Der Hersteller der umstrittenen Staatstrojaner-Produktpalette FinFisher beteuert immer wieder, auch gegenüber netzpolitik.org, dass man sich beim Verkauf an die „Exportbestimmungen in Großbritannien, den Vereinigten Staaten und Deutschland“ hält. Während die in Deutschland gar nicht kontrolliert werden, hat Großbritannien den Export der Software jetzt ausgebremst.
Seit langem engagiert sich die britische NGO Privacy International für strengere Export-Kontrollen für Überwachungssoftware dieser Art. Jetzt haben sie einen kleinen Sieg errungen. Aus einem gestern veröffentlichten Brief geht hervor, dass der britische Minister für Unternehmen, Innovation und Qualifikationen die Firma Gamma International darauf hingewiesen hat, dass sie eine Erlaubnis brauchen, um ihre Software außerhalb der Europäischen Union zu exportieren:
The Secretary of State, having carried out an assessment of the FinSpy system to which your letter specifically refers, has advised Gamma International that the system does require a licence to export to all destinations outside the EU under Category 5, Part 2 (‘Information Security’) of Annex I to the Dual-Use Regulation. This is because it is designed to use controlled cryptography and therefore falls within the scope of Annex I to the Dual-Use Regulation. The Secretary of State also understands that other products in the Finfisher portfolio could be controlled for export in the same way.
Grundlage ist das Wassenaar-Abkommen für Exportkontrollen von konventionellen Waffen und doppelverwendungsfähigen Gütern und Technologien von 1996, genauer die Kategorie 5.2 zu Dual-Use Gütern in der Informationssicherheit. Weil FinFisher „kontrollierte Kryptographie“ einsetzt, hat die britische Regierung einen Hebel, den Export zu kontrollieren.
Das hat einen schalen Beigeschmack. In den neunziger Jahren des letzten Jahrhunderts gab es erbitterte Kämpfe, starke Verschlüsselung nicht staatlich zu regulieren und auch Privatpersonen zu ermöglichen – die Crypto Wars. Anfang der Neunziger durfte das Verschlüsselungs-Programm Pretty Good Privacy nicht aus den USA exportiert werden, „da es, ähnlich wie Waffen, unter das US-Exportgesetz fiel“ (Wikipedia). Diese Kämpfe haben wir zum Glück gewonnen.
Die Begründung des britischen Ministeriums, den Export von FinSpy zu regulieren, weil darin Kryptographie verwendet wird, sehen manche daher kritisch. Auf keinen Fall darf an dem Recht auf starke Kryptografie für alle Bürger ohne staatliche Backdoor gerüttelt werden. Dieser Problematik ist sich Privacy International sehr wohl bewusst. Eric King, Forscher bei Privacy International, sieht in der Entscheidung trotzdem einen Schritt in die richtige Richtung. Zwar sei die Methode „dumm“, aber das einzige, das die Regierung auf Anhieb tun konnte. Man werde weiter darauf hinarbeiten, dass Staatstrojaner dieser Art reguliert werden müssen für das was sie sind: nicht kontrollierbare Überwachungstechnologien.
Für jetzt ist die Entscheidung der britischen Regierung „eine Menge Sand im Getriebe von Gamma“. Die Firma von Martin J. Münch kann FinSpy jetzt nicht ohne Genehmigung an Staaten außerhalb der EU verkaufen. Aus der geheimen Kunden-Liste sind bisher Ägypten, Bahrain, Turkmenistan und Oman bekannt geworden. Auch sieben der elf vermeintlichen Command und Control-Server sind außerhalb Europas.
Dennoch bleiben viele Fragen offen, die Privacy International an die britische Regierung gestellt hat. Die Datenschützer fordern, auch andere „unethisch“ agierenden Firmen in die Regulierung einzubeziehen. Sonst bleibt dieser Einzelfall nur ein geklebtes Pflaster auf einer Schusswunde. Immerhin, die deutsche Regierung hat noch nichtmal Pflaster.
Eine Ergänzung
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.