Jedes Schloss bietet nur eine relative Sicherheit, das ist auch bei den Fragen um die 5G-Vertrauenswürdigkeit von Huawei nicht anders. (Bild: Pixabay)

Die Diskussionen nehmen an Schärfe zu und immer mehr Mahner und Warner melden sich zu Wort. Der Tenor ist meist derselbe: Schließt chinesische Staatsbetriebe, allen voran Huawei, vom Aufbau des 5G-Netzes in Deutschland aus! Doch wie fachlich fundiert sind diese Forderungen? fuenf-G.de fragt den Experten Dirk Kretzschmar, Geschäftsführer der TÜV Informationstechnik.

Es bildet sich derzeit eine breite Front gegen dringend benötigte 5G-Technik aus Fernost. Die jüngsten Rufe: Spiegel Online fordert via Leitartikel den chinesischen Konzern Huawei vom Ausbau des Mobilfunkstandards 5G in Deutschland auszuschließen und begründet das mit Aussagen des Verfassungsschutzes, dass staatliche Organe aus Russland, Iran und eben China für Datendiebstahl, Spionage und Sabotage verantwortlich seien. Und auch das ZDF warnt per Kommentar davor, Huawei zu vertrauen, allerdings etwas am Thema 5G vorbei: Seine Aussagen begründet Thomas Reichart mit vermuteten nächtlichen Besuchen der chinesischen Staatssicherheit in ZDF-Studio in Peking zum Zweck der Einschüchterung und Bedrohung. Auch Politiker (Grünen-Experten aus dem Bundestag) und Familienunternehmer warnen in der Presse vor „Fahrlässigkeit“ und „verhängnisvollen“ Entscheidungen.

Dabei sind Sicherheitsrisiken doch eigentlich so alt wie die Digitalisierung selbst. Und drohen die Angriffe eigentlich nur aus Richtung der genannten Länder – hier sei nur die Stichwörter NSA und Angela Merkels Mobiltelefon genannt? Ist auch durch eine technisch nüchterne Brille betrachtet überhaupt etwas dran an diesen Befürchtungen über eine Hardware-Lieferung von Huawei und Co. öffneten sich Tür und Tor für Spionage und Shut-Down-Szenarien? fuenf-G.de wollte es genau wissen und hat einen deutschen Experten für Sicherheit befragt: Dirk Kretzschmar ist Geschäftsführer der TÜV Informationstechnik GmbH und Experte was die Sicherheit rund um 5G-Netze angeht.

fuenf-G.de: Herr Kretzschmar, wie empfinden Sie die derzeitige Diskussion um Huawei, als Panikmache oder gerechtfertigte Sorge?

Kretzschmar: Derzeit gibt es mehrere Wellen von Anschuldigungen und Verdächtigungen gegen asiatische Netzwerkausrüster, insbesondere gegen Huawei, aufgrund früherer Meldungen von bisher nicht belegbaren versteckten Spionage-Chips auf Leiterplatten und der Verpflichtung der Zusammenarbeit mit der Chinesischen Regierung. Diese Diskussion ist durchaus nachvollziehbar und muss geführt werden, da es sich bei einer 5G-Infrastruktur um DIE digitale kritische Infrastruktur schlechthin handelt, über die zahlreiche Digitalisierungsvorhaben über alle Branchen in Deutschland hinweg verwirklicht werden sollen. Aufgrund der Beschränkungen derzeit verfügbarer mobiler öffentlicher und privater Telekommunikationsinfrastrukturen, können in der Tat derzeit viele ambitionierte Vorhaben gar nicht verwirklicht werden, da entscheidende Features fehlen oder Skalierungseffekte nicht umgesetzt werden können. Hinzu kommt: Mit 5G stehen erstmals Industrieanwendungen im Breitband, Echtzeit und Massen-Sensorik-Betrieb zur Verfügung, die von der Verfügbarkeit und Zuverlässigkeit der Mobilfunkinfrastruktur direkt abhängig sind. Sollte es da Möglichkeiten des durch ausländische Regierungen initiierten Datenabflusses geben, würde diese Technik nicht zum Einsatz kommen dürfen. Erstmals wird damit also die Bedrohung vor komplexen Hackerangriffen auf die digitale Infrastruktur nun auf eine völlig neue Bedrohung durch den Einsatz von Technik erweitert, die unter der direkten Einflussnahme ausländischer Regierungen stehen.

fuenf-G.de: Aber ist diese scheinbar neue Bedrohung wirklich neu?

Kretzschmar: Definitiv nein! Geheimdienste nutzen schon immer alle verfügbaren Möglichkeiten derartiger Einflussnahme auf Kommunikationskomponenten oder ganzen Telekommunikationsinfrastrukturen aus und verpflichten Hersteller einerseits zur Kooperation oder legen selbst Hand an. Edward Snowdens Enthüllungen müssen hier nicht wiederholt werden. Das Thema Huawei scheint aber in der derzeitigen Diskussion zumindest sehr einseitig ausgelegt zu werden – insbesondere von Staaten, die asiatische Hersteller bereits ausgeschlossen haben und nun sogar Druck auf die Souveränität der Entscheidung anderer Staaten ausüben, derartige Technik auf keinen Fall einzusetzen. Dies sogar unter Androhung, den Datenaustausch mit diesen Ländern zu unterbinden. Neu ist die Bedrohung technisch gesehen also überhaupt nicht. Die besondere Rolle der 5G-Mobilfunktechnik für die Digitalisierung, die offensichtlich erstmals eine viel deutlichere Abhängigkeit der Wirtschaft erkennen lässt, ruft die Regierungen auf den Plan, diese Tatsache ernster zu nehmen als in früheren Mobilfunkgenerationen und damit stärker als bisher regulierend einzugreifen.

fuenf-G.de: Fordern Sie damit indirekt die deutsche Bundesregierung auf, sich auch von den USA abzugrenzen?

Kretzschmar: Es steht einer unabhängigen IT-Security-Prüf- und Zertifizierungsorganisation wie der TÜV Informationstechnik nicht zu, diese politische Diskussion in irgendeiner Form zu werten oder gar in Frage zu stellen. Unseren Auftrag und Beitrag verstehe ich vielmehr darin, die technische Expertise für die notwendige politische Entscheidung einzubringen und die derzeit rein politisch geführte Debatte auch wieder auf fachlicher Ebene zu führen. Klar dürfte doch sein: Politische Entscheidungen, die losgelöst von fachlicher Expertise getroffen werden, sind vermutlich nicht die besten.

„Die Gefahr ist nicht neu.“

Dirk Kretzschmar, Geschäftsführer der TÜV Informationstechnik GmbH

fuenf-G.de: Gut, aber wie sieht denn die Gefahr, ausspioniert zu werden, aus technischer Sicht aus?

Kretzschmar: Die Gefahr, ausspioniert zu werden, Datendiebstahl zu erleiden oder die Geräte völlig zweckentfremdet zu nutzen, ist keinesfalls neu und schon immer da, seit es Informations- und Kommunikationstechnik gibt. Beim Ausspionieren müssen wir zwei Aspekte voneinander unterscheiden: Erstens das Ausnutzen von Schwachstellen, also zum Beispiel Fehler in der Programmierung oder leicht auszuhebelnde Sicherheitsmaßnahmen des Herstellers, die Angreifer entdeckt haben und ausnutzen. Und zweitens vorsätzlich implementierte Spionagefunktionen auf direkte Veranlassung. Beides sind sogenannte backdoors. Wie hoch die Gefahr ist, hängt also zum einen von der IT-Security-Qualität der Hersteller ab und zum anderen von der kriminellen Energie des Herstellers.

fuenf-G.de: Wäre es nicht denkbar, für alle Lieferanten geltende Regeln zu erlassen? Welche technischen Aspekte müssten in dem Fall beachtet werden und wie würden Sie vorgehen?

Kretzschmar: Aus Ihrer Frage erklärt sich die Daseinsberechtigung der TÜV Informationstechnik. Wir stehen für Security der digitalen Infrastruktur. Das bedeutet für uns Kriminalprävention, also das Auffinden der Schwachstellen, die ein Angreifer aktiv nutzen könnte und wird. Dabei müssen meine Mitarbeiter sich direkt in die Gedankenwelt von Angreifern versetzen. Denn Normen und Standards existieren in der Security-Prüfung so nicht. Kriminelle Kreativität, viel Erfahrung, Spezialtools und Austausch von Best Practices sind unsere Arbeitsmittel. Dabei nutzen und entwickeln wir Prüfverfahren, die wiederholbare Ergebnisse liefern. Und so können wir beide Arten der genannten Schwachstellen durch Security-Prüfungen aufdecken.

„Die geforderte Prüftiefe muss für alle Hersteller gelten!“

fuenf-G.de: Können Sie uns einen Einblick geben, wie Sie vorgehen?

Kretzschmar: Entscheidend ist nur die vorgegebene Prüftiefe. Grundsätzlich steigt der Aufwand mit der Prüftiefe, Sourcecode-Analyse und Hardware-Design-Prüfung sowie Side-Channel-Analysen und aufwändige Hardware- und Software-Penetrationstests sind die Mittel dazu. Die Hersteller müssen sich aber auch „in die Karten schauen“ lassen und sich einer Security-Prüfung durch eine unabhängige Stelle wie uns stellen. Und Sie haben Recht: Die dabei geforderte Prüftiefe muss für alle Hersteller gleich gelten. Und das wird auch gemacht: Die BNetzA erstellt gemeinsam mit dem BSI eine Liste kritischer Kernkomponenten der Telekommunikationsinfrastruktur, die dann einer IT-Security-Prüfung zertifiziert vom BSI zugeführt werden. Zusätzlich muss eine Prüfung der gesamten Entwicklungsumgebung und der Lieferkette erfolgen, um sicherzustellen, dass die später eingesetzten Komponenten auch die zuvor zertifizierten sind. Update-und Patchmanagement gehören ebenfalls dazu. Dies alles wird in der Neuauflage des §109 des Telekommunikationsgesetzes verankert werden. Die 5G-Betreiber dürfen nur solche zertifizierten Komponenten einsetzen und haben selbst weitergehende Verpflichtungen beim Betrieb der Infrastruktur.

fuenf-G.de: Was heißt das konkret für den Wirbel um den Fall Huawei?

Kretzschmar: Bezogen auf das gerade diskutierte, sehe ich technisch keinen Unterschied zu anderen Herstellern. Bei Verdacht auf vorsätzliche Spionagefunktionen muss die Prüftiefe entsprechend weitergehend definiert werden. Das muss dann aber wieder für alle Hersteller gleich gelten. So zumindest ist Stand heute die Linie der Regierung.

fuenf-G.de: Dennoch noch einmal zum Aspekt der Mitwirkung: Zeigen Lieferanten Unterschiede bezüglich ihrer Transparenz?

Kretzschmar: Die Mitwirkung der Hersteller ist Grundvoraussetzung für eine erfolgreiche Prüfung. Dazu gehört auch die Einschätzung des Verhaltens der Unternehmen, wenn wir Schwachstellen oder fragwürdige Codezeilen finden und sie damit konfrontieren. Ich erkenne hier durchaus Unterschiede bei Herstellern, die aber oft auf bestimmte handelnde Personen zurückzuführen sind – insbesondere, wenn Time-to-market-Aspekte aus dem Ruder zu laufen drohen. Aber nach unserer bisherigen Erfahrung sind die betreffenden Hersteller alle gleichermaßen sehr an Transparenz und Mitarbeit interessiert.

„Hersteller sind alle an Transparenz und Mitarbeit interessiert!“

fuenf-G.de: Was empfehlen Sie abschließend als Vorgehensweise und welche Lehren ziehen Sie persönlich?

Kretzschmar: Zu bedenken ist, dass wir mit Eriksson und Nokia noch zwei europäische Hersteller haben, die allerdings auch sehr viel Hardware internationaler Produzenten in ihrer Systemtechnik verwenden. Entscheidend ist daher die Software, die in 5G-Netzen sehr komplexe Cloudtechniken, Network-Function-Virtualisierung und Software-Defined-Radio nutzen. Es gibt Ambitionen, Europa und Deutschland wieder mehr Souveränität zu verschaffen und sogar neue Hersteller aufzubauen, die auf Augenhöhe mit der Weltspitze agieren können. Doch das wird sehr viel Zeit benötigen, in der wir weiterhin internationalen Produktherstellern vertrauen müssen, um mit dem technischen Fortschritt in der Wirtschaft mithalten zu können. Auf unser Unternehmen bezogen sehe ich es daher als dringend erforderlich an, dass wir unsere eigenen Kompetenzen zur sicheren Prüfung von Produkten noch gigantisch ausbauen müssen, solange die beschriebenen Abhängigkeiten bestehen. Wenn wir noch nicht Weltspitze in der Technologie sind, können wir unsere Fähigkeiten des Prüfens als Weltmarktführerschaft einbringen. Die Fähigkeiten und Kompetenzen haben wir bereits heute, aber wir sind noch viel zu kleinteilig aufgestellt und benötigen Spezial-Tools für diesen Nischenmarkt, die eine Skalierung der Prüfungen ermöglichen.

fuenf-G.de: Vielen Dank für das Interview, Herr Kretzschmar.