Ganz genau

BNetzA legt 5G-Sicherheits-Entwurf vor

Die Diskussion um die Sicherheit bestimmter Hardware- und Software-Lieferanten wird langsam sachlicher. Die deutsche Bundesnetzagentur hat ein Eckpunktepapier zur Diskussion vorgelegt.
AAA
Teilen (11)

Die Bundesnetzagentur hat ein Eckpunkte-Papier zur Sicherheit von kritischen Netz-Komponenten vorgelegt. Es sollen alle Hersteller überprüft werden.Die Bundesnetzagentur hat ein Eckpunkte-Papier zur Sicherheit von kritischen Netz-Komponenten vorgelegt. Es sollen alle Hersteller überprüft werden. Aktuell wird - im Zusam­men­hang mit den kommenden 5G-Netzen - über die Sicher­heit von Liefe­ranten für Tele­kom­mu­ni­ka­ti­ons­netze inter­na­tional disku­tiert. Insbe­son­dere Hersteller aus China wie Huawei oder ZTE stehen im Verdacht, in puncto System­si­cher­heit und Fern­mel­de­ge­heimnis nicht ganz unab­hängig von staat­li­cher Kontrolle der chine­si­schen Regie­rung zu sein. Aber auch Anbieter von Routern wie die US-ameri­ka­ni­sche Firma CISCO gerieten in das Licht der Öffent­lich­keit, als der "Whistle-Blower" Edward J. Snowden enthüllte, dass diese Geräte eine "Hintertür" für den ameri­ka­ni­schen Geheim­dienst enthalten. Wem kann man nun mehr trauen?

Sicher­heits­be­denken oder Angst vor lästiger Konkur­renz?

In der welt­weiten Diskus­sion spielen neben nach­voll­zieh­baren Sicher­heits­be­denken auch Ängste vor wirt­schaft­li­chen Nach­teilen für die jeweils heimi­schen Anbieter eine Rolle, da die Produkte aus China oft besser und auch noch wesent­lich güns­tiger sein können. In Deutsch­land sieht man die Diskus­sion etwas nüch­terner.

Homann: „Anfor­de­rungen gelten für alle Unter­nehmen glei­cher­maßen“

Die Bundes­netz­agentur (BNetzA) hat heute Eckpunkte zusätz­li­cher Sicher­heits­an­for­de­rungen für Tele­kom­mu­ni­ka­ti­ons­netze und -dienste veröf­fent­licht. „Wir passen die geltenden Sicher­heits­an­for­de­rungen regel­mäßig der aktu­ellen Sicher­heits­lage sowie dem Stand der Technik an“, erklärt der Präsi­dent der Bundes­netz­agentur, Jochen Homann dazu. „Diese Sicher­heits­an­for­de­rungen gelten für alle Netz­be­treiber und Diensteer­bringer und sie gelten tech­nik­neu­tral. Dabei werden alle Netze erfasst, nicht nur einzelne Stan­dards wie zum Beispiel 5G.“

Über­ar­bei­tung der Sicher­heits­an­for­de­rungen

Die Bundes­netz­agentur über­ar­beitet derzeit die Sicher­heits­an­for­de­rungen für das Betreiben von Tele­kom­mu­ni­ka­tions- und Daten­ver­ar­bei­tungs­sys­temen sowie für die Verar­bei­tung von perso­nen­be­zo­genen Daten. Insbe­son­dere für Betreiber von öffent­li­chen Tele­kom­mu­ni­ka­ti­ons­netzen mit erhöhtem Gefähr­dungs­po­ten­zial sollen die künf­tigen Sicher­heits­an­for­de­rungen genauer defi­niert werden.

Künf­tige Systeme dürfen nur noch von "vertrau­ens­wür­digen Liefe­ranten" bezogen werden, die natio­nale Sicher­heits­be­stim­mungen sowie Bestim­mungen zum Fern­mel­de­ge­heimnis und zum Daten­schutz "zwei­fels­frei" einhalten. Der Netz­ver­kehr muss regel­mäßig und konti­nu­ier­lich auf Auffäl­lig­keiten hin beob­achtet werden. Im Zwei­fels­fall sind geeig­nete Maßnahmen zum Schutz zu ergreifen.

Sicher­heits­re­le­vante Netz- und System­kom­po­nenten (also kriti­sche Kern­kom­po­nenten) dürfen dann nur noch einge­setzt werden, wenn sie von einer vom Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik (BSI) aner­kannten Prüf­stelle auf IT-Sicher­heit über­prüft und vom BSI "zerti­fi­ziert" wurden, also eine Art "Prüf­siegel" erhalten haben.

Kriti­sche Kern­kom­po­nenten dürfen dann nur noch von "vertrau­ens­wür­digen Liefe­ranten/Herstel­lern" bezogen werden. Dies schließt auch eine Zusi­che­rung der Vertrau­ens­wür­dig­keit seitens der Liefe­ranten/ Hersteller ein. Solche kriti­schen Kern­kom­po­nenten dürfen dann nur noch nach einer Abnah­me­prü­fung bei der Anlie­fe­rung einge­setzt werden und müssen regel­mäßig und konti­nu­ier­lich bestimmten Sicher­heits­prü­fungen unter­zogen werden. Was eine "sicher­heits­re­le­vante Kompo­nente" ist und was nicht, wird zwischen der Bundes­netz­agentur und dem BSI abge­stimmt.

Es wird kompli­zierter und teurer

Für die Netz­be­treiber wird es kompli­zierter und damit auch teurer, denn: In sicher­heits­re­le­vanten Berei­chen darf nur noch "einge­wie­senes Fach­per­sonal" einge­setzt werden. Bevor eine Anlage instal­liert werden kann, muss alles doppelt und drei­fach geprüft werden und es ist jedes Mal nach­zu­weisen, dass die ausge­wählte, sicher­heits­re­le­vante und geprüfte Hard­ware und deren Quell­code (Soft­ware) auch wirk­lich zum Einsatz kommen. Im Klar­text: Es muss sicher­ge­stellt sein, dass das gelie­ferte Produkt mit dem "Baumuster", wofür es eine Zulas­sung gibt, 100 Prozent über­ein­stimmt. Da heutige Kommu­ni­ka­ti­ons­ein­rich­tungen perma­nent mit Updates versorgt werden, ist das eine Sisyphus-Arbeit, bis fast unmög­lich.

Die Vorschläge der BNetzA gehen aber noch weiter: Bei Planung und Aufbau der Netze sollen „Mono­kul­turen“ durch Einsatz von Netz- und System­kom­po­nenten unter­schied­li­cher Hersteller vermieden werden. Auf deutsch: Ein Netz soll nicht mehr aus Kompo­nenten einer Firma X bestehen, sondern mit anderen Herstel­lern gemischt werden. Das bedeutet aber auch verstärkte und umfang­rei­chere Tests, ob die Produkte "sicher" sind und ob sie mitein­ander funk­tio­nieren. Gerade dieser Passus ist für den mögli­chen "neuen" 5G-Anbieter 1&1-Dril­lisch von Bedeu­tung, da es Speku­la­tionen gibt, dass das 5G-Netz vom chine­si­schen Hersteller ZTE zu beson­ders güns­tigen Kondi­tionen gelie­fert und aufge­baut werden soll. 1&1 würde dieses "Netz" dann nur mieten.

Nur zuge­las­senes Fach­per­sonal, nur zuver­läs­sige Subun­ter­nehmer

Die Kosten­rechner, die solche komplexen Projekte am liebsten weit in Billigst­lohn­länder ausla­gern möchten, müssen aufpassen: Bei der Ausla­ge­rung von sicher­heits­re­le­vanten Aufgaben dürfen ausschließ­lich fach­kom­pe­tente, zuver­läs­sige und vertrau­ens­wür­dige Auftrag­nehmer berück­sich­tigt werden.

Und nicht nur das: Für kriti­sche, sicher­heits­re­le­vante Netz- und System­kom­po­nenten also kriti­sche Kern­kom­po­nenten müssen künftig ausrei­chend Redun­danzen (also ein Zweit oder Dritt­gerät als Reserve) vorge­halten werden. Nach der Veröf­fent­li­chung dieser Eckpunkte können Hersteller und Netz­be­treiber diese Vorschläge kommen­tieren. Im Früh­jahr 2019 soll ein Entwurf der neuen Sicher­heits­an­for­de­rungen erstellt werden. Die endgül­tige Version soll nach der gesetz­lich vorge­schrie­benen Stel­lung­nah­me­mög­lich­keit durch Hersteller und die genannten Verbände zum Entwurf des Kata­loges der Sicher­heits­an­for­de­rungen sowie eines euro­päi­schen Noti­fi­zie­rungs­ver­fah­rens durch die Bundes­netz­agentur erfolgen. Wer sich in das Thema "einlesen" möchte, kann dies auf den Seiten der Bundes­netz­agentur tun.

Eine Einschät­zung

Etwas mehr Klar­heit und Offen­heit kann in diesem Geschäft nie schaden. Doch selbst wenn alle Quell­codes offen­ge­legt werden sollten: Die Technik ist extrem kompli­ziert und die Zahl derer, die genau wissen, was diese Technik tut und was da noch möglich ist, ist über­schaubar. Richtig ist auch, alle Liefe­ranten von Hard- und Soft­ware glei­cher­maßen anzu­schauen. 100-prozen­tige Sicher­heit kann und wird es nie geben, schließ­lich haben alle Staaten ein gewisses Inter­esse daran, bei der Verbre­cher­jagd auf die Tele­kom­mu­ni­ka­tions-Systeme zugreifen zu können. Wer ein "echter Verbre­cher" ist und wer mögli­cher­weise nur "die Mäch­tigen stören" könnte, ist heute kaum noch neutral zu entscheiden.

Und klar ist auch: Zum Schnäpp­chen-Preis sind diese Prüfungen nicht zu machen. Es wird kompli­zierter und teurer. Und es könnte länger dauern, bis die Netze endlich in Betrieb gehen.

Teilen (11)

Mehr zum Thema Sicherheit