5G Netzaufbau: Rote Karte für Huawei?

Univ.-Prof. Dr. Torsten J. Gerpott plädiert für eine differenzierte Betrachtung des Problems
Bild: Torsten J. Gerpott/Universität Duisburg-Essen Mit dem in den nächsten Jahren zu bewerk­stel­li­genden Aufbau von Mobil­funk­netzen der fünften Genera­tion (= 5G) rückt ein Thema in das Licht der (ver)öffent­lich(t)en Meinung, das zuvor eher stief­müt­ter­lich behan­delt wurde. Es geht um die Sicher­heit von 5G-Netzen vor Spio­nage durch den chine­si­schen Netz­aus­rüster Huawei. Der vorlie­gende Beitrag setzt sich mit der Forde­rung, dieses Unter­nehmen als 5G-Lieferanten der Mobil­funk­netz­be­treiber in Deutsch­land auszu­schließen, ausein­ander. Er kommt zu dem Ergebnis, dass ein gene­reller Bann nur schwer vertretbar ist und statt­dessen andere Maßnahmen besser zur Erhö­hung der 5G-Netz­si­cher­heit geeignet sind.

Im Juli 2015 trat das Gesetz zur Erhö­hung der Sicher­heit infor­ma­ti­ons­tech­ni­scher Systeme in Kraft. Das Gesetz strebt an, den Schutz der IT-Systeme und -Dienste in Deutsch­land insbe­son­dere im Bereich der Kriti­schen Infra­struk­turen zu erhöhen, zu denen u.a. Tele­kom­mu­ni­ka­tions(TK-)netze gezählt werden. Seither hat das IT-Sicher­heits­ge­setz außer­halb von Fach­kreisen kaum Beach­tung gefunden. Vor dem Hinter­grund der von einem starken medialen Sturm beglei­teten bevor­ste­henden Vergabe von Frequenzen für 5G-Netze in Deutsch­land ist an die Stelle der Aufmerk­sam­keits­lücke in den letzten Wochen eine von Vielen kontro­vers geführte Debatte getreten, in deren Mittel­punkt die zukünf­tige Rolle des chine­si­schen Netz­aus­rüs­ters Huawei beim Aufbau von 5G-Netzen steht. Etliche Poli­tiker plädieren aufgrund von Bedenken dahin­ge­hend, dass Huawei über diese Netze Spio­nage betreiben oder sie bei natio­nalen Strei­tig­keiten einfach abschalten könne, mehr oder minder deut­lich dafür, das Unter­nehmen als Liefe­ranten von 5G-Netz­ele­menten in Deutsch­land auszu­schließen. Top-Manager von TK-Netz­be­trei­bern wie Voda­fone oder Swisscom werden demge­gen­über mit Aussagen, dass sie einen Verzicht auf Huawei als 5G-Ausrüster für über­zogen halten, in der Presse zitiert.

Druck aus den USA

Univ.-Prof. Dr. Torsten J. Gerpott plädiert für eine differenzierte Betrachtung des Problems
Bild: Torsten J. Gerpott/Universität Duisburg-Essen Die Huawei-Kritiker in Deutsch­land greifen einen seit Anfang 2018 von der US-Regie­rungs­ad­mi­nis­tra­tion mit zuneh­mendem Nach­druck arti­ku­lierten „Vorschlag“ auf, durch die Verban­nung von Huawei als 5G-Netz­lie­fe­rant einer mögli­chen Weiter­gabe sensi­bler Daten von Geschäfts- und Privat­kunden an staat­liche Instanzen in China einen Riegel vorzu­schieben.

Bei der US-Regie­rung wirkt diese Anre­gung nicht unein­ge­schränkt selbstlos. Sie erzeugt einen faden Beigeschmack ange­sichts des im Oktober 2013 aufge­kom­menen begrün­deten Verdachts, dass der Auslands­ge­heim­dienst der USA über Jahre hinweg das Handy der deut­schen Bundes­kanz­lerin ausge­späht hat. Dieser Geschmack wird dadurch verstärkt, dass US-ameri­ka­ni­sche Konzerne wie Cisco oder Qual­comm in der 5G-Netz­aus­rüs­tung aktiv sind und ihren Geschäften ein staat­lich vorge­ge­bener Ausschluss des chine­si­schen Konkur­renten nicht schaden dürfte. Bei einigen deut­schen Poli­ti­kern erstaunt es zudem, dass sie mit Blick auf Huawei einer vorbeu­genden Gefähr­dungs­po­ten­zi­al­ver­mei­dung das Wort reden, während sie in anderen Lebens­be­rei­chen (z.B. Poli­zei­ge­setze der Bundes­länder) Erwei­te­rungen staat­li­cher Eingriffe bereits bei drohender Gefahr sehr reser­viert gegen­über­stehen. Beson­ders schwer wiegt, dass es bislang keine „harten“ Beweise dafür gibt, das Huawei bei der Konstruk­tion von 5G-Netz­hard- oder -soft­ware IT-Sicher­heits­vor­schriften verletzt hat.

Maßnahmen zur Bedro­hungs­ver­rin­ge­rung

Es ist nicht zu bestreiten, dass Netz­aus­rüster mit Sitz in China Gesetzen ihres Heimat­landes unter­worfen sind, aus denen sich Verpflich­tungen zur Zusam­men­ar­beit mit Nach­rich­ten­diensten ihres Stamm­landes ergeben. Zwar können auch in Deutsch­land u.a. auf Basis von § 113 Tele­kom­mu­ni­ka­ti­ons­ge­setz (TKG) Betreiber öffent­li­cher Netze dazu ange­halten werden, von ihnen trans­por­tierte vertrau­liche Daten z.B. an Verfas­sungs­schutz­be­hörden des Bundes und der Länder oder an den Bundes­nach­rich­ten­dienst weiter­zu­geben. Aber diese Weiter­gabe ist auf Netze in Deutsch­land und an bestimmte Zwecke (z.B. „Abwehr von Gefahren für die öffent­liche Sicher­heit oder Ordnung“, § 113, Abs. 2, S. 1 TKG) gebunden. Außerdem unter­liegen Aktionen der Exeku­tive in China einer deut­lich weniger starken rechts­staat­li­chen Kontrolle als in Deutsch­land. Vor dem Hinter­grund der sich über viele Jahre erstre­ckenden Förde­rung der Expan­sion von Huawei (und anderer einhei­mi­scher Ausrüster wie ZTE) durch die chine­si­sche Regie­rung ist der Vorschlag, diese staat­li­chen Eingriffs­mög­lich­keiten durch Verla­ge­rung des Firmen­sitzes von Huawei in einen demo­kra­tisch verfassten Staat auszu­he­beln, wirk­lich­keits­fremd. Man stelle sich die Reak­tion in Deutsch­land vor, wenn die Trump-Admi­nis­tra­tion von der Deut­schen Telekom eine Verla­ge­rung des Konzern­sitzes in die USA als Voraus­set­zung für ein dortiges Enga­ge­ment verlangen würde. Eher umsetzbar dürfte eine vertrau­ens­bil­dende Maßnahme Huaweis sein, dem Eindruck des Vorherr­schens einer „Wagen­burg-Menta­lität“ dadurch entge­gen­zu­wirken, dass man auch Top-Manage­ment-Posi­tionen zumin­dest auf der Ebene wich­tiger Landes­ge­sell­schaften nicht nur mit Chinesen, sondern auch mit Personen besetzt, die über die Staats­an­ge­hö­rig­keit des Gast­landes und dort über eine hohe Repu­ta­tion verfügen.

Die deut­sche Politik kann eben­falls zu einem diffe­ren­zierten Umgang mit dem latenten Spio­na­ge­po­ten­zial chine­si­scher 5G-Ausrüster beitragen. Derzeit verpflichtet das Gesetz über das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik (BSI-Gesetz, dort § 8a) und das TKG (§ 109) nur Betreiber Kriti­scher Infra­struk­turen bzw. öffent­li­cher Tele­kom­mu­ni­ka­ti­ons­netze Maßnahmen zur Beherr­schung der Risiken solcher Systeme zu treffen und „durch Sicher­heits­au­dits, Prüfungen oder Zerti­fi­zie­rungen“ (§ 8a, Abs. 3, S. 2 BSI-Gesetz) nach­zu­weisen, dass staat­liche Sicher­heits­an­for­de­rungen erfüllt sind. Hier ist zu empfehlen, das Gesetz rasch zu ändern, um Netz­aus­rüster gene­rell so in rele­vante Prozesse einzu­be­ziehen, dass auch sie direkt von quali­fi­zierten unab­hän­gigen Stellen auf die Einhal­tung von TK-Sicher­heits­stan­dards getestet werden. Dem BSI obliegt es, die Anfor­de­rungen solcher Prüfungen so zu gestalten, dass sie sich nicht auf isolierte Tests einzelner fertig konstru­ierter Netz­kom­po­nenten beschränken. Viel­mehr sollten sie auch die Planung von Netz(sicher­heits)archi­tek­turen, Vorkeh­rungen zum Risi­ko­ma­nage­ment und den Quell­code der rele­vanten Soft­ware umfassen. Es spricht nicht für das BSI, dass solche Anfor­de­rungen rund drei­ein­halb Jahre nach Inkraft­treten des IT-Sicher­heits­ge­setzes immer noch nicht vorliegen. Auf einer bran­chen­über­grei­fenden Ebene kann die aktu­elle Huawei-Diskus­sion von der Bundes­re­gie­rung zum Anlass genommen werden, als Gegen­leis­tung für einen Vertrau­ens­vor­schuss gegen­über dem chine­si­schen Unter­nehmen konse­quenter als bisher die rezi­proke Öffnung des Ausrüs­tungs­ge­schäfts in China für euro­päi­sche Wett­be­werber wie Ericsson oder Nokia durch­zu­setzen.

Schließ­lich sind auch die Mobil­funk­netz­be­treiber in Deutsch­land selbst gefor­dert, 5G-Sicher­heits­ri­siken dadurch zu verrin­gern, dass sie bei der Wahl ihrer Ausrüster nicht nur eine kurz­fris­tige Kosten­mi­ni­mie­rung anstreben. Statt­dessen sollten sie versteckte Sicher­heits­kosten einbe­ziehen, indem sie für ihr 5G-Funk­netz jeweils mehr als einen Liefe­ranten nutzen. Bei Rest­zwei­feln an der Vertrau­ens­wür­dig­keit chine­si­scher Anbieter ist es besser, auf deren Kompo­nenten im 5G-Kern­netz zu verzichten.

Fazit

Ohne Zweifel gibt es zahl­reiche Beispiele für Indus­trie­spio­nage chine­si­scher Unter­nehmen in Deutsch­land und das ille­gale Kopieren geschützter Tech­no­lo­gien von Anbie­tern aus Indus­trie­län­dern durch chine­si­sche Konkur­renten. Sie sollten aber nicht zu einem pauschalen Ausschluss von Huawei als 5G-Liefe­ranten in Deutsch­land führen. Ange­zeigt ist ein an allge­meinen und fach­lich gut begrün­deten IT-Sicher­heits­stan­dards und nicht an natio­nalen Ursprungs­län­dern orien­tiertes diffe­ren­ziertes Vorgehen. In ihm spie­gelt sich nicht zuletzt auch der Vorteil von durch dezen­trale Entschei­dungen geprägten, markt­ba­sierten gegen­über zentral gesteu­erten, staat­lich domi­nierten Wirt­schafts­ord­nungen klar wider.

Zur Person

Univ.-Prof. Dr. Torsten J. Gerpott leitet den Lehr­stuhl für Unter­neh­mens- und Tech­no­lo­gie­pla­nung an der Mercator School of Manage­ment Duis­burg der Univer­sität Duis­burg-Essen.