Gastbeitrag

5G Netzaufbau: Rote Karte für Huawei?

Prof. Torsten J. Gerpott analysiert den "Vorschlag" der USA, Huawei vom 5G-Ausbau auszuschließen als "nicht uneingeschränkt selbstlos" und rät zu differenziertem Umgang mit dem latenten Spionagepotenzial
Gastbeitrag von Torsten J. Gerpott
AAA
Teilen (32)

Mit dem in den nächsten Jahren zu bewerk­stel­li­genden Aufbau von Mobil­funk­netzen der fünften Genera­tion (= 5G) rückt ein Thema in das Licht der (ver)öffent­lich(t)en Meinung, das zuvor eher stief­müt­ter­lich behan­delt wurde. Es geht um die Sicher­heit von 5G-Netzen vor Spio­nage durch den chine­si­schen Netz­aus­rüster Huawei. Der vorlie­gende Beitrag setzt sich mit der Forde­rung, dieses Unter­nehmen als 5G-Lieferanten der Mobil­funk­netz­be­treiber in Deutsch­land auszu­schließen, ausein­ander. Er kommt zu dem Ergebnis, dass ein gene­reller Bann nur schwer vertretbar ist und statt­dessen andere Maßnahmen besser zur Erhö­hung der 5G-Netz­si­cher­heit geeignet sind.

Im Juli 2015 trat das Gesetz zur Erhö­hung der Sicher­heit infor­ma­ti­ons­tech­ni­scher Systeme in Kraft. Das Gesetz strebt an, den Schutz der IT-Systeme und -Dienste in Deutsch­land insbe­son­dere im Bereich der Kriti­schen Infra­struk­turen zu erhöhen, zu denen u.a. Tele­kom­mu­ni­ka­tions(TK-)netze gezählt werden. Seither hat das IT-Sicher­heits­ge­setz außer­halb von Fach­kreisen kaum Beach­tung gefunden. Vor dem Hinter­grund der von einem starken medialen Sturm beglei­teten bevor­ste­henden Vergabe von Frequenzen für 5G-Netze in Deutsch­land ist an die Stelle der Aufmerk­sam­keits­lücke in den letzten Wochen eine von Vielen kontro­vers geführte Debatte getreten, in deren Mittel­punkt die zukünf­tige Rolle des chine­si­schen Netz­aus­rüs­ters Huawei beim Aufbau von 5G-Netzen steht. Etliche Poli­tiker plädieren aufgrund von Bedenken dahin­ge­hend, dass Huawei über diese Netze Spio­nage betreiben oder sie bei natio­nalen Strei­tig­keiten einfach abschalten könne, mehr oder minder deut­lich dafür, das Unter­nehmen als Liefe­ranten von 5G-Netz­ele­menten in Deutsch­land auszu­schließen. Top-Manager von TK-Netz­be­trei­bern wie Voda­fone oder Swisscom werden demge­gen­über mit Aussagen, dass sie einen Verzicht auf Huawei als 5G-Ausrüster für über­zogen halten, in der Presse zitiert.

Druck aus den USA

Univ.-Prof. Dr. Torsten J. Gerpott plädiert für eine differenzierte Betrachtung des ProblemsUniv.-Prof. Dr. Torsten J. Gerpott plädiert für eine differenzierte Betrachtung des Problems Die Huawei-Kritiker in Deutsch­land greifen einen seit Anfang 2018 von der US-Regie­rungs­ad­mi­nis­tra­tion mit zuneh­mendem Nach­druck arti­ku­lierten „Vorschlag“ auf, durch die Verban­nung von Huawei als 5G-Netz­lie­fe­rant einer mögli­chen Weiter­gabe sensi­bler Daten von Geschäfts- und Privat­kunden an staat­liche Instanzen in China einen Riegel vorzu­schieben.

Bei der US-Regie­rung wirkt diese Anre­gung nicht unein­ge­schränkt selbstlos. Sie erzeugt einen faden Beigeschmack ange­sichts des im Oktober 2013 aufge­kom­menen begrün­deten Verdachts, dass der Auslands­ge­heim­dienst der USA über Jahre hinweg das Handy der deut­schen Bundes­kanz­lerin ausge­späht hat. Dieser Geschmack wird dadurch verstärkt, dass US-ameri­ka­ni­sche Konzerne wie Cisco oder Qual­comm in der 5G-Netz­aus­rüs­tung aktiv sind und ihren Geschäften ein staat­lich vorge­ge­bener Ausschluss des chine­si­schen Konkur­renten nicht schaden dürfte. Bei einigen deut­schen Poli­ti­kern erstaunt es zudem, dass sie mit Blick auf Huawei einer vorbeu­genden Gefähr­dungs­po­ten­zi­al­ver­mei­dung das Wort reden, während sie in anderen Lebens­be­rei­chen (z.B. Poli­zei­ge­setze der Bundes­länder) Erwei­te­rungen staat­li­cher Eingriffe bereits bei drohender Gefahr sehr reser­viert gegen­über­stehen. Beson­ders schwer wiegt, dass es bislang keine „harten“ Beweise dafür gibt, das Huawei bei der Konstruk­tion von 5G-Netz­hard- oder -soft­ware IT-Sicher­heits­vor­schriften verletzt hat.

Maßnahmen zur Bedro­hungs­ver­rin­ge­rung

Es ist nicht zu bestreiten, dass Netz­aus­rüster mit Sitz in China Gesetzen ihres Heimat­landes unter­worfen sind, aus denen sich Verpflich­tungen zur Zusam­men­ar­beit mit Nach­rich­ten­diensten ihres Stamm­landes ergeben. Zwar können auch in Deutsch­land u.a. auf Basis von § 113 Tele­kom­mu­ni­ka­ti­ons­ge­setz (TKG) Betreiber öffent­li­cher Netze dazu ange­halten werden, von ihnen trans­por­tierte vertrau­liche Daten z.B. an Verfas­sungs­schutz­be­hörden des Bundes und der Länder oder an den Bundes­nach­rich­ten­dienst weiter­zu­geben. Aber diese Weiter­gabe ist auf Netze in Deutsch­land und an bestimmte Zwecke (z.B. „Abwehr von Gefahren für die öffent­liche Sicher­heit oder Ordnung“, § 113, Abs. 2, S. 1 TKG) gebunden. Außerdem unter­liegen Aktionen der Exeku­tive in China einer deut­lich weniger starken rechts­staat­li­chen Kontrolle als in Deutsch­land. Vor dem Hinter­grund der sich über viele Jahre erstre­ckenden Förde­rung der Expan­sion von Huawei (und anderer einhei­mi­scher Ausrüster wie ZTE) durch die chine­si­sche Regie­rung ist der Vorschlag, diese staat­li­chen Eingriffs­mög­lich­keiten durch Verla­ge­rung des Firmen­sitzes von Huawei in einen demo­kra­tisch verfassten Staat auszu­he­beln, wirk­lich­keits­fremd. Man stelle sich die Reak­tion in Deutsch­land vor, wenn die Trump-Admi­nis­tra­tion von der Deut­schen Telekom eine Verla­ge­rung des Konzern­sitzes in die USA als Voraus­set­zung für ein dortiges Enga­ge­ment verlangen würde. Eher umsetzbar dürfte eine vertrau­ens­bil­dende Maßnahme Huaweis sein, dem Eindruck des Vorherr­schens einer „Wagen­burg-Menta­lität“ dadurch entge­gen­zu­wirken, dass man auch Top-Manage­ment-Posi­tionen zumin­dest auf der Ebene wich­tiger Landes­ge­sell­schaften nicht nur mit Chinesen, sondern auch mit Personen besetzt, die über die Staats­an­ge­hö­rig­keit des Gast­landes und dort über eine hohe Repu­ta­tion verfügen.

Die deut­sche Politik kann eben­falls zu einem diffe­ren­zierten Umgang mit dem latenten Spio­na­ge­po­ten­zial chine­si­scher 5G-Ausrüster beitragen. Derzeit verpflichtet das Gesetz über das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik (BSI-Gesetz, dort § 8a) und das TKG (§ 109) nur Betreiber Kriti­scher Infra­struk­turen bzw. öffent­li­cher Tele­kom­mu­ni­ka­ti­ons­netze Maßnahmen zur Beherr­schung der Risiken solcher Systeme zu treffen und „durch Sicher­heits­au­dits, Prüfungen oder Zerti­fi­zie­rungen“ (§ 8a, Abs. 3, S. 2 BSI-Gesetz) nach­zu­weisen, dass staat­liche Sicher­heits­an­for­de­rungen erfüllt sind. Hier ist zu empfehlen, das Gesetz rasch zu ändern, um Netz­aus­rüster gene­rell so in rele­vante Prozesse einzu­be­ziehen, dass auch sie direkt von quali­fi­zierten unab­hän­gigen Stellen auf die Einhal­tung von TK-Sicher­heits­stan­dards getestet werden. Dem BSI obliegt es, die Anfor­de­rungen solcher Prüfungen so zu gestalten, dass sie sich nicht auf isolierte Tests einzelner fertig konstru­ierter Netz­kom­po­nenten beschränken. Viel­mehr sollten sie auch die Planung von Netz(sicher­heits)archi­tek­turen, Vorkeh­rungen zum Risi­ko­ma­nage­ment und den Quell­code der rele­vanten Soft­ware umfassen. Es spricht nicht für das BSI, dass solche Anfor­de­rungen rund drei­ein­halb Jahre nach Inkraft­treten des IT-Sicher­heits­ge­setzes immer noch nicht vorliegen. Auf einer bran­chen­über­grei­fenden Ebene kann die aktu­elle Huawei-Diskus­sion von der Bundes­re­gie­rung zum Anlass genommen werden, als Gegen­leis­tung für einen Vertrau­ens­vor­schuss gegen­über dem chine­si­schen Unter­nehmen konse­quenter als bisher die rezi­proke Öffnung des Ausrüs­tungs­ge­schäfts in China für euro­päi­sche Wett­be­werber wie Ericsson oder Nokia durch­zu­setzen.

Schließ­lich sind auch die Mobil­funk­netz­be­treiber in Deutsch­land selbst gefor­dert, 5G-Sicher­heits­ri­siken dadurch zu verrin­gern, dass sie bei der Wahl ihrer Ausrüster nicht nur eine kurz­fris­tige Kosten­mi­ni­mie­rung anstreben. Statt­dessen sollten sie versteckte Sicher­heits­kosten einbe­ziehen, indem sie für ihr 5G-Funk­netz jeweils mehr als einen Liefe­ranten nutzen. Bei Rest­zwei­feln an der Vertrau­ens­wür­dig­keit chine­si­scher Anbieter ist es besser, auf deren Kompo­nenten im 5G-Kern­netz zu verzichten.

Fazit

Ohne Zweifel gibt es zahl­reiche Beispiele für Indus­trie­spio­nage chine­si­scher Unter­nehmen in Deutsch­land und das ille­gale Kopieren geschützter Tech­no­lo­gien von Anbie­tern aus Indus­trie­län­dern durch chine­si­sche Konkur­renten. Sie sollten aber nicht zu einem pauschalen Ausschluss von Huawei als 5G-Liefe­ranten in Deutsch­land führen. Ange­zeigt ist ein an allge­meinen und fach­lich gut begrün­deten IT-Sicher­heits­stan­dards und nicht an natio­nalen Ursprungs­län­dern orien­tiertes diffe­ren­ziertes Vorgehen. In ihm spie­gelt sich nicht zuletzt auch der Vorteil von durch dezen­trale Entschei­dungen geprägten, markt­ba­sierten gegen­über zentral gesteu­erten, staat­lich domi­nierten Wirt­schafts­ord­nungen klar wider.

Zur Person

Univ.-Prof. Dr. Torsten J. Gerpott leitet den Lehr­stuhl für Unter­neh­mens- und Tech­no­lo­gie­pla­nung an der Mercator School of Manage­ment Duis­burg der Univer­sität Duis­burg-Essen.

Teilen (32)

Meldungen von und über Torsten J. Gerpott