Schon lange vor dem verheerenden Russland-Ukraine-Krieg und den mittlerweile evidenten politischen Spannungen zwischen China und Taiwan war der Schutz von digitalen Lieferketten ein wichtiges Thema: So tauchte bereits in den frühen Entwurfsfassungen des IT-Sicherheitsgesetzes 2.0 vor mittlerweile fast vier Jahren eine Formulierung auf, an die sich sicherlich noch viele Leser:innen dieser Kolumne zurückerinnern werden – die sogenannten „KRITIS-Kernkomponenten“.
Zwar hat es dieser Begriff letztlich nicht in das verabschiedete Gesetz geschafft, jedoch ist sein Gedanke in den „Kritischen Komponenten“ in der Legaldefinition des § 2 Abs. 13 BSIG aufgegangen. Letztlich versteckt sich hinter den beiden Begriffen nichts anderes als ein Misstrauen für die Cybersicherheit solcher IT-Produkte, die essenzielle Steuerungsfunktionen in den Kritis-Sektoren wahrnehmen und deren Funktionsbeeinträchtigung deshalb erhebliche versorgungsrelevante Folgen nach sich ziehen kann.
Ein eingebauter „Kill switch“ für das nationale Mobilfunknetz?
Genau diese Eigenschaft und Sorge vor Kompromittierbarkeit ist es nun auch, die die aktuelle politische, technische und juristische Debatte um den Einsatz von Komponenten des chinesischen Mobilfunkausrüsters Huawei in den deutschen Mobilfunknetzen speist. Spekulationen gibt es dabei viele: Diese reichen vom Spionageverdacht über die Technologieabhängigkeit von einem autoritären Staat mit einer zurzeit scheinbar unberechenbaren Außenpolitik bis hin zur Sorge, dass Huawei-Produkte mit einem versteckten „Kill switch“ ausgestattet sein könnten, mittels dessen bei Bedarf das deutsche Mobilfunknetz lahmgelegt werden kann.
Zumindest den absoluten Zahlen nach scheint die Sorge vor der Technologieunabhängigkeit nicht unberechtigt, denn der Anteil von Huawei-Komponenten liegt bei den verschiedenen Anbietern aktuell bei mindestens 50 Prozent. Und nicht nur die Deutsche Telekom, sondern auch die Deutsche Bahn hat mit ihren vertraglichen Beschaffungs- und Ausrüstungsbeziehungen mindestens für politischen Unmut in Berlin gesorgt (Tagesspiegel Background berichtete). Und selbst das BSI verwendet in seiner Infrastruktur zumindest zurzeit noch Kommunikationstechnik von Huawei.
Nichtsdestotrotz wird von den in Deutschland aktiven Mobilfunk-Carriern verlautbart, dass zurzeit wohl weder in den Kernnetzen von Vodafone, noch in denen der Deutschen Telekom oder O2/Telefónica Huawei-Komponenten verbaut sind. Auch ansonsten scheint – technisch zumindest – zurzeit keine akute Gefahr zu bestehen: Das BSI erklärte wiederholt, dass alle 5G-Ausrüster gleichgültig aus welchem Herkunftsland sicherheitsüberprüft würden und dass bislang keine Prüfung ergeben habe, dass in Huawei-Bauteilen Hintertüren versteckt seien beziehungsweise entsprechende technische Hinweise hierfür vorhanden sind.
Technische Maßnahmen zur Härtung der Telekommunikationsinfrastruktur
Mehr als fraglich ist aber, ob diese technischen Feststellungen und Beteuerungen seitens der Netzbetreiber allein schon ausreichend sein können, um dem politischen Willen nach mehr Sicherheit für die nationalen Kritischen Infrastrukturen gerecht zu werden.
Fest steht jedenfalls, dass rechtlich und behördlich kurz- und mittelfristig bereits verschiedene Maßnahmen zur Resilienz des deutschen Mobilfunknetzes angestoßen wurden: So hat das BSI am 1.7.2022 ein neues Zertifizierungsprogramm für Komponenten der 5G-Telekommunikationsnetze nach dem Schema „Network Equipment Security Assurance Scheme Cybersecurity Certification Scheme – German Implementation“ (NESAS CCS-GI) gestartet. Das nationale Prüfschema soll ebenso als Vorbild für ein entsprechendes zukünftiges europäisches Zertifizierungsschema nach EU Cybersecurity Act (CSA, 2019) dienen (EU5G).
Außerdem wurden vor Kurzem die telekommunikationsrechtlichen Anforderungen an die IT-Sicherheit von Mobilfunkkomponenten erheblich verschärft: So dürfen nach der Neufassung des TKG besagte „kritische Komponenten“ nur verwendet werden, wenn sie vor ihrem erstmaligen Einsatz von einer anerkannten Zertifizierungsstelle überprüft und zertifiziert wurden. Die konkreten Anforderungen dazu wiederum ergeben sich aus einem Katalog von Sicherheitsanforderungen, dessen Anlage 2 eine Liste der kritischen Funktionen für öffentliche Telekommunikationsnetze und -dienste mit erhöhtem Gefährdungspotenzial enthält, die wiederum durch das EU-Dokument „Cybersecurity of 5G networks – EU Toolbox of risk mitigating measures“ konkretisiert werden.
Zusätzlich benennt die Technische Richtlinie des BSI TR-03163 „Sicherheit in TK-Infrastrukturen“ die zulässigen Zertifizierungsschemata für kritische Komponenten in Telekommunikationsnetzen mit erhöhtem Gefährdungspotenzial und richtet sich an die Hersteller von kritischen Komponenten in Telekommunikationsnetzen.
Die „Lex Huawei“ ist nur ein Feigenblatt für eine politische Herstellerüberprüfung
Aber damit nicht genug, denn neben der technischen Seite existiert bei dem Thema noch eine juristische – oder besser: politische? – Dimension. Konkret sprechen wir hier von der „Lex Huawei“, die anknüpfend an die Definition der „Kritischen Komponenten“ ebenfalls Eingang in das IT-Sicherheitsgesetz 2.0 gefunden hat.
In einem komplexen interministeriellen Prüfverfahren, bei dem das Bundesministerium des Innern federführend ist, wird hier im chronologischen Verlauf des Einsatzes der kritischen Komponente ermittelt, ob der Hersteller und damit auch sein Produkt vertrauenswürdig ist – oder eben nicht und der Einsatz des Produkts bis hin zu einem faktischen Herstellerverbot untersagt werden kann.
Was sich im Gesetz erst einmal wie ein juristisch induziertes technisches Verfahren liest, ist jedoch in Wirklichkeit nichts anderes als eine politische Prüfkompetenz primär ausländischer IT-Hersteller, indem die rechtlich definierten Vertrauenswürdigkeitskriterien für Anbieter aus bestimmten Drittstaaten faktisch unerfüllbar sind. Auf diese Weise lassen sich juristisch fundiert zumindest der Theorie nach Hersteller und ihre Produkte nahezu beliebig vom deutschen Markt ausschließen, ohne dass zwingend evidenzbasierte Kriterien herangezogen werden müssen.
Wir müssen uns drei essenzielle Fragen stellen
Fest steht jedenfalls, dass das Thema der Technologieabhängigkeit von der Volksrepublik China noch lange nicht zu Ende gedacht ist und wir uns gerade erst am Anfang einer globalen politischen Debatte befinden, die uns noch viel Kraft kosten wird, definitiv nicht auf Huawei allein beschränkt ist und die zumindest aktuell noch unter erheblichen technischen und rechtlichen Unsicherheiten leidet.
Nicht umsonst hat die CDU/CSU-Fraktion im Deutschen Bundestag zu Jahresbeginn eine Kleine Anfrage zum Einfluss Chinas auf das 5G-Mobilfunknetz in Deutschland gestellt (Tagesspiegel Background berichtete). Letztlich aber werden wir uns drei wesentliche Fragen stellen müssen, deren nicht immer zweifelsfreie Antworten die Weichen für die künftige technologiepolitische Orientierung Deutschlands in der Welt stellen werden: Sollten wir auf chinesische Technologie verzichten? Können wir auf chinesische Technologie verzichten? Und: Dürfen wir auf chinesische Technologie verzichten?
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.
In unserer Reihe Perspektiven ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Dennis-Kenji Kipker erschienen: Ist Tiktok nun eine Bedrohung für die nationale Sicherheit?
