Was gilt es zu beachten?
Kryptotechnik kommt nicht nur zum Einsatz, um die Vertraulichkeit von Informationen durch Verschlüsselung zu gewährleisten. Sie ist auch für den Nachweis der Integrität von Informationen von entscheidender Bedeutung. In den falschen Händen können kryptografische Verfahren jedoch erhebliche Gefahren hervorrufen. Aus diesem Grund zählt Kryptotechnik zu den Dual-Use-Gütern, die sowohl zivilen als auch militärischen Zwecken dienen können. Export und Import werden weltweit reguliert.
Kryptotechnik in der Exportkontrolle
Wer Produkte, die kryptografische Verfahren beinhalten, ausführt, ist Exporteur und muss die Exportgesetze der Länder, aus denen das Produkt ausgeführt werden soll, beachten. Dies gilt teilweise sogar für Reexporte. In Deutschland und der EU müssen Exporteure unter anderem das Außenwirtschaftsgesetz und die Außenwirtschaftsverordnung sowie die EU-Dual-Use-VO, die jeweils konkrete Verbote und Genehmigungspflichten für die Ausfuhr von Rüstungs- bzw. Dual-Use-Gütern enthalten, beachten. Wer Kryptotechnik exportiert, muss vor dem Export prüfen, ob ein Ausfuhrverbot oder ein Genehmigungsvorbehalt besteht. Für Unternehmen ist das wegen der Vielzahl an kryptografischen Verfahren, der Geschwindigkeit der technischen Entwicklungen und der hohen Komplexität des Exportkontrollrechts kein leichtes Unterfangen. Immerhin gelten nach dem europäischen und US-amerikanischen Exportkontrollrecht Ausnahmen für allgemein zugängliche Technologien, zu denen insbesondere Open-Source-Software zählt, wenn sie frei im Internet abgerufen werden kann.
Importkontrolle – ein neuer Trend?
In zunehmendem Umfang unterliegen kryptografische Verfahren auch Importbeschränkungen, die sich insbesondere aus dem Verbot oder der Beschränkung von verschlüsselter Kommunikation ergeben können. Die Volksrepublik China verfügt beispielsweise über ein umfassendes Regelwerk zur Importkontrolle, das differenzierte Anforderungen an unterschiedliche Arten von Kryptotechnik stellt. Das „State Council“ von China stellt u.a. Importlizenzlisten für kommerzielle Produkte zur Verfügung, die Unternehmen berücksichtigen sollten.
Praktische Umsetzung – White- oder Blacklist?
Bei der sich anschließenden praktischen Umsetzung der gesetzlichen Vorgaben zum Export und Import von Kryptotechnik begegnet uns häufig die Frage nach geeigneten Maßnahmen, wie z.B. White- oder Blacklists. Wegen der Vielzahl von kryptografischen Verfahren, die Unternehmen einsetzen können, und deren fortschreitender Entwicklung ist eine abschließende Bewertung zum Export und Import einzelner kryptografischer Verfahren jedoch in der Regel nicht sinnvoll. Unserer Erfahrung nach ist eine Richtlinie zum Einsatz von kryptografischen Verfahren, die der Produktentwicklung eine gewisse Vorprüfung zum Export erlaubt und in problematischen Fällen eine Einzelfallbetrachtung zulässt, häufig ein besserer Ansatz. Ergänzend kann auch mit einer dynamischen Blacklist, die aus durchgeführten Einzelfallbetrachtungen kontinuierlich fortentwickelt wird, gearbeitet werden.
Ein Thema auch für Zulieferer?
Auch wenn die Export- und Importvorschriften unmittelbar nur den Exporteur bzw. Importeur von Kryptotechnik verpflichten, stellen wir in der Praxis vermehrt fest, dass Zulieferer über vertragliche Vereinbarungen zur Exportkontrolle oder zur Bereitstellung der hierfür erforderlichen Informationen verpflichtet werden. Nicht zuletzt wegen der hohen Komplexität von Software-Lieferketten ist Zulieferern, die fremde Kryptotechnik nutzen, daher zu raten, ein Verzeichnis aller eingesetzten Software-Komponenten und damit einhergehender Exportbeschränkungen zu erstellen. Hiermit werden Unternehmen zugleich den Vorgaben des geplanten Cyber Resilience Act gerecht und erhöhen die Cybersicherheit in der Lieferkette.
zurück