Digitale Souveränität: "Wir dulden eine flächendeckende IT-Unsicherheit"
Forscher sehen die Abhängigkeit von ausländischen Konzernen bei Hard- und Software in Europa als besorgniserregend. Huawei auszuschließen bringe aber nichts.
BSI-Präsident Arne Schönbohm (r.) in der Anhörung.
(Bild: Bundestag)
Die Bundesregierung und die EU-Kommission bemühen sich verstärkt unter dem Aufhänger "digitale Souveränität", Kompetenzen der europäischen IT-Industrie bei Hard- und Software sowie Online-Plattformen zurückzugewinnen und Abhängigkeiten von Firmen aus China und den USA zu verringern. Bislang sei die Gesamtsituation hier "besorgniserregend", meinte Ninja Marnau vom Helmholtz-Zentrum für Informationssicherheit (CISPA) in einer Anhörung im Bundestag am Mittwoch. "Wir dulden eine flächendeckende IT-Unsicherheit, es gibt keine übergreifende Regulierung."
Größere Produzenten von Hardware, Betriebssystemen oder Web-Browsern gebe es in Europa nicht, führte Marnau aus. Dazu kämen große rechtliche Schutzlücken, da hier höchstens die Datenschutz-Grundverordnung (DSGVO) greife, die aber nur personenbezogene Informationen betreffe. So könne jeder in den Laden gehen und sich eine "komplett unsichere Webcam kaufen". Nötig wäre eine übergreifende Regulierung mit einem "Grundmaß an IT-Sicherheit", die sich auch auf Betreiber und eventuell Nutzer beziehen und Haftung, Gewährleistung und Update-Pflichten verankern sollte.
Als weiteren Nachteil machte Marnau aus, dass "das aktuelle Strafrecht Chilling Effects auf unsere Sicherheitsforschung" habe. "Wir müssen oftmals agieren wie Kriminelle, um Systeme ausreichend zu verstehen." Eine "langfristige Option mit viel Geld" sei die Strategie, europäische Hard- und Softwarehersteller zu fördern. Marnau sprach sich hier für "mehr Fairness für Open-Source-Anbieter" aus.
"Keine Kompromisse"
"Der Zugriff auf Source Code hilft", Open Source an sich aber nicht, solange keiner draufgucke, verdeutlichte Michael Waidner vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT). Deutschland stehe mit einem breiten Angebot für Produkte und Dienste als Basis für technische Souveränität noch "ganz gut da", die Wirtschaft sei "vergleichsweise gut geschützt".
Waidner bemängelte, dass es hierzulande "keine Verschlüsselungsinfrastruktur" gebe. Beim Ruf nach Hinter- oder Vordertüren für Sicherheitsbehörden dürften "keine Kompromisse" eingegangen werden. Der Staat müsse keine Schwachstellen horten, da es davon schon genug gebe, die zu melden und zu beseitigen seien.
"Wir sind in den Handel mit Sicherheitslücken nicht eingebunden", sagte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). "Wir informieren die Hersteller, wenn eine bekannt wird." Dazu, ob die als staatliche Hackerinstitution bekannte Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) dem BSI schon Schwachstellen angetragen habe, sagte er: "Ich kenne keine Dinge, die Zitis uns diesbezüglich gemeldet hat."
Ein Recht auf Verschlüsselung sei elementar, um Souveränität herstellen zu können, unterstrich Klaus Landefeld aus dem Vorstand des eco-Verbands der Internetwirtschaft. Sicherheitslücken und Exploits auf dem Graumarkt zu verkaufen müsse durch eine Meldepflicht staatlicher Stellen unterbunden werden.
Ohne Chinesen neue Infrastruktur nötig
Wenig anfangen kann Landefeld mit der Huawei-Debatte, da Netze und Übertragungswege generell als kompromittiert gälten und Anbieter über Ende-zu-Ende-Verschlüsselung Sicherheit herstellen müssten. Einen nicht-politischen Grund für einen Ausschluss des chinesischen Ausrüsters aus dem 5G-Netz kenne er nicht.
Auf immense Schwierigkeiten und Kosten, Huawei-Technik auszutauschen, verwies Oliver Harzheim von Vodafone: "Wir bauen ein Hybridnetz auf", das auf vorhandener 4G-Technik basiere. Wenn es ohne die Chinesen gehen sollte, müsse die vorhandene Infrastruktur erst erneuert werden. Der 5G-Ausbau würde sich damit bei dem Netzbetreiber um "vier bis fünf Jahre" verzögern.
Künftig werde ein Umbau aber wesentlich einfacher realisierbar sein, da Vodafone künftig einen "OpenRAN-Ansatz" verfolgen wolle, kündigte Harzheim an. In einem solchen Open Radio Access Network werden virtualisierte Systeme eingesetzt, bei denen ein Betreiber für einen technischen Wechsel letztlich nur die Software erneuern muss.
Da die Softwarequalität bei den Netzwerkausrüstern "überall gleich schlecht" sei und Bugs massenhaft vorkämen, plädierte Frank Rieger vom Chaos Computer Club (CCC) für einfach auditierbare Netze. Sämtliche Bestandteile müssten zertifiziert werden. Um auch nicht länger abhängig etwa von Microsoft oder Google zu sein, empfahl Rieger, viele "verteilte Projekte" wie föderierte soziale Netzwerke ohne Machtkonzentration zu fördern. (anw)
