Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Interview mit BSI-Chef Arne Schönbohm 5G-Sicherheitsüberprüfung könnte zum Ausschluss von Huawei- und Cisco-Produkten führen

Das Bundesamt für Sicherheit in der IT soll beim 5G-Aufbau prüfen, ob die Komponenten sicher sind. Behördenchef Schönbohm sagt jedoch: „100-prozentige Sicherheit kann es nicht geben.“
1 Kommentar
Besucher stehen vor einem 5G-Logo auf dem Mobile World Congress in Barcelona. Quelle: Bloomberg
5G

Besucher stehen vor einem 5G-Logo auf dem Mobile World Congress in Barcelona.

(Foto: Bloomberg)

BerlinEine Überprüfung von 5G-Produkten könnte zur Folge haben, dass auch Komponenten des chinesischen Netzwerkausrüsters Huawei oder des amerikanischen Anbieters Cisco ausgeschlossen werden. „Natürlich könnten wir zu dem Schluss kommen, dass manche Produkte nicht sicher genug sind“, sagte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), dem Handelsblatt. Es gehe aber nicht darum, Unternehmen auszuschließen. „Es geht darum, dass wir ein möglichst hohes Sicherheitsniveau für die Komponenten und damit auch für das 5G-Netz selbst haben.“

Das BSI soll nach den Plänen der Bundesregierung Equipment für den Aufbau des superschnellen Mobilfunknetzes vor dessen Einsatz einer Sicherheitsprüfung unterziehen. Schönbohm räumte ein, dass es hundertprozentige Sicherheit im 5G-Netz nicht geben könne. „Sie wäre nur gewährleistet, wenn man das 5G-Netz nicht ausbaut.“ Es gehe nun vielmehr darum, zu überlegen, „welche Risiken wir bereit sind einzugehen, welche nicht und wie wir bestehende Risiken mit geeigneten Maßnahmen minimieren können“.

Risiken sieht Schönbohm im Abgreifen von Informationen, also Wirtschaftsspionage. „Da geht es aber auch um Sabotage, also das ,Lahmlegen' von Netzen“, sagte er. Schönbohm glaubt jedoch, dass das Risiko des Datenabflusses beherrschbar ist. „Im Bereich der Spionage sind wir sicher, dass wir mit einer Ende-zu-Ende-Verschlüsselung ein hohes Schutzniveau erreichen“, sagte er. „Wir glauben, dass wir so gewährleisten können, dass ein flächendeckender Datenabfluss nicht geschehen wird.“ Eine Vertrauenserklärung, wie sie der chinesische Netzwerkausrüster Huawei dem Bundesinnenministerium angeboten hatte, hält er für eine „gute Maßnahme“.

Lesen Sie hier das gesamte Interview:

Herr Schönbohm, das BSI soll sicherstellen, dass die Komponenten im 5G-Netz sicher sind, und sie zertifizieren. Trauen Sie sich das zu?
Ja, das trauen wir uns zu. Die Zertifizierung ist seit vielen Jahren wesentlicher Bestandteil unseres Angebots. Es gibt weltweit keine Behörde, die mehr Sicherheitszertifikate ausgestellt hat als das BSI. Das sind besondere Erfahrungen, die uns bei dieser Aufgabe nützen werden.

Wie soll diese Überprüfung konkret aussehen?
Das wird derzeit erarbeitet. Auf der einen Seite legen wir zusammen mit der Bundesnetzagentur die Sicherheitskriterien für Produkte fest, die im 5G-Netz eingesetzt werden sollen. Zudem schauen wir, welche Komponenten besonders sicherheitsrelevant sind und welche weniger.

Schönbohm ist seit Februar 2016 BSI-Chef. Quelle: imago images / Reiner Zensen
Arne Schönbohm

Schönbohm ist seit Februar 2016 BSI-Chef.

(Foto: imago images / Reiner Zensen)

Was genau könnten die Kriterien sein?
Die Zertifizierung wird wie eine Art Gesundheitscheck funktionieren. Der Hersteller von Netzinfrastrukturtechnik mag sagen, dass er gesund ist, aber wir überprüfen das. Da geht es etwa darum, wie Updates funktionieren oder wie die Daten verschlüsselt werden, die über die Netze geschickt werden. Eine Frage wird auch sein, wer wo und wie welche Zugriffe hat. Das heißt, wie konkret die mit dem BSI abgestimmte Sicherheitsarchitektur der Netzbetreiber aussieht. 

Sind denn hundert Prozent Sicherheit überhaupt möglich? In Großbritannien gibt es eine Sicherheitsbehörde, die seit vielen Jahren gezielt Huawei-Produkte untersucht. Und die sagen: Wir können die Sicherheit nicht garantieren.
Hundertprozentige Sicherheit kann es wie überall auch im 5G-Netz nicht geben. Sie wäre nur gewährleistet, wenn man das 5G-Netz nicht ausbaut. Wenn man das mit dem Straßenverkehr vergleicht, ist das, als ob man sagen würde: Ich will eine hundertprozentige Sicherheit, dass ich keinen Autounfall haben werde. Das erreicht man nur, wenn man das Haus gar nicht erst verlässt. Das heißt, es geht nun vielmehr darum, zu überlegen, welche Risiken wir bereit sind einzugehen, welche nicht und wie wir bestehende Risiken mit geeigneten Maßnahmen minimieren können. 

Welche Risiken sind das beim 5G-Netz?
Da geht es etwa um das Abgreifen von Informationen, also Wirtschaftsspionage. Da geht es aber auch um Sabotage, also das „Lahmlegen“ von Netzen.

Wie steht es in den Bereichen mit der IT-Sicherheit?
Im Bereich der Spionage sind wir sicher, dass wir mit einer Ende-zu-Ende-Verschlüsselung ein hohes Schutzniveau erreichen. Wir glauben, dass wir so gewährleisten können, dass ein flächendeckender Datenabfluss nicht geschehen wird. Wir sind mit unseren Kollegen zum Beispiel aus Großbritannien in regem Austausch, von dort stammt auch die Idee, dass Huawei ein IT-Sicherheitslabor in Deutschland eröffnet, in dem wir Einsicht in die Produkte bekommen. Wir würden uns das auch von anderen Herstellern wünschen.

Könnte denn am Ende einer solchen Überprüfung stehen, dass einzelne Anbieter wie Cisco oder Huawei vom Ausbau des 5G-Netzes ausgeschlossen werden, weil ihre Produkte zu unsicher sind?
Ja, natürlich könnten wir zu dem Schluss kommen, dass manche Produkte nicht sicher genug sind. Es geht nicht darum, Unternehmen auszuschließen. Es geht darum, dass wir ein möglichst hohes Sicherheitsniveau für die Komponenten und damit auch für das 5G-Netz selbst haben. 

Das eine ist die technische Sicherheit. Das andere ist die Gefahr, die laut Ansicht von Experten von Anbietern wie Huawei ausgeht, weil sie enger mit dem Staat verbunden sind als europäische Unternehmen. Huawei hat jüngst dem Bundesinnenministerium angeboten, „jedwede Vertrauenswürdigkeitserklärung“ zu unterschreiben, um zu zeigen, dass seine Produkte sicher sind. Was müsste denn da drinstehen, damit Sie sagen, das ist ausreichend?
Solche Abkommen zwischen zwei Ländern mögen ein gutes Instrument sein. Das BSI ist jedoch auf der technischen Ebene unterwegs. Mir geht es darum, dass wir unabhängig von dem, was erklärt wird, eine technische Prüfung machen und dadurch das Sicherheitsrisiko so weit wie möglich reduzieren – dass etwa eine Fremdsteuerung der deutschen Netze nicht möglich ist und nur sicherheitsüberprüftes Personal eingesetzt wird. 

Also wäre eine Vertrauenswürdigkeitserklärung wertlos, wenn sie von Huawei und nicht vom chinesischen Staat kommt?
Nein. Ich glaube, es wäre eine gute Maßnahme. Der Fokus des BSI liegt aber auf der technischen Ebene. Wir überprüfen, wie qualitativ hochwertig das Produkt in Bezug auf die IT-Sicherheit ist. Das sind aus Sicht des BSI die entscheidenden Themen. Hierfür benötigen wir eine weitgehende Transparenz von den Herstellern. 

Sind Ihnen Vorfälle bekannt, in denen beim Einsatz von Huawei-Equipment Daten abgeflossen sind?
Nein, mir sind keine Vorfälle bekannt. 

Wie bewerten Sie den jüngsten Medienbericht über eine Sicherheitslücke bei Huawei-Routern, die von Vodafone beanstandet wurde, laut dem Bericht aber erst mit Zeitverzögerung geschlossen wurde?
Sicherheitslücken in Routern oder anderen IT-Produkten sind keine Seltenheit. Und mit dem schnellen Schließen von Sicherheitslücken nehmen es auch andere Hersteller leider nicht so genau. Das ist noch kein Beweis dafür, dass die Produkte grundsätzlich ein Risiko darstellen. Entscheidend ist auch, dass sekundäre Maßnahmen stets für einen sicheren Betrieb der Infrastruktur sorgen, bis Lücken geschlossen werden können. 

Wer haftet denn am Ende, wenn doch Daten etwa nach China abfließen?
Das wäre dann eindeutig ein Verstoß gegen die Datenschutz-Grundverordnung. Wer wie haftet, kommt darauf an, ob es ein Fehler war, der wissentlich gemacht worden ist, oder ob es ein Fehler aus Fahrlässigkeit war. Klar ist, dass der Hersteller, der unsere Tests besteht und damit das deutsche 5G-Netz ausrüsten darf, ein deutlich höheres Sicherheitsniveau haben wird, als es bei 4G oder 3G derzeit der Fall ist. 

Warum muss das Niveau erhöht werden?
Das 5G-Netz ist eine der Grundlagen für Industrie 4.0. Mit dem 5G-Netz soll Deutschland in die Liga der digitalen Champions katapultiert werden. Das bedeutet aber auch, dass viele kritische Fähigkeiten über das 5G-Netz laufen und deshalb brauchen wir da ein höheres Sicherheitsniveau. 

Manche sagen, dass die Debatte um den Einsatz von Huawei-Equipment nur der Anfang einer größeren Debatte darüber ist, von wem unsere Infrastruktur in der digitalen Welt in Zukunft kommen soll.
Das BSI macht keine Wirtschaftspolitik, wir sind zuständig für die Informationssicherheit in Deutschland. Manchmal ist es einfacher, wenn man bestimmte Komponenten vor Ort, also in europäischer Hand hat. Dabei geht es mir aber weniger um die Hardware. Es geht mir dabei eher darum, dass wir im Bereich der Künstlichen Intelligenz unsere Kräfte bündeln sollten. Um ein hohes Sicherheitsniveau bei der IT zu erreichen, wird die spannende Frage sein, wie die Algorithmen überprüft werden können. Daran arbeiten wir intensiv. 

Also im Bereich KI brauchen wir mehr europäische Anbieter?
Ja. 

Das BSI soll zu einer Verbraucherschutzbehörde ausgebaut werden. Wie muss man sich das vorstellen?
Der digitale Verbraucherschutz ist eine Aufgabe des BSI, neben vielen anderen Aufgaben. Die Digitalisierung nimmt immer mehr Einfluss auf den privaten Sektor, daher ist es folgerichtig, dass das BSI die Aktivitäten in diesem Bereich ausbaut. Es gibt bereits Stellen, die den Schutz der Verbraucher im IT-Sicherheitsbereich auf der Agenda haben. Diese werden wir einbinden, das entsprechende Konzept ist gerade in der Abstimmung. 

Wie muss man sich die neuen Aufgaben vorstellen?
Zum einen sollen Verbraucher die Chance haben, zu erkennen, wie sicher ein Produkt ist. Diese Möglichkeit haben sie jetzt nicht. Wir wollen, dass das BSI IT-Produkte wie Smartphones, internetfähiges Spielzeug oder Smart-TVs auf ihre Sicherheit hin überprüfen und bewerten kann. Zum anderen soll es die Möglichkeit geben, dass das BSI von einem Hersteller verlangen kann, ein unsicheres Produkt vom Markt zu nehmen. 

Diese Maßnahmen zielen auf passive Abwehr ab. Derzeit wird aber auch darüber gesprochen, es einer Behörde zu ermöglichen, bei gravierenden Angriffen etwa auf kritische Infrastruktur wie Stromnetze, sich aktiv zu wehren, also zurückzuhacken. Brauchen wir diese Möglichkeit?
Es ist technisch absolut nachvollziehbar, dass man eine aktive Cyberabwehr braucht. Wer am Ende was und wie machen soll, das wird die Politik entscheiden. 

Könnte das BSI so etwas?
Das Thema wird derzeit auf politischer Ebene diskutiert. Daher bitte ich um Verständnis, dass ich mich momentan dazu öffentlich nicht äußere. 

Wie sehen Sie die Zukunft des BSI?
Ich gehe davon aus, dass wir weiter wachsen werden. Wir fangen doch gerade erst mit der Digitalisierung an. Beim autonomen Fahren, bei Industrie 4.0 sind wir noch am Anfang, da ist IT-Sicherheit ein wesentlicher Erfolgsfaktor. Das Thema wird auch in den Chefetagen immer wichtiger werden. Uns macht Sorgen, dass die Hardware unsicherer wird. Eine Zeit lang hat man sich bei der IT-Sicherheit vor allem auf die Software konzentriert, weil die Hardware als sicher galt. Mittlerweile ist das aber nicht mehr der Fall. 

Also die Hardware ist anfälliger geworden?
Ja. Die Angreifer haben das Zusammenspiel von Hard- und Software als lohnenden Angriffspunkt identifiziert. Hier muss die Wirtschaft besser werden. 

Woran liegt das?
Die Hersteller haben einen sehr hohen Innovationsdruck und einen sehr hohen Kostendruck. Als wir noch lokal in Deutschland hergestellt haben, konnten wir die Wertschöpfungskette gut kontrollieren. Heute ist das nicht mehr so. Wir haben heute eine Vielzahl von Lieferantenbeziehungen, was es schwierig macht, das Sicherheitsniveau aufrechtzuerhalten. Darum ist die Auditierungsfähigkeit ein Schlüssel, also dass wir genau zeigen können, dass ein Produkt sicher ist.

Am Sonntag ist die Europawahl – gab es bereits Auffälligkeiten, also etwa Versuche, die Wahl durch gezielte Manipulation in sozialen Medien zu beeinflussen?
Zurzeit ist alles im grünen Bereich, und ich hoffe natürlich, dass das auch so bleibt. Wir stimmen uns gerade eng mit Social-Media-Anbietern, also Unternehmen wie Facebook und Twitter, ab. Wir unterstützen auch sehr stark den Bundeswahlleiter, damit die IT-Infrastruktur am Wahltag nicht erfolgreich angegriffen werden kann. Zudem ist das Lagezentrum des BSI in erhöhter Ruf- und Alarmbereitschaft, denn kurz vor der Wahl ist die Wahrscheinlichkeit für Manipulationsversuche am höchsten, und wir müssen schnell eingreifen können. 

Was könnte ein mögliches Szenario sein?
Denkbar wäre ein Szenario wie bei der letzten Präsidentschaftswahl in Frankreich, als kurz vor der Wahl eine große Zahl von Mails gezielt verbreitet worden ist mit dem Ziel, die öffentliche Meinung zu manipulieren.

Dahinter wurden damals russische Hacker vermutet.
Es könnte aber auch sein, dass es Versuche gibt, die Stimmergebnisse bei der Übermittlung zu manipulieren. Wir unterstützen auf der einen Seite also die Strafverfolgungsbehörden, aber auch den Bundeswahlleiter, der für die Durchführung der Wahl in Deutschland zuständig ist.

Herr Schönbohm, vielen Dank für das Interview.

Mehr zum Thema: US-Unternehmen dürfen weitere drei Monate lang Geschäfte mit dem chinesischen Telekomausrüster Huawei machen. Lesen Sie hier mehr über den 90-Tage-Aufschub der USA.

Startseite

Mehr zu: Interview mit BSI-Chef Arne Schönbohm - 5G-Sicherheitsüberprüfung könnte zum Ausschluss von Huawei- und Cisco-Produkten führen

1 Kommentar zu "Interview mit BSI-Chef Arne Schönbohm: 5G-Sicherheitsüberprüfung könnte zum Ausschluss von Huawei- und Cisco-Produkten führen"

Das Kommentieren dieses Artikels wurde deaktiviert.

  • „Im Bereich der Spionage sind wir sicher, dass wir mit einer Ende-zu-Ende-Verschlüsselung ein hohes Schutzniveau erreichen“
    Diese Verschlüsselung hält noch fünf bis max. 15 Jahre. Dann steht der Quantenprozessor bereit, alle aufgezeichneten Verbindungen zu entschlüsseln.

Serviceangebote