Archiv

IT-Sicherheitsgesetz 2.0
Streit um die "Lex Huawei"

Mit einem neuen IT-Sicherheitsgesetz will die Große Koalition mehrere Digital-Baustellen aufräumen. Kritiker halten jedoch den Entwurf selbst für eine Baustelle. Wichtige Fragen würden nicht beantwortet. Zum Beispiel die, ob Deutschland dem chinesischen Konzern Huawei beim 5G-Netzausbau vertrauen kann.

Von Johannes Kuhn |
a woman with cell phone walks pass the German telecom 5G network ad in Cologne, Germany on July 15, 2020. (Photo by Ying Tang/NurPhoto)
Soll Deutschland beim 5G-Netzausbau auf chinesische Technologie vertrauen? Diese Frage hat die Große Koalition bislang nicht beantwortet. (picture alliance / NurPhoto | Ying Tang)
Die Huawei-Frage beschäftigte in diesem Jahr Europa – auch die Medien quer über den Kontinent. Soll der chinesische Netzwerk-Ausrüster beim Ausbau der europäischen 5G-Mobilfunknetze eine Rolle spielen? Oder ist die Nähe zum chinesischen Staat ein Sicherheitsrisiko?
Einige europäische Regierungen haben Huawei bereits ausgeschlossen. Die Bundesregierung entschied sich kurz vor Weihnachten: und zwar für einen bürokratischen Prozess mit vermeintlich offenem Ausgang.
"Es wird zunächst mal einen Austausch auf Arbeitsebene zwischen den beteiligten Ressorts geben. Und wenn es auf Arbeitsebene keine Verständigung gibt, dann findet sozusagen die Eskalation bis auf die politische Ebene statt", so ein Sprecher des Bundesinnenministeriums.

Prüfung der Vertrauenswürdigkeit vorgesehen

Festgelegt ist das Ganze im IT-Sicherheitsgesetz 2.0, einer Fortsetzung des IT-Sicherheitsgesetzes von 2015. Innenministerium, Außenministerium, Wirtschaftsministerium und Kanzleramt können sich demnach gemeinsam darauf verständigen, einen Hersteller auszuschließen, weil sie ihn für nicht vertrauenswürdig halten. Huawei ist nicht genannt. Aber gemeint.
Falko Mohrs, 5G-Berichterstatter der SPD-Bundestagsfraktion, sieht darin einen Erfolg: Denn es geht immerhin um das Mobilfunknetz der Zukunft, das gerade für Industrieanwendungen höchst relevant wird. Ursprünglich war vorgesehen, es bei einer technischen Prüfung zu belassen: Mobilfunknetz-Betreiber wie die Telekom müssen die 5G-Bauteile zur Zertifizierung vorlegen, die Hersteller müssen eine Garantieerklärung abgeben, vertrauenswürdig zu sein.
Um Spionage oder Sabotage auszuschließen, genüge das nicht, so Mohrs: "Dass wir eben diese Vertrauenswürdigkeitsprüfung haben, dass wir eben auch zum Beispiel mit Erkenntnissen der Sicherheitsdienste, des Bundesnachrichtendienstes arbeiten, um im Vorfeld zu schauen, ob wir einen Hersteller für problematisch ansehen: Das ist wirklich dem parlamentarischen Druck zu verdanken. Hier hat vor allem die SPD und Teile der CDU deutlich gemacht, dass wir eben keinen Kompromiss bei der Sicherheit zulassen wollen."
Mobilfunk-Antennen für den 5G-Ausbau in Deutschland
Mobilfunk ohne chinesische Komponenten?
Deutsche Mobilfunkanbieter rüsten ihre Netze für 5G – und setzen dabei auf die Technik von Huawei. Ob die wirklich zum Einsatz kommen darf, hängt von der Politik ab. Mit dem geplanten IT-Sicherheitsgesetz könnten Lieferanten ausgeschlossen werden.

Koalition nach wie vor gespalten

Gerade Außen- und Sicherheitspolitiker hatten gegen Huawei mobilgemacht. Doch auch die US-amerikanische Trump-Regierung hatte Druck auf ihre Verbündeten ausgeübt, Huawei zu blockieren. Verändert hat sich an den unterschiedlichen Haltungen innerhalb der Bundesregierung allerdings nichts, obwohl die Huawei-Frage seit fast anderthalb Jahren diskutiert wird: Das SPD-geführte Außenministerium will Komponenten chinesischer Hersteller nicht mehr in deutschen Netzen verbaut sehen. Das CDU-geführte Wirtschaftsministerium und das Kanzleramt sehen einen Ausschluss dagegen kritisch: Sie haben dabei die Handelsbeziehungen zu China im Blick, stehen aber auch unter dem Druck der deutschen Mobilfunkanbieter. Die würden für den 5G-Ausbau gerne Huaweis Komponenten einkaufen, weil diese billiger sind als die Produkte der Konkurrenz.
Das IT-Sicherheitsgesetz 2.0, das die Regierung diese Woche auf den Weg gebracht hat, beantwortet die Huawei-Frage allerdings nicht, sondern verlagert sie nur in einen politischen Prozess. Grünen-Innenpolitiker Konstantin von Notz: "Das Problem an dem, was die Große Koalition jetzt gemacht hat ist, dass sie im Grunde die Entscheidung vertagt hat auf nach der Bundestagswahl. Sie hat eben die Klarheit nicht geschaffen der Kriterien, sondern jetzt relativ vernebelt diese Interessengemengelage zwischen der deutschen Telekommunikationswirtschaft und denen, die recht kritisch nach China gucken."
Martin Schallbruch war bis 2016 selbst Abteilungsleiter für Informationstechnik im Bundesinnenministerium. Er bilanziert: "Die nicht gelungene politische Einigung in der Bundesregierung, ob man Huawei ausschließt oder nicht ausschließt, die wird jetzt vertagt in diesen komplizierten Prozess rein, man lässt die zertifizieren, machen und tun. Und am Ende entscheiden die Ministerien dann doch wieder miteinander über die Frage: Halten wir das Unternehmen Huawei für vertrauenswürdig genug?"

Mehr vom Internet der Dinge, heißt mehr Einfallstore

Das 5G-Netz ist in einigen Aspekten sicherer als das aktuelle Mobilfunknetz. In anderen nicht: Als Basis für vernetzte Produktionsanlagen oder autonomes Fahren wird es schlicht mit sehr viel mehr Dingen verbunden sein, bei denen Spionage oder Sabotage weitreichende Folgen hätten.
5G ist auch der erste Mobilfunkstandard, der die meisten Kernfunktionen über Software abwickelt. Das bedeutet, dass sich Geheimfunktionen oder Hintertüren theoretisch bei jedem Software-Update einbauen ließen.
Jan-Peter Kleinhans, der bei der Stiftung Neue Verantwortung zur 5G-Sicherheit forscht, kommt zu dem Fazit: "Natürlich ist es technisch möglich, über eine Basisstation, über das Kernnetzwerk ein Netzwerk zu sabotieren. Oder Teilnehmer in einem Netzwerk auszuspionieren. Das ist gar keine Frage."
Dass dies möglich ist, heißt aber noch nicht, dass es auch realistisch ist. Genau deshalb sei auch die Vertrauensprüfung so brisant, sagt Kleinhans: Die Bundesregierung urteile de facto nicht über Huawei, sondern über ihr Verhältnis zu China insgesamt.
Jan-Peter Kleinhans: "Dadurch entsteht dann das Spannungsverhältnis: Dass ich nicht mehr nur Huawei vertrauen muss, sondern ich muss eben auch der Kommunistischen Partei Chinas vertrauen, dass sie ihre Macht und letztlich die Hersteller nicht ausnutzt, um fremde Netze zu kompromittieren."
Eine Milchkanne mit der ironischen Aufschrift "Mobilfunk bis an jede Milchkanne"
5G ist wichtig für das sogenannte Internet der Dinge - Milchkannen bleiben aber voraussichtlich bis auf Weiteres offline (picture alliance / dpa / Stefan Sauer)

Verbindung zwischen Huawei und Kommunistischer Partei

Als chinesisches Unternehmen fällt Huawei unter die dortigen nationalen Sicherheitsgesetze. Damit muss es Daten herausgeben, wenn chinesische Behörden dies verlangen. Zudem arbeitet der Konzern in China mit dem dortigen Überwachungsapparat zusammen.
Vor allem aber sei es in China kaum möglich, Großunternehmen und Kommunistische Partei sauber zu trennen, argumentiert Tim Rühlig. Er ist China-Experte vom Swedish Institute of International Affairs in Stockholm. "Es gibt sehr häufig sehr viele enge Verflechtungen: Man kann nicht sagen: Da ist eine Geschäftswelt auf der einen Seite und ein Parteistaat auf der anderen Seite. Man kann zugleich aber in vielen Fällen auch nicht sagen, dass beide die exakt gleiche Agenda haben."
Auf diese Verflechtungen berufen sich Huawei-Kritiker. Sie verweisen zudem darauf, dass China unter Xi Jinping zuletzt außenpolitisch immer aggressiver aufgetreten ist.
Huawei selbst wiederum betont, vom Staat unabhängig zu sein. Die nationalen Sicherheitsgesetze würden nur innerhalb Chinas gelten, seien also für den 5G-Ausbau im Westen irrelevant. Man selbst erfülle weltweit alle Prüfkriterien. Vor allem aber hätten die Kritiker bislang keinen einzigen Beweis vorgelegt.

Das Beispiel Cisco aus den USA

Auch Anke Domscheit-Berg, Obfrau der Linksfraktion im Digitalausschuss des Bundestags, betrachtet die Debatte mit Skepsis: "Wir haben im Ausschuss ja selbst Vertreter der Geheimdienste befragt: Gibt es jetzt irgendeine neue Erkenntnis, die dazu führt, dass es jetzt auf gar keinen mehr akzeptabel ist, Huawei-Produkte irgendwo einzubauen? Und die Antwort war: Nein, es hat sich nichts geändert."
Domscheit-Berg erinnert daran, dass der amerikanische Netzwerk-Ausrüster Cisco mit den US-Geheimdiensten gemeinsame Sache gemacht hatte. Dass nun ausgerechnet die USA eine Abkehr von Huawei fordern, ist für die Politikerin schlicht Industriepolitik.
"Pauschal misstraut man dem einen System und pauschal vertraut man dem anderen. Obwohl wir gerade bei dem anderen System - und jetzt spreche ich von den USA - nach den Enthüllungen von Edward Snowden ja sehr genau wissen, dass die genau das machen, was man Huawei vorwirft. Nur bei Huawei hat man da keine harten Beweise. Bei den USA haben wir die. Also, ich glaube, wir müssen da harte, objektive Kriterien definieren, die auch extern überprüfbar sind. Und das sehe ich mit diesem Konstrukt im Moment nicht gegeben und kann mir auch gar nicht vorstellen, wie das in der Praxis angewendet werden soll."
Eine Frau in Sicherheitsweste entfernt Schmutz aus einem Wasserbecken in einem Pumpwerk in Nyeri in Kenia, aufgenommen 2012
Hackerangriffe gefährden Wasserversorgung
Mehreren Tests zufolge sind Wasserwerke Hackerangriffen bislang geradezu schutzlos ausgeliefert. Besonders anfällig seien die Bereiche Fernwartung und Pumpsysteme, erklärt Dlf-IT-Experte Peter Welchering.

Gibt es eine technologische Abhängigkeit von China?

Eine immer größere Rolle spielt dabei der Begriff der digitalen Souveränität, also das Ziel technologischer Unabhängigkeit. Mit Ericsson und Nokia hat Europa im 5G-Bereich eigene Netzwerk-Ausrüster.
Der in Stockholm ansässige China-Experte Rühlig argumentiert deshalb: "Ich glaube nicht, dass man für die Netzwerk-Sicherheit viel gewinnt, wenn man Huawei ausschließt. Davon bin ich nach allen Gesprächen mit Technikern überzeugt. Die entscheidende Frage ist, ob wir uns technologisch abhängig machen von China."
Anderswo ist diese Frage beantwortet: Länder wie Großbritannien, Finnland, Frankreich, Italien, Schweden wollen Huawei auf unterschiedliche Weise ausschließen - ob durch explizite politische Entscheidungen, hohe bürokratische Auflagen oder informelle Empfehlungen an die Mobilfunkanbieter.
Hierzulande sind am Ende viele Ergebnisse möglich: ein Huawei-Ausschluss durch die nächste Bundesregierung, ein freiwilliger Verzicht der Mobilfunkbetreiber, eine Zulassung von Huawei-Komponenten für die Netzwerk-Teile, die als weniger kritisch gelten.
Der FDP-Netzpolitiker Manuel Höferlin bringt ins Spiel, die Technik von Huawei zu lizensieren, die Komponenten aber von anderen Herstellern bauen zu lassen. "Ganz offen gesprochen: Möglicherweise sind das auch dann Lizenzprodukte von Patenten von Huawei, das ist ja in dem Markt nichts Ungewöhnliches. Und das ist ja auch gar nicht der entscheidende Punkt: Die Huawei-Technologie in den 5G-Netzen ist nicht das kritische, sondern das Unternehmen, das diese Technologie liefert und die Updates dafür bereitstellt: Das ist möglicherweise das, was dazu führt, dass man kein Vertrauen in das System hat."

"Zusammenkopiertes Sammelsurium"

Wenn der Bundestag Anfang 2021 über das IT-Sicherheitsgesetz 2.0 diskutiert, wird die Huawei-Frage den größten Raum einnehmen. Dabei sind viele IT-Sicherheitsexperten der Meinung, dass der Rest des Mammutwerks mit seinen insgesamt 118 Seiten sogar mehr Aufmerksamkeit verdient hätte. Vor allem, weil der Entwurf ziemlich viele Schwachstellen aufweise.
So urteilt Johannes Rundfeldt von der unabhängigen Arbeitsgemeinschaft AG Kritis über das neue IT-Sicherheitsgesetz: "Das Ganze hat keine klare Zielrichtung und ist eher ein Sammelsurium aus verschiedenen Gesetzesvorhaben, die man da zusammenkopiert hat."
Der Kern des Gesetzes soll eine Einrichtung stärken, die landauf, landab großes Ansehen genießt: das Bundesamt für die Sicherheit in der Informationstechnik, kurz BSI. Die Aufgabe der Bonner Behörde bestand bislang darin, die IT-Systeme des Bundes zu schützen, Verbraucher vor Computer-Schwachstellen zu warnen oder die IT-Sicherheitsmaßnahmen essentieller Einrichtungen zu überprüfen.

Aufrüstung des BSI zur mächtigen Cyber-Behörde

Nun soll das BSI mit etwa 800 neuen Stellen zu einer mächtigen Cyber-Behörde aufgerüstet werden. Und sich dabei um eine ganze Reihe neuer Felder kümmern: Das BSI erhält Aufsichtsbefugnisse über weitere Branchen, kann künftig auch aktiv nach Schwachstellen suchen - und soll ganz nebenbei auch ein Verbrauchersiegel entwickeln.
Das sei kein Fortschritt, befürchtet Martin Schallbruch, der ehemalige Abteilungsleiter Informationstechnik im Bundesinnenministerium. Vielmehr werde das BSI überfordert, "indem das Amt für jede Frage der IT-Sicherheit eine Zuständigkeit hat und sich im Grunde zu jeder Frage eine Meinung bilden muss. Also jedes Produkt untersuchen kann, was auf dem Markt ist. Server im Internet scannen kann. Alle möglichen Unternehmen überwacht."
Bislang kümmert sich das BSI im Kern um so genannte KRITIS-Unternehmen: also Firmen oder Anlagen, deren Ausfall bei einem Cyber-Angriff die Allgemeinheit schwer treffen würde - zum Beispiel Kliniken, Energieversorger oder Telekom-Provider.
Nun kommen Unternehmen im allgemeinen öffentlichen Interesse dazu: zum Beispiel Rüstungsunternehmen und Chemieunternehmen, aber auch die größten deutschen Konzerne.
Johannes Rundfeldt spricht von einem "Kritis light": "Das geht gegen den Wesensgehalt des Gesetzes: Die Grundidee dahinter war einmal, dass man die Versorgungssicherheit erhöht. Und nicht, dass man dieses Gesetz ausdehnt auf andere Unternehmen, die vielleicht auch einen Schutzbedarf haben oder ihre IT-Sicherheit verbessern sollten. Wenn man das möchte, dann muss man für diese Unternehmen und Branchen eigene Gesetze schaffen mit einem konkret festgelegten Ziel."

Doppelstrukturen bedeuten mehr Bürokratie

Martin Schallbruch hält es für richtig, dass das BSI nun auch andere Branchen in den Blick nimmt. Allerdings warnt er: Der bürokratische Aufwand für die Unternehmen wachse, weil sie bei der IT-Sicherheit nun unter immer mehr Aufsichtsregimen stehen: "Also, wenn sie Hersteller sind, meinetwegen von Fahrzeugen, dann haben sie rechtliche Regelungen für die Cybersicherheit von Fahrzeugen, die jetzt gerade entwickelt werden. Sie haben die rechtlichen Regelungen aus der Datenschutzgrundverordnung, wo auch IT-Sicherheitsanforderungen drin sind. Und sie haben die Regeln des IT-Sicherheitsrechts, die jetzt auch neu geschaffen werden. Also sie haben drei verschiedene Regeln, und am Ende betrifft es die gleichen IT-Systeme und die gleichen Abläufe im Unternehmen."
Solche Doppelstrukturen monieren Kritiker an den verschiedenen Stellen. So soll das BSI zum Beispiel ein freiwilliges IT-Sicherheitskennzeichen auf Produkten einführen. Ein deutscher Sonderweg, denn parallel bereitet die EU ein europaweites Siegel vor, so der IT-Rechtswissenschaftler Dennis-Kenji Kipker: "Das bedeutet natürlich auch irgendwo eine Kollision: Unternehmen wissen nicht, wie sie mit diesen Regelungen umgehen sollen. Verbraucher sehen sich einer immer größeren Vielzahl an Gütesiegeln ausgesetzt, und das ist etwas, was ich persönlich nicht nachvollziehen kann."

Agiert das BSI auch als Geheimdienst-Zulieferer?

Mit dem neuen IT-Sicherheitsgesetz verabschiedet sich das BSI, das sich im aktuellen Gesetzesprozess nicht äußern will, auch von seiner bislang reaktiven Rolle. So darf es künftig nicht nur Sicherheitslücken untersuchen, sondern mit Hilfe so genannter Portscans auch aktiv nach ihnen fahnden - prinzipiell eine Hacking-Methode.
Außerdem darf es digitale Fallen für Hacker und Schadsoftware-Angriffe aufstellen, um diese Bedrohung besser analysieren zu können. Solche Werkzeuge gehören zur Grundausstattung von IT-Sicherheitsforschern. Deutlich umstrittener ist, dass das BSI nun Informationen über Sicherheitslücken zurückhalten kann. Und das selbst gegenüber Unternehmen, bei denen diese Lücken bestehen.
Das ist vorgesehen, wenn - so wörtlich - überwiegende Sicherheitsinteressen dem entgegenstehen. Was genau das bedeutet, ist offen. Digitalausschuss-Obfrau Anke Domscheit-Berg erinnert allerdings daran, dass das BSI dem Bundesinnenministerium, kurz BMI, untersteht: "Das BMI hat Weisungsbefugnis und kann zum Beispiel auch sagen: 'Liebes BSI, du hast doch da so coole Sicherheitslücken gefunden, gib mal rüber, meine Geheimdienste, die mir auch nachgeordnet sind, die hätten das gern.' Das steht an keiner Stelle im Gesetz, dass das nicht erlaubt ist. Das muss aber so sein, da das BSI eine ganz wichtige Vertrauensfunktion hat bei der IT-Sicherheit."
Forderungen, das BSI deshalb zu einer vom Bundesinnenministerium weisungsunabhängigen Bundesbehörde zu machen, verhallen bislang. In der Praxis entwickelt sich die Bonner Behörde in eine andere Richtung: So darf das BSI Telekom und Co. anweisen, problematischen Datenverkehr umzuleiten oder Schadsoftware-Server abzuschalten. Dies seien eigentlich Polizeiaufgaben, sagt Martin Schallbruch; in den USA kümmere sich zum Beispiel das FBI darum.
Das Foto zeigt die Platine eines Computers.
IT-Sicherheit und das Präventionsparadox
Wenn Unternehmen und Organisationen ihre IT-Sicherheit vernachlässigen, setzten sie ihre Daten und im schlimmsten Fall die eigene Existenz aufs Spiel, kommentiert Johannes Kuhn. Noch immer leide IT-Sicherheit unter Unterfinanzierung und Unterbesetzung.

Gefahrenabwehr ist eigentlich Ländersache

Die Cyber-Gefahrenabwehr in die Hände des BSI zu legen, werfe zudem verfassungsrechtliche Fragen auf: Denn die Gefahrenabwehr ist zunächst einmal Ländersache.
Martin Schallbruch: "Und ich halte auch das Risiko für gegeben, dass zum Beispiel das Bundesverfassungsgericht sagt: 'Also, Gefahrenabwehr ist Sache der Länder, wenn du Bund das machen möchtest, dann muss das Grundgesetz dafür geändert werden.'"
Ein stärkeres BSI, aber eben auch eine andere Ausrichtung - FDP-Politiker Manuel Höferlin sieht darin deutliche Signale: "Die Befugnisse des BSI, das läuft natürlich schon sehr stark darauf hinaus, dass das BSI möglicherweise sich zu einer weiteren Sicherheitsbehörde mit Eingriffsbefugnissen entwickeln könnte. Sicherheit herzustellen durch das Melden und Schließen von Sicherheitslücken - das wäre die eigentliche Kernaufgabe."
Während das Bundesinnenministerium von einem großen Durchbruch spricht, ist das fachliche Echo auf das IT-Sicherheitsgesetz deshalb ernüchternd. Viele Fehler hätten vermieden werden können, aber es habe wenig Austausch gegeben - obwohl der erste Entwurf bereits im März 2019 vorlag.

Verbände beklagen kurze Frist zur Stellungnahme

Für Unmut sorgt nicht zuletzt, dass das Bundesinnenministerium im Dezember in kurzem Abstand mehrere Entwürfe veröffentlichte - und den Verbänden nur enorm kurze Fristen zur Stellungnahme ließ, wie Sebastian Artz vom IT-Branchenverband Bitkom berichtet:
"Wir reden seit 2018 dann auch über das IT-Sicherheitsgesetz. Und dass es dann in so kurzen Zeitabständen neue Entwürfe mit signifikanten Änderungen gab, ohne dass der unmittelbar betroffenen Wirtschaft, aber eben auch der Zivilgesellschaft die Zeit gegeben wurde, das kann ich dann an dem Beispiel festmachen, dass der letzte Referentenentwurf, der kommuniziert wurde, dann auch wirklich in 27 Stunden kommentiert werden sollte."

Keine Auswertung zu bisherigem Gesetz

Und Martin Schallbruch, einst selbst lange Jahre im Innenministerium tätig, analysiert: "Es gibt hier in der Bundesrepublik keinen institutionalisierten Dialog mit den Beteiligten. Es gibt kein Impact Assessment, also was sind die Auswirkungen, welche politischen Optionen habe ich eigentlich? Es gibt wenig Evaluierung von Gesetzen: Das letzte IT-Sicherheitsgesetz wurde nicht evaluiert, obwohl es eigentlich vorgesehen war. Und aus diesem Grunde ist oftmals die Entstehung von Gesetzestexten allein ein Werk der Regierung, der Ministerialverwaltung und hat eben doch eine sehr eingeschränkte Problemsicht."
Große Nachbesserungen am IT-Sicherheitsgesetz sind bei den anstehenden Beratungen im Bundestag allerdings nicht zu erwarten. Denn das Wahljahr bricht an, das Gesetz ist ohnehin bereits im Verzug, und der 5G-Ausbau drängt.