Die EU koordiniert die Sicherheitsmaßnahmen für die 5G-Netze der Mitgliedsstaaten (Bild: H.Jacob (Komposition) / Pixabay/OpenClipart-Vectors)

Die EU macht Druck: Bis Ende 2019 sollen einheitliche Maßnahmen und gemeinsame Zertifizierungen festgelegt werden, die dazu beitragen, Aufbau und Betrieb der nationalen 5G-Netze sicherer zu machen. Die Frage, wie mit US-amerikanischen und chinesischen Lieferanten von Infrastruktur, Software und Services – wie beispielsweise Huawei – umgegangen wird, könnte dann zentral in Brüssel entschieden werden.

Auch wenn das EU-Cybersicherheits-Gesetz erst am 26. Juni in Kraft getreten ist, entfaltet es bereits seine Wirkung. Auf dieser Grundlage sollten bis zum 19. Juli die EU-Mitgliedsstaaten eigene nationale Risikobewertungen bei der EU einreichen. Immerhin 24 der 28 Staaten haben diese Aufgabe fristgerecht erledigt. Drei Fragen galt es dabei zu klären:

  • Was sind die Hauptbedrohungen und relevanten Akteure für 5G-Netze?
  • Wie empfindlich sind 5G-Netzwerkkomponenten und -Funktionen sowie andere Elemente des Netzwerks gegenüber Störungen und Angriffen?
  • Welche Arten von Schwachstellen gibt es, einschließlich technischer Schwachstellen und anderer, z. B. Risiken, die möglicherweise aus der 5G-Lieferkette resultieren?

Sicherheit in der EU aus einem Guss

Auf Basis der nationalen Stellungnahmen sowie eigener Analysen der Bedrohungslandschaft für 5G soll die EU-Agentur für Cybersicherheit (ENISA) eine koordinierte EU-weite Risikobewertung erstellen. Die Kooperationsgruppe NIS (Sicherheit von Netz- und Informationssystemen) wird dann bis Ende des Jahres ein Instrumentarium entwickeln, um die identifizierten Risiken zu mindern oder zu vermeiden. Darüber hinaus soll ein gemeinsames Zertifizierungssystem für 5G-Netze und -Ausrüstungen entstehen, das einen einheitlichen Bewertungsmaßstab innerhalb der EU sicherstellt.

Der Vizepräsident der Europäischen Kommission, Andrus Ansip, zuständig für den digitalen Binnenmarkt, hatte bereits im März die Linie vorgegeben:

„Die 5G-Technologie wird unsere Wirtschaft und Gesellschaft verändern und enorme Chancen für Menschen und Unternehmen eröffnen. Wir können dies jedoch nicht akzeptieren, wenn nicht die volle Sicherheit gewährleistet wird. Daher ist es wichtig, dass 5G-Infrastrukturen in der EU ausfallsicher und vollständig vor technischen oder rechtlichen Hintertüren geschützt sind.“

Kein Platz für nationale Alleingänge

Das Cybersecurity-Gesetz und die vereinbarten Schritte zur Erhöhung der Sicherheit von 5G-Netzen werden schon bald die erste Nagelprobe bestehen müssen. Nämlich in der Frage, wie mit chinesischen und US-amerikanischen Lieferanten verfahren wird. Denn mit dem vorliegenden Gesetz soll vermieden werden, dass in einem Staat beispielsweise Huawei als unsicher eingestuft und vom Ausbau der 5G-Netze ausgeschlossen wird, während das Unternehmen im Nachbarstaat als Lieferant zugelassen ist.

Gleiches gilt für die Zertifizierung der Netzwerkkomponenten. Mit dem Cybersecurity-Gesetz wurde erstmals in der EU ein Rahmen geschaffen, der eine einheitliche Zertifizierung von vernetzten Produkten, von Geräten des Internets der Dinge und von kritischen Infrastrukturen ermöglicht. Dies soll auch dazu beitragen, dass Sicherheitsmerkmale bereits in der Frühphase der technischen Konzeption und Entwicklung berücksichtigt werden.

EU macht Druck

Ob und wie das System funktioniert soll schon nach kurzer Zeit überprüft werden. Bereits zum 1. Oktober 2020 ist ein Review vorgesehen, der die Wirksamkeit des Instrumentariums auf den Prüfstand stellt. In der Folge könnten Regularien angepasst oder weitere Werkzeuge beschlossen werden. Die Mitgliedsstaaten sind angehalten, der Zusammenarbeit in dieser Frage hohe Priorität einzuräumen. Denn die EU will erreichen, dass die 5G-Netze schnell aktiviert und weiter ausgebaut werden – und dann auch sicher sind, nach gemeinsamen, einheitlichen Maßstäben.