Zum Hauptinhalt springen
11.02.2019

5G: Netzsicherheit und Huawei

Anlass

Seit Ende Januar wird in der Öffentlichkeit heftig über die Gefahr der Abhängigkeit von Huawei beim 5G-Ausbau auch in Deutschland diskutiert, nicht zuletzt befeuert durch wirtschaftliche Aspekte wie den Handelsstreit der USA mit China. Im Kern geht es um die Spionagegefahr durch die chinesische Regierung mittels Backdoors in Huaweis 5G-Infrastruktur, aber auch darum, ob eine mögliche Abschaltung des gesamten auf der Infrastruktur des chinesischen Herstellers basierenden Netzes durch einen sogenannten „Kill Switch“ droht.

Nachdem der komplette Ausschluss Huaweis vom 5G-Ausbau in Deutschland seit Donnerstag, 7.2.2019, offenbar nicht mehr erwogen wird, steht noch das Offenlegen und Überprüfen von Huaweis Quellcode, ein No-Spy-Abkommen mit China, ein vom BSI zu erstellender Sicherheitskatalog und ein Zertifizierungssystem für technische Produkte zur Diskussion. Kritiker fragen auch, inwiefern sich die Spionagegefahr durch die chinesische Regierung und Huawei von der Spionagegefahr durch andere Akteure wie die NSA unterscheidet.

 

Übersicht

  • Prof. Dr. Konrad Rieck, Institutsleiter Systemsicherheit, Technische Universität Carolo-Wilhelmina zu Braunschweig
  • Prof. Dr. Mathias Fischer, Juniorprofessor für IT-Sicherheit und -Sicherheitsmanagement, Fakultät für Mathematik, Informatik und Naturwissenschaften, Universität Hamburg
  • Prof. Dr. Thorsten Holz, Professor für Systemsicherheit, Horst-Görtz-Institut für IT-Sicherheit (HGI), Ruhr-Universität Bochum
  • Prof. Dr. rer. nat. Jörn Müller-Quade, Professor für Kryptographie und Sicherheit, Institut für Theoretische Informatik (ITI), Karlsruher Institut für Technologie (KIT)
  • Prof. Dr. Alexandra Dmitrienko, Leiterin der Secure Software Systems Research Group, Institut für Informatik, Julius-Maximilians-Universität Würzburg

Statements

Prof. Dr. Konrad Rieck

Leiter des Instituts für Systemsicherheit, Technische Universität Braunschweig

Zur Frage, inwiefern die Gefahr durch Huawei aus technischer Sicht anders zu beurteilen ist, als bei anderen Anbietern:
„Aus technischer Sicht unterscheidet sich die Gefahr nicht zu anderen Anbietern. Grundsätzlich können die Hersteller von Komponenten für IT-Infrastrukturen Hintertüren und Schadcodes einbauen. Ich erinnere mich noch an den Fall Juniper von 2015 (in Software vom US-amerikanischen Netzwerkausrüster Juniper waren Hintertüren gefunden worden; Anm. d. Red.) [1]. Mein Eindruck ist, dass es hier eher um die politische Sicht geht: Wer soll uns potenziell ausspähen und manipulieren können?“

Zur Frage, wie man die digitale Infrastruktur in diesem Fall schützen kann:
„Die Überprüfung des Quellcodes ist eine gute Maßnahme. Allerdings können Hintertüren in Software auch sehr subtil versteckt werden. Ob man diese findet, ist offen.Man müsste aber auch fragen, warum denn Cisco, Juniper oder Alcatel-Lucent nicht auch ihren Quellcode mitliefern müssen. Ich würde gern von keinem anderen Land abgehört werden.“

Zur Frage, inwiefern man sich überhaupt gegen solche Spionageversuche schützen kann:
„Die Abwehr von professioneller Spionage, zum Beispiel durch Geheimdienste, ist sehr schwer. Hintertüren und Schadcode können sehr gut versteckt werden und gerade in komplexen IT-Infastrukturen sind sie schwer auszumachen.
Eine Möglichkeit ist es, die Systeme mit Quellcode und weiteren Spezifikationen aufwändig zu auditieren — das kostet Zeit und Geld. Am Ende gibt es keine Garantie, dass alles sicher ist. Eine andere Möglichkeit ist es, sehr wichtige Komponenten selbst herzustellen, sofern die Mittel/Kompetenzen reichen.“

Prof. Dr. Mathias Fischer

Juniorprofessor für IT-Sicherheit und -Sicherheitsmanagement, Fakultät für Mathematik, Informatik und Naturwissenschaften, Universität Hamburg

„Huawei ist ein chinesischer Staatskonzern, der bereits in einigen Ländern unter direkter Beobachtung steht. Viele Staaten verzichten daher darauf, Huawei-Produkte einzusetzen. Natürlich weiß man beispielsweise auch über amerikanische Firmen, dass diese im Zweifelsfall mit dem Staat kooperieren müssen, doch handelt es sich bei den USA nach wie vor um eine Demokratie, die viele Werte mit uns teilt.“

„In China sieht die politische Lage völlig anders aus. China betreibt eine sehr aggressive Wirtschaftsspionage, um Know-How abzugreifen. Sich in komplette technische Abhängigkeit zu China zu begeben, denn etwas anderes ist es nicht, wenn man das 5G-Netz größtenteils mit Huawei-Komponenten aufbaut, ist daher überhaupt nicht ratsam. Es ist natürlich auch nicht ratsam (wenn auch das kleinere Übel), wenn stattdessen nur amerikanische Firmen zum Zuge kommen würden. Im besten Fall hat man europäische Firmen, die hier Alternativen bieten. Das ist aber nicht in jedem Anwendungsfeld gegeben. Aus technischer Sicht besteht kein Unterschied, von wem man ausspioniert wird. USA und China sind da technisch gleichauf.“

„Den Quellcode überprüfen zu können, wäre hier schon mal eine wichtige Voraussetzung, um beispielsweise Hintertüren oder Kill-Switches vorzubeugen. Allerdings reicht das bei weitem noch nicht aus. Wer garantiert mir, dass genau ebendieser Quellcode auf den Hardware-Komponenten am Ende läuft? Da könnte ich nur sicher sein, wenn ich diesen Quellcode selber in eine Programm übersetzt und dieses auf die entsprechende Hardware aufgespielt habe. Denn selbst wenn der Quellcode sauber ist, kann immer noch das Programm, mit dem ich diesen Quellcode in ein maschinenlesbares Programm umwandle (ein sogenannter Compiler) eine Hintertür aufweisen und in den sauberen Quellcode bei jedem Übersetzen in Maschinencode eine ebensolche Hintertür einbauen. Das heißt: Ich muss eigentlich die gesamte Kette vom Quellcode zur Übersetzung des Quellcodes in maschinenlesbaren Code bis hin zum Aufspielen auf die Hardware komplett kontrollieren können. Das muss ich dann auch nicht nur einmal machen, sondern auch zukünftig für alle weiteren Updates, die zwangsläufig kommen werden.“

„Des Weiteren ist auch nicht nur der Quellcode ein Problem, sondern auch die Hardware selber. Auch in dieser kann es Hintertüren geben. Daher müsste diese ebenfalls einer sehr gewissenhaften Überprüfung unterzogen werden. Wenn man sich hier wirklich richtig schützen will, dann ist die (teure) Lösung das, was in Atomkraftwerken bereits umgesetzt ist: Redundanz und Lösungen unterschiedlicher Hersteller parallel einsetzen.Neben diesen eher proaktiven Maßnahmen sollten in jedem Fall auch reaktive Maßnahmen vorgesehen werden. Das heißt: Die gesamte Infrastruktur muss im laufenden Betrieb überwacht werden, um Probleme und Angriffe schnell detektieren und Gegenmaßnahmen einleiten zu können.“

„Man kann versuchen, den Aufwand auf der Angreiferseite zu erhöhen, zum Beispiel durch genaue Überprüfung von Quellcode und Hardware sowie über eine zweite Verteidungslinie mittels einer sehr genauen Überwachung der jeweiligen Systeme, aber ganz ausschließen kann man diese Spionageversuche generell nicht. Dafür sind unsere aktuellen IT-Systeme viel zu unsicher.“

Prof. Dr. Thorsten Holz

Professor für Systemsicherheit, Horst-Görtz-Institut für IT-Sicherheit (HGI), Ruhr-Universität Bochum

„Potenziell besteht eine generelle Gefahr durch Hintertüren in Netzwerkgeräten, insofern muss man die 5G-Infrastruktur von Huawei auf mögliche Sicherheitslücken untersuchen. In der Vergangenheit wurden diverse Hintertüren in Netzwerkgeräten entdeckt, ein bekanntes Beispiel ist eine kryptographische Hintertür in Firewalls des amerikanischen Herstellers Juniper [1][2]. Die Gefahr ist also real, dabei sollten alle Arten von Herstellern untersucht werden. Mit Nokia und Ericsson gibt es auch zwei europäische Hersteller von 5G-Infrastruktur, es gibt also auch europäische Alternativen, die genutzt werden können. Im konkreten Fall mit Huawei ist das Misstrauen höher, weil chinesische Firmen durch politische Einflüsse potenziell eher von solchen Hintertüren betroffen sein könnten.“

„Eine Offenlegung des Quellcodes und mehr Informationen zum Aufbau der Hardware sind sehr sinnvoll, um eine unabhängige Überprüfung durch Sicherheitsexperten zu ermöglichen. Dieser Ansatz wird auch in anderen Bereichen verfolgt, beispielsweise legt Microsoft im Rahmen verschiedener Programme den Quellcode von Windows offen, damit staatliche Stellen diesen auf mögliche Hintertüren und Fehler überprüfen können. Eine solche Analyse ist allerdings auch sehr aufwändig und entsprechend ausgebildete Experten müssen diese durchführen. Dieser Aufwand lohnt sich aber, weil Sicherheitsanforderungen unabhängig überprüft werden können.“

„Ein vollständiger Schutz gegen Spionageversuche ist in der Praxis leider schwierig, vor allem weil ein Angreifer auf verschiedenen Ebenen eine Hintertür in das System einbauen kann. Dies kann beispielsweise auf der kryptographischen Ebene, aber auch in der Hard- oder Software Ebene erfolgen. Es ist also eine umfassende Analyse des Gesamtsystems nötig, um das Risiko von möglichen Angriffen zu minimieren. Eine geschickt versteckte Hintertür ist aber auch bei einer manuellen Analyse unter Umständen kaum erkennbar.“

Prof. Dr. rer. nat. Jörn Müller-Quade

Professor für Kryptographie und Sicherheit, Institut für Theoretische Informatik (ITI), Karlsruher Institut für Technologie (KIT)

„Der Hauptunterschied von USA und China (bezogen auf Industriespionage in Deutschland) scheint mir, dass die USA seit langem sehr weitreichende Möglichkeiten haben, da wir amerikanische Betriebssysteme und Router benutzen und die USA womöglich auch direkten Zugang zu Internetknoten in Deutschland haben (dies ist nicht belegt). Bisher haben wir keine deutlich negative Erfahrung gemacht (es gibt Fälle, aber die sind wieder schlecht belegbar). Mit China bekäme eine weitere Macht die Möglichkeit, Industriespionage in Deutschland zu betreiben, und es ist nicht klar, ob das nicht die deutsche Wirtschaft massiv bedrohen könnte, weil China anders (möglicherweise aggressiver?) mit diesen Informationen agieren könnte.“

„Transparenz und Überprüfbarkeit sind genau die richtigen Ansätze, aber es könnten dennoch gefährliche Lücken bleiben. Software-Patches könnten nach der Abnahme (etwa durch das BSI) die Funktionalität ändern. Es könnte andere Software laufen als die, die untersucht wurde. Die Hardware, die man untersuchen lässt, könnte anders sein, als die Hardware, die eingebaut wird, oder man könnte im Zuge einer ‚Reparatur‘ Hardware austauschen. Wie man ein komplexes System auf Unbedenklichkeit zertifiziert, ist nicht gänzlich geklärt und wie man andauernd weiterprüft, ob sich das System nicht zum Nachteil verändert, ist auch nicht verstanden. Obwohl es also die richtigen Ansätze sind, könnte die Aufgabe so schwierig sein, dass man Industriespionage nur erschwert, aber nicht unmöglich macht.
Bezüglich der ‚Kill-Switches‘ hilft wahrscheinlich nur Redundanz, das heißt man lässt nicht die ganze Infrastruktur von einer Firma bauen.“

Zur Frage, inwiefern man sich überhaupt gegen solche Spionageversuche schützen kann:
„Das ist, wie oben angedeutet, sehr schwierig. Auf jeden Fall benötigen wir die Kompetenz, in Deutschland die Unbedenklichkeit beurteilen zu können. Wahrscheinlich müssten bestimmte, besonders kritische Komponenten auch in Deutschland selbst entwickelt werden, und zwar so, dass eine Unbenenklichkeitszertifizierung von Anfang an mitgedacht wird. Das heißt Designentscheidungen, Testergebnisse und andere Dokumentation müssen von Anfang an sicher archiviert werden, damit die Beurteilung der Software überhaupt möglich wird.“

Prof. Dr. Alexandra Dmitrienko

Leiterin der Secure Software Systems Research Group, Institut für Informatik, Julius-Maximilians-Universität Würzburg

Zur Frage, inwiefern die Gefahr durch Huawei aus technischer Sicht anders zu beurteilen ist, als bei anderen Anbietern:
„Es ist grundsätzlich immer riskant, wenn ausländische Firmen Komponenten für kritische Infrastruktur bereitstellen, auch bei Telekommunikationsnetzwerken.
Aus technischer Sicht haben wir normalerweise mehr Vertrauen in US-amerikanische Technologie und insbesondere deren IT-Sicherheit, da wir erwarten, US-amerikanische Firmen würden sich an europäische und internationale Gesetze und Normen halten. Das könnte aber nicht immer der Fall sein, da diese Firmen mit der NSA kooperieren könnten und auch viele Produkte (insbesondere die Hardware) der amerikanischen Firmen, die wir täglich nutzen, in China produziert werden.“

Zur Frage, wie man die digitale Infrastruktur in diesem Fall schützen kann:
„Wir können unsere digitale Infrastruktur schützen, indem wir 1) etablierte Risiko- und Bedrohungsanalysen anwenden, 2) Produkte von verschiedenen Herstellern nutzen (Diversifikation), 3) unsere IT-Infrastruktur dezentralisieren, statt wie im Moment meist zentralisierte Systeme zu verwenden und 4) intensiver mit Forschern zusammenarbeiten, um mit fortgeschrittenen Methoden Produkte (Hardware und Code) nach deren Sicherheitsschwachstellen oder Falltüren zu analysieren. Heutzutage benötigen viele Regierungsorganisationen und Firmen Unterstützung der Forschung, um den aktuellen Stand der IT-Sicherheit und des Datenschutzes zu erreichen.“

Zur Frage, inwiefern man sich überhaupt gegen solche Spionageversuche schützen kann:
„Es ist grundsätzlich sehr schwierig, komplexe IT-Systeme gegen eine Vielzahl von unterschiedlicher Angriffsvektoren zu sichern. Vor allem legacy systems (Altlasten; veraltete, noch laufende Systeme; Anm. d. Red.), die auf unsicherem Code basieren (beispielsweise den fehleranfälligen C und C++ Programmiersprachen), bieten eine breite Angriffsfläche und betreffen auch Systeme, die aktuellen Regularien und Normen unterliegen.
Allerdings hat die Forschung im Bereich der IT-Sicherheit enorme Fortschritte gemacht und bereits jetzt gibt es Strategien, wie man Sicherheitsrisiken und Spionagegefahr reduzieren kann.“

Angaben zu möglichen Interessenkonflikten

Prof. Dr. Thorsten Holz: „Interessenkonflikte habe ich keine.“

Alle anderen: Keine angegeben. 

Literaturstellen, die von den Experten zitiert wurden

[1] Ermert M (2015): Schnüffelcode in Juniper-Netzgeräten: Weitere Erkenntnisse und Spekulationen. Heise online. 

[2] Zetter K (2015): Researchers Solve Juniper Backdoor Mystery; Signs Point to NSA. Wired. 

[3] Checkoway S et al. (2016): A Systematic Analysis of the Juniper Dual EC Incident.