Huawei und die Kontroverse um Cybersicherheit: Politik, Spionage und 5G

5G-Netz in Deutschland Cybersicherheit oder berechtigte Angst vor Huawei?

21.11.2023 Von Dipl.-Ing. (FH) Hendrik Härter 5 min Lesedauer

Anbieter zum Thema

HUAWEI TECHNOLOGIES Deutschland GmbH

IBR Leiterplatten GmbH & Co. KG

N & H Technology GmbH

NetModule AG

Komponenten des chinesischen Technologieanbieters Huawei stehen bereits seit Jahren im Fokus der Politik. Der Grund: Vermutungen, dass etwa Spionagetechnik darin verbaut sein könnte. Nachgewiesen ist bis heute nichts. Geht es tatsächlich um Cybersicherheit – oder steckt etwas anderes hinter den Vorwürfen?

5G-Antennen: Beim Zugangsnetz oder auch Radio Access Network (RAN) kommen Antennen von Huawei zum Einsatz.
(Bild: Huawei)

Die Diskussion über ein Verbot von Huawei-Komponenten ist für das Unternehmen nicht neu. Seit März diesen Jahres prüft die Europäische Union die Verwendung kritischer Komponenten von Huawei für den 5G-Mobilfunk. Worum geht es genau? Dazu schauen wir uns das Thema Cybersicherheit in der Telekommunikation genauer an und haben mit Patrick Berger von Huawei gesprochen. Er ist Head of Media Affairs.

Herr Berger, es wird von Seiten der Politik immer von einem Verbot von Komponenten für 5G gesprochen. Können Sie das präzisieren?

Im Gespärch mit Patrick Berger von Huawei: „Beim 5G-Netz muss man zwischen einem Kernnetz und einem Zugangsnetz unterscheiden. Bei der Diskussion um die kritischen Komponenten geht es um das Zugangsnetz oder auch Radio Access Network (RAN).
(Bild: Huawei)

Seit März diesen Jahres läuft ein Evaluierungsprozess, der aber noch nicht abgeschlossen ist. So hat das Bundesinnenministerium gesagt, was es sich als Sicherheitsbehörde vorstellt. Das ist aber noch nicht im Detail ausgearbeitet und innerhalb der Regierung abgestimmt. Der Einsatz kritischer Komponenten in Infrastrukturen ist im BSI-Gesetz geregelt. Dieses Gesetz wurde noch von der Vorgängerregierung im Jahr 2021 novelliert. Wichtig ist, dass diese nicht spezifisch für 5G-Netze ist, sondern generell für kritische Infrastrukturen gelten kann. Das können beispielsweise auch Energienetze sein.

Bei der Anwendung des Gesetzes auf spezifische kritische Komponenten in 5G-Netzen kommt das Telekommunikationsgesetz zum Tragen. Hier gibt es einen Sicherheitskatalog als Anlage. Dieser wird unter Federführung der Bundesnetzagentur erarbeitet. Die Experten tauschen sich mit dem BSI aus. In dieser Anlage ist geregelt, was kritische Funktionen in Mobilfunknetzen sein können. Wichtig für das Verständnis ist, dass es nicht die eine Netzarchitektur gibt. Es gibt beispielsweise die Single-RAN-Architektur und es gibt den Open-RAN-Ansatz, den beispielsweise 1&1 verfolgt. Letzterer ist systemoffen, es lassen sich also Komponenten verschiedener Herstellern mischen. Spätestens mit der nächsten Mobilfunkgeneration 6G wird sich O-RAN in den Funkzugangsnetzen durchsetzen, erwartet zum Beispiel Joa Barry, Vice President von Analog Devices.

In dem erwähnten Sicherheitskatalog sind nur die kritischen Funktionen definiert und es muss dann für jedes Netz geprüft werden, welche Komponenten jeweils kritische Funktionen wahrnehmen. Jeder Netzbetreiber eines Mobilfunknetzes kauft Komponenten von unterschiedlichen Herstellern ein. Darunter sind Firmen aus Europa, Asien und Nordamerika. Zum Verständnis des 5G-Netzes muss man unterscheiden zwischen einem Kernnetz und einem Zugangsnetz. Das Kernnetz sind im Wesentlichen die Rechenzentren. Hier ist Huawei nicht mehr oder nur wenig vertreten.

Bei den jetzt diskutierten Komponenten geht es also nicht um das Kernnetz, sondern vielmehr um das Zugangsnetz oder auch Radio Access Network (RAN) – also um das Netz der Mobilfunk-Basisstationen. Hier kommen Komponenten von Huawei zum Einsatz. Die Antennen selbst sind keine kritischen Komponenten nach der aktuellen Regulierung. Insofern geht es beim aktuellen Prüfverfahren für das Zugangsnetz im Wesentlichen um die System-Managementsoftware, welche die Antennen steuert, aber nicht um die Antennen selbst. Sogar im Falle einer Untersagung dieser Software wäre ein Austausch aller von der Software gesteuerten Antennen nicht unbedingt erforderlich – und nur tatsächlich schwer möglich.

Sicherheit beim RAN-Management

Beim RAN-Management ist die Software der kritische Teil, da sie die Antennen steuert. In einem Gespräch mit Golem.de wies die Telekom bereits am 16. Juni 2023 Befürchtungen zurück, sie könne die Netzmanagement-Software (NMS) von Huawei im 5G-Mobilfunknetz nicht sicher betreiben.

„Es werden keine Updates in Live-Systeme eingespielt und eingespielte Updates werden vorher im Testsystem ausgiebig auf Funktionalität und Sicherheit geprüft“, sagt der Telekom-Sprecher Stephan Broszio. In einem Blog-Eintrag betont die Telekom weiter: „Die Systeme für das Netzwerkmanagement (RAN-Management) sind in einem eigenen Hochsicherheitsnetz komplett vom Internet und den Bürokommunikationsnetzen der Deutschen Telekom getrennt und von außen nicht erreichbar.“

RAN-Management sei somit sicher. Das sagt auch Berger: „Wir als Ausrüster kennen die Sicherheitskonzepte nicht. Nur die Netzbetreiber kennen das Gesamtsystem und setzen die einzelnen Komponenten zusammen. Das RAN-Management ist eine hochisolierte Komponente, das bedeutet, dass selbst die Hersteller im Normalbetrieb keinen Zugriff auf diese Komponente haben. Der Netzbetreiber hat immer die volle Kontrolle“.

Huawei erfüllt europäische und deutsche Sicherheitsstandards

Huawei hat 2018 in Bonn ein Security Lab für Quellcodeprüfungen eröffnet, das auch das BSI für solche Prüfungen nutzen kann. In den vergangenen Jahren wurden zahlreiche Produkte erfolgreich nach internationalen Kriterien zertifiziert, darunter auch 5G-Produkte nach dem NESAS-Standard, an dem sich auch das BSI bei seinen noch ausstehenden Prüfungen kritischer 5G-Komponenten orientieren wird.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 15.04.2021

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7/9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Die RAN-Management-Komponente, auf die sich das aktuelle Audit besonders konzentriert, wird 2020 in der Europäischen Union nach dem Common Criteria Standard zertifiziert, einschließlich einer Quellcode-Prüfung.

Politisch motivierte Aktionen?

Doch um was geht es genau bei Huawei? Laut Berger hat „die US-Regierung große Vorbehalte gegenüber chinesischen Tech-Anbietern. Doch es gibt keine Beweise, dass die Vorbehalte der US-Regierung begründet sind“.

Ähnlich sieht das der IT-Sicherheitsexperte Dennis-Kenji Kipker, Professor an der Hochschule in Bremen. Er sieht eine „politische Überformung der fachlich-technischen Aufgabe der Cybersecurity“ und hält diese Politisierung nicht nur „rechtlich für einen gefährlichen Weg“. Ein solches Handeln „sei vielmehr auch in der Lage, das Vertrauen in objektive, transparente und nachvollziehbare Entscheidungen der obersten deutschen Cybersicherheitsbehörde nachhaltig zu untergraben“.

Cybersicherheit nicht nach Herkunft bewerten

In einer Stellungnahme an den Bundestag distanzierte sich sogar der Chaos Computer Club (CCC) im Jahr 2021 klar vom Konzept einer „politischen Vertrauenswürdigkeit“, die an die Herkunft von Herstellern gebunden wird: „Die Definition 'vertrauenswürdiger Anbieterinnen' muss sich nicht auf die Herkunft der Anbieterin, sondern auf die tatsächliche und prüfbare technische Sicherheit und Sicherbarkeit ihrer Produkte erstrecken. Alle Anbieterinnen von Komponenten kritischer Infrastruktur – unabhängig von ihrem Herkunftsland – sollten nur zulässig sein, wenn sichergestellt ist, dass das tatsächlich im Einsatz befindliche System auditiert werden kann.“

Huawei betreibt intern seine eigene Cyber-Sicherheitsabteilung, die unabhängig von der Produktentwicklung ist. Mitarbeiter überprüfen hier Produkte, bevor sie auf den Markt gebracht werden und bekommen Prämien, wenn sie Fehler und Sicherheitsmängel finden. Anschließend werden die technischen Komponenten extern zertifiziert. „Die Komponenten werden von Behörden und Auditoren begutachtet“, sagt Berger. „Denn Vertrauen in Cybersicherheit gelingt nur auf der Basis von objektiven technischen Überprüfungen.“

Eine Manipulation ist nur schwer möglich. Und die Zertifikate können auch wieder aberkannt werden, wenn beispielsweise der Code nicht mehr sicher ist. „Das ist die Grundlage von sicherer Infrastruktur“, sagt Berger. Dabei spiele es keine Rolle, aus welchen Ländern die Komponenten kommen. „Resilienz entsteht, wenn man Komponenten von verschiedenen Anbietern einsetzt“, sagt Berger.

Hardware-Komponenten objektiv überprüfen

Doch wie lässt sich Vertrauen konkret umsetzen? „Die Politik sollte sich an den Fakten orientieren und mit Huawei reden“, sagt Berger. Ähnlich argumentiert der MIT-Informatikprofessor Nicholas Negroponte: „Telekommunikationspolitik sollte auf objektiven Standards basieren und nicht auf geopolitischen Erwägungen“.

Es sollten also nicht politische, sondern technische Motive im Vordergrund stehen. Hier braucht sich Huawei nicht zu verstecken. Das Unternehmen ist seit rund 25 Jahren auf dem europäischen Markt und breit aufgestellt. Neben Telekommunikationskomponenten bietet das Unternehmen Anwendungen für den Energiemarkt, Automotive, Consumer Electronics, Cloud Business und Enterprise IT. „Von diesem Leistungsspektrum kann die deutsche Industrie nur profitieren“, sagt Berger abschließend.