Smoking Gun: Die Sicherheitsdebatte um Huawei und 5G ist zu Ende

In dieser Woche hat die Bundesnetzagentur festgelegt, was die harten 5G-Sicherheitsanforderungen konkret bedeuten. Bereits verbaute Technik ist offenbar gar nicht betroffen.

Ein IMHO von veröffentlicht am
Die Smoking Gun wird nicht gefunden: Jochen Homann, Chef der Bundesnetzagentur
Die Smoking Gun wird nicht gefunden: Jochen Homann, Chef der Bundesnetzagentur (Bild: GEORGES GOBET/AFP via Getty Images)

Die jahrelange Diskussion um die Sicherheit der 5G-Netze ist mit der Veröffentlichung des Sicherheitskatalogs der Bundesnetzagentur in dieser Woche geräuschlos abgeschlossen worden. Ob das angebliche Lex Huawei überhaupt Huawei betrifft, entscheiden nun Expertendiskussionen im konkreten Fall.

Stellenmarkt
  1. Softwareentwickler (M/W/D)
    alpha trading solutions GmbH, Erding
  2. IT Security Expert (m/w/d)
    Stöber Antriebstechnik GmbH & Co. KG, Pforzheim
Detailsuche

Donald Trump hatte vor chinesischen 5G-Ausrüstern gewarnt, sein Außenminister Mike Pompeo und dessen Helfer tourten durch Europa, um befreundete Regierungen zu erpressen, Huawei auszuschließen. Angela Merkel, Horst Seehofer, Peter Altmaier und Heiko Maas mussten sich regelmäßig äußern, wie sie zur Huawei-Frage stehen. Der Chaos Computer Club bezeichnete die Diskussion als "völlig lächerlich und fehlgeleitet".

Der Grünen-Innenexperte Konstantin von Notz warf der Regierung vor, eine vollkommen sinnlose Diskussion um einzelne Anbieter im Rahmen des IT-Sicherheitsgesetzes zu führen, die Parteifreunde wie Reinhard Bütikofer unentwegt befeuerten. Norbert Röttgen und Friedrich Merz führten alternative Fakten in die Diskussion ein - als gute Transatlantiker ganz nach Trumps Motto: Solange die Aussage knackig ist, muss sie nicht auch noch stimmen. Während chinesische Anbieter dämonisiert wurden, waren Ausrüster aus den USA immer die Guten.

Die Smoking Gun blieb kalt

Gewisse Regierungskreise steckten den Medien immer wieder vermeintlich brisante Vertraulichkeiten über Huawei. Das Handelsblatt machte auf dieser Basis mit einer großen Story auf, nach der es eine Smoking Gun als Beweis gegen Huawei gebe, Spiegel und Süddeutsche Zeitung recherchierten und fanden weder Smoke noch Gun, sehr wohl aber deutsche Regierungsbeamte, die den US-Amerikanern haltlose "Propaganda" vorwarfen. Fakten zu den Vorwürfen der rechtsradikalen Trump-Regierung gegen Huawei fanden sie nicht.

Golem Karrierewelt
  1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    27./28.09.2022, Virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
Weitere IT-Trainings

Diese Woche - mitten im Bundestagswahlkampf - wurde der zunächst letzte Akt des Dramas aufgeführt und kaum jemand schien es wahrzunehmen. Der Berg kreißte und gebar eine Maus: Die Bundesnetzagentur hat in ihrem Amtsblatt eine Aktualisierung des sogenannten Sicherheitskatalogs veröffentlicht, in dem die kritischen Funktionen eines 5G-Mobilfunknetzes beschrieben werden.

Welche 5G-Komponenten sind kritisch?

Damit liegt der letzte, vielleicht entscheidende Baustein der neuen IT-Sicherheitsregulierung für die 5G-Mobilfunknetze vor. Zur Erinnerung: Nach langer Diskussion hatten sich die Regierungsparteien im April auf eine Novellierung des IT-Sicherheitsgesetzes geeinigt, wonach kritische Komponenten zertifiziert werden müssen. Zusätzlich kann das Bundesinnenministerium den Einsatz der Komponenten bestimmter Anbieter vorab untersagen, wenn die Sicherheit des Landes dadurch gefährdet wäre. Dabei können auch sicherheitspolitische Ziele der NATO berücksichtigt werden. Das Gesetz gibt einer künftigen Regierung zumindest den Hebel, chinesische oder auch andere Anbieter als Lieferanten kritischer Komponenten auszuschließen.

Die entscheidende Frage, die das Gesetz jedoch nicht beantwortete: Was ist überhaupt eine kritische Komponente? Golem.de fragte in den vergangenen Monaten immer wieder bei den Bundesministerien nach und bekam stets die Bitte-Warten-Antwort.

Erst mit der nun veröffentlichten Liste kritischer Funktionen als Teil des Sicherheitskatalogs ist die Regulierung auf allgemeiner Ebene abgeschlossen, aber Klarheit besteht deshalb in vielen Fragen keineswegs - und das ist auch gut so.

Denn am Ende wird anhand der definierten Funktionen auf Basis der konkreten Sicherheitskonzepte der jeweiligen Netzbetreiber entschieden, was tatsächlich kritische Komponenten sind. Welche Komponenten in der Praxis kritische Funktionen übernehmen, lässt sich abstrakt und vor dem Hintergrund ständiger technischer Innovationen nicht allgemein beantworten.

Zudem ist in der Verordnung, die die kritischen Funktionen definiert, bewusst ein Ermessensspielraum für die Behörden definiert. Bei Kernnetzfunktionen und Network-Functions-Virtualization-(NFV)-Managementfunktionen geht die Verordnung davon aus, dass sie stets kritisch sind und damit den Untersagungsmöglichkeiten und Zertifizierungspflichten des neuen IT-Sicherheitsgesetzes unterliegen.

Keine Unsicherheit zu Huawei im 5G-Netz

Bei anderen Funktionen wie den Sicherheitsfunktionen des Management-Systems, dem 5G-RAN-Management oder Sprach- und Datentransportfunktionen mit erhöhter Relevanz legt die Verordnung fest, dass " von der Bewertung der konkreten Funktion als kritisch im konkreten Einzelfall abgewichen werden kann, wenn der Netzbetreiber plausibel und begründet darlegen kann, dass im Einzelfall keine Kritikalität von der Funktion ausgeht." Dies sei etwa dann der Fall, so heißt es in der Verordnung, wenn "die jeweilige Funktion aufgrund ihrer Zweckverwendung oder der für sie vorgesehenen Einsatzumgebung bereits nicht das Potenzial für eine Realisierung der Gefahrenlage hat, aber die Funktion in geeigneter Form sicher von der Gefahrenlage isoliert wurde."

Was heißt das nun für die Huawei-Frage? Grundsätzlich ist Huawei in Deutschland bei 5G Lieferant von Radio-Access-Network-Technologie (RAN) und zwar bei allen drei Netzbetreibern. Lediglich 1&1 setzt auf Open-RAN-Technologie, die das japanische Technologieunternehmen Rakuten integrieren soll. Hier kommen viele Komponenten und Software aus den USA zum Einsatz.

Die Technik an den Funkmasten nennt man RAN. Diese Komponenten kommen bei Telefónica Deutschland von Huawei und anderen Herstellern wie Nokia. Bei der Deutschen Telekom und Vodafone rüsten Huawei und Ericsson aus. Ob deren RAN-Komponenten nun überhaupt den Prozess für kritische Komponenten durchlaufen müssen, bleibt offen und wird im Einzelfall anhand der konkreten Kritikalität der jeweiligen Komponente im jeweiligen Sicherheitskonzept des Netzbetreibers entschieden. Und genau das ist in Sicherheitsfragen auch angemessen.

Schließlich geht es um das Identifizieren und Einstufen von Risiken. Und wenn ein Risiko als zu hoch eingestuft wird, geht es darum, es durch sinnvolle Maßnahmen in der Gesamtarchitektur auf ein möglichst geringes, akzeptables Niveau zu reduzieren. Und erst nach der Bewertung des konkreten Risikos durch eine Funktion und eine Komponente kann über die Kritikalität entschieden werden, die den Prozess nach dem IT-Sicherheitsgesetz anstößt oder nicht.

Damit ist zwar nun geklärt, welche Komponenten, die Huawei und andere Hersteller liefern, möglicherweise untersagt werden können, aber ob das tatsächlich passiert, wird im Einzelfall entschieden.

Ob das angebliche Lex Huawei auf die Radionetzkomponenten von Huawei überhaupt Anwendung findet, wird erst die Zukunft zeigen und zwar in Fachdiskussionen zwischen IT-Sicherheitsexperten von Netzbetreibern und Behörden. Klar scheint zu sein, dass sowieso nur kritische Komponenten betroffen sind, deren erstmaliger Einsatz nach Inkrafttreten der Regulierung erfolgt. Das heißt die bereits seit rund zwei Jahren verbauten Komponenten unterliegen der Regulierung sowieso nicht.

So scheint die leidenschaftliche Diskussion ganz undramatisch zu enden: Mit Verlautbarungen in einem Amtsblatt, die alles weitere IT-Sicherheitsexperten, Fachanwälten und ihren Detaildiskussionen überlassen. Wenn es denn dabei bleibt, ist es ein halbwegs versöhnliches, weil sachgerechtes Ende für die Netzsicherheit und wahrscheinlich eher unbefriedigend für Donald Trump, Mike Pompeo und Norbert Röttgen mit Sicherheits- und anderen Lücken in ihren Köpfen. Doch dass Demokraten wie Röttgen der Schmierspur von Trump folgten, bleibt an ihnen kleben.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Trollversteher 01. Sep 2021

LOL - was für ein absurder Unsinn - und hier wird mal wieder eifrig von sich auf alle...

Trollversteher 01. Sep 2021

Nicht immer von sich auf andere schließen, er hat nämlich vollkommen Recht - gab's für...

R2D2 01. Sep 2021

Für die Stimmungsmache gibt es Sponsoring, für Artikel ein paar likes ...

mnementh 30. Aug 2021

Na ist doch ganz einfach. Die Regierungskoalition darf *NIE* für Anträge der Opposition...



Aktuell auf der Startseite von Golem.de
THG-Prämie
Das fragwürdige Abkassieren mit der eigenen Wallbox

Findige Vermittler bieten privaten Wallbox-Besitzern Zusatzeinnahmen für ihren Ladestrom. Wettbewerber sind empört.
Ein Bericht von Dirk Kunde

THG-Prämie: Das fragwürdige Abkassieren mit der eigenen Wallbox
Artikel
  1. Rotary Phone: Vom Wählscheiben-Bastelhandy zur eigenen Produktionsanlage
    Rotary Phone
    Vom Wählscheiben-Bastelhandy zur eigenen Produktionsanlage

    Justine Haupt hat ein Handy mit Wählscheibe entworfen - und gleich eine eigene Produktionsanlage zu Hause aufgebaut. Golem.de hat mit ihr gesprochen.
    Ein Interview von Tobias Költzsch

  2. Samsung Galaxy Book 2 bei Amazon mit 150 Euro Rabatt
     
    Samsung Galaxy Book 2 bei Amazon mit 150 Euro Rabatt

    Bei Amazon lässt sich zurzeit das Samsung Galaxy Book 2 günstig kaufen. Außerdem: weitere Laptops von Samsung und Co. sowie verschiedene Smartphones.
    Ausgewählte Angebote des E-Commerce-Teams

  3. THQ Nordic: Neue Trailer für Gothic, Outcast 2 und Jagged Alliance 3
    THQ Nordic
    Neue Trailer für Gothic, Outcast 2 und Jagged Alliance 3

    Bei einer Onlinepräsentation hat der Publisher THQ Nordic neue Bilder einer Reihe von Klassikern gezeigt - darunter auch das Gothic-Remake.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Playstation Sale: Games für PS5/PS4 bis 84% günstiger • PS5 bestellbar • Günstig wie nie: SSD 1TB/2TB, Curved Monitor UWQHD LG 38"/BenQ 32" • Razer-Aktion • MindStar (AMD Ryzen 7 5800X3D 455€, MSI RTX 3070 599€) • Lego Star Wars Neuheiten • Bester Gaming-PC für 2.000€ [Werbung]
    •  /