von Martin Schmetz
In der Nacht vom letzten Sonntag wurde, größtenteils unbemerkt von der deutschen Presseöffentlichkeit, der italienische Softwareanbieter Hacking Team gehackt und über 400gb seiner internen Daten im Netz verteilt. Die Daten umfassen alles: E-Mails der Firmenleitung, der Programmierer und des Verkaufspersonals, interne Dokumente und Verträge und den kompletten Programmcode. Die Reaktion der Netzgemeinde war die umfassender Schadenfreude: Hacking Team stellt Spionage- und Überwachungssoftware her und verkauft diese weltweit an Regierungen – gerne auch solchen der autoritären Art. Diese Software wurde, wie die Leaks nun zeigen, tatsächlich zur Bekämpfung von Oppositionspolitikern und Menschenrechtsaktivisten eingesetzt, etwa in Äthiopien oder Sudan. Nicht umsonst führen Reporter ohne Grenzen Hacking Team in ihrer Liste der Feinde des Internets. Der Leak zeigt, dass die von diversen NGOs und Forschern, allen voran das Citizen Lab, geäußerten Vorwürfe stimmen: Hacking Team unterstützt autoritäre Regimes in Ihrem Kampf gegen Oppositionelle und ignoriert dabei auch Sanktionen, in dem es etwa an den Sudan oder Russland verkauft.
Das sollte nicht sein. Denn rechtlich ist die Ausfuhr dieser Software spätestens seit Ende 2014 in der EU problematisch. Zu dieser Zeit wurde die Überarbeitung des Wassenaar-Abkommens in der EU verabschiedet. Das Wassenaar-Abkommen regelt den Export von konventionellen Waffen und Gütern mit militärischen sowie zivilen Anwendungen. In der neuesten Version zählen dazu auch Überwachungs- und Spionagesoftware ("Intrusions-Software"). Das Abkommen ist durchaus umstritten, denn die Formulierungen, die sich auf Überwachungs- und Spionagesoftware beziehen sind extrem weit und unpräzise gefasst. Bessere Vorschläge existieren durchaus, etwa in dem man sich nicht auf das Eindringen in Systeme und Ändern von „Standard-Ausführungspfades eines Programms oder Prozesses“ konzentriert, sondern auf das Ableiten von Daten aus den Rechnern anderer. Die Software von Hacking Team (Remote Control System) etwa wäre von dieser Definition immer noch betroffen, gängige Sicherheits- und Programmiertools aber nicht. So bleibt zu hoffen, dass das Abkommen in Europa eine sinnvolle Anwendung auf nationaler Ebene findet. Diese könnte inspiriert werden von der Debatte in den USA, wo die Änderungen noch nicht verabschiedet wurden und weiterhin Kritik geübt wird. Wenn Sicherheitsforscher auf Grund des Wassenaar-Abkommens Selbstzensur betreiben müssen, zeigt dies, dass die Politik nachbessern und solange die Verwaltung je nach Fall entscheiden muss.
Nichtsdestotrotz zeigt der Leak, dass die Idee des Abkommens richtig ist: Derartige Software eignet sich, wie die UNO zurecht bemerkte, kaum für sinnvolle zivile Aufgaben, wohl aber für geheimdienstliche und funkaufklärerische Aktivitäten. Deshalb gehören Hersteller dieser Software kontrolliert und in ihrem Exportgeschäft erheblich eingeschränkt. Diese Werkzeuge gefährden das Leben von Menschenrechtlern und Oppositionellen in autoritären Ländern. Vermutlich haben sie auch schon Leben gekostet. Die Kontrolle des Geschäfts mit dieser Software ist also nicht nur ein esoterisches Randthema für Turbonerds. Es muss im Kerninteresse einer Demokratie liegen, den Export solcher Werkzeuge zu verhindern, denn sie sind nicht mit demokratischen Werten kompatibel.
Das Wassenaar-Abkommen darf deshalb nicht nur leeres Gesetz bleiben. Es obliegt nun Politik und Verwaltung, das Abkommen sinnvoll umzusetzen. Das betrifft uns auch in Deutschland, denn wir haben eine ganze Reihe von Firmen, die derartige Software herstellen. Dass diese Abkommen durchaus Erfolg haben können, zeigt, dass mit Vupen einer der bekanntesten Verkäufer von sogenannten 0-Days (also ungepatchten Lücken in Software, die Angriffe erlauben) aus seinem Heimatland Frankreich in die USA umgezogen ist. Dort könnte es nun bald ebenfalls einen schweren Stand bekommen, denn auch dort droht Wassenaar.
Der Verkauf von derartigen Lücken (den im Übrigen auch Hacking Team betrieben hat) ist übrigens besonders perfide: Denn damit werden nicht nur gezielt einzelne Individuen angegriffen. Solange die Lücke in der Software existiert, sind alle, die diese Software einsetzen, potenziell gefährdet. Und es ist nicht unwahrscheinlich, dass derartige Lücken von mehr als einem Akteur genutzt werden. Im Gegensatz zu Forschern, die ebenfalls danach suchen und dies entweder kostenfrei oder gegen Geld an die Hersteller der Software weiterreichen, ist das Ziel hier nie größere allgemeine Sicherheit. Diese Firmen verdienen Geld, in dem Sie die demokratische Gesellschaft in der sie existieren, substanziell unsicherer machen. Eine solche Gesellschaft sollte sich berechtigt fragen, ob sie ein derartiges Geschäftsmodell tolerieren will.
Solche Firmen zum Auswandern oder zur Schließung zu zwingen heißt natürlich nicht, dass niemand mehr diese Dienste anbietet. Ein Umzug in ein autoritäres Land ist allemal eine Option. Oder es wird dort direkt eine neue Firma gegründet. Aber diese Länder sind im Allgemeinen deutlich weniger attraktiv für die Programmierer, die bei solchen Firmen arbeiten. Dieser Standortvorteil sollte als Druckmittel genutzt werden. Noch mehr wiegt aber, dass es schlicht ethisch nicht zu vertreten ist, derartigen Firmen freien Lauf zu lassen. Wenn andere Regierungen dies als mit Ihren Werten kompatibel erachten – bitteschön. Wir können aber nicht immer darauf bauen, dass Hacker unsere Gesellschaft vor solchen Auswüchsen schützen in dem sie solches Verhalten erst aufdecken. Ob auf europäischer oder nationaler Ebene: Eine demokratische Gesellschaft und ihre Regierung sollte in Zukunft anders entscheiden noch bevor ein weiterer Hack auf derartiges Fehlverhalten aufmerksam macht.
1 Kommentar