Ist Huawei ein Sicherheitsrisiko?
06:56 Minuten
Von Manfred Kloiber · 10.12.2019
Auf EU-Ebene werden Kriterien entwickelt, welche Unternehmen sich am Aufbau der 5G-Netze beteiligen dürfen und welche nicht. Ein Kandidat ist der IT-Konzern Huawei. Im Gegensatz zu US-Firmen wird Huawei besonders kritisch gesehen.
Brüssel, Europaviertel. In der Rue Guimard Nummer 9 befindet sich das Huawei Sicherheitszentrum. Ein schmuckloses Bürogebäude, in dem verschiedene Firmen und Verbände residieren. Interviewtermin mit Jakub Hera Adamowicz, dem Pressesprecher von Huawei und Koen Classen, ein Sicherheitsberater. Classen führt durch die Gänge. Ganz am Ende des Büro-Korrirdors wird es spannend. Warnschilder, Handyverbot, Sicherheitszone:
"Wer in diesen Besprechungsraum will, der muss alles vorher wegschließen, weil hier ein Metalldetektor vor der Tür ist. Also Handys, Schlüssel, das muss alles draußen bleiben. Erst dann kann man rein. Und im Raum selbst gibt es nur eine Überwachungskamera, einen Tisch und ein Kabel und einen Stuhl."
In diesen Raum ziehen sich Sicherheitsexpertinnen von Mobilfunkfirmen und von Behörden zurück, wenn sie zum Beispiel den Quellcode, also den Originaltext von Computerprogrammen für das Mobilfunknetz überprüfen wollen. Per hochsicherer Videokonferenz werden sie mit der Firmenzentrale von Huawei verbunden, um Dokumente und Programme einsehen zu können.
"Wer in diesen Besprechungsraum will, der muss alles vorher wegschließen, weil hier ein Metalldetektor vor der Tür ist. Also Handys, Schlüssel, das muss alles draußen bleiben. Erst dann kann man rein. Und im Raum selbst gibt es nur eine Überwachungskamera, einen Tisch und ein Kabel und einen Stuhl."
In diesen Raum ziehen sich Sicherheitsexpertinnen von Mobilfunkfirmen und von Behörden zurück, wenn sie zum Beispiel den Quellcode, also den Originaltext von Computerprogrammen für das Mobilfunknetz überprüfen wollen. Per hochsicherer Videokonferenz werden sie mit der Firmenzentrale von Huawei verbunden, um Dokumente und Programme einsehen zu können.
"Huawei versteckt sich nicht"
Seit März 2019 ist das Security-Center von Huawei in Betrieb. Und nicht gerade zufällig befindet es sich im Europa-Viertel, dort wo sich Politiker, hohe Beamte und Unternehmensvertreter die Klinke in die Hand geben. Denn in der EU werden zur Zeit die Kriterien dafür entwickelt, welche Unternehmen sich am Aufbau der 5G-Netze beteiligen dürfen und welche nicht. Das chinesische Unternehmen setzt dabei auf volle Transparenz, erklärt Pressesprecher Jakub Hera Adamowicz.
"Die Europäische Union durchläuft gerade den Prozess der 5G Zertifizierung. Huawei versteckt sich dort nicht, im Gegenteil, weil wir eben führend sind im Bereich Cybersicherheit. Wir hatten ja in den letzten 20 Jahren keine größeren Zwischenfälle. Wir sind Klassenbester, was die Cybersicherheit angeht und auch was die Technologie, was die Innovationsfähigkeit angeht, brauchen wir uns nicht zu verstecken. Desto weniger politisch die Diskussion geführt wird und desto technologiebasierter, desto besser für uns."
Diesen Weg hat auch die Bundesregierung eingeschlagen. In einer Grundsatzentscheidung hat sie festgelegt, dass sich alle Unternehmen, egal ob aus Europa, Nordamerika oder China am Aufbau des neuen Mobilfunknetzes beteiligen können. Dafür müssen sie sich aber einer Sicherheits-Zertifizierung unterziehen. Der IT-Sicherheitsexperte Professor Hartmut Pohl aus Sankt Augustin beschreibt, was bei solchen Zertifizierungen überprüft wird:
"Mit einem ordentlichen Test identifizieren sie Sicherheitslücken, die ja Grundlage für Angriffe sind. Die Angriffspunkte sind Sicherheitslücken in der Software. Und die werden letztlich mit diesen Methoden identifiziert, sodass sie eigentlich davon ausgehen können, dass die Software nach einem solchen Test und nach gegebenenfalls Korrektur der Sicherheitslücken sicher ist."
"Die Europäische Union durchläuft gerade den Prozess der 5G Zertifizierung. Huawei versteckt sich dort nicht, im Gegenteil, weil wir eben führend sind im Bereich Cybersicherheit. Wir hatten ja in den letzten 20 Jahren keine größeren Zwischenfälle. Wir sind Klassenbester, was die Cybersicherheit angeht und auch was die Technologie, was die Innovationsfähigkeit angeht, brauchen wir uns nicht zu verstecken. Desto weniger politisch die Diskussion geführt wird und desto technologiebasierter, desto besser für uns."
Diesen Weg hat auch die Bundesregierung eingeschlagen. In einer Grundsatzentscheidung hat sie festgelegt, dass sich alle Unternehmen, egal ob aus Europa, Nordamerika oder China am Aufbau des neuen Mobilfunknetzes beteiligen können. Dafür müssen sie sich aber einer Sicherheits-Zertifizierung unterziehen. Der IT-Sicherheitsexperte Professor Hartmut Pohl aus Sankt Augustin beschreibt, was bei solchen Zertifizierungen überprüft wird:
"Mit einem ordentlichen Test identifizieren sie Sicherheitslücken, die ja Grundlage für Angriffe sind. Die Angriffspunkte sind Sicherheitslücken in der Software. Und die werden letztlich mit diesen Methoden identifiziert, sodass sie eigentlich davon ausgehen können, dass die Software nach einem solchen Test und nach gegebenenfalls Korrektur der Sicherheitslücken sicher ist."
Tests sollen Klarheit über Sicherheit geben
Auf 61 eng bedruckten Seiten beschreibt die zuständige Bundesnetzagentur in ihrem Entwurf des neuen Kataloges für Sicherheitsanforderungen für Telekommunikationsnetze detailliert alle Punkte, die überprüft werden müssen. Das geht von Organisations- und Risikomanagement über Lieferantenmanagement, Notfallplanung bis zur konkreten Umsetzung von Sicherheitsanforderungen. Die rein technischen Tests sollen beweisen, dass die Produkte frei von Hintertüren, IT-Schädlingen, Computer-Wanzen oder Sabotage-Programmen sind. Solche Überprüfungen sind sehr aufwändig, auch wenn sie nach standardisierten Verfahren ablaufen. Doch für den IT-Sicherheitsexperten Professor Konrad Rieck aus Braunschweig bleibt immer ein Restrisiko:
"Die Suche nach Fehlern ist wahnsinnig schwierig und auch mit Tausenden und Millionen von Augen nicht ganz zu lösen. Sicherheit ist nicht so etwas wie 0 oder 1, ich bin sicher oder ich bin unsicher. Sondern wir müssen es dem Angreifer maximal schwer machen."
Deshalb schlägt IT-Spezialist Pohl einen ganz anderen Weg vor. Statt auf die Sicherheit der Netze setzt er auf die Sicherheit der Nutzer:
"Das ist ein Floh, den uns die Amerikaner ins Ohr gesetzt haben, Huawei sei unzuverlässig. Die sind genauso wenig oder so viel unzuverlässig oder zuverlässig wie andere Hersteller im Westen auch. Ich halte dieses Vorgehen für nicht korrekt, weil es mich nicht interessiert, ob ein Ganove das Netz betreibt oder ein Vertrauenswürdiger. Ich kenne die Leutchen sowieso nicht. Ich sage Ende-zu-Ende-Verschlüsselung, vom Sender zum Empfänger verschlüsselte Nachrichten, Mails, Files, sodass ein Dritter nicht mitlesen kann."
"Die Suche nach Fehlern ist wahnsinnig schwierig und auch mit Tausenden und Millionen von Augen nicht ganz zu lösen. Sicherheit ist nicht so etwas wie 0 oder 1, ich bin sicher oder ich bin unsicher. Sondern wir müssen es dem Angreifer maximal schwer machen."
Deshalb schlägt IT-Spezialist Pohl einen ganz anderen Weg vor. Statt auf die Sicherheit der Netze setzt er auf die Sicherheit der Nutzer:
"Das ist ein Floh, den uns die Amerikaner ins Ohr gesetzt haben, Huawei sei unzuverlässig. Die sind genauso wenig oder so viel unzuverlässig oder zuverlässig wie andere Hersteller im Westen auch. Ich halte dieses Vorgehen für nicht korrekt, weil es mich nicht interessiert, ob ein Ganove das Netz betreibt oder ein Vertrauenswürdiger. Ich kenne die Leutchen sowieso nicht. Ich sage Ende-zu-Ende-Verschlüsselung, vom Sender zum Empfänger verschlüsselte Nachrichten, Mails, Files, sodass ein Dritter nicht mitlesen kann."
Misstrauen besonders gegenüber chinesische Unternehmen
Doch davor, die Benutzer von Telekommunikation durch Ende-zu-Ende-Verschlüsselung immun gegen unsichere Netze zu machen, schrecken viele Staaten zurück. Dann nämlich könnten ihre eigenen Sicherheitsorgane Probleme bei der Überwachung von Kriminellen und Terrorverdächtigen bekommen. Für den IT-Sicherheitsexperten Pohl ist das eine Erklärung, warum es die Diskussion über die Sicherheitsbedenken überhaupt gibt. Und auch IT-Experte Rieck wundert sich, dass sich das Misstrauen allein gegen chinesische Unternehmen richtet.
"Das 5G-Netz mag jetzt komplexer sein und jetzt spielt hier vielleicht ein chinesischer Anbieter eine wichtige Rolle. Aber das Grundproblem, dass wir unheimlich viel Software und Hardware haben, von der wir nicht wissen, was sie eigentlich tut, wenn es um die Sicherheit geht, das war schon vorher so. Persönlich finde ich, man könnte durchaus auch bei anderen Herstellern fragen, ob das da alles so in Ordnung ist. Und die Snowden-Dokumente belegen in erster Linie, dass die Vereinigten Staaten ja massiv alle anderen Länder abhören."
Fazit: Ein Restrisiko bleibt, absolute Sicherheit wird es nicht geben. Und es ist letztlich eine politische Frage, ob man den chinesischen Technologiekonzern Huawei für vertrauenswürdig genug hält, europäische Funknetze auszurüsten.
"Das 5G-Netz mag jetzt komplexer sein und jetzt spielt hier vielleicht ein chinesischer Anbieter eine wichtige Rolle. Aber das Grundproblem, dass wir unheimlich viel Software und Hardware haben, von der wir nicht wissen, was sie eigentlich tut, wenn es um die Sicherheit geht, das war schon vorher so. Persönlich finde ich, man könnte durchaus auch bei anderen Herstellern fragen, ob das da alles so in Ordnung ist. Und die Snowden-Dokumente belegen in erster Linie, dass die Vereinigten Staaten ja massiv alle anderen Länder abhören."
Fazit: Ein Restrisiko bleibt, absolute Sicherheit wird es nicht geben. Und es ist letztlich eine politische Frage, ob man den chinesischen Technologiekonzern Huawei für vertrauenswürdig genug hält, europäische Funknetze auszurüsten.
