Wassernaar, Hackerparagraf und totalitäre Systeme Marc Ruef | 20.02.2012 Das Wassenaar-Abkommen regelt die Exportkontrollen für konventionelle Waffen und doppelverwendungsfähigen Gütern und Technologien. Dieses hat vor allem in den 90er Jahren für grösses Aufsehen im Bereich der Computersicherheit gesorgt. Denn mitunter fielen ebenfalls kryptografische Systeme mit mehr als 64-bit (http://www.techlawjournal.com/encrypt/19981204.htm) unter diese Restriktionen. Die Kritiker dieser Einschränkung sahen die Risiken in der potentiellen Unterdrückung der Bürger. Diese sollten sich damit nicht mehr in der Lage sehen, sich selbst und die eigene Privatsphäre mittels technischen Mitteln effizient zu schützen. Man berief sich darauf, dass technische Mechanismen stets sowohl zum Guten als auch zum Bösen verwendet werden können. Und die Nutzung solcher Mechanismen für den normalen Bürger sei ein Grundrecht, das nicht allen generell entzogen werden könne. In den letzten Jahren wurde eine ähnliche Einschränkung auf anderem Terrain heftig kritisiert. Der seit 2007 in Deutschland eingesetzte Hackerparagraf § 202c verbietet die Erstellung, Verbreitung und Nutzung sogenannter "Hacker-Tools" - Ich habe mich dazu in hakin9 (http://de.hakin9.org/magazine/684-hackerparagraf-sie-nennen-es-sicherheit) und Linux Technical Review (http://www.linuxtechnicalreview.de/Vorschau/%28show%29/Themen/Security/Der-Hackerparagraph-und-seine-Konsequenzen) geäussert. Auch hier zogen die Kritiker schnell den Vergleich zu Schusswaffen, die in den Händen von Polizisten in gutem Sinn eingesetzt werden können - Und in den Händen von Kriminellen für böse Taten genutzt werden können. Genauso sei es mit Exploits und Tools: Weder Entwickler noch Benutzer sind pauschal zu verurteilen, sondern die Böswilligkeit einzig von den Motiven des Nutzers abhängig. Die jüngste Echauffierung dieser Art diskutiert den Vertrieb von Mechanismen zur Überwachung, wie sie mitunter auch von sogenannten Schurkenstaaten bezogen werden können und werden. Plötzlich heisst es, dass sämtliche Firmen, die Infection-Proxies herstellen und vertreiben, böse Unternehmen sind. Ironischerweise wird diese Kritik (http://blog.fefe.de/?ts=b38c7fa0) in erster Linie von denen vorgetragen, die damals gegen Wassernaar und den Hackerparagrafen geschimpft haben. Seit der Finfisher-Affäre (http://www.f-secure.com/weblog/archives/00002114.html) gilt unter Hacktivisten der Hersteller und Vertreiber eines Produkts böswillig und nicht mehr derjenige, der es für böse Zwecke einsetzt. Das Werkzeug wird verteufelt und mit ihm dessen Hersteller. Dabei hat man ursprünglich das Argument genau in umgekehrter Weise herangezogen. Ich kann diese gekünstelte Aufregung, diese gespielte Entsetztheit nicht ernst nehmen. Für mich ist es purer Aktionismus, der die klassische kognitive Dissonanz als Grundlage hat. Man kann in zwei Gesprächen nicht das gleiche Argument einmal vorwärts und einmal rückwärts vortragen, in beiden Diskussionen Recht behalten und eine konsistente Weltanschauung vertreten. Das geht einfach nicht. Entweder sind in jedem Fall die Hersteller von Produkten zur Verantwortung zu ziehen - Oder es wird in jedem Fall die Verantwortung den Nutzern zugewiesen. Mal so mal so, das geht hingegen nicht! Selbstverständlich gibt es da auch noch die Abstufung durch die sogenannte Beihilfe oder Mittäterschaft. Und der aufmerksame Leser könnte nun entgegenhalten, dass es die Pflicht des Herstellers ist, vor der Weitergabe einer potentiellen Waffe die Motive des Käufers zu erörtern. Doch wie zuverlässig ist eine solche Diskussion? Beim Kauf von Computer-Hardware aus den USA wird vor der Bestellung die Frage gestellt, ob man damit terroristische Anschläge umsetzen möchte. Wieviele Terroristen geben da "Ja" an? Wieviel Aufwand muss der Verkäufer betreiben, um die wahren Absichten seines Geschäftspartners herauszufinden? Bemämpft man damit nicht in erster Linie nur das soziale Symptom und nicht die humanistische Krankheit, die zu Gewalt und Unterdrückung führt?