Spionage-Software ist kein Produkt, mit dem man sich besonders beliebt macht. Und wenn deutsche Firmen sie auch noch in Länder verkaufen, die nicht wissen, wie man Menschenrechte buchstabiert, hat das erst recht einen bitteren Beigeschmack. Denn man kann damit Gespräche mithören, Fotos ansehen, Datensätze abgreifen - also auch Regimegegner ausspionieren. Wenn diese dann aufgespürt und gefoltert werden, ist das eine Folge solcher Deals. Deshalb erklärte Bundeswirtschaftsminister Sigmar Gabriel kürzlich, solchen Firmen über Exportverbote das Geschäft mit der Überwachung erschweren zu wollen. Klingt einfach und richtig - könnte aber verhängnisvoll sein.

Im Wassenaar-Abkommen haben sich 41 Staaten weltweit auf Ausfuhrkontrollen von sogenannten Dual-Use-Gütern verständigt. Produkte also, die sich sowohl zivil als auch militärisch nutzen lassen. Mit einer Faserwickelmaschine zum Beispiel, eine Art Webstuhl für Karbonfasern, können Teile von Tennis- und Golfschlägern hergestellt werden - aber mit ihr können auch Raketenteile produziert werden. Der Export muss Fall für Fall genehmigt werden. Nach den Vorstellungen Sigmar Gabriels soll nun auch die EU ihre Vorschriften zur Exportkontrolle überarbeiten und "die jüngsten internationalen Beschlüsse des Wassenaar-Abkommens" einfügen, wie es aus dem Wirtschaftsministerium heißt. Das würde bedeuten: Mit Ende des Jahres wäre auch Spionage-Software betroffen.

Sicherheitsforscher befürchten jedoch, dass die geplanten Änderungen am Ende ihre tägliche Arbeit kriminalisieren. Ihr Job besteht darin, Schwachstellen in Computersystemen zu finden und zu beseitigen. Alles, was programmiert wird, hat solche Schwachstellen. Denn Computerprogramme werden von Menschen geschrieben, Menschen aber machen Fehler - und dadurch wird jedes System angreifbar. Laut Schätzungen passieren pro 1000 Zeilen Programmcode zwischen einem und dreißig Fehler. Und Betriebssysteme etwa haben Millionen Zeilen. In einer Zeit, in der selbst ein Bäcker seine Logistik mithilfe von Software organisiert, ist die Arbeit dieser Sicherheitsforscher zentral.

Technisch macht es keinen Unterschied, ob man ein System angreifen oder verteidigen will

Christian Horchert ist einer von ihnen. Er arbeitet bei der Kölner IT-Firma Sektion Eins, ist Mitglied beim Chaos Computer Club und gilt als eine Instanz auf seinem Gebiet. Wenn er über die geplante Regelung spricht, stellt er zuerst klar: "Ich finde das, was diese Firmen machen, auch verwerflich". Eine Haltung, die viele teilen: Niemand will indirekt das Geschäftsmodell der Spähsoftware-Firmen verteidigen. Gleichzeitig aber müssten IT-Systeme ständig sicherer gemacht werden, "das ist das Problem", sagt Horchert. Und Angriff ist eben die beste Verteidigung. "Wenn ich für meine Kunden in ihre Systeme eindringe, dann muss ich beispielhaft zeigen, wie ein Angreifer die Lücken nutzen würde. Ich muss also handeln wie ein Angreifer. Das ist Teil unseres Tagesgeschäfts", sagt Horchert. Technisch macht es keinen Unterschied, ob man ein System angreifen oder verteidigen will.

Das neue Export-Abkommen soll aber genau auf dieser technischen Ebene ansetzen. Auch die Firmen, die ihre Überwachungssoftware an Staaten wie Bahrain verkaufen, nutzen diese Schwachstellen und bauen um sie herum ein Programm mit leicht zu bedienender Oberfläche auf. Ihre Programme packen etwa Schadsoftware in E-Mail-Anhänge; wer darauf klickt, infiziert seinen Computer und kann überwacht werden. Ist die genutzte Schwachstelle beseitigt worden, suchen die Experten der Exportfirmen nach der nächsten. Ein Rundum-Sorglos-Paket.

Was genau das Abkommen regulieren wird, ist noch unklar. Innerhalb des Textes finden sich Passagen, die so breit formuliert sind, dass mit ihnen alles gemeint sein könnte. Zum Beispiel steht da, dass Technologie beschränkt wird, die zur Entwicklung von "intrusion software" geeignet ist. Wenn man diesen Satz liest, wie er dasteht, wird nicht das Gesamtpaket reguliert, sondern das bloße Arbeiten mit Schwachstellen, also das Tagesgeschäft von Sicherheitsforschern. Je mehr von ihnen sich das Abkommen durchlesen, desto mehr Bedenken haben sie und sammeln Fälle aus ihrem Arbeitsalltag, die betroffen wären. Programme, die die Fehleranfälligkeit eines Systems überprüfen, um Schwachstellen zu finden, müssen sich nach dem vorliegenden Text der Exportkontrolle unterziehen. Das ist in etwa so, als ob ein Künstler um Erlaubnis bitten müsste, um in seinen Bildern die Farbe Blau zu verwenden.

Was ist eine "unkritische Verwendung"?

Hat ein Kunde der Sicherheitsfirma seinen Sitz außerhalb der EU, was oft der Fall ist, muss jeder einzelne Auftrag dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (Bafa) vorgelegt werden. Ein an sich legitimes und legales Geschäft stünde damit unter Generalverdacht. Das ärgert Horchert vom Chaos Computer Club: "Das, was wir machen, ist IT-Sicherheit, das ist etwas zutiefst Ziviles." Denn je mehr Schwachstellen behoben werden, desto sicherer werden IT-Systeme. Und weniger anfällig für die Spionage-Software, die die Exportkontrollen gerade verbieten wollen.

Auch Morgan Marquis-Boire sieht das Abkommen in seiner jetzigen Form kritisch. Er arbeitet beim Citizen Lab an der Universität in Toronto und ist einer der Forscher, die nachgewiesen haben, dass Aktivisten in Bahrain mit Software von Gamma International, einer britisch-deutschen Firma, ausgespäht wurden. "Dass diese Software in solchen Ländern eingesetzt wird, das ist besorgniserregend", sagt er. Es sollte einen Rahmen geben, "um jene zu bestrafen, die Programme mit so einem Potenzial unverantwortlich verkaufen." Aber er sagt auch, dass der aktuelle Text mehr Fragen offen lässt als Antworten gibt: "Meine größte Sorge ist, dass hier eine Industrie reguliert wird von exakt den Regierungen, die eine Entwicklung solcher Produkte in Auftrag geben."

Der US-Geheimdienst NSA etwa kaufte im vergangenen Jahr für 25 Millionen Dollar Wissen um Schwachstellen in Computersystemen ein. Je mehr Schwachstellen, umso mehr Mittel, Menschen abzuhören. Und die Bundesregierung bestätigte 2013, dass sie für eine Überwachungssoftware namens Finfisher knapp 150 000 Euro ausgegeben hat. Hergestellt übrigens von der Firma, deren Software Marquis-Boire auch auf den infizierten Computern von bahrainischen Aktivisten gefunden hat. "Die Sorge unter den Sicherheitsforschern ist nun diese: Wenn der Staat anfängt, in diesem Bereich zu regulieren, wird die Forschung nur noch für die möglich sein, die auch für den Staat arbeiten - alle anderen werden aus dem Geschäft gedrängt."

Ben Wagner arbeitet an der Universität Viadrina und ist Mitglied der Digitalen Gesellschaft, einer Organisation, die sich für Exportkontrollen bei solcher Software einsetzt. Er hat eine Studie über das Wassenaar-Abkommen geschrieben (PDF-Version) und verteidigt die Änderungen, obwohl auch er problematische Stellen im Text sieht. "Das Abkommen zielt nicht auf die Schwachstelle selbst ab, sondern auf das Komplettpaket." Es sei eines der wenigen internationalen Mechanismen, mit denen Staaten sich untereinander abstimmen können, um Dual-Use-Produkte zu regulieren.

Die Digitale Gesellschaft habe kein Interesse daran, die alltägliche Arbeit der Sicherheitsforscher zu blockieren, sagt er: "Wir sind sehr eng mit dieser Community im Gespräch - schon seit Jahren." Die Verantwortung für eine sinnvolle Umsetzung liege aber letztlich bei den Regierungen. Aus dem Wirtschaftsministerium heißt es dazu, dass eine "unkritische Verwendung" der Technologie von der Exportregulierung nicht erfasst werden solle. Doch was soll das sein, eine "unkritische Verwendung"? So genau weiß das niemand. Und genau das ist das Problem.