5G Netzaufbau: Rote Karte für Huawei?
Univ.-Prof. Dr. Torsten J. Gerpott plädiert für eine differenzierte Betrachtung des Problems
Bild: Torsten J. Gerpott/Universität Duisburg-Essen
Mit dem in den nächsten Jahren zu bewerkstelligenden Aufbau von Mobilfunknetzen der
fünften Generation (= 5G) rückt ein Thema in das Licht der (ver)öffentlich(t)en Meinung,
das zuvor eher stiefmütterlich behandelt wurde. Es geht um die Sicherheit von 5G-Netzen vor
Spionage durch den chinesischen Netzausrüster Huawei. Der vorliegende Beitrag setzt sich
mit der Forderung, dieses Unternehmen als 5G-Lieferanten der Mobilfunknetzbetreiber in
Deutschland auszuschließen, auseinander. Er kommt zu dem Ergebnis, dass ein genereller
Bann nur schwer vertretbar ist und stattdessen andere Maßnahmen besser zur Erhöhung der
5G-Netzsicherheit geeignet sind.
Im Juli 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme in Kraft. Das Gesetz strebt an, den Schutz der IT-Systeme und -Dienste in Deutschland insbesondere im Bereich der Kritischen Infrastrukturen zu erhöhen, zu denen u.a. Telekommunikations(TK-)netze gezählt werden. Seither hat das IT-Sicherheitsgesetz außerhalb von Fachkreisen kaum Beachtung gefunden. Vor dem Hintergrund der von einem starken medialen Sturm begleiteten bevorstehenden Vergabe von Frequenzen für 5G-Netze in Deutschland ist an die Stelle der Aufmerksamkeitslücke in den letzten Wochen eine von Vielen kontrovers geführte Debatte getreten, in deren Mittelpunkt die zukünftige Rolle des chinesischen Netzausrüsters Huawei beim Aufbau von 5G-Netzen steht. Etliche Politiker plädieren aufgrund von Bedenken dahingehend, dass Huawei über diese Netze Spionage betreiben oder sie bei nationalen Streitigkeiten einfach abschalten könne, mehr oder minder deutlich dafür, das Unternehmen als Lieferanten von 5G-Netzelementen in Deutschland auszuschließen. Top-Manager von TK-Netzbetreibern wie Vodafone oder Swisscom werden demgegenüber mit Aussagen, dass sie einen Verzicht auf Huawei als 5G-Ausrüster für überzogen halten, in der Presse zitiert.
Druck aus den USA
Univ.-Prof. Dr. Torsten J. Gerpott plädiert für eine differenzierte Betrachtung des Problems
Bild: Torsten J. Gerpott/Universität Duisburg-Essen
Die Huawei-Kritiker in Deutschland greifen einen seit Anfang 2018 von der US-Regierungsadministration
mit zunehmendem Nachdruck artikulierten „Vorschlag“ auf, durch die Verbannung
von Huawei als 5G-Netzlieferant einer möglichen Weitergabe sensibler Daten von
Geschäfts- und Privatkunden an staatliche Instanzen in China einen Riegel vorzuschieben.
Bei der US-Regierung wirkt diese Anregung nicht uneingeschränkt selbstlos. Sie erzeugt einen faden Beigeschmack angesichts des im Oktober 2013 aufgekommenen begründeten Verdachts, dass der Auslandsgeheimdienst der USA über Jahre hinweg das Handy der deutschen Bundeskanzlerin ausgespäht hat. Dieser Geschmack wird dadurch verstärkt, dass US-amerikanische Konzerne wie Cisco oder Qualcomm in der 5G-Netzausrüstung aktiv sind und ihren Geschäften ein staatlich vorgegebener Ausschluss des chinesischen Konkurrenten nicht schaden dürfte. Bei einigen deutschen Politikern erstaunt es zudem, dass sie mit Blick auf Huawei einer vorbeugenden Gefährdungspotenzialvermeidung das Wort reden, während sie in anderen Lebensbereichen (z.B. Polizeigesetze der Bundesländer) Erweiterungen staatlicher Eingriffe bereits bei drohender Gefahr sehr reserviert gegenüberstehen. Besonders schwer wiegt, dass es bislang keine „harten“ Beweise dafür gibt, das Huawei bei der Konstruktion von 5G-Netzhard- oder -software IT-Sicherheitsvorschriften verletzt hat.
Maßnahmen zur Bedrohungsverringerung
Es ist nicht zu bestreiten, dass Netzausrüster mit Sitz in China Gesetzen ihres Heimatlandes unterworfen sind, aus denen sich Verpflichtungen zur Zusammenarbeit mit Nachrichtendiensten ihres Stammlandes ergeben. Zwar können auch in Deutschland u.a. auf Basis von § 113 Telekommunikationsgesetz (TKG) Betreiber öffentlicher Netze dazu angehalten werden, von ihnen transportierte vertrauliche Daten z.B. an Verfassungsschutzbehörden des Bundes und der Länder oder an den Bundesnachrichtendienst weiterzugeben. Aber diese Weitergabe ist auf Netze in Deutschland und an bestimmte Zwecke (z.B. „Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung“, § 113, Abs. 2, S. 1 TKG) gebunden. Außerdem unterliegen Aktionen der Exekutive in China einer deutlich weniger starken rechtsstaatlichen Kontrolle als in Deutschland. Vor dem Hintergrund der sich über viele Jahre erstreckenden Förderung der Expansion von Huawei (und anderer einheimischer Ausrüster wie ZTE) durch die chinesische Regierung ist der Vorschlag, diese staatlichen Eingriffsmöglichkeiten durch Verlagerung des Firmensitzes von Huawei in einen demokratisch verfassten Staat auszuhebeln, wirklichkeitsfremd. Man stelle sich die Reaktion in Deutschland vor, wenn die Trump-Administration von der Deutschen Telekom eine Verlagerung des Konzernsitzes in die USA als Voraussetzung für ein dortiges Engagement verlangen würde. Eher umsetzbar dürfte eine vertrauensbildende Maßnahme Huaweis sein, dem Eindruck des Vorherrschens einer „Wagenburg-Mentalität“ dadurch entgegenzuwirken, dass man auch Top-Management-Positionen zumindest auf der Ebene wichtiger Landesgesellschaften nicht nur mit Chinesen, sondern auch mit Personen besetzt, die über die Staatsangehörigkeit des Gastlandes und dort über eine hohe Reputation verfügen.
Die deutsche Politik kann ebenfalls zu einem differenzierten Umgang mit dem latenten Spionagepotenzial chinesischer 5G-Ausrüster beitragen. Derzeit verpflichtet das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz, dort § 8a) und das TKG (§ 109) nur Betreiber Kritischer Infrastrukturen bzw. öffentlicher Telekommunikationsnetze Maßnahmen zur Beherrschung der Risiken solcher Systeme zu treffen und „durch Sicherheitsaudits, Prüfungen oder Zertifizierungen“ (§ 8a, Abs. 3, S. 2 BSI-Gesetz) nachzuweisen, dass staatliche Sicherheitsanforderungen erfüllt sind. Hier ist zu empfehlen, das Gesetz rasch zu ändern, um Netzausrüster generell so in relevante Prozesse einzubeziehen, dass auch sie direkt von qualifizierten unabhängigen Stellen auf die Einhaltung von TK-Sicherheitsstandards getestet werden. Dem BSI obliegt es, die Anforderungen solcher Prüfungen so zu gestalten, dass sie sich nicht auf isolierte Tests einzelner fertig konstruierter Netzkomponenten beschränken. Vielmehr sollten sie auch die Planung von Netz(sicherheits)architekturen, Vorkehrungen zum Risikomanagement und den Quellcode der relevanten Software umfassen. Es spricht nicht für das BSI, dass solche Anforderungen rund dreieinhalb Jahre nach Inkrafttreten des IT-Sicherheitsgesetzes immer noch nicht vorliegen. Auf einer branchenübergreifenden Ebene kann die aktuelle Huawei-Diskussion von der Bundesregierung zum Anlass genommen werden, als Gegenleistung für einen Vertrauensvorschuss gegenüber dem chinesischen Unternehmen konsequenter als bisher die reziproke Öffnung des Ausrüstungsgeschäfts in China für europäische Wettbewerber wie Ericsson oder Nokia durchzusetzen.
Schließlich sind auch die Mobilfunknetzbetreiber in Deutschland selbst gefordert, 5G-Sicherheitsrisiken dadurch zu verringern, dass sie bei der Wahl ihrer Ausrüster nicht nur eine kurzfristige Kostenminimierung anstreben. Stattdessen sollten sie versteckte Sicherheitskosten einbeziehen, indem sie für ihr 5G-Funknetz jeweils mehr als einen Lieferanten nutzen. Bei Restzweifeln an der Vertrauenswürdigkeit chinesischer Anbieter ist es besser, auf deren Komponenten im 5G-Kernnetz zu verzichten.
Fazit
Ohne Zweifel gibt es zahlreiche Beispiele für Industriespionage chinesischer Unternehmen in Deutschland und das illegale Kopieren geschützter Technologien von Anbietern aus Industrieländern durch chinesische Konkurrenten. Sie sollten aber nicht zu einem pauschalen Ausschluss von Huawei als 5G-Lieferanten in Deutschland führen. Angezeigt ist ein an allgemeinen und fachlich gut begründeten IT-Sicherheitsstandards und nicht an nationalen Ursprungsländern orientiertes differenziertes Vorgehen. In ihm spiegelt sich nicht zuletzt auch der Vorteil von durch dezentrale Entscheidungen geprägten, marktbasierten gegenüber zentral gesteuerten, staatlich dominierten Wirtschaftsordnungen klar wider.
Zur Person
Univ.-Prof. Dr. Torsten J. Gerpott leitet den Lehrstuhl für Unternehmens- und Technologieplanung an der Mercator School of Management Duisburg der Universität Duisburg-Essen.