5G: EU will gemeinsame Sicherheitsstandards
Die EU-Kommission will mit einer Reihe von Maßnahmen den Aufbau der 5G-Netze in Europa sicherer machen. Am Dienstag, 26. März, veröffentlichte die Kommission ihre Empfehlung „Cybersecurity of 5G networks“ – nachdem EU-Parlament und Rat entsprechende Beschlüsse gefasst hatten. Laut Kommissionsplänen sollen aus einer Risikobewertung der 5G-Infrastruktur auf Ebene der Mitgliedsstaaten und Best Practices für die 5G-Sicherheitsarchitektur nun gemeinsame Sicherheitsstandards für die ganze Europäische Union (EU) erarbeitet werden.
Mitgliedsstaaten sollen 5G-Sicherheitsrisiken identifizieren
Bis Ende Juni 2019 sollen Mitgliedsstaaten der EU eine Risikobewertung ihrer 5G-Infrastruktur vornehmen, die deren empfindlichste Punkte identifiziert und bestehende Sicherheitsanforderungen evaluiert. Sicherheitsrisiken können der Kommission zufolge sowohl technischer Art sein, aber auch „rechtliche und politische Rahmenbedingungen“, denen Hersteller von IT-Equipment in Drittstaaten ausgesetzt sind – ein impliziter Verweis auf die Causa Huawei. Mit Hilfe dieser Risikobewertung sollen Mitgliedsstaaten ihre Sicherheitsanforderungen aktualisieren, die sie beispielsweise zur Voraussetzung für den Netzbetrieb oder für 5G-Frequenzvergaben machen.
Als mögliche Maßnahmen nennt die Kommission etwa strengere Sicherheitsvorschriften für Lieferanten und Betreiber wichtiger Netzkomponenten, eine verpflichtende Zertifizierung einzelner Komponenten durch staatliche Stellen und zusätzliche Informationspflichten. Verschiedene Mitgliedsstaaten sollen gemeinsame Sicherheitsüberprüfungen vornehmen, etwa wenn dasselbe Unternehmen auf ihrem Gebiet das 5G-Netz ausbaut oder betreibt. Die EU-Agentur für Cybersicherheit (ENISA), das Gremium Europäischer Regulierungsstellen für elektronische Kommunikation (BEREC) sowie die Europäische Polizeibehörde Europol sollen die Mitgliedsstaaten dabei unterstützen.
Kommission und ENISA entwickeln europäische Mindeststandards
Bis Mitte Juli sollen die Mitgliedsstaaten ihre jeweilige Risikobewertung an die ENISA und die Kommission melden, um einen Überblick der europäischen 5G-Bedrohungslandschaft zu bekommen. Bis zum 1. Oktober 2019 soll so eine koordinierte Risikobewertung der gesamten EU entstehen – mit Blick auf digitale Infrastruktur im Allgemeinen sowie 5G-Netze im Besonderen. Darauf aufbauend plant die Kommission perspektivisch eine Risikobewertung der gesamten digitalen Wertschöpfungskette.
Eine Kooperationsgruppe aus Mitgliedsstaaten, Kommission und ENISA soll bis Ende 2019 aus den gesammelten Best Practices ein Maßnahmenbündel für mehr 5G-Sicherheit in der EU entwickeln. Dazu gehören laut EU-Kommission ein Überblick möglicher Sicherheitsrisiken sowie entsprechende Gegenmaßnahmen wie technische Sicherheitszertifizierung, Zugangsbeschränkungen und die konkrete Benennung von Produkten oder Anbietern, die als potenziell unsicher gelten. Daraus soll die Kommission anschließend gemeinsame Mindeststandards für alle Mitgliedsstaaten entwickeln. Eine Evaluation des Vorgehens ist bis Oktober 2020 vorgesehen.
Der Europäische Rat hatte die Kommission am Freitag, 22. März, gebeten, Empfehlungen für ein abgestimmtes Vorgehen bei der Sicherheit von 5G-Netzen zu geben. Das Europäische Parlament hatte Kommission und Mitgliedstaaten am Dienstag, 12. März, ebenfalls aufgefordert, Maßnahmen gegen Sicherheitsbedrohungen durch die zunehmende technologische Präsenz Chinas in der EU zu ergreifen.
Sorgen um 5G-Sicherheit auch auf nationaler Ebene
Auch auf nationaler Ebene geht die Diskussion um die Sicherheit des 5G-Ausbaus weiter. Zur Eröffnung der Hannover-Messe am Sonntagabend ging Bundeskanzlerin Angela Merkel (CDU) auf die Debatte ein. Ohne China oder Huawei direkt zu nennen, sagte Merkel, sie sei dagegen, einen Hersteller „per Definition“ vom Aufbau des Netzes auszuschließen: „Wichtig sind die Standards, die eingehalten werden müssen.“ Damit sprach sie sich auch gegen die Forderungen der USA aus, die in einem Drohbrief Deutschland zum Ausschluss von Huawei bewegen wollten.
Auch ein Bericht der britischen Regierung von Donnerstag, 28. März, weist auf anhaltende Probleme mit Sicherheitslücken in Huawei-Produkten hin. Huawei mache keine nennenswerten Fortschritte bei der Schließung dieser Lücken, hieß es. Die Autoren des Berichts gehen aber nicht davon aus, dass die gefundenen Probleme durch staatliche Einflussnahme entstanden seien. Im vergangenen Jahr hatte Huawei nach Kritik aus Großbritannien angekündigt, mehr als zwei Milliarden Dollar für die Behebung von Sicherheitsproblemen in Großbritannien aufzuwenden – und gewarnt, es könne bis zu fünf Jahre dauern, bis man Ergebnisse sehen werde.
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Torben Klausa schreibt als Redakteur zur Digitalpolitik.