Export und Import von Kryptotechnik

Was gilt es zu beachten?

Kryp­to­tech­nik kommt nicht nur zum Ein­satz, um die Ver­trau­lich­keit von Infor­ma­tio­nen durch Ver­schlüs­se­lung zu gewähr­leis­ten. Sie ist auch für den Nach­weis der Inte­gri­tät von Infor­ma­tio­nen von ent­schei­den­der Bedeu­tung. In den fal­schen Hän­den kön­nen kryp­to­gra­fi­sche Ver­fah­ren jedoch erheb­li­che Gefah­ren her­vor­ru­fen. Aus die­sem Grund zählt Kryp­to­tech­nik zu den Dual-Use-Gütern, die sowohl zivi­len als auch mili­tä­ri­schen Zwe­cken die­nen kön­nen. Export und Import wer­den welt­weit reguliert.

Kryp­to­tech­nik in der Exportkontrolle

Wer Pro­duk­te, die kryp­to­gra­fi­sche Ver­fah­ren beinhal­ten, aus­führt, ist Expor­teur und muss die Export­ge­set­ze der Län­der, aus denen das Pro­dukt aus­ge­führt wer­den soll, beach­ten. Dies gilt teil­wei­se sogar für Reex­por­te. In Deutsch­land und der EU müs­sen Expor­teu­re unter ande­rem das Außen­wirt­schafts­ge­setz  und die Außen­wirt­schafts­ver­ord­nung sowie die EU-Dual-Use-VO, die jeweils kon­kre­te Ver­bo­te und Geneh­mi­gungs­pflich­ten für die Aus­fuhr von Rüstungs- bzw. Dual-Use-Gütern ent­hal­ten, beach­ten. Wer Kryp­to­tech­nik expor­tiert, muss vor dem Export prü­fen, ob ein Aus­fuhr­ver­bot oder ein Geneh­mi­gungs­vor­be­halt besteht. Für Unter­neh­men ist das wegen der Viel­zahl an kryp­to­gra­fi­schen Ver­fah­ren, der Geschwin­dig­keit der tech­ni­schen Ent­wick­lun­gen und der hohen Kom­ple­xi­tät des Export­kon­troll­rechts kein leich­tes Unter­fan­gen. Immer­hin gel­ten nach dem euro­päi­schen und US-amerikanischen Export­kon­troll­recht Aus­nah­men für all­ge­mein zugäng­li­che Tech­no­lo­gien, zu denen ins­be­son­de­re Open-Source-Software zählt, wenn sie frei im Inter­net abge­ru­fen wer­den kann.

Import­kon­trol­le – ein neu­er Trend?

In zuneh­men­dem Umfang unter­lie­gen kryp­to­gra­fi­sche Ver­fah­ren auch Import­be­schrän­kun­gen, die sich ins­be­son­de­re aus dem Ver­bot oder der Beschrän­kung von ver­schlüs­sel­ter Kom­mu­ni­ka­ti­on erge­ben kön­nen. Die Volks­re­pu­blik Chi­na ver­fügt bei­spiels­wei­se über ein umfas­sen­des Regel­werk zur Import­kon­trol­le, das dif­fe­ren­zier­te Anfor­de­run­gen an unter­schied­li­che Arten von Kryp­to­tech­nik stellt. Das „Sta­te Coun­cil“ von Chi­na stellt u.a. Import­li­zenz­lis­ten für kom­mer­zi­el­le Pro­duk­te zur Ver­fü­gung, die Unter­neh­men berück­sich­ti­gen sollten.

Prak­ti­sche Umset­zung – White- oder Blacklist?

Bei der sich anschlie­ßen­den prak­ti­schen Umset­zung der gesetz­li­chen Vor­ga­ben zum Export und Import von Kryp­to­tech­nik begeg­net uns häu­fig die Fra­ge nach geeig­ne­ten Maß­nah­men, wie z.B. White- oder Black­lists. Wegen der Viel­zahl von kryp­to­gra­fi­schen Ver­fah­ren, die Unter­neh­men ein­set­zen kön­nen, und deren fort­schrei­ten­der Ent­wick­lung ist eine abschlie­ßen­de Bewer­tung zum Export und Import ein­zel­ner kryp­to­gra­fi­scher Ver­fah­ren jedoch in der Regel nicht sinn­voll. Unse­rer Erfah­rung nach ist eine Richt­li­nie zum Ein­satz von kryp­to­gra­fi­schen Ver­fah­ren, die der Pro­dukt­ent­wick­lung eine gewis­se Vor­prü­fung zum Export erlaubt und in pro­ble­ma­ti­schen Fäl­len eine Ein­zel­fall­be­trach­tung zulässt, häu­fig ein bes­se­rer Ansatz. Ergän­zend kann auch mit einer dyna­mi­schen Black­list, die aus durch­ge­führ­ten Ein­zel­fall­be­trach­tun­gen kon­ti­nu­ier­lich fort­ent­wi­ckelt wird, gear­bei­tet werden.

Ein The­ma auch für Zulieferer?

Auch wenn die Export- und Import­vor­schrif­ten unmit­tel­bar nur den Expor­teur bzw. Impor­teur von Kryp­to­tech­nik ver­pflich­ten, stel­len wir in der Pra­xis ver­mehrt fest, dass Zulie­fe­rer über ver­trag­li­che Ver­ein­ba­run­gen zur Export­kon­trol­le oder zur Bereit­stel­lung der hier­für erfor­der­li­chen Infor­ma­tio­nen ver­pflich­tet wer­den. Nicht zuletzt wegen der hohen Kom­ple­xi­tät von Software-Lieferketten ist Zulie­fe­rern, die frem­de Kryp­to­tech­nik nut­zen, daher zu raten, ein Ver­zeich­nis aller ein­ge­setz­ten Software-Komponenten und damit ein­her­ge­hen­der Export­be­schrän­kun­gen zu erstel­len. Hier­mit wer­den Unter­neh­men zugleich den Vor­ga­ben des geplan­ten Cyber Resi­li­en­ce Act gerecht und erhö­hen die Cyber­si­cher­heit in der Lie­fer­ket­te.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.