Telefónica/O2: Kundendaten bisher nur als Test in der Google Cloud

Die Verlagerung des 5G-Kernnetzes in die Cloud ist bei O2 Telefónica bisher noch im Teststadium. Das sagte Unternehmenssprecher Florian Streicher Golem.de auf Anfrage. "Zum jetzigen Zeitpunkt der Implementierung werden keine Realkundendaten verwendet, um Anwendungen und Vernetzungslösungen über das 5G-Cloud-Kernnetz zu testen."

Die Sicherheit der Kommunikationsinhalte und Kundendaten habe "stets oberste Priorität" und man stehe im Austausch mit den verantwortlichen Aufsichtsbehörden. Die Aussage schließt ein, dass die Verlagerung des 5G-Kernnetzes mit allen Kundendaten in die Cloud geplant ist.

Für den Betrieb nutzt O2 Telefónica die Infrastruktur von Google Cloud und hat in seinem Rechenzentrum Google Distributed Cloud Edge installiert, über die das 5G-Kernnetz künftig betrieben wird. Der schwedische Mobilfunkausrüster Ericsson liefert sein Produkt Dual-Mode 5G Core.

Die Grundlage für die Nutzung von Cloudinfrastrukturen bilden nach Aussagen von Streicher die gültigen Gesetze und Verordnungen: die Datenschutzgrundverordnung (DSGVO), das Telekommunikationsgesetz (TKG) sowie der Sicherheitskatalog 2.0 und dessen technische Richtlinien. Laut Streicher hat der Mobilfunkbetreiber "ein umfassendes und strenges Cloud Security Framework erstellt", das den europäischen Datenschutzanforderungen entspricht.

Die Rechenzentren der eingesetzten Anbieter lägen geografisch innerhalb der Europäischen Union, so dass diese unmittelbar den Datenschutzregelungen der EU unterlägen, erklärte Streicher. Zudem erfolge die Verarbeitung personenbezogener Daten durch eingesetzte Cloudprovider auf Basis zusätzlicher technischer Maßnahmen, bei denen auch Technologien zur In-use-Verschlüsselung (Confidential Computing) zum Einsatz kämen.

Damit bleibt die Frage offen, ob die Anwendbarkeit von US-Gesetzen wie Patriot Act und Cloud Act ausgeschlossen ist, nach denen die USA und ihre Geheimdienste weitreichende Zugriffsmöglichkeiten auf die Daten von US-Cloudprovidern auch im Ausland haben. Diese Möglichkeit stünde im Widerspruch zum deutschen Datenschutz, besteht aber nach US-Recht.

Welche Nutzerdaten befinden sich im Mobilfunk-Core?

Im Core befinden sich die Telefonnummer des Nutzers, die IP-Adresse, Mobility Information oder IMSI (International Mobile Subscriber Identity). Über die dort liegenden Nutzerdaten finden sich wenig detaillierte Aussagen der Netzbetreiber. Telefónica erklärte: "Ein Kernnetz bildet das Rückgrat der mobilen Kommunikationsnetze und verbindet viele regional verteilte Standorte in Deutschland. So befördert das Backbone-Netz unter anderem die Nutzdaten der vielen Millionen Kunden."

Thomas Tschersich, Chief Security Officer (CSO) der Deutschen Telekom, erklärte dazu dem Deutschen Bundestag (PDF): "Das Kernnetz besteht aus mehreren Teilkomponenten mit dedizierten Aufgaben. Die Hauptaufgabe besteht in der Steuerung der Kommunikation, inklusive Zugangsregelung, Aufbau und Beendigung von Verbindungen sowie dem Management der Mobilität der Kunden. Auch die Art und der Umfang der zur Verfügung gestellten Dienste werden über Komponenten des Kernnetzes koordiniert."

Die Netzelemente im Kernnetz gelten laut Tschersich aufgrund ihrer Relevanz als kritische Netzkomponenten. Aus dem Kernnetz heraus erfolgt demnach auch die Übergabe an das Internet, andere Telekommunikationsnetze im Inland und im Ausland sowie an eigene Dienste-Plattformen.