Mittlerweile haben wir kein Quartal mehr, in dem wir nicht über HUAWEI und den Ausschluss aus dem 5G Netzaufbau oder mögliche Wirtschaftsfolgen berichten. Doch der Kern, die Frage ob HUAWEI tatsächlich so gefährlich sein soll, wie es nicht nur von der bundesdeutschen IT-Sicherheitspolitik dargestellt wird ist bis heute nicht vollständig beantwortet.
Der Chaos Computer Club (CCC) sieht die Diskussionen um chinesische 5G-Ausrüster als „völlig lächerlich und fehlgeleitet“ an. Das und vieles mehr erklärt der CCC in einer Sachverständigenauskunft als Teil der Gespräche zum Gesetzesentwurf des neuen IT-Sicherheitsgesetz diese Woche. Er geht sogar noch etwas weiter und diskreditiert die Aktion als „ein herausragendes Beispiel für Hilfslosigkeit, Strategielosigkeit und Ahnungslosigkeit der bundesdeutschen IT-Sicherheitspolitik“. Grundlegend werden hier vom CCC die Antworten auf die Frage nach einem möglichen Schaden eines nicht vertrauenswürdigen Ausrüsters im Mobilfunk/Festnetz dargestellt.
Die Bereitstellung von Schwachstellen könnte durch alle Hersteller erfolgen, dabei ist es egal ob es HUAWEI, ZTE, Nokia oder Ericsson ist, das Resultat wäre hierbei immer das gleiche die Beeinträchtigung der Services, Integrität oder Vertraulichkeit unseres Kommunikationsnetzes.
Sabotage als offensichtliches Mittel
Eine Sabotage wäre natürlich immer möglich, doch zum einen wäre eine aktiv eingebaute Sabotage als aktiver Angriff angesehen und wird laut CCC „unmittelbar bekannt und ließe sich mit großer Wahrscheinlichkeit“ zurückverfolgen. Resultierend wären die Konsequenzen für den Anbieter mehr als fatal.
Ein Beispiel könnte hier das Umlenken von Verbindungen sein, welches allerdings zwingend einen „Breitbandigen Zugang zum manipulierten Ziel-Netz“ voraussetzen würde, und solch einen Zugang zu verstecken ist nahezu unmöglich, beziehungsweise relativ einfach durch die Provider zu blockieren. Dieser Weg besteht für die Netzwerkbetreiber, „da relevante Teile der kritischen Kommunikationsinfrastruktur nicht ungehindert über das Internet administrativ erreichbar sind“.
Ein ausdrücklich durch den CCC genanntes Szenario wird durch die neue Gesetzeslage ausdrücklich ignoriert. Genauer gesagt geht es um die Verschlüsselung auf der Luftschnitstelle, oder auch „abhören“ der Netzwerkverbindungen welches die Vertraulichkeit der Daten untergräbt. „Dieses wahrscheinlichste Angriffsszenario wird jedoch durch den vorliegenden Gesetzesvorschlag explizit ignoriert, indem nur Verfügbarkeit und Integrität als Schutzziele genannt“ werden.
Laut golem könnte dies daran liegen, dass der Auslandsgeheimdienst in Deutschland (BND) mit dem aktuellen Entwurf des BND-Gesetzes ausdrücklich zu Angriffen auf die Vertraulichkeit der Kommunikationsnetze ermächtigt wird.
Sicherheitsprüfung als Zukunft!
Der CCC stellt sogar einen Lösungsvorschlag zur Verfügung, hierbei pocht er auf eine Sicherheitsprüfung, nicht auf einen Herkunftscheck, welcher Firmen in „Boxen“ sortiert. Genauer gesagt sollte man sich auf „tatsächliche und prüfbare technische Sicherheit und Sicherbarkeit“ der Produkte konzentrieren. Sprich ein Anbieter sollte hierbei unabhängig seines Herkunftslandes eben nur dann zugelassen werden, „wenn sichergestellt ist, dass das tatsächlich im Einsatz befindliche System auditiert werden kann“.
Mit weitergehenden und fortlaufenden Prüfungen und Sicherheits-Audits aller Systeme könnten Netzanbieter sogar eine weitergehende Sicherheit ihrer Systeme erreichen. Ebenso sollte hier die Grundvoraussetzung geschaffen werden Anomalien automatisiert zu erkennen, umso früh in aktive Geschehen eingreifen zu können und eventuelle Probleme direkt im Kern zu ersticken.
Der CCC hält es, nach einem Bericht des Handelsblatts, für sehr wahrscheinlich, dass die Bundesregierung Beweise gegen HUAWEI vorliegen, welche sie allerdings nutzt. Laut Handelsblatt gäbe es im Außenministerium nachrichtendienstliche Informationen aus den USA von Mitte Dezember 2019 welche eine Zusammenarbeit HUAWEI’s mit der Chinesischen Regierung nachweist. Laut einer Gemeinsamen Recherche von WDR, NDR und Süddeutscher Zeitung aus Februar 2020 sind die deutschen Sicherheitsbehörden von den Hinweisen allerdings nicht überzeugt und betitelten diese am Rande der Sicherheitskonferenz 2020 sogar teilweise als „Propaganda“.
Offenlegung sämtlicher bekannter Sicherheitslücken gegen HUAWEI durch BSI
Der CCC fordert die Bundesregierung auf: „Wenn die Bundesregierung Beweise für mangelnde Vertrauenswürdigkeit einer Herstellerin vorliegen, so möge sie diese der Öffentlichkeit präsentieren und daraus Konsequenzen ziehen.“
Resultierend daraus könnte man sagen, ja es gibt vielleicht „Beweise“, die IT-Sicherheitspolitik in Deutschland vertraut diesen allerdings nicht und versucht nun in kompletter nichtsahnender Art und Weise Aktionismus zu betreiben. Das wir da allerdings auch andere Bereiche betreten und Firmen in „Boxen“ einordnen wird hier nicht gesehen. Der Vorschlag des CCC zur Sicherheitsprüfung über zu gehen sollte hier der einzig richtige zu sein. So handhabt es Deutschland übrigens schon seit etlichen Jahren – für etliche Produkte im häuslichen Gebrauch. Diese Sicherheitsüberprüfung nennt man hier dann z.B. TÜV Zertifiziert oder CE, oder wie man es auch nennen mag. Der Mechanismus ist also bekannt, und die Frage hier wäre dann eigentlich nur – Wieso weiterhin auf den Herkunftscheck basieren.
Was haltet ihr davon? Was haltet ihr von den Vorschlägen des CCC?
via golem, Handelsblatt, WDR/NDR/Süddeutsche Zeitung
Huawei war/ist Marktführer bei 5G-Technik.
Huawei verkaufte sich besser als Apple.
Ich denke, DAS waren die „Unsicherheiten“ in Bezug auf Huawei.
Blöd nur, dass Biden den Handelsstreit mit China eher erweitert als zurücknimmt. Überhaupt scheint Biden einen deutlich härteren Außenpolitik-Kurs zu fahren als sein Vorgänger.
Vielen Dank für diesen realen Bericht. Ich finde auch das wir genug Technik haben um zu prüfen ob Huawei unsicher ist ( ich glaube nicht) Das war nur eine nicht bewiesene Aussage von einem kranken Herrn Trump für die er nie Beweise geliefert hat.