Die Sicherheit von 5G-Netzen hat sich zu einer breiten öffentlichen Debatte ausgeweitet. Im Fokus stehen nicht die Endgeräte wie Smartphones, Tablets oder Router sondern die technischen Komponenten (Hardware und Software) die in den Mobilfunknetzen eingesetzt wird. Die Debatte dreht sich weniger die Sicherheit im 5G-Standard selber, die eigentlich großen Anlass zur Kritik hergibt. Vielmehr steht der Netzwerkausrüster Huawei im Fokus. Huawei hat sich zum führenden Hersteller vom Mobilfunk-Equipment gemausert. Durch den Produktumfang und die innovativen Produkte hat Huawei sich in den letzten Jahren eine Marktführerschaft aufgebaut. Beim Start des LTE-Ausbaus vor über zehn Jahren noch als „billiger chinesischer Krempel“ verschrien, ist das Netzwerk-Equipment von Huawei heute technisch ganz vorne dabei.
Als problematisch wird das von vielen betrachtet, weil Huawei ein chinesisches Unternehmen ist, und gesetzlich verpflichtet, mit dem Staat zusammen zu arbeiten. Huawei bestreitet zwar diese gesetzliche Plicht, klar ist aber: China ist keine Demokratie mit einem verlässlichen Rechtssystem. Ob Huawei sich einer derartigen Aufforderung durch den Staat entziehen könnte, darf stark bezweifelt werden.
In den USA und einigen westlichen Ländern herrscht daher große Unsicherheit und die Angst vor Spionage durch den chinesischen Staat. In Deutschland ist die Politik geteilter Meinung, einige sind für den Ausschluss von Huawei aus dem deutschen Telekommunikationsmarkt, andere dagegen. Aus den USA kommt jedoch politischer Druck, die Amerikaner haben Huawei aus den Mobilfunknetzen in den USA verbannt und erwarten das auch von ihren Verbündeten. Einige Länder wie Australien und Neuseeland sind dieser Aufforderung nachgekommen, aber viele, wie Deutschland und auch England bislang noch nicht. Spionage ist aber sicher nicht der einzige Grund, aus dem einige Huawei aus den Netzen verbannen möchten. Angst herrscht auch durch die Möglichkeit, dass Huawei im Konfliktfall die Mobilfunknetze lahm legen könnte.
Die Problematik ist also sehr vielschichtig: Sie betrifft wirtschaftliche Aspekte, komplexe technische Fragestellungen und auch geopolitische Interessen.
Welche tatsächlichen Sicherheitsrisiken bestehen durch Huawei?
Zwei konkrete Sicherheitsprobleme sind vorstellbar:
- Die Integration einer Spionagefunktion, als Hardware Trojaner oder Software, die ganz gezielt die Daten bestimmter Nutzer abfängt und weiterleitet.
- Der Einbau eines so genannten Kill-Switches, der in der Lage ist, das Mobilfunknetz im Konfliktfall abzuschalten.
Huawei hat theoretisch technisch die Möglichkeit sowohl über Software als auch Hardware Hintertüren in die Mobilfunknetze einzubauen. So könnten etwa kleine Chips in die Hardware integriert werden, die auch nach intensiver Suche große Chancen hätten unentdeckt zu bleiben.
Auch über die Software bestünde die Möglichkeit, dass Huawei Hintertüren einbaut. Dabei sind insbesondere Software Updates gefährlich. Über Updates hätte Huawei jederzeit die Möglichkeit schadhafte Funktionen kurzfristig zu integrieren. Generell sind die Netzwerkkomponenten so aufgebaut, dass eine Fernwartung durchgeführt werden kann also im Prinzip gibt es schon eine Hintertür. Ein Zugang zu den Komponenten ist also immer vorhanden und kann natürlich auch missbraucht werden.
In Mobilfunknetzen gibt es Bereiche, die sicherheitskritischer eingestuft werden als andere. So gelten beispielsweise die Komponenten des Kernnetzes (Core Network) als wesentlich kritischer als die Komponenten des RAN (Zugangsnetz). Daher kommt inzwischen von einigen Beteiligten der Vorschlag Huawei nicht komplett auszuschließen, sondern nur aus dem Kernnetz zu verbannen. Antennen könnte Huawei dann z.B. weiter zuliefern.
Was spricht für Huawei
Für Huawei spricht, dass dem Unternehmen bislang kein Fehlverhalten nachgewiesen werden konnte. Die Produkte des Netzwerkausrüsters werden schon seit vielen Jahren intensiv von vielen verschiedenen Organisationen technisch überprüft. Niemand konnte dabei bislang ein ungewöhnliches Verhalten nachweisen. Die Anschuldigungen basieren also aktuell rein auf Hypothesen und Spekulationen. Auch die USA, die Huawei sogar auf die schwarze Liste gesetzt haben, haben bislang keine Beweise vorgelegt, die auf ein Fehlverhalten Huawei‘s hindeuten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Ende 2019 noch einmal bekräftigt, dass auch nach tiefgehenden Prüfungen keine Hinweise auf Vorkehrungen zu Spionagezwecken gefunden wurden.
Paradoxerweise sind es bislang die USA, die über ihre Geheimdienste Backdoors in Netzwerkkomponenten amerikanischer Hersteller integriert haben um andere Nationen auszuspionieren.
Das Spionage-Argument ist auch nur sehr bedingt gültig: In der Regel benötigen die Geheimdienste keinen Netzausrüster um Spionage in anderen Netzen zu betreiben. Das zeigt das Beispiel des englischen Geheimdienstes GCHQ, der von 2011 bis Sommer 2013 die belgische Telekommunikationsfirma Belgacom (heute Proximus) gehackt hat und dort Spionage betrieben hat.
Huawei Sicherheitsüberprüfungen in Großbritannien
In England werden die Komponenten von Huawei schon seit vielen Jahren intensiven Sicherheitstests unterzogen. Dort wurde ein Huawei Cyber Security Evaluation Centre (HCSEC) eingerichtet. Die HCSEC gibt es seit acht Jahren. Es wurde im November 2010 auf Basis von Vereinbarungen zwischen Huawei und der britischen Regierung eingerichtet, um Risiken einzugrenzen, die sich aus der Beteiligung von Huawei an Teilen der kritischen nationalen Infrastruktur ergibt. Das HCSEC berichtet seit 2014 jährlich über die Sicherheit der überprüften Huawei Technologie. Den Report von 2019 kann man hier nachlesen (PDF).
Insgesamt werden in den Berichten zwar Probleme mit den Komponenten von Huawei thematisiert. Diese Probleme beziehen sich aber eher auf Programmierfehler und die Qualität allgemein. Die Cybersicherheitsrisiken bei der Verwendung von Huawei-Ausrüstung in 5G-Netzen sind dem Bericht nach beherrschbar. Dadurch kommt der Aufsichtsrat auch zu dem Ergebnis, dass Huawei nicht aus den britischen Telekommunikationsnetzen ausgeschlossen werden sollte.
Diese Bewertung befeuert weiter den Konflikt mit den USA, die versuchen alle Verbündeten dazu zu bringen, Huawei aus den Netzen zu verbannen. Die USA versuchen Großbritannien über Handelsbeziehungen und dem Eindruck des bevorstehenden Brexit unter Druck zu setzen. Eine US-Delegation hatte der britischen Regierung im Januar dieses Jahres neues Geheimdienstmaterial gegen Huawei präsentiert. Ein zentraler Vorwurf gegen den chinesischen Konzern besteht darin, dass angeblich Geheimdienstmitarbeiter dort beschäftigt werden. Die britische Regierung hatte diese Art der Bedrohung aber offensichtlich schon berücksichtigt und ihre Haltung daher nicht geändert.
Großes wirtschaftliches Risiko für Huawei und China
Noch ein anderer Grund spricht dagegen, dass Huawei seine Position ausnutzt. Huawei ist ein sehr großes internationales Unternehmen, Huawei expandiert stark in vielen Ländern und hat sich eine Technologieführerschaft in verschiedenen Sektoren aufgebaut. Was für Huawei auf dem Spiel steht ist schlichtweg die Existenz des Unternehmens.
Sollte bekannt werden, das Huawei über Software oder Hardware Spionage betreibt, Informationen abfließen lässt oder gar Methoden zur Sabotage integriert, wäre das Unternehmen von einem auf den anderen Tag quasi pleite und hätte außer auf dem chinesischen und vielleicht nordkoreanischen Markt keine Abnehmer mehr. Man kann auch davon ausgehen, dass dadurch auch andere chinesische Unternehmen im Technologiesektor betroffen wären, Dadurch würde ein kaum zu beziffernder volkswirtschaftlicher Schaden entstehen.
Huawei hat aus der Not heraus Sicherheitszentren aufgebaut. Dort können Regierungen den Quelltext der Huawei Produkte einsehen und auf mögliche eingebaute Backdoors hin untersuchen.
Warum kommt die Angst vor Spionage durch die Huawei Technik erst mit der Einführung der 5G-Technologie?
Huawei ist seit vielen Jahren am Bau der Mobilfunknetze in Deutschland, Europa und weltweit beteiligt. So setzt die Telekom beispielsweise die Single-RAN-Technik von Huawei ein, die es möglich macht, verschiedene Mobilfunktechnologien einer bestimmten Frequenz zuzuweisen. Huawei Technik steckt in allen Netzsegmenten, im RAN und Kernnetz der Mobilfunk Anbieter. Warum entsteht die Panik also erst jetzt mit der Einführung von 5G?
5G wird zukünftig nicht nur dafür verwendet, Videos zu streamen, Whatsapp Nachrichten zu verschicken und zu telefonieren. Mit 5G entstehen auch neue Anwendungsszenarien, die teilweise deutlich sicherheitskritischer sind. 5G wird zukünftig ein Teil der Industrie 4.0, Roboter und autonome Fahrzeuge werden durch das 5G-Mobilfunknetz gesteuert, und große Mengen von Daten zur Auswertung von industriellen Prozessen. 5G wird also auch in sehr sicherheitskritischen Bereichen verwendet, wo Sabotage und Spionage enormen Schaden anrichten können. Auch im Bereich industrieller IOT Netze (IIOT) wird 5G vermutlich Einzug erhalten und dazu beitragen, dass hunderttausende Sensoren Daten aus industriellen Prozessen zuliefern.
Klar ist aber, die LTE und 5G Netze lassen sich nicht überall so einfach trennen. Momentan werden die öffentlichen 5G-Netze noch im Non-Standalone (NSA) Modus betrieben. Das wird vermutlich auch noch einige Jahre so bleiben. In dieser Netzstruktur ist das Kernnetz LTE basiert. Die Signalisierung läuft weiter über das LTE-Netz ab, 5G wird nur für die Erweiterung der Kapazität hinzugeschaltet. Ein Ausschluss neuer Huawei Technik wäre also nicht die Lösung des Problems. Zusätzlich müssten also auch die bestehenden 4G Komponenten von Huawei aus dem Netz verbannt werden. Der wirtschaftliche Schaden wäre enorm und der weitere Netzausbau würde sich sehr stark verzögern.
Spezialfall Campusnetze
In den geschlossenen Netzen, den so genannten Campusnetzen sieht die Lage etwas anders aus. Diese Netze sind speziell für den Einsatz im industriellen Umfeld vorgesehen. Die Bundesnetzagentur hat dafür lokale Frequenzen im Bereich 3,7 bis 3,8 GHz bereitgestellt, die auf Antrag vergeben werden. Auf Basis dieser Frequenzen können 5G-Netze im Stand-Alone (SA) Modus betrieben und von Grund auf neu aufgebaut werden.
Hier gibt es keine bestehende LTE Technik, die integriert werden müsste. Gerade in diesen Netzen werden zukünftig sehr viele Sensible Informationen übertragen. Hier sind die Unternehmen allerdings selber verantwortlich, welchen Netzwerkausrüster sie auswählen. Wie sich die Unternehmen hier entscheiden ist bislang noch nicht abzusehen. Es ist jedoch zu erwarten, dass ökonomische Aspekte eine wichtige Rolle spielen und Sicherheitsaspekte eher nachrangig sind.
Wie reagieren die Netzbetreiber auf den möglichen Ausschluss Huawei‘s aus dem Mobilfunknetz?
Für die Netzebtreiber ist die politische Unklarheit problematisch. Aktuell können sie keine Planungen auf Basis von Huawei Komponenten machen. Vorsorglich reagieren die Konzerne jedoch schon auf den möglichen Ausschluss von Huawei Technik.
Die Telekom schließt aktuell keine neuen Verträge mit 5G Bezug mehr ab. Das Unternehmen hat zudem in der letzten Ausschreibung für das Kernnetz das Angebot von Huawei ausgeschlagen. Auch Vodafone möchte Huawei nicht mehr im Kernnetz einsetzen. Sicherheitsaspekte werden jedoch offiziell nicht als Grund angegeben. Im Radio Access Network (RAN), werden rund die Hälfte der einsetzten Komponenten auch weiterhin von Huawei geliefert.
Der Mobilfunkkonzern Telefónica hat einen Brief an Bundestagsabgeordnete verfasst und vor einem Ausschluss von Huawei-Hardware beim 5G-Netzausbau in Deutschland gewarnt, darin heißt es:
„Ein Verbot des chinesischen Anbieters würde zu erheblichen Verzögerungen bei der 5G-Einführung führen und unser Land im Technologiewettbewerb zurückwerfen“
Telefónica plant bislang weiterhin zu einem großen Teil auf Huawei Technik zu setzen. Im Dezember 2019, bei der Vorstellung der Ausbaupläne sagte Telefónica-Chef Markus Haas: „Wir werden 50 Prozent unseres Netzes mit Huawei ausrüsten und die anderen 50 Prozent mit Nokia.“ Noch stehe die Sicherheits-Zertifizierung für beide Ausrüster aus. „Aber wir wollen keine Zeit verlieren“, sagte Haas. Deshalb stoße der Konzern den Netzausbau heute bereits an. Sollte ein Ausrüster die Zertifizierung nicht erhalten, würde Telefónica die Pläne anschließend entsprechend anpassen.
Die Netzbetreiber haben schon seit vielen Jahren eine Strategie um das Sicherheitsrisiko einzugrenzen: Die Netze werden mit den Komponenten verschiedener Netzwerkausrüster ausgestattet, diese Vorgehensweise wird auch als Multi-Vendor Strategie bezeichnet. Neben Huawei werden also auch weiterhin Komponenten von Nokia und Ericsson in den Netzen verbaut um keine Monokultur zu haben. Dieses Vorgehen hat nicht nur Sicherheitsaspekte als Hintergrund sondern auch ein wirtschaftliches Eigeninteresse: Durch den Einsatz von Technik unterschiedlicher Netzwerkausrüster soll die Konkurrenz am Leben gehalten werden.
Huawei Debatte in Deutschland und Europa
Die deutsche Regierung ist sich über den Umgang mit dem chinesischen Netzausrüster uneinig. Unterschiedliche Positionen gibt es sowohl innerhalb der CDU, als auch unter den beiden Regierungsparteien CDU und SPD.
Die EU Kommission hat nun eine Entscheidung getroffen, die sich für den Huawei Einsatz in Europa stark macht. Mit einem „Cyber-Bericht“ unterstützt von der Leyens (CDU) EU-Kommission die Position von Bundeskanzlerin Angela Merkel (CDU). Merkel hatte sich schon sehr früh in der Debatte gegen einen Ausschluss Huawei‘s positioniert, damit aber für Ärger in der eigenen Partei gesorgt.
Doch auch mehrere SPD-Politiker sind gegen eine Kooperation mit dem chinesischen Technologieunternehmen. Außenminister Heiko Maas stellte bereits im November eine Beteiligung von Huawei in Frage und auch der Chef des BND, Bruno Kahl, sieht den Einsatz von Huawei-Technik im deutschen Netzen kritisch: „Dieses Vertrauen ist einem Staatskonzern, der in doch sehr großer Abhängigkeit von der Kommunistischen Partei und dem Sicherheitsapparat des Landes ist, nicht entgegenzubringen.“
Was wäre die richtige Strategie im Umgang mit Huawei?
Wie könnte eine geeignete Lösung aussehen? Die richtige Strategie gibt es sicher nicht. Aber ein Ausschluss Huawei‘s macht in der Gesamtbetrachtung wenig Sinn. Dass Regierungen auch ohne einen Netzwerkausrüster Netzwerke infiltrieren können sollte spätestens nach dem Vorfall zwischen Großbritannien und dem belgischen Netzbetreiber klar sein.
Das eigentliche Problem liegt in der Abhängigkeit der Netzbetreiber von Huawei. Sollt Huawei seinen technologischen Vorsprung in den nächsten Jahren weiter ausbauen können, kann sich das für die Netzbetreiber zum Problem entwickeln, da es dann an gleichwertiger Konkurrenz fehlt. Durch die Subventionen den chinesischen Staates kann Huawei nicht nur besser sondern auch günstiger produzieren und die europäischen Netzausrüster extrem unter Druck setzen. Die Netzbetreiber müssen jedoch die Möglichkeit haben, bei einem Vorkommnis, die Technik von Huawei schnell aus dem Netz zu entfernen. Das funktioniert aber nur, wenn Alternativen vorhanden sind.
Europäische Netzwekrausrüster unterstützen
Statt Huawei aus den Mobilfunknetzen zu verbannen, wäre es wesentlich sinnvoller die europäischen Ausrüster intensiver zu unterstützen, damit diese technisch und preislich konkurrenzfähige Produkte produzieren können. Airbus könnte hier als eine Art Blaupause dienen, wie in einem europäischen Gemeinschaftsprojekt ein großes, konkurenzfahiges Unternehmen etabliert werden kann. Als weiterer nicht-chinesischer Ausrüster könnte Samsung zukünftig eine größere Rolle in den deutschen Mobilfunknetzen spielen. Samsung ist als Netzwerkausrüster noch relativ klein, kann aber in den nächsten Jahren mit seinen 5G-Komponenten sicher weiter Marktanteile hinzugewinnen.
Ein positives Element hat die Debatte um Huawei jedoch: Vielen ist klar geworden, wie wichtig der Mobilfunk geworden ist und wie viele sensible Daten inzwischen über dieses Medium übertragen werden. Mit dem Durchdringen der Mobilfunktechnik vieler unterschiedliche Lebensbereiche und das „Internet der Dinge“, erhöht sich auch die Gefahr, die von einem Datenleck oder einem Ausfall der Netze ausgeht. Das führt hoffentlich zukünftig dazu, dass bei der Entwicklung des Mobilfunkstandards Sicherheitsaspekte eine höhere Priorität eingeräumt bekommen. Auch die Einstellung der Netzbetreiber könnte sich zukünftig ändern und den Fokus von fast ausschließlich ökonomischen Aspekten mehr Richtung Sicherheit verschieben.