Auswirkungen der Wassenaar-Kontrolle von Cyberwaffen
Thomas Reinhold
Seit den Erkenntnissen über Stuxnet und angesichts der NSA-Enthüllungen werden international wieder verstärkt die Möglichkeiten für die Kontrolle der Verbreitung von Cyberwaffen debattiert. Angesichts der zunehmenden Ausweitung der geheimdienstlichen und militärischen Aktivitäten auf den Cyberspace sind solche Maßnahmen ein wichtiger Bestandteil der politischen Einhegung des Konfliktpotentials im Cyberspace und der internationalen Vertrauensbildung. Ein erster Schritt in diese Richtung wurde Ende 2013 mit der Erweiterung des Wassenaar-Abkommens gegangen, indem unter anderem „intrusion software" in den Katalog, der im Rahmen des Abkommens regulierten kritischen Güter aufgenommen wurde. Das „Wassenaar-Abkommen für Exportkontrollen von konventionellen Waffen und doppelverwendungsfähige Gütern und Technologien", dem mittlerweile 41 Mitgliedsstaaten beigetreten sind, wurde 1996 als Nachfolger des aus den Zeiten des kalten Krieges stammenden COCOM-Abkommens verabschiedet. Das Ziel des Übereinkommens ist die Vergrößerung der internationalen Transparenz und der Regulierung des Handel sowie die Eingrenzung der Verbreitung ursprünglich ausschließlich konventioneller Rüstungsgüter. 2009 wurde das Regelwerk um den Bereich der Dual-Use-Güter erweitert, als Produkte die neben zivilen Zwecken auch für die Rüstung eingesetzt werden können. Die Mitgliedsstaaten des Abkommens verpflichten sich, den Export mit diesen kritischen Gütern im Rahmen bestimmter Grenzen zu kontrollieren, Exportanfragen zu prüfen und bei Verdacht auf eine sicherheitspolitisch kritische oder Menschenrechtsgefährdende Anwendung abzulehnen. Die Handelsdaten werden zwischen den Mitgliedsstaaten zweimal pro Jahr ausgetauscht.
Mit der neuerlichen Erweiterung von 2013 fällt erstmals Software in diesen Bereich staatlicher Rüstungskontrolle. Der Begriff der intrusion software wird spezifiziert als all jene Software, die für das verborgene Agieren entwickelt wurde, in der Lage ist Daten zu entwenden oder zu modifizieren sowie ein Computersystem in seinen Ausführungsroutinen zu manipulieren oder zur Ausführung fremder Anweisungen zu bewegen. Diese Definition erscheint angesichts der Probleme den etwas überstrapazierten Begriff der Cyberwaffe einzugrenzen vordergründig sinnvoll gewählt. In erster Linie wird der Funktionsumfang einer Anwendung als hinreichendes Kriterium herangezogen und weniger die möglichen Schäden oder das konkrete Einsatzumfeld berücksichtigt. Damit fallen jedoch auch Software-Tools unter die Regulierungsanforderungen, die für rein zivile Zwecke wie IT-Sicherheitsüberprüfungen und Penetrations-Test benötigt werden, also ausschließlich friedlichen Zwecken dienen. Die Etablierung von Prüfverfahren für den Export von Dual-Use-Gütern ist jedoch eines der wichtigsten Aufgabenfelder des Wassenaar-Abkommens, wird in den Handlungs- und Prüfrichtlinien umfassend behandelt und in Form von Best-Practice-Richtlinien kontinuierlich weiterentwickelt. Die Umsetzung dieser Maßgaben liegt in der Hoheit und Verantwortung jedes Mitgliedsstaates, die unabhängig entscheiden. Für die Prüfung von Exportanfragen ist in Deutschland das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) beauftragt worden. Die deutschen Kontrollkriterien unterscheiden sich dabei hinsichtlich des Ziellands eines geplanten Exports. Exporte in EU-Mitgliedsstaaten, NATO-Staaten oder Staaten mit einem ähnlichen Status werden grundsätzlich genehmigt, sofern nicht besondere politische Gründen dagegen sprechen. Exporte in andere Staaten werden grundsätzlich in Frage gestellt und mit Blick auf den potentiellen Käufer, den möglichen offenen und versteckten Einsatzzweck sowie die politische Lage und Stabilität im Zielland geprüft.
Eine Ankündigung der in Frankreich ansässigen Firma Vupen von Ende 2014 macht indessen deutlich, dass die Erweiterung des Regelwerks tatsächlich praktische Konsequenzen hat. Vupen ist eines der bekanntesten Unternehmen weltweit, die sich auf den Handel mit Schwachstellen und Sicherheitslücken in Software spezialisiert haben und eigenen Aussagen zufolge ausschließlich staatliche Institutionen beliefern. Das Unternehmen, zu dessen Kunden zwischen 2011 und 2014 auch das BSI im Rahmen eines „Threat protection programs" gehörte, hatte nach der Erweiterung des Abkommens noch verkündet ihre Aktivitäten den neuen Regularien anzupassen und die friedenspolitischen Ziele zu unterstützten. Mittlerweile hat Vupen jedoch beschlossen seinen Stammsitz aus Frankreich zu verlegen, da die „Verzögerungen französischer Behörden nicht länger [für uns] hinnehmbar, weil inkompatibel mit der Geschwindigkeit des Geschäftes [sind]". Die Deutlichkeit mit der Vupen-Geschäftsführer Chaouki Bekrar die aus seiner Sicht störenden Genehmigungen als eine „Überdosis Bürokratie" abtut deutet darauf hin, dass die französischen Behörden ihre Aufgabe ernst nehmen und die neuen Regularien greifen. Da in Frankreich genauere Kontrollen erst bei Exporten in Länder außerhalb der EU vorgesehen sind, weist dies möglicherweise auch auf den Kundenkreis von Vupen hin. Es ist jedoch strittig, ob diese Entwicklung wünschenswert ist.
Es ist für ein Unternehmen, dessen Wirtschaftsgut vor allem aus immateriellen Güter und technischem Wissen besteht, leichter den Firmensitz zu verlegen, als dies für klassische Rüstungsfirmen mit umfangreichen Fertigungs- und Entwicklungsanlagen der Fall ist. Damit wird das Problem jedoch nur verdrängt und in Regionen ausgelagert, die sich einer effektiven Kontrolle entziehen. Im Fallen von Vupen wird der neue Stammsitz wohl in Singapur eingerichtet werden. Singapur ist kein Mitgliedsstaat des Wassenaar-Abkommens und Vupen unterhält dort bereits Zweigstellen. Neben diesem Effekt wird das Abkommen noch aus weiteren Gründen kritisiert. Zum einen liegt es in der Hoheit und Verantwortung jedes Mitgliedsstaates die Regelungen und Vereinbarung konkret in nationales Recht umzusetzen und Kontrollziele, Verfahren und Prioritäten zu definieren. Damit fehlt dem Abkommen eine rechtliche Verbindlichkeit und die unterschiedlichen nationalen Regelungen bilden keine einheitliche Bewertungs- und Rechtsgrundlage. Andere Mitgliedsstaaten haben bei Entscheidungen über Exporte keine Veto-Möglichkeiten und werden stets nur im Nachhinein über erfolgte Exporte informiert. Auch die Formulierung der intrusion software lässt offen, ob beispielsweise der Handel mit dem reinen Wissen über Sicherheitslücken unter das Wassenaar-Abkommen fällt, wenn es sich bei dem Export nicht um eine konkrete Software handelt, in der ein solches Wissen in Form eines Exploits eingebaut ist. Schließlich stehen internationale Abkommen der Rüstungskontrolle stets vor dem Problem der Handelsverschiebungen in den Schwarzmarkt, eine Tendenz die im Falle von immaterieller Software sehr viel einfacher umzusetzen und umso schwerer zu kontrollieren ist.
Zusammen genommen ist festzustellen, dass mit dem Wassenaar-Abkommen keine effektive Rüstungs- und Proliferationskontrolle möglich ist. Gleichwohl deuten die Bemühungen in eine richtige Richtung und die Erfahrungen mit dem Unternehmen Vupen zeigen, dass eine staatliche Kontrolle in jedem Fall wünschenswerter ist, als ein unkontrollierter Handel mit diesen Cyberwaffen.
FIfF Kommunikation 1/2015, Rubrik „Betrifft: Cyberpeace"