Das ist das Gegenteil von kompletter Offenlegung, was vermutlich die meisten Menschen in der Sicherheitsbranche vorziehen würden.“ Regulierung würde der Branche nur schaden, wenn sie Veröffentlichungen zu Lücken einschränken würde.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.