Das Wassenaar Abkommen ist schon sehr lange in Kraft, seit 1996. Es ist schon so lange aktiv, dass viele Länder und Business-Gruppen es schon fast wieder vergessen haben. Doch es gibt Neuerungen, die uns ganz speziell in der IT-Sicherheit interessieren.
Alle Mitgliedsstaaten (Argentina, Australia, Austria, Belgium, Bulgaria, Canada, Croatia, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Japan, Latvia, Lithuania, Luxembourg, Malta, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Republic of Korea, Romania, Russian Federation, Slovakia, Slovenia, South Africa, Spain, Sweden, Switzerland, Turkey, Ukraine, United Kingdom and United States {Quelle: Wassnaar.org}), die unterzeichneten, haben sich unter der Schirmherrschaft Neuseelands vor allem im Waffenexport so einiges zum Ziel gemacht (siehe Webseite).
Neu und die Informationssicherheit betreffend sind Änderungen in der Dual Use Liste, die schon 2013 beschlossen wurden. Sie betreffen die Informationssicherheit und Pentest-Code und Zubehör. Seit Anfang 2015 sind diese neue Forderungen aktiv.
Neuerdings darf Pentest-Code die BRD nicht mehr so mir nichts Dir nichts verlassen um z.B. Pentests in Ländern außerhalb der BRD durchzuführen, also z.B. in Drittländern wie in z.B. China. Pentest-Code fällt unter die Dual-Use Liste und deren Export-Restriktionen. Der Text in der Kategorie 4 des Wassenaar Abkommens ist sehr generisch. Man muss diesen mit der Dual Use Liste vergleichen. Diese ist allerdings nicht so ausgereift, dass alles haarscharf erläutert ist und definiert ist, und die Behörden (BAFA) kennen sich auch noch nicht so gut aus damit, da es neu ist.
Wer als in Deutschland sitzendes Unternehmen seit 2015 Pentests außerhalb der BRD durchführen möchte, vor allem außerhalb der EU, muss sich das genehmigen lassen. Die Genehmigungen sind derzeit sehr langwierig, da das Thema neu ist, die Liste noch wächst, bzw. die Entscheider der BAFA noch nicht ausreichend geschult sind, noch dazu lernen, um eine Entscheidung über ein mögliches Exportgut im Pentesting zu genehmigen. Hier muss recherchiert und nachgeforscht werden, ob ein Produkt zutrifft oder nicht. Das kann dauern.
Ein rein deutsches Pentest-Unternehmen für global agierende Firmen zu beauftragen, ist evt. nicht die weiseste Entscheidung, so sehr ich die deutschen Unternehmen unterstütze. Aber viele haben sich auf den Tag X nicht richtig vorbereitet. So haben andere international agierende Unternehmen schon früh zu nutzenden Code in Drittländer exportiert, von denen aus der Code exportiert bzw. der Pentest in die Zielländer ausserhalb der EU durchgeführt werden kann,ohne damals gegen geltendes Recht zu verstoßen.
Schon immer international aufgestellte Unternehmen im Pentesting sind derzeit mehr zu empfehlen, als deutsche oder in Deutschland sitzende Unternehmen, die den Zug verpasst haben ihre Code vor des Inkrafttretens des Abkommen und der neuen Dual Use – Liste ins sichere Ausland zu schaffen. Internationale Unternehmen haben ihre Leute in vielen Ländern ausserhalb der EU sitzen, und können somit leichter agieren und globale Kunden vor Ort bedienen. Da sie den Pentest Code ohnehin überall benötigten, können Sie derzeit ungestört diesen auch z.B. aus Vietnam für China nutzen. In Australien sitzende Unternehmen benötigen nun auch eine Lizenz um diesen nach China zu exportieren, da Down-Under auch unterschrieben hat.
Das ist also gerade sehr tricky, möchte man sich nicht strafbar machen, sein Karma ruinieren weil Providerangestellte eingesperrt werden, oder eine Durchsuchung durch Rechtsbeistand im eigenen Haus riskieren, in den USA gar eine Electronic Discovery. Bitte bedenken Sie, dass wenn Sie eine internationale Firma sind, wie z.B. Siemens, und in China gegen die Auflagen verstoßen in China über sagen wir Deutschland, sind Sie nicht gewappnet trotzdem in den USA gegen ihr Unternehmen eine Discovery zu bekommen. Die Länder haben das Recht sich gegen Risiken durch Drittvergehen zu schützen. Und die USA sind, wenn es um Anzeigen und Klagen in Millionenhöhe geht, immer vorn dabei. Bitte bedenken Sie das.
Es ist also nicht so einfach ein in der Öffentlichkeit standhaftes Konzept zu entwickeln, das legal ist. Das sollte gut vorbereitet sein, vor allem ist es ratsam, dass Pentester in Zukunft keinen Code auf Ihren Computern haben. In manchen Ländern ist der Import des Codes ebenso strafbar, wie der Export neuerdings aus der BRD in diese Länder.
Bedenken Sie, dass das Internet abgehört wird. So gibt es an allen Übergabestellen in andere Länder Sensoren der Geheimdienste, die auch mittlerweile Inhalte prüfen. Verschlüsselung ist nur sicher, wenn diese nicht auf der Liste der abhörbaren Verschlüsselung durch die NSA ist. Geheimdienste helfen sich gegenseitig. Diese Informationen werden ausgetauscht.
Derzeit versprechen Pentest-Firmen vieles, sagen bei Nachfragen zu Angeboten „ja, können wir“, aber machen sich indes im Background auch bei ihren Behörden schlau, und diese brauchen gerade alle so lange um das zu beurteilen, wie die BAFA.
Sollten Sie Beratung in diesem Thema benötigen, helfen wir natürlich gerne, primär wollten wir aber auf diesen Sachverhalt aufmerksam machen, da sich das noch nicht wirklich herumgesprochen hat. Beim §202c damals unter Schäuble war das besser in den Medien vertreten als die Änderungen der Dual Use Liste. Hier nun gibt es den globalen §202c.