Connect with us

Deutsch

USA führen neue Regeln für den Export von Hacking- und Cyberverteidigungstools ein

Published

on

Das US-Handelsministerium hat neue Regeln veröffentlicht, die Unternehmen daran hindern sollen, Hacker-Tools an China, Russland und andere Länder zu verkaufen, die sie für schändliche Zwecke verwenden könnten.

Die neuen Regeln, die in 90 Tagen in Kraft treten und vom Bureau of Industry and Security (BIS) des Ministeriums vorangetrieben wurden, regeln den „Export, Reexport oder Transfer (im Inland) bestimmter Gegenstände, die für böswillige Cyberangriffe verwendet werden können“. Aktivitäten.”

Unternehmen wäre es untersagt, bestimmte Technologien ohne eine spezielle Lizenz von BIS in bestimmte Länder zu verkaufen.

US-Handelsministerin Gina Raimondo sagte in einer Erklärung, die USA seien „verpflichtet, mit unseren multilateralen Partnern zusammenzuarbeiten, um die Verbreitung bestimmter Technologien zu verhindern, die für böswillige Aktivitäten verwendet werden können, die die Cybersicherheit und die Menschenrechte bedrohen“.

„Die vorläufige endgültige Regelung des Handelsministeriums, Exportkontrollen für bestimmte Cybersicherheitsartikel aufzuerlegen, ist ein angemessen zugeschnittener Ansatz, der die nationale Sicherheit Amerikas vor böswilligen Cyberakteuren schützt und gleichzeitig legitime Cybersicherheitsaktivitäten gewährleistet“, sagte Raimondo.

Die Regel zertifiziert zusätzlich eine neue License Exception Authorized Cybersecurity Exports (ACE), zu der die Abteilung nun nach öffentlichem Kommentar sucht. Das Handelsministerium sucht externe Experten, die sie darüber informieren, wie sich die Regel auf US-Unternehmen und die breitere Cybersicherheitsgemeinschaft auswirken wird.

Das Ministerium erklärte in einer Erklärung, dass die Ausnahme “den Export, Reexport und die Übertragung (im Inland) von ‘Cybersicherheitsgegenständen’ an die meisten Bestimmungsorte ermöglichen würde, während eine Genehmigungspflicht für Exporte in Länder der nationalen Sicherheit oder Massenvernichtungswaffen beibehalten wird”. .”

Jedes Land, das derzeit unter einem US-Waffenembargo steht, benötigt eine Lizenz, um bestimmte Technologien zu erhalten

„Außerdem würde die Lizenzausnahme ACE eine Endverwendungsbeschränkung unter Umständen auferlegen, in denen der Ausführer, Wiederausführer oder Veräußerer zum Zeitpunkt der Ausfuhr, Wiederausfuhr oder Verbringung (im Inland) weiß oder Grund zur Kenntnis hat, dies zu wissen, einschließlich a als Ausfuhr oder Wiederausfuhr gilt, dass der „Cybersicherheitsgegenstand“ verwendet wird, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder Informationssystemen ohne Genehmigung des Eigentümers, Betreibers oder Administrators des Informationssystems (einschließlich der Informationen und Prozesse in diesen Systemen) zu beeinträchtigen )”, erklärte das Handelsministerium.

Das Ministerium stellte fest, dass die Regel mit dem Wassenaar-Arrangement im Einklang steht – das freiwillig die Exportpolitik von 42 verschiedenen Ländern rund um „militärische und Dual-Use-Technologien“ regelt.

Die USA sind eines der letzten Länder, die Teil des Wassenaar-Arrangements sind, um solche Regeln zu erlassen. China und Israel sind keine Mitglieder des Wassenaar-Arrangements, aber Russland ist es.

Die Regeln kommen nach dem internationalen Aufschrei über eine Reihe von Enthüllungen über US-Experten und Technologie, die von repressiven Diktaturen verwendet werden. Die USA haben letzten Monat drei ehemalige NSA-Beamte mit hohen Geldstrafen belegt, weil sie den VAE eine Reihe mächtiger Hacker-Tools zur Verfügung gestellt hatten.

Die drei ehemaligen US-Geheimdienste waren Teil von Project Raven, einem Versuch der VAE, Menschenrechtsaktivisten, Politiker und regierungsfeindliche Dissidenten auszuspionieren. Die drei hackten sich sogar in US-Unternehmen ein und erstellten zwei Exploits, die verwendet wurden, um in Smartphones einzudringen.

Israelische Beamte sind aufgrund der von der NSO Group bereitgestellten Tools weiterhin mit Gegenreaktionen konfrontiert, einem privaten Unternehmen, das mächtige Spyware an Diktaturen und cyberkriminelle Gruppen verkauft.

Die Washington Post berichtete als erste über die neuen Regeln des Handelsministeriums und stellte fest, dass die Regeln speziell auf Unternehmen abzielen, die nach Russland und China verkaufen. Die Regel ist kompliziert, da spezielle Carve-outs zur Besänftigung von Cybersicherheitsforschern gedacht sind, die sich lange darüber beschwert haben, dass die potenziellen Regeln es ihnen erschweren würden, defensive Informationen mit anderen im Ausland zu teilen.

Eines der heikelsten Probleme, die die Regel jahrelang aufrechterhielten, war der Verkauf von Penetrationstest-Tools, die für bestimmte Länder ohne Lizenz erlaubt sein werden, für andere jedoch nicht.

Jonathan Reiber, der zuvor während der Obama-Regierung als Chief Strategy Officer für Cyber-Politik im Amt des US-Verteidigungsministers tätig war, sagte, es habe lange gedauert, die Regeln in Kraft zu setzen, weil die Regierung das Potenzial abwägen müsse Kosten und Nutzen für jede Exportkontrolle.

„Es ist nicht nur Zeit für Beratungen innerhalb der US-Regierungsbehörden und mit dem Kongress, sondern zwischen der Regierung, der Privatwirtschaft und der Forschungsgemeinschaft. Wenn Sie sich die Regel selbst ansehen und sich vorstellen, wie viele Anwälte in verschiedenen Behörden zustimmen müssen die Sprache, bevor eine Regel öffentlich bekannt werden kann, können Sie ein Gefühl dafür bekommen, warum die Reform der Exportkontrolle ein langsamer Prozess ist”, sagte Reiber.

„Das Wassenaar-Arrangement besteht seit Jahrzehnten, und als es in den letzten elf Jahren durch den Reformprozess der Exportkontrolle ausgereift ist und die Staaten über die darin enthaltenen Kontrollen informiert, wurden berechtigte Fragen aufgeworfen, wie eine potenzielle Exportkontrolle negativ wirken könnte Auswirkungen auf die Entwicklung und den Einsatz von Testsoftware zur Verbesserung der Cybersicherheit haben.”

Reiber sagte, diese Frage sei schwer zu lösen, weil der Reformprozess der Exportkontrolle zwei Prinzipien im Gleichgewicht halten müsse: keine negativen Auswirkungen auf die Innovation in der Industrie zu haben und gleichzeitig potenzielle negative Szenarien zu kontrollieren, die sich aus der Verbreitung einer potenziell gefährlichen Waffe ergeben könnten, oder Dual-Use-Technologie.

„Die jüngsten Enthüllungen haben die Risiken kristallklar gemacht, die die Verbreitung solcher Software darstellen kann, insbesondere für gezielte Einzelpersonen, Dissidentengruppen und gefährdete Bevölkerungsgruppen, die unterdrückerischen Regimen ausgeliefert sind“, fügte Reiber hinzu. “Diese Ereignisse haben sicherlich die Entwicklung der Regeln beschleunigt.”

Chris Clements, Vizepräsident für Lösungsarchitektur bei Cerberus Sentinel, sagte, er gehe aus mehreren Gründen nicht davon aus, dass diese Regeln erhebliche Auswirkungen auf die Offensivfähigkeiten vieler Länder insgesamt haben werden.

Einige der größten Anbieter solcher Software haben ihren Sitz außerhalb der USA, wo sie von der Regulierung möglicherweise nicht betroffen sind, erklärte er und fügte hinzu, dass viele der am häufigsten verwendeten Tools Open Source sind.

Der Open-Source-Charakter bestimmter Tools macht unklar, wie sich diese Regeln auf ihre Verbreitung auswirken.

„Selbst wenn gängige Open-Source-Hosting-Organisationen wie GitHub oder Gitlab GeoIP-Beschränkungen für den Download solcher ausgewiesener Einbruchssoftware erlassen würden, wäre es für eine verbotene Nation trivial, einfach VPN über einen gemeinsamen VPN-Anbieter zu betreiben, um solche Beschränkungen zu umgehen.“ Clemens sagte.

“Schließlich ist es häufig der Fall, dass Akteure in diesen Rechtsordnungen Raubkopien kommerzieller Tools verwenden und die Notwendigkeit, die Software rechtmäßig zu erwerben, völlig umgehen.”

Continue Reading

Copyright © 2021 Meta Mag Inc.