Mobil­funk­stan­dard 5G – For­de­run­gen zur Daten-, Diens­te- und Netz­si­cher­heit

Han­no­ver IT begrüßt die aktu­el­le Dis­kus­si­on über die Sicher­heit von digi­ta­len Net­zen, Anwen­dun­gen und Daten. Nie­der­sach­sens Wirt­schaft benö­tigt in Zei­ten der Digi­ta­li­sie­rung eine leis­tungs­fä­hi­ge und siche­re Netz­werk­in­fra­struk­tur.

Wir sind bei der digi­ta­len Trans­for­ma­ti­on auf tech­ni­sche Lösun­gen sowohl natio­na­ler als auch inter­na­tio­na­ler Unter­neh­men ange­wie­sen. Eine sys­te­ma­ti­sche Aus­gren­zung von inter­na­tio­na­len Anbie­tern beim Auf­bau digi­ta­ler Infra­struk­tu­ren oder bei End­ge­rä­ten wäre daher weder tech­no­lo­gisch, wirt­schaft­lich noch zeit­lich ziel­füh­rend. Digi­ta­le Sou­ve­rä­ni­tät darf nicht mit digi­ta­ler Aut­ar­kie ver­wech­selt wer­den.

Um lang­fris­tig die Sicher­heit von digi­ta­len Daten, Diens­ten und Net­zen gewähr­leis­ten zu kön­nen, spricht sich Han­no­ver IT für die Umset­zung fol­gen­der Hand­lungs­emp­feh­lun­gen aus:

Glei­che Kri­te­ri­en für alle Anbie­ter ermög­li­chen

Für alle Her­stel­ler müs­sen idea­ler­wei­se euro­pa­weit die glei­chen pro­dukt- und ange­bots­spe­zi­fi­schen Prüf­kri­te­ri­en, Regeln und Ver­fah­ren gel­ten. Falls ein Ver­dacht auf Spio­na­ge, Mani­pu­la­ti­on, o.ä. besteht, müs­sen die Vor­wür­fe ein­ge­hend geprüft wer­den. Fakt ist: Recht­staat­li­che Ver­fah­ren bedür­fen „har­ter Fak­ten”. Dies umfasst tech­no­lo­gi­sche, wirt­schaft­li­che und juris­ti­sche Erkennt­nis­se.

Unbe­rech­tig­te poli­ti­sche Ein­fluss­nah­me durch Dritt­staa­ten ver­hin­dern

Falls der Ver­dacht einer Ein­fluss­nah­me auf Her­stel­ler durch Dritt­staa­ten besteht, erfor­dert dies eine ein­ge­hen­de Prü­fung durch die Bun­des­re­gie­rung bezie­hungs­wei­se die zustän­di­gen EU-Insti­tu­tio­nen­/Agen­tu­ren. In die­se Prü­fung müs­sen auch gesetz­li­che Rah­men­be­din­gun­gen und gän­gi­ge Prak­ti­ken ein­be­zo­gen wer­den, denen die Anbie­ter auf ihrem Hei­mat­markt oder mit Toch­ter­ge­sell­schaf­ten in einem Dritt­staat aus­ge­setzt sind, aber für ihre Tätig­keit in der EU rele­vant sind (bspw. ver­pflich­ten­de Wei­ter­ga­be von Daten an staat­li­che Stel­len). Die Zulas­sung oder der Aus­schluss von Unter­neh­men und ihrer Ange­bo­te muss in jedem Fall nach trans­pa­ren­ten nach­voll­zieh­ba­ren Kri­te­ri­en erfol­gen (z. Bsp. eine Kom­bi­na­ti­on aus tech­ni­schen, wirt­schaft­li­chen, poli­ti­schen und juris­ti­schen Erwä­gun­gen).

Ein­sicht­nah­me in Quell­codes und Ent­wick­lungs­pro­zes­se ermög­li­chen

Mit Blick auf digi­ta­le Infra­struk­tu­ren wäre für die Stär­kung von Ver­trau­en in Anbie­ter neben einer Über­prü­fung der Hard­ware­kom­po­nen­ten, zum Bei­spiel die Ein­sicht­nah­me in Quell­codes und Ent­wick­lungs­pro­zes­se durch Behör­den­ver­tre­ter in Unter­neh­men sinn­voll. Anschlie­ßend wäre eine Zer­ti­fi­zie­rung von Tech­no­lo­gi­en, die in beson­ders sen­si­blen kri­ti­schen Infra­struk­tu­ren (wie 5G-Net­zen) ver­wen­det wer­den, durch akkre­di­tier­te Zer­ti­fi­zie­rungs­stel­len und/oder Auf­sichts­be­hör­den wie das BSI denk­bar. Auch hier müss­te das Prin­zip „glei­che Pflich­ten für Glei­che” gel­ten. Zudem muss sicher­ge­stellt wer­den, (1) dass das BSI aus­rei­chend Res­sour­cen zur Über­prü­fung der Quell­codes und Ent­wick­lungs­pro­zes­se von Soft- und Hard­ware hat, (2) wel­che Kon­se­quen­zen sich aus einer Prü­fung ohne Fund von Sicher­heits­schwach­stel­len erge­ben und (3) dass unbe­fug­te Drit­te kei­nen Zugang zu die­sen Quell­codes sowie Infor­ma­tio­nen über Ent­wick­lungs­pro­zes­se bekom­men kön­nen.

Euro­pa­weit ein­heit­li­che Sicher­heits­stan­dards zügig ent­wi­ckeln

Um den euro­päi­schen Digi­ta­len Bin­nen­markt zu stär­ken und unbe­rech­tig­te Daten­zu­grif­fe effek­tiv zu ver­hin­dern, bedarf es zudem euro­pa­weit ein­heit­li­cher Sicher­heits­stan­dards. Im Rah­men des EU Cyber­se­cu­ri­ty Acts soll­te schnellst­mög­lich ein Zer­ti­fi­zie­rungs­sche­ma für 5G- Tech­no­lo­gi­en erar­bei­tet wer­den. Bei Sche­ma­ta, die kon­kre­te Pro­duk­te betref­fen, soll­ten die­se sowohl das Wech­sel­spiel von Hard- und Soft­ware als auch Pro­zes­se, wie das Updatema­nage­ment und die Nach­voll­zieh­bar­keit von Soft­ware­ent­wick­lun­gen, abde­cken. Regio­na­le Sicher­heits­zer­ti­fi­zie­run­gen müs­sen auf inter­na­tio­na­len Nor­men basie­ren und mit inter­na­tio­na­len Rege­lun­gen zur gegen­sei­ti­gen Aner­ken­nung kom­pa­ti­bel sein. Um zu raschen Ergeb­nis­sen zu kom­men, soll­te die Exper­ti­se der deut­schen Indus­trie in die Erar­bei­tung der Cyber­si­cher­heits­zer­ti­fi­zie­rungs­sche­ma­ta ein­be­zo­gen wer­den.

Effek­ti­ve Prüf­ver­fah­ren, aus­rei­chend Res­sour­cen und Sank­ti­ons­me­cha­nis­men gewähr­leis­ten

Zer­ti­fi­zie­rungs­ver­fah­ren soll­ten stets in enger Abstim­mung zwi­schen den natio­na­len Auf­sichts­be­hör­den (in Deutsch­land das BSI), Netz­aus­rüs­tern und -betrei­bern, (Anwen­der-) Indus­tri­en, und akkre­di­tier­ten unab­hän­gi­gen Prüf­la­bo­ren erfol­gen. Das BSI benö­tigt sowohl die per­so­nel­len als auch finan­zi­el­len Res­sour­cen, um vor allem als kri­tisch ein­ge­stuf­te Tech­no­lo­gi­en nicht nur ein­ma­lig vor dem Roll-out zu zer­ti­fi­zie­ren, son­dern auch kon­ti­nu­ier­lich über den gesam­ten Pro­dukt­le­bens­zy­klus zu über­prü­fen. Falls Anbie­ter fest­ge­schrie­be­ne Stan­dards nicht ein­hal­ten, bedarf es kon­se­quen­ter Sank­tio­nen.

Engen Dia­log mit Betrei­bern kri­ti­scher IKT-Infra­struk­tu­ren eta­blie­ren

Zudem muss die Bun­des­re­gie­rung in einen engen Dia­log mit Betrei­bern kri­ti­scher IKT-Infra­struk­tu­ren tre­ten. Deren Erfah­run­gen und tech­ni­sche Exper­ti­se soll­ten als Grund­la­ge für Ent­schei­dungs­pro­zes­se her­an­ge­zo­gen wer­den. Die deut­sche Indus­trie steht für einen ver­trau­ens­vol­len und sach­ori­en­tier­ten Aus­tausch gern zur Ver­fü­gung.

Inno­va­ti­ons­freund­li­che For­schungs- und Indus­trie­po­li­tik heu­te für Mor­gen imple­men­tie­ren

Damit Euro­pa bei zukünf­ti­gen tech­no­lo­gi­schen Ent­wick­lun­gen ein Höchst­maß an tech­no­lo­gi­scher Sou­ve­rä­ni­tät besitzt, soll­ten euro­päi­sche För­der­pro­gram­me wie Hori­zon Euro­pe schon jetzt ziel­ge­rich­tet genutzt wer­den. Eine intel­li­gen­te, zukunfts­ge­rich­te­te und inno­va­ti­ons­freund­li­che For­schungs- und Indus­trie­po­li­tik muss jetzt imple­men­tiert wer­den, um in Zukunft digi­tal sou­ve­rän zu sein.

Nut­ze­rin­nen und Nut­zern sen­si­bi­li­sie­ren

Die Bun­des­re­gie­rung soll­te Bür­ge­rin­nen und Bür­gern sowie Unter­neh­men stär­ker dafür sen­si­bi­li­sie­ren, dass sich unbe­rech­tig­te Daten­zu­grif­fe kaum voll­stän­dig ver­hin­dern las­sen. Auch die Nut­ze­rin­nen und Nut­zer sind gefor­dert, ihren Bei­trag für Sicher­heit, Inte­gri­tät und Ver­füg­bar­keit von Daten zu leis­ten. Siche­re Net­ze und Daten­über­tra­gung hel­fen wenig, wenn an End­ge­rä­ten sorg­los mit Daten umge­gan­gen wird. Zum Bei­spiel soll­te bei sen­si­blen Daten eine kon­se­quen­te Ende-zu-Ende-Ver­schlüs­se­lung ein­ge­setzt wer­den — dies gilt für 5G genau­so wie für 4G, 3G und 2G. Gleich­zei­tig müs­sen Anbie­ter von Tech­no­lo­gi­en und Dienst­leis­tun­gen durch geeig­ne­te Maß­nah­men die Sicher­heit und Inte­gri­tät von Daten, Diens­ten und Net­zen gegen­über Anwen­de­rin­nen und Anwen­dern gewähr­leis­ten.

5G-Fre­quenz­ver­stei­ge­rung umset­zen

Wich­tig ist jetzt, das Augen­merk auf die nun bevor­ste­hen­de 5G-Fre­quenz­ver­stei­ge­rung zu rich­ten. Die Netz­be­trei­ber brau­chen Rechts­si­cher­heit, um den Aus­bau leis­tungs­fä­hi­ger 5G-Net­ze vor­an­brin­gen zu kön­nen.


Wer ist Han­no­ver IT?

Han­no­ver IT ist das füh­ren­de Netz­werk der Infor­­ma­­ti­ons- und Kom­mu­ni­ka­ti­ons­wirt­schaft (IKT) in Nie­der­sach­sen. Wir ver­tre­ten die wir­t­­schafts- und sozi­al­po­li­ti­schen Inter­es­sen der IKT-Bran­che im Raum Han­no­ver, die in einem stark wach­sen­den Markt mehr als 25.000 Men­schen beschäf­tigt. Ein wich­ti­ges Ziel unse­rer Arbeit ist, die Wett­be­werbs­fä­hig­keit unse­rer Bran­che im natio­na­len und inter­na­tio­na­len Wett­be­werb um Stand­or­te und Arbeits­plät­ze zu sichern. Wir wol­len das Wis­sen rund um die viel­fäl­ti­gen Facet­ten der Digi­ta­li­sie­rung ver­meh­ren und tei­len. Hier­zu erar­bei­ten wir u.a. gemein­sam Posi­tio­nen sowohl zu fach­li­chen als auch stra­te­gi­schen Fra­ge­stel­lun­gen.

Wel­che Unter­neh­men haben an die­sem Posi­ti­ons­pa­pier mit­ge­wirkt?

Ein Netz­werk ist immer nur so stark wie die Mit­glie­der, die es tra­gen. Fol­gen­de Unter­neh­men haben mit Ihrer Exper­ti­se die Erstel­lung die­ses Papiers unter­stützt:

X