Thorsten Benner hat kürzlich hier sieben Lehren aus der 5G-Saga vorgestellt und Huaweis Ausschluss vom 5G-Ausbau gefordert. Wir möchten ihm hier unsere eigenen Erkenntnisse in vier Punkten entgegenstellen.
Erstens: Die Verquickung von Cybersicherheitsfragen, industriepolitischen Herausforderungen und geopolitischen Auseinandersetzungen in der Diskussion ist fehlgeleitet und führt zu politischen Konzepten, bei denen Schaden offensichtlich, Nutzen aber nicht erkennbar ist.
Ausgangspunkt Benners ist, Huawei als Unternehmen im Kontext der Sicherheitsdiskussion pauschal als „Hochrisikoanbieter“ zu labeln. Die Begründung hierfür erfolgt aber dann nicht unter Verweis auf unsere Technologie und ihre Bilanz, sondern unter geopolitischen Vorzeichen: Wir kommen aus China. Entsprechend fordert Benner dann auch am Ende, das IT-Sicherheitsgesetz (!) an einer Post-Merkel-China-Politik (!) auszurichten.
Ausgeblendet wird: Huaweis Technologie wird täglich von drei Milliarden Menschen genutzt, mehr als 300 Netzbetreiber weltweit sind zufriedene Kunden und auch die deutschen 4G-Netze basieren zu einem nicht geringen Teil auf Huawei-Technologie. Niemand hat bislang plausibel aufzeigen können, dass irgendwem auf der Welt durch unsere breit genutzte und bei Netzbetreibern geschätzte Technologie ein Schaden aufgrund mangelnder Sicherheit entstanden wäre.
Benner spezifiziert auch nicht technologisch, worin dieses Risiko konkret besteht, ob es ein hohes, mittleres oder geringes Risiko ist, welche Maßnahmen das Risiko minimieren und ob sich denn durch den Ausschluss eines Anbieters aus einem bestimmten Herkunftsland diese Risiken von einem inakzeptablen auf ein dann akzeptables Niveau senken lassen. All das sind aber genau die Fragen, die im Kontext von IT-Sicherheit praktisch gestellt werden müssen. Es ist bezeichnend, dass niemand, der bislang den Ausschluss Huaweis gefordert hat, sich auch nur ansatzweise die Mühe gemacht hat, jenseits von sehr oberflächlichen Aussagen mit Buzzwords wie „Spionage“ und „Kill Switch“ anhand von konkret durchgespielten Worst Case-Szenarien aufzuzeigen, worin dieses inakzeptable Risiko liegen soll.
Dass dies nicht geschehen ist, hat einen Grund und das bringt uns zum zweiten Punkt: Nicht jedeR ExpertIn ist für jede Fragestellung gleich gut qualifiziert und wer Mobilfunknetze sicherer machen möchte, sollte primär auf ExpertInnen hierfür hören. Die, die sich um Sicherheit von Amtswegen kümmern, das BSI, werden von Benner als „Huawei-Advokaten“ abqualifiziert, weil sie seine Konklusion, Huawei sei pauschal aufgrund seiner Herkunft auszuschließen, nicht teilen. Dass das BSI aus fachlichen Prämissen heraus zu einer gut begründeten Position kommt, wird ignoriert. Wenn die Konklusion in einer Cybersicherheitsfrage chinapolitisch gesetzt wird, dann können empirisch-technologische Fakten in Prämissen, die diese Konklusion gar nicht erlauben, nur stören.
Dabei ist unter fast allen Cybersicherheitsexperten Konsens, dass nicht die Herkunft entscheidend für die Sicherheit einer Technologie ist, sondern ihre konkrete Beschaffenheit. Die Empirie bestätigt das, z.B der Fall Solar Winds, vom Spiegel als Spionagefall des Jahres 2020 bezeichnet: Hacker scheinen im Auftrag des russischen Staates US-Software so infiltriert zu haben, dass ungefähr 17.000 US-Institutionen sich hierüber eine Hintertür in ein ganz anderes Land eingefangen haben. An der Herkunft dieser Software hat es offensichtlich nicht gelegen, sondern an ihrer Beschaffenheit und ggf. auch an den Prozessen von Update- und Lieferketten-Management. Deswegen ist es richtig, genau hier anzusetzen, um auf Basis klarer Kriterien und Maßnahmen, IKT-Systeme resilienter und sicherer zu machen und daran empirisch zu messen, ob Technologieanbieter hohe Sicherheitskriterien erfüllen.
Wenn der pauschale Ausschluss chinesischer Hersteller Netze sicherer machen würde, dann müssten die US-amerikanischen Netze jetzt schon die sichersten der Welt sein. Dafür gibt es keinen einzigen empirischen Beleg. Ein Impfstoff gilt erst als wirksam, wenn er in einer Patientengruppe Erfolge aufweisen kann im Vergleich zu einer Gruppe, die diesen Impfstoff nicht bekommen hat. Warum nicht auch mal in Cybersicherheitsfragen ein bisschen empirische Evidenz solcher Art zulassen? Und auch schon häufig erwähnt: Auch europäische Netzausrüster forschen und produzieren in China. Wer sagt, die Herkunft sei das eigentlich Sicherheitsrisiko, der muss auch eine Antwort haben, warum das dann kein Problem sein soll.
Huawei sagt auch nicht: Vertraut uns, sondern kontrolliert uns, aber kontrolliert auch alle anderen, denn jede Technologie unabhängig vom Hauptsitz des Hersteller kann infiltriert worden sein oder Schwachstellen enthalten, die missbraucht werden können.
Natürlich bieten Kontrollen niemals eine 100%ige Garantie, aber sie minimieren Risiken enorm. Die Huawei-Gegner aber reden gerne Kontrollen klein, es sei alles viel zu komplex, um noch wirksam zu kontrollieren. Anstatt konstruktiv zu fragen „Wie muss ein Kontrollsystem aufgebaut sein, das auch zunehmende Komplexität immer besser in den Griff bekommt“, muss das Problem als unlösbar und das Risiko als unkalkulierbar beschworen werden, damit die geopolitisch gewollte Konklusion eines Ausschlusses chinesischer Anbieter weiterhin schlüssig erscheint.
Schon Bill Gates, der ein wenig Ahnung von Technologie hat, riet zu einem weniger „paranoiden“ Umgang mit chinesischer Technologie und empfahl mehr Offenheit und Kontrolle. Und auch der Chaos Computer Club empfiehlt in einer Stellungnahme an den Deutschen Bundestag genau diesen Weg der Kontrolle durch Audits und verwirft die Kopplung von Vertrauenswürdigkeit an Herkunft.
Drittens: Die Politik sollte Mobilfunknetze klug regulieren, aber nicht sachfremd in die Geschäftsstrategien privater Netzbetreiber eingreifen. Genau das scheint Benner mit „ganzheitlichem Denken“ aber zu fordern: Vorgeworfen wird den Netzbetreibern, sie schauten weder auf Sicherheit und Vertrauenswürdigkeit und seien durch überteuerte Auktionskosten in die Arme des vermeintlichen Billiganbieters Huawei getrieben worden. An anderer Stelle wirft er ihnen Desinformation vor. Auch hier das gleiche Muster wie bei der Polemik gegen das BSI: Wer auch immer nicht zur chinapolitisch motivierten Konklusion eines Huawei-Ausschlusses kommt, dessen Position wird ohne Argumente diskreditiert. Zum Desinteresse an Cybersicherheitsfragen kommt ein Desinteresse an ökonomischen Branchenfakten.
Alle Netzbetreiber in Deutschland verfolgen eine Multivendorenstrategie, d.h. sie kaufen sowohl bei europäischen Anbietern wie Nokia und Ericsson als auch bei Huawei als auch zumindest im Kernnetz teilweise bei US-Firmen ein.
Genau diese Mischung garantiert einen gesunden Wettbewerb um Qualität und Preise und zu Qualität gehört auch Sicherheit – von der Verlässlichkeit einer hohen Ausfallsicherheit bis zur Resilienz gegen Cyberattacken. Zu suggerieren, es ginge in Deutschland um die Frage chinesische ODER europäische Anbieter beim 5G-Ausbau, zeugt entweder von einer Unkenntnis der Fakten oder es ist bewusste Desinformation, die Benner zurecht kritisiert.
Kostenvorteile ergeben sich im Mobilfunk auch nicht primär durch ein billiges Preisschild an einer Antenne mit datenverarbeitender Box, sondern durch hohe spektrale Effizienz und hohe Energieffizienz und ein installationskostensparendes Design. Das beeinflusst Installations- und Betriebskosten und damit die betriebwirtschaftlich entscheidenden Gesamtkosten. Innovative Produkte sind im Einkauf deshalb häufig teurer, weil sie im Betrieb enorm sparen.
Die Ganzheitlichkeit, die Benner fordert, scheint darauf hinauszulaufen, die Netzbetreiber von einer an ökonomisch-rationalen Preis-Leistungs-Kriterien orientierten Einkaufspolitik abzubringen und stattdessen sachfremde chinapolitische Decoupling-Strategien umzusetzen – unter dem Deckmantel der evidenzfreien Behauptung, dass ein Mobilfunknetz ohne chinesische Komponenten sicherer wäre.
Viertens: Die digitale Souveränität Europas ist nicht durch eine wettbewerbsfeindliche Marktabschottungspolitik zu erreichen. Sinnvoll verstandene Souveränität kann nicht Autarkie heißen, sondern vor allem: die Regeln selbstbestimmt zu setzen und durchzusetzen. Wer hingegen fordert, innovative Firmen aus anderen Kontinenten den Zugang zum europäischen Markt zu versperren, obwohl europäische Kunden gerne bei ihnen kaufen möchten, der ebnet den Weg zu schlechterer Qualität bei höheren Preisen, worunter Endkunden und Industriekunden gleichermaßen leiden.
D.h. wer nachweislich hohe – in Europa autonom gesetzte – Sicherheitsstandards erfüllt, der sollte unabhängig von der Herkunft seine Lösungen anbieten dürfen. Bei Mobilfunktechnologie ist der Markt in China für europäische Anbieter bereits offener als umgekehrt. Während Huawei in Schweden ausgeschlossen wurde, beliefert Ericsson alle drei chinesischen Netzbetreiber – auch im Kernnetz. Aus Huaweis Sicht sollte letzteres auch unbedingt so bleiben und Huaweis Gründer Ren Zhengfei hatte nach den ersten US-Sanktionen gegen Huawei öffentlich Protest angekündigt, sollte Apple als Gegenreaktion vom chinesischen Markt ausgeschlossen werden. Gleichzeitig schätzen wir die öffentliche Kritik des Ericsson-CEOs am Huawei-Ausschluss in Schweden und die klaren Stellungnahmen der US-Technologieindustrie gegen die Huawei-Sanktionen.
All das zeigt: Auf Industrieseite besteht globaler Konsens, dass Sanktionen und Marktabschottung der grundfalsche Weg sind; globale Regeln für hohe Cybersicherheitsstandards und fairen Wettbewerb hingegen der richtige.
Dieser Text ist eine direkte Antwort auf den jüngst auf diesem Blog veröffentlichten Text von Thorsten Benner: „Lehren aus der 5G-Saga“
Unser Blog politische Ökonomie steht für Offenheit und Debatte. Und begrüßt den Austausch der konstruktiven Argumente
Patrick Berger