Der neue Katalog von Sicherheitsanforderungen an Telekommunikationsnetze, den die Bundesnetzagentur am Dienstag veröffentlicht hat, integriert alle Punkte, die die EU-Kommission im Februar 2020 in ihren damaligen Sicherheitsempfehlungen vorgegeben hatte. An den Ausschluss bestimmter Anbieter will die Bundesnetzagentur nach wie vor nicht ran.

Vielmehr warnt die Agentur im Ausschlussfalle sogar vor einer dann denkbaren Abhängigkeit von einzelnen Firmen. Stattdessen sollten die Netze möglichst divers, also mit Komponenten unterschiedlicher Hersteller aufgebaut werden. Dabei gelte es allerdings, strenge Sicherheitsanforderungen einzuhalten.

In ihrem am Dienstag gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesdatenschutzbeauftragten erstellten Entwurf für einen neuen Sicherheitskatalog sieht die Bundesnetzagentur die Zertifizierung kritischer Komponenten als eine der wesentlichen Voraussetzungen für einen sicheren Netzbetrieb. Zudem sollen Hersteller und Systemlieferanten verpflichtend Vertrauenswürdigkeitserklärungen abgeben müssen.

Überdies sollen die Unternehmen verpflichtet werden, sicherzustellen, dass vertrauliche Informationen von ihren Kunden nicht „auf eigene Veranlassung oder Veranlassung Dritter in das Ausland gelangen oder ausländischen Stellen im Inland zur Kenntnis gelangen“. Bei Verstößen gegen diese Erklärungen sollen Vertragsstrafen fällig werden.

Den wichtigsten Aspekt bei der Planung und dem Aufbau der Netze sieht die Bundesnetzagentur in der Vermeidung von Monokulturen. Vielmehr sollen kritische Netz- und Systemkomponenten von unterschiedlichen Herstellern zum Einsatz kommen. „Insbesondere kritische Netzfunktionen und Netzelemente sollten aufgrund der realisierten Netztopologie nicht von einem einzelnen Anbieter kritischer Komponenten abhängig sein“, so die Verfasser.

Dabei will der BSI-Präsident Arne Schönbohm jedoch das Maß gewahrt wissen. Für ihn geht es nicht um Sicherheit um jeden Preis. Nach seiner Auffassung stellt der Mobilfunkstandard 5G „eine wesentliche technologische Basis für eine erfolgreiche Digitalisierung“ dar. Dabei bedürfe es eines „ausgewogenen Maßes an Informationssicherheit als Teil eines umfassenden Risikomanagements“. Exakt das wolle der neue Sicherheitskatalog leisten, so Schönbohm.

Laut Wilhelm Eschweiler, Vizepräsident der Bundesnetzagentur müsse es darum gehen, „die Integrität von Informations- und Kommunikationssystemen gegen Bedrohungen zu schützen und höchste Sicherheitsstandards zu etablieren.“ Dabei sollten „kritische Funktionen für Telekommunikationsnetze und -dienste einen besonders hohen Schutz aufweisen“.

Dem neuen Sicherheitskatalog kommt vor allem wegen eines Namens eine erhöhte Bedeutung zu: Huawei. Die Beteiligung des chinesischen Herstellers Huawei am Aufbau der Netze für den neuen Mobilfunkstandard 5G ist inzwischen weltweit umstritten. Dabei ist Huawei einer der weltweit größten Telekommunikationsausrüster und führend bei der 5G-Technologie.

Ausgehend von den USA, die Huawei Spionagetätigkeit für die chinesischen Regierung vorwerfen, sind immer mehr Länder dabei, den chinesischen Konzern vom Aufbau ihrer 5G-Mobilfunknetze auszuschließen. Zuletzt hatte Großbritannien angekündigt, seinen Mobilfunkanbietern ab Ende dieses Jahres den Kauf von Huawei-Technik für den 5G-Ausbau zu untersagen. Überdies sollen alle bereits verbauten Komponenten bis 2027 aus dem Netz entfernt werden.

Huawei bestreitet die Vorwürfe konsequent und mit großer Vehemenz und erhält dabei auch einige Zustimmung. So bekräftigte vergangenen Monat Jochen Homann, Präsident der Bundesnetzagentur, gegenüber der Frankfurter Allgemeinen Zeitung, dass es keinen Grund gebe, Huawei von vornherein auszuschließen. Vielmehr seien alle Vorkehrungen getroffen worden, dass „nur vertrauenswürdige Technik verbaut wird“. Ebenso hatten die Vereinigten Arabischen Emirate schon im Herbst 2019 erklärt, die Huawei-Technik im Labor untersucht zu haben, ohne dabei Sicherheitslücken zu finden. Die Deutsche Telekom hatte sich ebenfalls festgelegt und zumindest einen unbemerkten Datenzugriff durch Huawei für unmöglich erklärt.

Der Entwurf für den Sicherheitskatalog wird nun der EU-Kommission zur Notifizierung vorgelegt. Erst nach dem Abschluss dieses Verfahrens wird er verbindlich.

Passend dazu:

• 5G: Huawei-Verbot in Deutschland praktisch ausgeschlossen
• Ab 2028: Frankreich könnte Huawei de facto doch von 5G-Infrastruktur ausschließen
• FCC erklärt Huawei und ZTE zum Sicherheitsrisiko
• Großbritannien schließt Huawei vom Ausbau seines 5G-Netzes aus
• 5G-Netzausbau: Bundesregierung soll Beweise gegen Huawei haben