Cisco und Lancom: Wenn Spionagepanik auf Industriepolitik trifft
Das Deutsche Zentrum für Luft- und Raumfahrt (DLR) hat seine Router ausgetauscht. Statt Cisco-Produkten werden aus Angst vor Industriespionage und Überwachung künftig solche von Lancom zum Einsatz kommen. Dieser Hersteller, das ist dem DLR nach Darstellung der Wirtschaftswoche(öffnet im neuen Fenster) wichtig (Vorabmeldung, vollständiger Artikel nur mit Abo zugänglich), hat vor allem eine Qualifikation: Das Unternehmen kommt nicht aus den USA. Die IT-Sicherheit nur am Herkunftsland von Hard- und Software festzumachen, ist aber sicher nicht der beste Weg, eine nachhaltige IT-Politik zu gestalten.
Der Umstieg auf die Lancom-Router geschieht laut den Verantwortlichen beim DLR auch aus staatsbürgerlicher Verantwortung. Denn Lancom ist ein deutscher Hersteller und hat seinen Sitz in der Nähe von Aachen – in Würselen. Und geht dem DLR zufolge mit Kunden besser um als "Cisco, Microsoft oder Oracle" , die selbst große Kunden wie "kleine Bittsteller" behandelten. Deshalb müsse man Konsequenzen ziehen, sagte Hans-Joachim Popp, Chief Information Officer des DLR, der Zeitung: "Schon um in der Diskussion auf Augenhöhe zu bleiben, müssen wir in Europa selbst in der Lage sein, sichere IT-Systeme zu bauen."
Router in "besonders sensiblen Bereichen" wurden getauscht
In einem "besonders sensiblen Bereich" des DLR-Netzwerkes sollen diese Konsequenzen nun gezogen worden sein. Dort sollen künftig statt 200 Cisco-Routern Geräte des Konkurrenten Lancom zum Einsatz kommen. Gegen die Geräte selbst und auch das Unternehmen ist erst einmal nichts einzuwenden. Gegen die Argumentation der Protagonisten hingegen schon.
Der Grund für den Umstieg ist laut Wirtschaftswoche: "US-Konzerne wie Microsoft, Google und Cisco unterhalten offenbar enge Verbindungen zu den US-amerikanischen Nachrichtendiensten, wie die Snowden-Dokumente zeigen." Konkreter werden die Vorwürfe nicht ausgeführt.
Tatsächlich wurde Cisco im Rahmen der Snowden-Veröffentlichungen vorgeworfen , mit den US-Diensten zu kooperieren. Konkret belegt wurde dieser Vorwurf indes nie. In den Dokumenten gibt es zwar Fotos, die immer wieder genutzt werden, um die Vorwürfe zu untermauern: Angestellte, die Pappkartons öffnen, in denen mutmaßlich Cisco-Router versendet werden. Was die Fotos tatsächlich zeigen: Die NSA hat ein Programm betrieben, mit dem Implantate in Router verschiedener Hersteller eingepflanzt werden können , um die Kunden später ohne großen Aufwand zu überwachen. Was Cisco selbst damit zu tun hat – unklar.
Ebenfalls als Argument gegen Cisco gelten Veröffentlichungen der Hackergruppe Shadowbrokers . Die Gruppe veröffentlichte zahlreiche Exploits für Router, die zudem einfach in der Handhabung sind. Die entsprechenden Exploits gibt es nicht nur für Cisco-Router, sondern auch für Fabrikate der Hersteller Juniper und Fortinet. Auch hier ist nicht sonderlich überraschend, dass ein Geheimdienst Sicherheitslücken in Firmware und Software hortet und zum Einsatz bringt. Die reine Existenz eines Exploits ist aber kein Beweis dafür, dass ein Unternehmen mit dem Geheimdienst kooperiert. Wer hier eine Diskussion führen will, sollte besser in die Debatte über die Abschaffung von Geheimdiensten eintreten(öffnet im neuen Fenster) .
Cisco wiederholte auf Anfrage von Golem.de zu den aktuellen Vorwürfen, was das Unternehmen schon vor drei Jahren sagte: Cisco unterstütze weder Organisationen noch Regierungen dabei, seine Produkte zu schwächen. Und weiter: "Wir sind zutiefst besorgt über alle Geschehnisse, die die Integrität unserer Produkte, Lösungen oder der Netzwerke unserer Kunden gefährden können." Die von den Shadowbrokers veröffentlichten Sicherheitslücken schloss das Unternehmen im Übrigen umgehend.
Wie Cisco werden auch andere IT-Hersteller immer wieder wegen ihres Herkunftslandes kritisiert.
Auch Huawei und Kaspersky sollen verdächtig sein
Im Artikel der Wirtschaftswoche werden weitere Anschuldigungen gegen IT-Unternehmen zitiert. So werden die bislang nicht mit Fakten unterlegten Anschuldigungen gegen den Antivirusproduzenten Kaspersky von der US-Bundespolizei FBI und anderen US-Behörden übernommen. "Wegen enger Verbindungen zu russischen Regierungsstellen" habe US-Präsident Donald Trump den Einsatz von Kaspersky-Produkten in US-Behörden vor zwei Wochen verboten. Tatsächlich war es nicht Trump selbst, der ein entsprechendes Dekret unterzeichnete, sondern die Heimatschutzministerin Elaine C. Duke . Kaspersky ist ein weltweit tätiges Sicherheitsunternehmen – eine enge Kooperation mit dem russischen Geheimdienst wäre selbstzerstörerisch.
Und in Deutschland? Die Bundesregierung, so der Vorwurf, "verzichtet bislang auf ein Handelsembargo für sicherheitsrelevante IT-Komponenten" . Der chinesische IT Konzern Huawei gewinne "deshalb in Deutschland Marktanteile auf Kosten seiner europäischen Konkurrenten Nokia und Ericsson" . Die Deutsche Telekom baue Huawei-Technik "in großem Stil in ihre Netze ein" . Es könnte natürlich sein, dass Huawei wegen guter Produkte und einer guten Verfügbarkeit Kunden gewinnt – und nicht nur, weil der Import der Geräte nicht verboten wird.
Auch Huawei wird seit Jahren beschuldigt, mit den chinesischen Behörden zusammenzuarbeiten. Auch das wurde nie belegt. In verschiedenen europäischen Ländern bot das Unternehmen bereits an, den Quellcode zur Untersuchung vorzulegen. In Deutschland wurde das Angebot nicht angenommen, in Großbritannien unterhält das Unternehmen aber ein Zentrum, wo Huawei-Produkte im Detail untersucht werden können.
Huawei erzielt den überwiegenden Teil seiner Umsätze im Ausland – anders als der ebenfalls chinesische, staatlich kontrollierte Konkurrent ZTE. Sollte tatsächlich eine bewusst platzierte Hintertür in den Produkten gefunden werden, wäre das Unternehmen mit seinen mehr als 170.000 Mitarbeitern vermutlich innerhalb weniger Monate insolvent. Es ist daher aus wirtschaftlicher Sicht schlicht unwahrscheinlich, dass Huawei Druck der Regierung aus Peking nachgeben würde. Das gilt besonders, weil das Unternehmen genossenschaftlich organisiert ist und den Mitarbeitern selbst gehört.
Außerdem dürfte es wenige Produkte geben, die weltweit so genau untersucht werden wie die von Huawei. Gefunden wurde neben in Routern und ähnlichen Geräten üblichen Sicherheitslücken nichts, was einen Generalverdacht der Spionage erhärten würde.
Deutschland sollte keine populistischen Lösungen anstreben
Bestrebungen für IT-Autarkie sind eher das Kennzeichen autoritär regierter Länder wie Russland oder China. In Russland müssen internationale Anbieter alle Daten russischer Kunden auf Servern in dem Land speichern – damit die Regierung Zugriff hat. Und auch China setzt auf strenge Vorgaben zur Quellcodeübergabe, lokales Hosting und das vollständige Verbot bestimmter Software. Die Bundesregierung wäre nicht gut beraten, einem solchen blinden Populismus mit geringem Nutzwert für die Gesamtwirtschaft und die Bevölkerung zu folgen. Der IT-Wirtschaft in diesem Land wäre mehr geholfen, wenn Digitalisierung endlich ein ernsthaftes politisches Thema würde, Glasfaser standardmäßig bis ans Haus verlegt würde und es Mobilfunktarife mit unbegrenztem Datenvolumen gäbe, wie es in vielen EU-Ländern üblich ist.
Die Wirtschaftswoche lässt als Zeugen der IT-Wirtschaft nur einen Protagonisten zu Wort kommen: den Chef von Lancom. Dass dieser ein ureigenes wirtschaftliches Interesse daran hat, die Konkurrenz schlecht zu reden, bleibt unerwähnt. Und so kann Lancom-Chef Ralf Koenzen unwidersprochen sagen: "Blindes Vertrauen in die am Markt verfügbaren Lösungen und das Ausblenden möglicher Risiken sind mehr denn je fehl am Platze. Denn welche Sicherheitslücken und Hintertüren selbst bei namhaften IT-Konzernen absichtlich oder unabsichtlich eingebaut wurden, kann niemand feststellen."
Anknüpfend daran könnte man sagen: "Blindes Vertrauen in die Aussagen von Konkurrenten sind mehr denn je fehl am Platze." Kaspersky muss kritisiert werden , wenn die Software bei der Zertifikatsprüfung schlampt, Fortinet , wenn Firewalls zahlreiche Fehler enthalten und ja, auch Cisco, wenn die Firma mehrere Anläufe braucht, um peinliche Sicherheitslücken in Webex zu patchen . Die Herkunft eines IT-Produkts aber als primären Faktor bei der Bewertung der IT-Sicherheit heranzuziehen, ist ein Fehler.