ThemenübersichtMenü
AW-Portal

Worum handelt es sich bei den Wassenaar Cyber Rules?

Software
© utemov - Fotolia.com

Im Dezember 2013 hatten die Wassenaar-Teilnehmerstaaten beschlossen, die Liste der exportkontrollpflichtigen Dual Use-Güter um eine Reihe von IT-Werkzeugen zu ergänzen. Dabei handelt es sich um solche Güter, die auch der Verbreitung von Schadsoftware (Malware), von Spionage- und Überwachungsprogrammen, der Verschleierung von Hackerangriffen und dergleichen dienen können und daher der Kontrolle bedürfen.

Gemäß der Wassenaar Cyber Rules lassen sich diese sogenannten „Cybersecurity Products“, auch als Cyber-Waffen bezeichnet, in drei Kategorien einteilen:

Kategorie 1: „intrusion malware“ – Schadsoftware, die unerkannt auf Computer und Server überspielt wird und diese unterminiert. In den USA hat sich bereits ein lukrativer Geschäftszeig entwickelt, der solche Spezialsoftware an fremde Regierungen verkauft oder in deren Auftrag entwickelt. 

Kategorie 2: „intrusion exploits“ oder „Zero-day tools“. Dabei handelt es sich um IT-Werkzeuge, die Schwachstellen in Fremdsoftware aufdecken und ohne Verzögerung dazu nutzen, Trojaner oder andere Schadsoftware in das fremde System einzuschleusen und so die Kontrolle erlangen. Der Automatisierungs- und Spezialisierungsgrad solcher Software ist bereits extrem hoch. Cyber Researcher und Entwickler, wie z.B. Kinetic Platforms Inc. oder das IT-Lab der University of California in San Diego weisen in diesem Zusammenhang darauf hin, dass die Zukunft der gesamten IT-Industrie davon abhängt, dass ständig und global Tests vorgenommen werden müssen, ob Gebrauchssoftware aller Art gegen Angriffe standhält, diese erkennt und abwehrt. Die Entwicklung von Defensivsoftware unterscheidet sich in ihrer Machart insofern nicht von der in krimineller Absicht gebrauchten Offensivsoftware. Einzig und allein die subjektive kriminelle Energie desjenigen, der das IT-Tool nutzt, entscheidet über dessen Einsatz. 

Kategorie 3: „IP surveillance“ – die Überwachung sämtlicher Internetaktivitäten eines gesamten Landes. Solche Überwachungstools ermöglichen die lückenlose Überwachung der Bürger, ihrer Internetaktivitäten und der ausgetauschten Nachrichten. 

Proposed Rule: Wie das BIS die Wassenaar-Vereinbarung umsetzt

Während die europäischen Staaten die Wassenaar-Beschlüsse bereits 2014 problemlos umsetzten, erfolgte ihre Implementierung durch die USA erstaunlich langsam. Die Vereinigten Staaten reagierten zunächst mit einer „Proposed Rule“, statt wie üblich mit einer „Final Rule“. Das BIS hat sich damit bei der Umsetzung der Richtlinien gegen ein schlankes, eng definiertes Regelwerk entschieden. Mit diesem „Regelungsvorschlag“ hat es den Definitionsrahmen weit gesteckt und allgemeiner gehalten als Wassenaar selbst – auf einschränkende Ausnahmetatbestände, wie es bei der europäischen Umsetzung der Fall ist, wurde gänzlich verzichtet. Außerdem propagierte das BIS breit angelegte Exportkontrollen durch den Gebrauch sehr allgemein gehaltener Begriffe. 
So wäre unter zu kontrollierender IT-Technologie zu verstehen: „Systems, equipment, components and software specially designed for the generation, operation or delivery of, or communication with, intrusion software include network penetration testing products that use intrusion software to identify vulnerabilities of computers and network-capable devices. Technology for the development of intrusion software includes proprietary research on the vulnerabilities and exploitation of computers and network-capable devices.“ Insgesamt würden die implementierten Kriterien auf der CCL in neue ECCNs aufgenommen werden. Andere ECCNs würden Ergänzungen für Cybersecurity-Produkte erhalten. Dabei handelt es sich um:

  • Die neue ECCN 4A005: would cover systems, equipment and components „specially designed“ for the generation, operation or delivery of, or communication with, intrusion software.
  • Die neue ECCN 4D004: would cover software „specially designed“ for the generation, operation or delivery of, orcommunication with, intrusion software.
  • ECCN 4D001: would be revised so 4D001.a would also cover software specially designed or modified for the development or production of ECCN 4A005 commodities and 4D004 software.
  • ECCN 4E001 would be revised so 4E001.a would also cover technology required for ECCN 4A005 commodities and 4D004 software, as well as 4D001.a software related to intrusion software.
  • Die neue ECCN 5A001.j would cover IP network communications surveillance systems or equipment and test, inspection, production equipment, and specially designed components therefor.

Jede dieser Cybersecurity ECCNs würde die Beantragung einer Exportlizenz für alle Ausfuhrländer außer Kanada erfordern. Lizenzausnahmen, wie z.B. die License Exception ENC, sind nicht vorgesehen, abgesehen von Exporten unter der Lizenzausnahme GOV für Exporte an US-Regierungsstellen oder im Auftrag von US-Regierungsstellen.

Gegenwärtig werden fast alle genannten Cybersecurity-Produkte als sogenannte „encryption items“ kontrolliert. Auch nach einer ECCN-Klassifizierung müssen weiterhin die Registrierungs-, Überwachungs- und Mitteilungspflichten aus den EAR Encryption-Exportkontrollen eingehalten werden. Zusätzlich müssten die neuen Lizenzierungsvorschriften beachtet werden.

Bei der Lizenzerteilung werden die Exporte unter den Kriterienkatalogen NS (National security), RS (Regional Stability) und AT (Anti-Terrorism) geprüft. Der Prüfbehörde müssen Arbeitsweise, Quellcode und Funktionalitäten der IT-Technologie offengelegt werden (BIS requires specific technical information on the cybersecurity functions and – at request – copies of sections of source code).

BIS kündigt an, neue RS Lizenzkriterien aufzulegen, die eine breite und schnelle Lizenzgenehmigungspraxis für Cluster von IT-Produkten verspricht und unproblematische Lizenzerteilungen für Exporte an US-Unternehmen, die nicht in D:1- oder E:1-Ländern ansässig sind, in Aussicht stellt. Gleiches soll gelten für Exporte an Partnerunternehmen in Ländergruppe A:5 und staatliche Endempfänger in Australien, Kanada, Neuseeland und Großbritannien. In allen übrigen Fällen soll die Lizenzerteilung auf einer Fall-zu-Fall-Basis erfolgen, die als Abwägungskriterien auch die US-Außenpolitik, nationale Sicherheitsinteressen der USA und Menschenrechtsfragen enthält. Verstöße gegen die Lizenzbedingungen können mit einem Strafrahmen von bis zu USD 1 Million pro Fall der Zuwiderhandlung und/oder bis zu 20 Jahren Haft geahndet werden.

Weitere Informationen zu den möglichen Gründen der USA für ihr Vorgehen und den daraus resultierenden Auswirkungen erhalten Sie in dem Beitrag: „US-Exportkontrollen für Cybersecurity-Produkte bleiben umstritten“ von Prof. A. Albrecht, in: „US-Exportbestimmungen“, Ausgabe Januar 2016.

Quelle: Zeitschrift „US-Exportbestimmungen“, Ausgabe Januar 2016

IHRE ANSPRECHPARTNER

Ein-/Ausblenden

Wir beantworten Ihre Fragen!

Tel.: 0221 / 97 66 8 -173/-357
Fax: 0221 / 97 66 8 -232

PRODUKTEMPFEHLUNG

Ein-/Ausblenden

Warenursprung und Präferenzen

Handbuch und systematische Darstellung

Das Standardwerk für das Warenursprungs- und Präferenzrecht!

Preis: € 44,00

Zum Produkt

PRODUKTEMPFEHLUNG

Ein-/Ausblenden

UZK kompakt & praxisnah strukturiert

Der Unionszollkodex mit Durchführungs- und Delegierter Verordnung in systematischer Darstellung

Hier finden Sie Orientierung: Alle Rechtsakte zum Unionszollkodex in der direkten Zuordnung!

Preis: € 34,80

Zum Produkt

THEMENKATALOG 2017

Ein-/Ausblenden

Informieren Sie sich über unser aktuelles Programm.

Jetzt online blättern

Jetzt kostenlos bestellen!