Debatte über ExportkontrollenÜberwachern das Geschäft versauen, ohne Forschung zu beeinträchtigen

Die Bekämpfung des internationalen Geschäfts mit Überwachungstechnologien darf nicht zu Kollateralschäden für freie Forschung und freie Software führen. Das fordern Sicherheitsforscher und Aktivisten gleichermaßen. Privacy International ist überzeugt, beide Punkte unter einen Hut zu bekommen.

Soll er Software kontrollieren? Schäferhund des westdeutschen Zolls an der innerdeutschen Grenze 1984.

Das Wassenaar-Abkommen für Exportkontrollen enthält seit Dezember auch „Intrusion software“ und „IP network surveillance systems“. Der Verein Digitale Gesellschaft setzt sich ebenso wie unsere Freunde von Privacy International dafür ein, um den von Überwachungstechnologien zu beschränken.

Hakan Tanriverdi hat jetzt für die Süddeutsche über den Konflikt zwischen der Regulierung von Überwachungstechnologien und freier Forschung geschrieben: Spähsoftware aus Deutschland – Unter Generalverdacht:

Was genau das Abkommen regulieren wird, ist noch unklar. Innerhalb des Textes finden sich Passagen, die so breit formuliert sind, dass mit ihnen alles gemeint sein könnte. Zum Beispiel steht da, dass Technologie beschränkt wird, die zur Entwicklung von „intrusion software“ geeignet ist. Wenn man diesen Satz liest, wie er dasteht, wird nicht das Gesamtpaket reguliert, sondern das bloße Arbeiten mit Schwachstellen, also das Tagesgeschäft von Sicherheitsforschern. Je mehr von ihnen sich das Abkommen durchlesen, desto mehr Bedenken haben sie und sammeln Fälle aus ihrem Arbeitsalltag, die betroffen wären. Programme, die die Fehleranfälligkeit eines Systems überprüfen, um Schwachstellen zu finden, müssen sich nach dem vorliegenden Text der Exportkontrolle unterziehen. Das ist in etwa so, als ob ein Künstler um Erlaubnis bitten müsste, um in seinen Bildern die Farbe Blau zu verwenden.

Zitiert werden ebenfalls unsere Freunde fukami, Morgan Marquis-Boire und Ben Wagner. Und alle stimmen überein: Freie Forschung und Freie Software dürfen nicht eingeschränkt werden. Privacy International hat bereits im Dezember zwei Blog-Beiträge zum Thema verfasst: Export controls and the implications for security research tools

One of the major dangers of imposing export controls on surveillance systems is the risk of overreach. While you want the scope of the systems being controlled and the language to be wide enough to catch the targeted product and its variants, you also need the language to be specific and detailed enough to ensure that no items get inadvertently caught at the same time.

Open-source software: Export Uncontrollable

Summing up: it is our view that open source software is not subject to control on the basis of the Wassenaar Control List. Controls on cryptography are slightly more problematic as they are explicitly not exempted within the General Software Note if they are generally available to the public or if it is used as part of object code for already-authorised items. Within the specific section on “information security” however, they are released from control if they are made generally available to the public, subject to several other conditions. Cryptographic software that is „in the public domain” is explicitly not caught and is therefore exempt from licensing.

Kenneth Page, Policy Officer bei Privacy International kommentiert den aktuellen Artikel gegenüber netzpolitik.org:

The current text of Wassennar is not perfect, but it is undoubtedly better than in the past. Governments appear to have learned some lessons from previous battles in the 1990’s as the recent changes to the text itself makes moves to exclude software that is generally available to the public; in the public domain (i.e. without restrictions on it’s further dissemination); or used for basic scientific research (defined as „experimental or theoretical work undertaken principally to acquire new knowledge of the fundamental principles of phenomena or observable facts, not primarily directed towards a specific practical aim or objective“). The updating of the Wassenaar text can be slow as it takes consensus from 41 countries, so there needs to be an avenue for external experts or civil society groups to feed into this process to ensure the language it kept up to date, relevant, and reflects the evolution in technology.

Es ist also an uns allen, dafür zu sorgen, dass wir Firmen wie Gamma und Co das Geschäft versauen, ohne legitime Forschung dabei zu beeinträchtigen. Die Leute, die daran arbeiten, glauben fest daran, dass das möglich ist.

Morgan hat aber definitiv Recht, wenn er sagt:

Meine größte Sorge ist, dass hier eine Industrie reguliert wird von exakt den Regierungen, die eine Entwicklung solcher Produkte in Auftrag geben.

Auch wir kritisieren nicht nur den Export dieser Software – sondern auch ihren Einsatz durch deutsche Dienste.

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.