Große Aufre­gung in den Nieder­landen: Das Netz von KPN enthält viele Kompo­nenten von Huawei und wurde auch vom Hersteller betreut. Was hat Huawei mit dem Admin-Zugang gemacht und was nicht?

Foto: Picture-Alliance / dpa In den Nieder­landen herrscht aktuell große Aufre­gung. Auslöser ist einem Bericht der "Tages­zei­tung "De Volks­krant" (zu deutsch "Die Volks­zei­tung"). Sie berichtet, dass im Jahre 2010 der chine­sische Netz­werk­aus­rüster Huawei Zugang zum "Kern des Netz­werks" von KPN gehabt habe. Ein vertrau­licher Bericht habe enthüllt, dass Huawei dadurch in der Lage war, die Anrufe der Kunden abzu­hören und ihre Rufnum­mern mitzu­lesen. Der dama­lige hollän­dische Minis­ter­prä­sident Balken­ende und seine Minister tele­fonierten über den Provider KPN, dem Nach­folger der ehema­ligen staat­lichen PTT (Post Telefon Tele­graph).

KPN bestellte Geheim­bericht

Beim holländischen Netzbetreibers kpn wurde viel Technik von Huawei installiert. Was konnte Huawei im Netz mithören oder lesen?

Foto: Picture-Alliance / dpa Der "Geheim­bericht", der dem "De Volks­krant" vorliegt, war von KPN in Auftrag gegeben und vom Bera­tungs­unter­nehmen Capge­mini erstellt worden. KPN hatte bereits eine Menge an Huawei-Technik instal­liert und wollte weitere dazu kaufen. Deshalb wurde eine Risi­koana­lyse durch­geführt.

Die Berater von Capge­mini fanden heraus, dass Huawei "unau­tori­sierten Zugang" zum Netz­werk gehabt habe und Gespräche abhören konnte. Auf einem Server der Firma hätte sich eine Liste von Nummern befunden, die für die Sicher­heits­dienste abge­hört werden sollten ("legal inter­cep­tion").

Legalen Admin-Zugang zum Netz

Huawei verwal­tete damals einen wich­tigen Teil des KPN-Netz­werks und hatte daher auch Admin-Zugang zum Netz. Es gab Verein­barungen, dass dies nur mit Erlaubnis geschehen durfte. Dem Bericht zufolge hätten sich die Chinesen nicht daran gehalten.

KPN wiegelt ab: "Kein Liefe­rant hat 'unbe­fugten, unkon­trol­lierten und unbe­grenzten' Zugang zu unseren Netz­werken und Systemen oder ist in der Lage, KPN-Kunden zu belau­schen oder Abhör­infor­mationen einzu­sehen." Und weiter: "In all den Jahren haben wir noch nie beob­achtet, dass Kunden­daten aus unseren Netz­werken oder Kunden­sys­temen von Huawei gestohlen oder abge­hört wurden. Wäre dies der Fall gewesen, hätten wir sicher­lich die zustän­digen Behörden und unsere Kunden darüber infor­miert und Maßnahmen gegen­über dem Liefe­ranten ergriffen."

Im Zuge von Service-Arbeiten war es möglich, dass die Tech­niker zu Quali­täts­siche­rungs­zwe­cken alle Gespräche kurz mithören konnten. Das Mithören eines ganzen Gesprächs war nicht erlaubt, sei aber laut Bericht möglich gewesen.

Zugang zu sensi­blen Infor­mationen?

Damit hätte Huawei auch an sehr sensible Infor­mationen gelangen können: Tele­fonate des Premier­minis­ters und seiner Minister. Alle Minister des Kabi­netts verwen­deten damals SIM-Karten und Verträge bei KPN. Mehrere ehema­lige Minister sagten gegen­über der Zeitung, sie seien nie über die Gefahr infor­miert worden.

Aus dem Bericht geht aller­dings nicht hervor, wie oft Huawei Gespräche abhörte, sondern nur, dass es tech­nisch möglich war. Es wurde nicht aufge­zeichnet, wenn jemand mit Berech­tigung ein Gespräch mithörte und Huawei hatte damals den Auftrag, die System zu warten und zu beauf­sich­tigen.

Huawei demen­tiert Daten­extrak­tion

Huawei erklärte gegen­über der Zeitung, den Geheim­bericht nicht zu kennen. "Die Mitar­beiter von Huawei hatten weder unbe­fugten Zugriff auf das Netz­werk und die Daten von KPN, noch haben sie Daten aus diesem Netz­werk extra­hiert. Huawei hat zu jeder Zeit mit der ausdrück­lichen Geneh­migung von KPN gear­beitet."

Wie De Volks­krant weiter berichtet, habe Huawei immer noch den Auftrag zum Kern-Netz­manage­ment von KPN. Deshalb haben Mitar­beiter von Huawei auch "Admi­nis­tra­tor­rechte" im Netz­werk von KPN, erfuhr die Zeitung von Quellen bei KPN.

Wurde der Netz­betrieb ausge­lagert?

KPN teilte mit, dass ein neues Sicher­heits­kon­zept ausge­arbeitet und umge­setzt wurde. KPN betonte, dass das Manage­ment des Kern-Netz­werks, nicht ausge­lagert sei. KPN mache - bis zum heutigen Tag - diese Wartung selbst, mit Unter­stüt­zung von Experten von mehren Unter­nehmen.

Dem wider­spre­chen aber mehrere KPN-Insider: "Das Manage­ment des 4G-Mobil­funk­netzes wurde an Huawei ausge­lagert". Und weiter: "Huawei-Mitar­beiter haben Admi­nis­tra­tor­rechte im Netz­werk von KPN." Insbe­son­dere sei das Mobil­funk­netz immer noch "outge­sourced" (ausge­lagert).

Huawei ist ein wich­tiger Liefe­rant

Huawei sei nach wie vor ein wich­tiger Liefe­rant für KPN, so die Zeitung. Die Kompo­nenten des Kern­netz­werkes stammen von dem chine­sischen Unter­nehmen und auch die neuen, intel­ligen­teren 5G-Funk­antennen wurden von Huawei gelie­fert. Für die Zeitung ist somit klar: Das Mobil­funk­netz von KPN werde fast voll­ständig mit Geräten des chine­sischen Unter­neh­mens betrieben.

Das sei auch nicht verwun­der­lich: Huawei liefert gute und güns­tige Geräte. Aber es gebe Risiken. Die Bedie­nung dieser Kompo­nenten sei komplex und schwer zu durch­schauen. In den letzten Jahren wurden inner­halb von KPN verschie­dene Vorschläge disku­tiert, um die Risiken zu begrenzen, sagen Insider. So sei versucht worden, mehr Verant­wor­tung und Steue­rung an KPN zu über­tragen, was sich aber als unmög­lich erwiesen habe.

Können Huawei Geräte auch ohne Huawei betrieben werden?

"Huawei-Geräte arbeiten so, dass ein Teil des Manage­ments immer bei Huawei liegen muss", betonen Experten. Über­legt wurde auch, den Code zu analy­sieren und Betrieb der Kompo­nenten stärker zu über­wachen und zu proto­kol­lieren. Doch aufgrund hoher Kosten wurde nicht alles reali­siert. "Das wäre dann so teuer, dass man genauso gut euro­päi­sche Geräte (z.B. von Nokia oder Ericsson) kaufen könnte."

Poli­tisch brisantes Thema

Das Thema wurde von der nieder­län­dischen Politik aufge­griffen. Die Angst vor Lausch­angriffen durch Huawei erweise sich als begründet", sagt Lisa van Ginneken, eine Abge­ord­nete der links­libe­ralen Partei "D66". Auch die anderen Parteien VVD, CDA und SP verlangten Aufklä­rung.

Eine Einschät­zung (von Henning Gajek)

Wenn eine Firma X ein Kommu­nika­tions­netz­werk liefert, kennt sie sich wohl am besten mit ihren Kompo­nenten aus und bietet daher gleich an, die Wartung und den Betrieb mit zu über­nehmen. Dabei hat der Liefe­rant logi­scher­weise Zugriff auf alle Netz­kom­ponenten und muss die auch haben, um einen zuver­läs­sigen Betrieb zu gewähr­leisten. Das ist bei allen Herstel­lern so.

Dass für den Liefe­ranten da eine Versu­chung besteht, "inter­essante Infor­mationen abzu­greifen", wird sich nie ausschließen lassen. Und sicher­lich gibt es gerade in der chine­sischen Staats­füh­rung Kräfte, die sich bren­nend für solche Dinge inter­essieren. Die Frage ist nur, inwie­weit sich Huawei China-intern dagegen wehren kann. Schon aus eigenem Inter­esse. Denn spätes­tens dann, wenn der hieb- und stich­feste Beweis für einen Daten­abfluss erbracht werden sollte, wäre Huawei komplett aus dem Rennen. Und das weiß man in China bestimmt auch. Spio­nieren sie? Wir wissen es nicht. Aber die (tech­nische) Möglich­keit besteht durchaus. Genauso gibt es "neugie­rige Dienste" in vielen anderen ("befreun­deten") Ländern.

Die große Proble­matik bleibt: Es kennen sich viel zu wenig Leute mit der Technik wirk­lich aus. Eine bessere Kontrolle treibt die Kosten nach oben und bremst die Perfor­mance und das Inno­vati­ons­tempo. Und einen 100 prozen­tigen Schutz gibt es nie. Beson­ders, wenn die Kosten­rechner und die preis­sen­siblen Kunden am Ende das Sagen haben.

Menschen, die "geheime" Dinge zu bespre­chen haben, verwenden viel­leicht inzwi­schen wirk­same Ende-zu-Ende Verschlüs­selungen.

Beim kommenden Stan­dard "6G" soll die Technik vom Prinzip her sicherer sein.