Smoking Gun: Die Sicherheitsdebatte um Huawei und 5G ist zu Ende

Die jahrelange Diskussion um die Sicherheit der 5G-Netze ist mit der Veröffentlichung des Sicherheitskatalogs der Bundesnetzagentur in dieser Woche geräuschlos abgeschlossen worden. Ob das angebliche Lex Huawei überhaupt Huawei betrifft, entscheiden nun Expertendiskussionen im konkreten Fall.

Stellenmarkt

1. Softwareentwickler (M/W/D)
   alpha trading solutions GmbH, Erding
2. IT Security Expert (m/w/d)
   Stöber Antriebstechnik GmbH & Co. KG, Pforzheim

Detailsuche

Donald Trump hatte vor chinesischen 5G-Ausrüstern gewarnt, sein Außenminister Mike Pompeo und dessen Helfer tourten durch Europa, um befreundete Regierungen zu erpressen, Huawei auszuschließen. Angela Merkel, Horst Seehofer, Peter Altmaier und Heiko Maas mussten sich regelmäßig äußern, wie sie zur Huawei-Frage stehen. Der Chaos Computer Club bezeichnete die Diskussion als "völlig lächerlich und fehlgeleitet".

Der Grünen-Innenexperte Konstantin von Notz warf der Regierung vor, eine vollkommen sinnlose Diskussion um einzelne Anbieter im Rahmen des IT-Sicherheitsgesetzes zu führen, die Parteifreunde wie Reinhard Bütikofer unentwegt befeuerten. Norbert Röttgen und Friedrich Merz führten alternative Fakten in die Diskussion ein - als gute Transatlantiker ganz nach Trumps Motto: Solange die Aussage knackig ist, muss sie nicht auch noch stimmen. Während chinesische Anbieter dämonisiert wurden, waren Ausrüster aus den USA immer die Guten.

Die Smoking Gun blieb kalt

Gewisse Regierungskreise steckten den Medien immer wieder vermeintlich brisante Vertraulichkeiten über Huawei. Das Handelsblatt machte auf dieser Basis mit einer großen Story auf, nach der es eine Smoking Gun als Beweis gegen Huawei gebe, Spiegel und Süddeutsche Zeitung recherchierten und fanden weder Smoke noch Gun, sehr wohl aber deutsche Regierungsbeamte, die den US-Amerikanern haltlose "Propaganda" vorwarfen. Fakten zu den Vorwürfen der rechtsradikalen Trump-Regierung gegen Huawei fanden sie nicht.

Golem Karrierewelt

1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
   27./28.09.2022, Virtuell
2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
   21.-23.11.2022, Virtuell

Weitere IT-Trainings

Diese Woche - mitten im Bundestagswahlkampf - wurde der zunächst letzte Akt des Dramas aufgeführt und kaum jemand schien es wahrzunehmen. Der Berg kreißte und gebar eine Maus: Die Bundesnetzagentur hat in ihrem Amtsblatt eine Aktualisierung des sogenannten Sicherheitskatalogs veröffentlicht, in dem die kritischen Funktionen eines 5G-Mobilfunknetzes beschrieben werden.

Welche 5G-Komponenten sind kritisch?

Damit liegt der letzte, vielleicht entscheidende Baustein der neuen IT-Sicherheitsregulierung für die 5G-Mobilfunknetze vor. Zur Erinnerung: Nach langer Diskussion hatten sich die Regierungsparteien im April auf eine Novellierung des IT-Sicherheitsgesetzes geeinigt, wonach kritische Komponenten zertifiziert werden müssen. Zusätzlich kann das Bundesinnenministerium den Einsatz der Komponenten bestimmter Anbieter vorab untersagen, wenn die Sicherheit des Landes dadurch gefährdet wäre. Dabei können auch sicherheitspolitische Ziele der NATO berücksichtigt werden. Das Gesetz gibt einer künftigen Regierung zumindest den Hebel, chinesische oder auch andere Anbieter als Lieferanten kritischer Komponenten auszuschließen.

Die entscheidende Frage, die das Gesetz jedoch nicht beantwortete: Was ist überhaupt eine kritische Komponente? Golem.de fragte in den vergangenen Monaten immer wieder bei den Bundesministerien nach und bekam stets die Bitte-Warten-Antwort.

Erst mit der nun veröffentlichten Liste kritischer Funktionen als Teil des Sicherheitskatalogs ist die Regulierung auf allgemeiner Ebene abgeschlossen, aber Klarheit besteht deshalb in vielen Fragen keineswegs - und das ist auch gut so.

Denn am Ende wird anhand der definierten Funktionen auf Basis der konkreten Sicherheitskonzepte der jeweiligen Netzbetreiber entschieden, was tatsächlich kritische Komponenten sind. Welche Komponenten in der Praxis kritische Funktionen übernehmen, lässt sich abstrakt und vor dem Hintergrund ständiger technischer Innovationen nicht allgemein beantworten.

Zudem ist in der Verordnung, die die kritischen Funktionen definiert, bewusst ein Ermessensspielraum für die Behörden definiert. Bei Kernnetzfunktionen und Network-Functions-Virtualization-(NFV)-Managementfunktionen geht die Verordnung davon aus, dass sie stets kritisch sind und damit den Untersagungsmöglichkeiten und Zertifizierungspflichten des neuen IT-Sicherheitsgesetzes unterliegen.

Keine Unsicherheit zu Huawei im 5G-Netz

Bei anderen Funktionen wie den Sicherheitsfunktionen des Management-Systems, dem 5G-RAN-Management oder Sprach- und Datentransportfunktionen mit erhöhter Relevanz legt die Verordnung fest, dass " von der Bewertung der konkreten Funktion als kritisch im konkreten Einzelfall abgewichen werden kann, wenn der Netzbetreiber plausibel und begründet darlegen kann, dass im Einzelfall keine Kritikalität von der Funktion ausgeht." Dies sei etwa dann der Fall, so heißt es in der Verordnung, wenn "die jeweilige Funktion aufgrund ihrer Zweckverwendung oder der für sie vorgesehenen Einsatzumgebung bereits nicht das Potenzial für eine Realisierung der Gefahrenlage hat, aber die Funktion in geeigneter Form sicher von der Gefahrenlage isoliert wurde."

Was heißt das nun für die Huawei-Frage? Grundsätzlich ist Huawei in Deutschland bei 5G Lieferant von Radio-Access-Network-Technologie (RAN) und zwar bei allen drei Netzbetreibern. Lediglich 1&1 setzt auf Open-RAN-Technologie, die das japanische Technologieunternehmen Rakuten integrieren soll. Hier kommen viele Komponenten und Software aus den USA zum Einsatz.

Die Technik an den Funkmasten nennt man RAN. Diese Komponenten kommen bei Telefónica Deutschland von Huawei und anderen Herstellern wie Nokia. Bei der Deutschen Telekom und Vodafone rüsten Huawei und Ericsson aus. Ob deren RAN-Komponenten nun überhaupt den Prozess für kritische Komponenten durchlaufen müssen, bleibt offen und wird im Einzelfall anhand der konkreten Kritikalität der jeweiligen Komponente im jeweiligen Sicherheitskonzept des Netzbetreibers entschieden. Und genau das ist in Sicherheitsfragen auch angemessen.

Schließlich geht es um das Identifizieren und Einstufen von Risiken. Und wenn ein Risiko als zu hoch eingestuft wird, geht es darum, es durch sinnvolle Maßnahmen in der Gesamtarchitektur auf ein möglichst geringes, akzeptables Niveau zu reduzieren. Und erst nach der Bewertung des konkreten Risikos durch eine Funktion und eine Komponente kann über die Kritikalität entschieden werden, die den Prozess nach dem IT-Sicherheitsgesetz anstößt oder nicht.

Damit ist zwar nun geklärt, welche Komponenten, die Huawei und andere Hersteller liefern, möglicherweise untersagt werden können, aber ob das tatsächlich passiert, wird im Einzelfall entschieden.

Ob das angebliche Lex Huawei auf die Radionetzkomponenten von Huawei überhaupt Anwendung findet, wird erst die Zukunft zeigen und zwar in Fachdiskussionen zwischen IT-Sicherheitsexperten von Netzbetreibern und Behörden. Klar scheint zu sein, dass sowieso nur kritische Komponenten betroffen sind, deren erstmaliger Einsatz nach Inkrafttreten der Regulierung erfolgt. Das heißt die bereits seit rund zwei Jahren verbauten Komponenten unterliegen der Regulierung sowieso nicht.

So scheint die leidenschaftliche Diskussion ganz undramatisch zu enden: Mit Verlautbarungen in einem Amtsblatt, die alles weitere IT-Sicherheitsexperten, Fachanwälten und ihren Detaildiskussionen überlassen. Wenn es denn dabei bleibt, ist es ein halbwegs versöhnliches, weil sachgerechtes Ende für die Netzsicherheit und wahrscheinlich eher unbefriedigend für Donald Trump, Mike Pompeo und Norbert Röttgen mit Sicherheits- und anderen Lücken in ihren Köpfen. Doch dass Demokraten wie Röttgen der Schmierspur von Trump folgten, bleibt an ihnen kleben.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).