Umrüstung

Kryptographie gilt weiterhin als Waffe

Trends & News | News

Neue zwischenstaatliche Vereinbarungen verpflichten 33 Staaten zu mehr Exportkontrollen von Verschlüsselungssoftware. Obwohl die Umsetzung dieses Beschlusses auf nationaler Ebene noch aussteht, sorgt das neue Wassenaar-Abkommen für viel Verunsicherung bei Bürgerrechtlern, Datenschützern und Netzaktivisten.

Die 33 Mitgliedstaaten des Wassenaar-Abkommens, einem Nachfolger des COCOM-Exportkontrollabkommens, beschlossen in ihrer Vollversammlung am 2. und 3. Dezember 1998 einstimmig eine Neuregelung für die Exportkontrolle von Kryptographieprodukten. Dabei behielten weder die USA mit ihrem Plan die Oberhand, Schlüsselhinterlegung zu begünstigen, noch konnten sich liberale Staaten wie Deutschland gänzlich durchsetzen, die eine weitgehende Liberalisierung gefordert hatten.

Wassenaar heißt jene niederländische Stadt, in der sich 28 Staaten Ende 1995 über den Nachfolger des `Koordinationskomitees für multilaterale Exportkontrollen´ (COCOM) einigten. Heute koordinieren in dem Wiener Büro des Wassenaar-Abkommens acht Angestellte die weltweiten Exportkontrollen von konventionellen Rüstungsgütern und sogenannten Dual-Use-Produkten. Anders als COCOM richtet sich das Wassenaar-Abkommen nicht gegen bestimmte Staaten. Die beteiligten Regierungen informieren sich gegenseitig über Exportgenehmigungen und -ablehnungen, um zu verhindern, daß gefährliche Lücken in Exportkontrollen gegenüber Nichtmitgliedstaaten entstehen. Nachverhandlungen waren jetzt nötig, da die alte Regelung im November ausgelaufen war.

Zu den Dual-Use-Produkten, die sich sowohl für zivile als auch militärische Anwendung eignen, gehören zum Verdruß von Bürgerrechtlern und IT-Industrie auch Verschlüsselungshard- und -software. Sie sind für den sicheren Zahlungsverkehr und zur Wahrung des Fernmeldegeheimnisses im Internet unerläßlich. Da nur starke Verschlüsselung abhörsichere, vertrauliche Kommunikation garantiert, schreibt nicht nur das Militär, sondern auch die Wirtschaft der Kryptographie eine Schlüsselrolle zu.

Das Wassenaar-Abkommen stellt allerdings lediglich eine Mindestharmonisierung der Güter und Technologien dar, die überhaupt von einer Exportkontrolle erfaßt werden - jeder Staat kann das dabei angewandte Verfahren aber frei gestalten: Die Entscheidung, ob und unter welchen Bedingungen ein Produkt exportiert werden darf, liegt einzig in der jeweiligen nationalen Verantwortung der Unterzeichnerstaaten.

Künftig werden im Gegensatz zur alten Regelung Hard- und Softwareprodukte gleich behandelt. Alle Exportkontrollen für Krypto-Produkte mit weniger als 56 Bit Schlüssellänge entfallen. Im Gegenzug wird die Exportkontrolle auch auf starke Kryptographie `über 64 Bit´ erweitert, die für den Massenmarkt bestimmt ist. Die Beschränkung gilt zunächst für zwei Jahre und muß dann einvernehmlich erneuert werden - anderenfalls entfällt sie. Ausgenommen von der Exportkontrolle wurden Verfahren zur Digitalen Signatur und Authentifizierung, für Banking, Pay-TV und Copyright-Schutz sowie schnurlose Telefone und Handys, die keine Verschlüsselung zwischen den Endstellen erlauben.

Nach Angaben des Bundeswirtschaftsministeriums sind `Public Domain´-Produkte generell von den Kontrollisten freigestellt. Hierunter versteht das Wassenaar-Abkommen Software, die `ohne Einschränkungen bezüglich ihrer weiteren Verbreitung´ verfügbar gemacht wurde. Dem Wortlaut zufolge genügt es also, eine Weiterverbreitung auf CD oder ohne Dokumentation auszuschließen, damit eine Software nicht mehr als `in the public domain´ angesehen wird.

Damit fiele auch die Freeware-Version des Verschlüsselungsprogramms Pretty Good Privacy (PGP) unter die Wassenaar-Kontrollen; das könnte für die Download-Möglichkeiten im Internet das `Aus´ bedeuten, wenn Nicht-Mitgliedstaaten auf diese Weise Zugriff auf kontrollierte Verschlüsselungsprodukte erhielten. Mike Auerbach, Produktmanager von NAI/PGP International, ist jedoch `zuversichtlich, daß der Export in die EU und weitere bedeutende Wirtschaftsstaaten auch weiterhin im heutigen Umfang möglich sein wird - auch über das Internet.´

Starke Verunsicherung löste ein Schritt des dänischen Wirtschaftsministeriums aus, das wenige Tage nach dem Wiener Treffen dem Journalisten Bo Elkjaer dringend riet, auf seiner Web-Site PGP zu entfernen. Falls sein Server weltweit zugänglich sei, wäre hier ein Verstoß gegen die Exportkontrollgesetze gegeben, der mit Geldstrafen oder Gefängnis bis zu zwei Jahren geahndet werden könne. Einzelheiten über das Exportverfahren, das von den Mitgliedstaaten selbst festgelegt wird, sind allerdings bislang noch unbekannt. Die neue Regelung sei insgesamt `keine Verbesserung, aber auch keine Verschlechterung´, resümiert Günter Welsch vom Fachverband Informationstechnik im ZVEI. Er fordert bei den Exportkontroll- und Genehmigungsverfahren eine Verschlankung der Rahmenbedingungen.

Der SPD-Bundestagsabgeordnete Jörg Tauss wünscht sich ebenfalls eine `liberale Umsetzung´ beim Exportverfahren. Christian Ströbele von den Bündnisgrünen befürchtet eine `bedenkliche Schmälerung´ der Marktchancen deutscher Anbieter leistungsfähiger Verschlüsselungssoftware. Nachteilige Folgen bei der Umsetzung in EU- und nationale Exportregelungen müßten daher `so weit wie möglich begrenzt werden.´ Schließlich sei der `Schutz von Betriebsgeheimnissen und persönlicher vertraulicher Kommunikation ein höherwertiges Gut auch angesichts der Möglichkeit Einzelner, ungesetzliche Inhalte im Netz zu transportieren.´

Der Förderverein Informationstechnik und Gesellschaft (FITUG) kritisierte Exportbeschränkungen als `sinnlos und gefährlich´. `Die praktische Umsetzung dieser Exportkontrollen in nationale Regelungen darf nicht dazu führen, daß die europäischen Staaten und insbesondere die Bundesrepublik Deutschland Exportbeschränkungen ähnlich denen einführen, die in den Vereinigten Staaten in Kraft sind.´

Der ehemalige Bundesjustizminister und Vorsitzende des Arbeitskreises `Innen und Recht´ der FDP-Bundestagsfraktion Edzard Schmidt-Jortzig bezeichnete es als `schweren Schlag für die deutschen Interessen´, falls Bundesinnenminister Otto Schily unter US-amerikanischem Druck den bislang liberalen Kurs der Deutschen verlassen sollte. Schmidt-Jortzig: `Staatlich versprochenem oder von Dritten organisiertem Datenschutz ist im Internet stets zu mißtrauen.´

US-Sonderbotschafter David Aaron begrüßte den Beschluß der Mitgliedstaaten als `Bekräftigung´ der US-Krypto-Politik [2|#lit2], obwohl sich die USA mit ihrem Plan, Key-Recovery-Systeme zu begünstigen, nicht durchsetzen konnten. Generell geht es in der internationalen US-Krypto-Politik jedoch nicht mehr um Key Recovery (Schlüsselwiederherstellung), Key Escrow (Schlüsselhinterlegung) oder sonstige Schlüsselmanagementsysteme, sondern nur noch um eine beliebige Möglichkeit, den Klartext chiffrierter Nachrichten wiederherzustellen. Die US-Regierung wird vermutlich auch künftig im Rahmen von bilateralen Abkommen zur Erleichterung polizeilicher Ermittlungsarbeit versuchen, solche Möglichkeiten festzuschreiben.

Im Inland gibt sich die Clinton-Regierung damit hingegen noch nicht zufrieden: Nach Angaben von Regierungskreisen wurden vor kurzem alle 13 Pilotprojekte abgeschlossen, die verschiedene Key-Recovery-Mechanismen untersuchten. Allerdings gab es dabei größere Probleme mit der Skalierbarkeit und Interoperabilität; auch der Kosten-Nutzen-Aspekt war nur schwer einzuschätzen. Neue Projekte seien daher in Planung - parallel wolle man allgemein anerkannte Key-Recovery-Standards entwickeln. Die US-Regierung hält weiterhin an der Klausel fest, daß Key-Recovery-Agenten im Inland verpflichtet sind, staatlichen Stellen den Zugriff auf verschlüsselte Daten innerhalb von zwei Stunden zu verschaffen.

Das deutsche Bundeswirtschaftsministerium betonte, daß sich `einzelne Staaten, die ursprünglich eine Sonderbehandlung von Key-Recovery-Produkten gefordert hatten´, in Wien nicht durchsetzen konnten. Der Export von Krypto-Technologie sei daher auch künftig ohne Schlüsselhinterlegung bei staatlichen Behörden möglich. Eventuell genüge bei manchen Produkten ein `One-Time-Review´.

Dabei sind Krypto-Exportkontrollen auch in Deutschland nichts Neues: Bereits in der Vergangenheit wurden die deutschen Verfahren über die EG-Dual-Use-Verordnung mit dem Wassenaar-Abkommen eng abgestimmt. Damit ist die Ausfuhr von Verschlüsselungstechnik grundsätzlich auch jetzt schon genehmigungspflichtig. Einzelheiten wurden in der Außenwirtschaftsverordnung festgelegt, die für Verschlüsselungsprodukte Anträge auf Individual-Ausfuhrgenehmigung beim Bundesausfuhramt (BAFA) vorschreibt.

In der Mehrheit werden solche Anträge mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgestimmt. Verwendungszweck, Endempfänger und Empfängerland sind von entscheidender Bedeutung. In der Praxis wurden Einzelgenehmigungen für zivil nutzbare Krypto-Produkte nur in wenigen Ausnahmefällen abgelehnt. Die sogenannte Ladentisch-Software, also Programme für den Massenmarkt, oder `allgemein zugängliche´ Software (Public Domain) wurden jedoch bislang nach der `Allgemeinen Software Anmerkung´ der EU-Liste von der Erfassung freigestellt. Im Zweifel konnten die Hersteller einen `Nullbescheid´ beantragen, der bestätigte, daß für ein bestimmtes Ausfuhrvorhaben keine Exportgenehmigung erforderlich ist.

Das aktuelle Abkommen schränkt die Ladentisch-Software stärker ein als zuvor, da nun zusätzlich die Schlüssellänge darüber entscheidet, ob eine Genehmigung notwendig ist. Damit wurde in der Tat, wie Aaron konstatierte, eine `wichtige Lücke geschlossen´. (nl)

[1] Wassenaar Arrangement (englischsprachige Homepage inkl. der Kontrollisten), http://www.wassenaar.org/

[2] Christiane Schulzki-Haddouti, Keine Krypto-Verschwörung, US-Regierung korrigiert ihre Krypto-Politik, c't 22/98, S. 32

Anzeige