Google befürchtet durch geplante US-Exportbestimmungen Einbußen bei IT-Sicherheit
Mit ihnen soll das Wassenaar-Abkommen in US-Recht umgesetzt werden. Ziel des Abkommens ist es, die Verbeitung von Sicherheitssoftware an repressive Regime einzudämmen. Außerdem werden damit Zero-Day-Lücken konventionellen Waffen gleichgestellt. Die gute Absicht schlägt laut Google jedoch ins Gegenteil um.
In einem offenen Brief hat sich Google vehement gegen die geplante Einführung neuer Exportbestimmungen ind en USA ausgesprochen. Mit ihnen sollen die auch von den USA mitratifizierten Bestimmungen des Wassenaar-Abkommens umgesetzt werden. Darin sind Exportkontrollen für konventionelle Waffen und sogenannte doppelverwendungsfähige Güter und Technologien vorgesehen. Zum Beispiel sollen damit Zero-Day-Lücken unter die selben Exportbeschränkungen wie konventionelle Waffen fallen. Der Konzern befürchtet jedoch, dass mit den neuen Regelungen vor allem die Arbeit der Sicherheits-Community erschwert wird.
“Sie würden unsere Möglichkeiten einschränken, uns selbst und unsere Nutzer zu schützen und das Web sicherer zu machen”, schreiben Neil Martin, Export Compliance Counsel, und Tim Willis, Mitglied des Chrome Security Teams. “Es wäre ein desaströses Ergebnis, wenn Exportbestimmungen, die den Menschen mehr Sicherheit geben sollen, die Sicherheit von Milliarden von Nutzern weltweit beienträchtigen würden.”
Sollten die Regeln in der geplanten Form in Kraft treten, benötigt Google dem offenen Brief zufolge künftig Exportlizenzen für Bug-Tracking-Systeme, Code-Review-Systeme und sogar die Kommunikation über Sicherheitslücken per E-Mails und Sofortnachrichten. Die beiden Google-Mitarbeiter fordern deswegen Ausnahmeregeln für alle, die der Exportkontrolle unterliegende Informationen mit dem Zweck an einen Hersteller weitergeben, dass dieser eine Schwachstelle beseitigt. “Das würde Sicherheitsforscher schützen, die Anfälligkeiten, Exploits oder andere einer Kontrolle unterliegenden Informationen zur Verfügung stellen.”
Ihrer Ansicht nach müsse zudem sichergestellt sein, dass weltweit tätige Unternehmen Informationen über Schadsoftware mit ihren Technikern jederzeit uneingeschränkt austauschen können, unabhängig davon, wo diese sich aufhalten. Schließlich müssten Regeln klarer und verständlicher formuliert werden. Zudem sollte der Begriff “Intrusion Software” im Wassenaar-Abkommen bereits beim nächsten Treffen der Mitgliedstaaten im Dezember 2015 neu definiert werden.
[mit Material von Stefan Beiersmann, ZDNet.de]
<!– Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit 15 Fragen bei ITespresso. –>Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.