BNetzA legt 5G-Sicherheits-Entwurf vor
Die Bundesnetzagentur hat ein Eckpunkte-Papier zur Sicherheit von kritischen Netz-Komponenten vorgelegt. Es sollen alle Hersteller überprüft werden.
Foto: Picture Alliance / dpa
Aktuell wird - im Zusammenhang mit den kommenden 5G-Netzen - über die Sicherheit von Lieferanten für Telekommunikationsnetze international diskutiert. Insbesondere Hersteller aus China wie Huawei oder ZTE stehen im Verdacht, in puncto Systemsicherheit und Fernmeldegeheimnis nicht ganz unabhängig von staatlicher Kontrolle der chinesischen Regierung zu sein. Aber auch Anbieter von Routern wie die US-amerikanische Firma CISCO gerieten in das Licht der Öffentlichkeit, als der "Whistle-Blower" Edward J. Snowden enthüllte, dass diese Geräte eine "Hintertür" für den amerikanischen Geheimdienst enthalten. Wem kann man nun mehr trauen?
Sicherheitsbedenken oder Angst vor lästiger Konkurrenz?
In der weltweiten Diskussion spielen neben nachvollziehbaren Sicherheitsbedenken auch Ängste vor wirtschaftlichen Nachteilen für die jeweils heimischen Anbieter eine Rolle, da die Produkte aus China oft besser und auch noch wesentlich günstiger sein können. In Deutschland sieht man die Diskussion etwas nüchterner.
Homann: „Anforderungen gelten für alle Unternehmen gleichermaßen“
Die Bundesnetzagentur (BNetzA) hat heute Eckpunkte zusätzlicher Sicherheitsanforderungen für Telekommunikationsnetze und -dienste veröffentlicht. „Wir passen die geltenden Sicherheitsanforderungen regelmäßig der aktuellen Sicherheitslage sowie dem Stand der Technik an“, erklärt der Präsident der Bundesnetzagentur, Jochen Homann dazu. „Diese Sicherheitsanforderungen gelten für alle Netzbetreiber und Diensteerbringer und sie gelten technikneutral. Dabei werden alle Netze erfasst, nicht nur einzelne Standards wie zum Beispiel 5G.“
Überarbeitung der Sicherheitsanforderungen
Die Bundesnetzagentur hat ein Eckpunkte-Papier zur Sicherheit von kritischen Netz-Komponenten vorgelegt. Es sollen alle Hersteller überprüft werden.
Foto: Picture Alliance / dpa
Die Bundesnetzagentur überarbeitet derzeit die Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung von personenbezogenen Daten. Insbesondere für Betreiber von öffentlichen Telekommunikationsnetzen mit erhöhtem Gefährdungspotenzial sollen die künftigen Sicherheitsanforderungen genauer definiert werden.
Künftige Systeme dürfen nur noch von "vertrauenswürdigen Lieferanten" bezogen werden, die nationale Sicherheitsbestimmungen sowie Bestimmungen zum Fernmeldegeheimnis und zum Datenschutz "zweifelsfrei" einhalten. Der Netzverkehr muss regelmäßig und kontinuierlich auf Auffälligkeiten hin beobachtet werden. Im Zweifelsfall sind geeignete Maßnahmen zum Schutz zu ergreifen.
Sicherheitsrelevante Netz- und Systemkomponenten (also kritische Kernkomponenten) dürfen dann nur noch eingesetzt werden, wenn sie von einer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannten Prüfstelle auf IT-Sicherheit überprüft und vom BSI "zertifiziert" wurden, also eine Art "Prüfsiegel" erhalten haben.
Kritische Kernkomponenten dürfen dann nur noch von "vertrauenswürdigen Lieferanten/Herstellern" bezogen werden. Dies schließt auch eine Zusicherung der Vertrauenswürdigkeit seitens der Lieferanten/ Hersteller ein. Solche kritischen Kernkomponenten dürfen dann nur noch nach einer Abnahmeprüfung bei der Anlieferung eingesetzt werden und müssen regelmäßig und kontinuierlich bestimmten Sicherheitsprüfungen unterzogen werden. Was eine "sicherheitsrelevante Komponente" ist und was nicht, wird zwischen der Bundesnetzagentur und dem BSI abgestimmt.
Es wird komplizierter und teurer
Für die Netzbetreiber wird es komplizierter und damit auch teurer, denn: In sicherheitsrelevanten Bereichen darf nur noch "eingewiesenes Fachpersonal" eingesetzt werden. Bevor eine Anlage installiert werden kann, muss alles doppelt und dreifach geprüft werden und es ist jedes Mal nachzuweisen, dass die ausgewählte, sicherheitsrelevante und geprüfte Hardware und deren Quellcode (Software) auch wirklich zum Einsatz kommen. Im Klartext: Es muss sichergestellt sein, dass das gelieferte Produkt mit dem "Baumuster", wofür es eine Zulassung gibt, 100 Prozent übereinstimmt. Da heutige Kommunikationseinrichtungen permanent mit Updates versorgt werden, ist das eine Sisyphus-Arbeit, bis fast unmöglich.
Die Vorschläge der BNetzA gehen aber noch weiter: Bei Planung und Aufbau der Netze sollen „Monokulturen“ durch Einsatz von Netz- und Systemkomponenten unterschiedlicher Hersteller vermieden werden. Auf deutsch: Ein Netz soll nicht mehr aus Komponenten einer Firma X bestehen, sondern mit anderen Herstellern gemischt werden. Das bedeutet aber auch verstärkte und umfangreichere Tests, ob die Produkte "sicher" sind und ob sie miteinander funktionieren. Gerade dieser Passus ist für den möglichen "neuen" 5G-Anbieter 1&1-Drillisch von Bedeutung, da es Spekulationen gibt, dass das 5G-Netz vom chinesischen Hersteller ZTE zu besonders günstigen Konditionen geliefert und aufgebaut werden soll. 1&1 würde dieses "Netz" dann nur mieten.
Nur zugelassenes Fachpersonal, nur zuverlässige Subunternehmer
Die Kostenrechner, die solche komplexen Projekte am liebsten weit in Billigstlohnländer auslagern möchten, müssen aufpassen: Bei der Auslagerung von sicherheitsrelevanten Aufgaben dürfen ausschließlich fachkompetente, zuverlässige und vertrauenswürdige Auftragnehmer berücksichtigt werden.
Und nicht nur das: Für kritische, sicherheitsrelevante Netz- und Systemkomponenten also kritische Kernkomponenten müssen künftig ausreichend Redundanzen (also ein Zweit oder Drittgerät als Reserve) vorgehalten werden. Nach der Veröffentlichung dieser Eckpunkte können Hersteller und Netzbetreiber diese Vorschläge kommentieren. Im Frühjahr 2019 soll ein Entwurf der neuen Sicherheitsanforderungen erstellt werden. Die endgültige Version soll nach der gesetzlich vorgeschriebenen Stellungnahmemöglichkeit durch Hersteller und die genannten Verbände zum Entwurf des Kataloges der Sicherheitsanforderungen sowie eines europäischen Notifizierungsverfahrens durch die Bundesnetzagentur erfolgen. Wer sich in das Thema "einlesen" möchte, kann dies auf den Seiten der Bundesnetzagentur tun.
Eine Einschätzung
Etwas mehr Klarheit und Offenheit kann in diesem Geschäft nie schaden. Doch selbst wenn alle Quellcodes offengelegt werden sollten: Die Technik ist extrem kompliziert und die Zahl derer, die genau wissen, was diese Technik tut und was da noch möglich ist, ist überschaubar. Richtig ist auch, alle Lieferanten von Hard- und Software gleichermaßen anzuschauen. 100-prozentige Sicherheit kann und wird es nie geben, schließlich haben alle Staaten ein gewisses Interesse daran, bei der Verbrecherjagd auf die Telekommunikations-Systeme zugreifen zu können. Wer ein "echter Verbrecher" ist und wer möglicherweise nur "die Mächtigen stören" könnte, ist heute kaum noch neutral zu entscheiden.
Und klar ist auch: Zum Schnäppchen-Preis sind diese Prüfungen nicht zu machen. Es wird komplizierter und teurer. Und es könnte länger dauern, bis die Netze endlich in Betrieb gehen.