Es hat viele Schleifen gebraucht, doch kurz vor Weihnachten schnürt die Regierung noch ein dickes Paket für die Cybersicherheit: Am Mittwoch wurde das 108-seitige IT-Sicherheitsgesetz 2.0 (IT-SiG) im Kabinett verabschiedet – fast zwei Jahre nach Ankündigung durch Innenminister Horst Seehofer (CSU) im Januar 2019. Heftig ist seither in der Koalition gerungen worden um die große Vertrauensfrage: Wer darf sich beteiligen am Aufbau der kritischen Infrastruktur 5G?
Es geht um die Nervenbahnen der Zukunft: Autonom fahrende Autos, ferngesteuerte Operationen, KI-gelenkte Industrieparks; all das kann künftig über das ultraschnelle Mobilfunknetz gesteuert werden. Die Komponenten könnte auch der chinesische Konzern Huawei liefern – ob er es darf, darüber streiten Industrie- und Sicherheitspolitik heftig.
Wie bei Asterix‘ Suche nach Passierschein A38
Diese Woche haben sich die Ressorts nun über die letzten Punkte des Gesetzes geeinigt, in denen es auch um die künftige Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) beim Verbraucher- und Datenschutz ging. Das soll nun zur Super-Sicherheitsbehörde entwickelt werden. Die Huawei-Frage aber wurde gelöst durch ein Verfahren, das ein wenig an Asterix‘ Suche nach Passierschein A38 erinnert.
„Wenn wir keine Lösung finden, dann bauen wir eben eine Bürokratie“, fasst Cybersicherheitsexperte Martin Schallbruch, Direktor des Digital Society Institute (ESMT Berlin) und zuvor Abteilungsleiter für Digitale Gesellschaft und Cybersicherheit im Innenministerium, den Kompromiss zusammen. „Ich hätte mir eine klare politische Entscheidung gewünscht“, bedauert er.
Bei der Suche nach einer Kompromissformel haben die Unterhändler von Innen-, Außen- und Wirtschaftsministerium sowie Bundeskanzleramt jetzt eine doppelte Eignungsprüfung erdacht: Sie besteht einerseits aus einer technischen Zertifizierung, andererseits aus einer Prüfung auf Vertrauenswürdigkeit.
Die technische Prüfung sollen BSI, Bundesnetzagentur, Hersteller und Netzbetreiber vornehmen. Sie soll klären, ob Komponenten wie Vermittlungsrechner oder Steuersoftware frei von Schwachstellen oder gar Hintertüren konstruiert sind. Letztere die Verlässlichkeit und Vertrauenswürdigkeit der Lieferanten ermitteln. Schon an der ersten Stufe scheiden sich die Geister – weil jedes einmal zertifizierte Produkt schon nach dem nächsten „Sicherheits“-Update wieder Schwachstellen haben oder mit Spitzeltürchen gespickt sein könnte.
Geprüft wird die Technik – und das Vertrauen
Deshalb wird die technische Prüfung durch eine Vertrauensprüfung ergänzt. Diese sieht nach dem aktuellsten, aber weiterhin nicht finalen Entwurf vom 9. Dezember vor, dass das Innenministerium (BMI) „im Einvernehmen mit den jeweils betroffenen Ressorts“ den geplanten Einsatz von kritischen Komponenten „untersagen“ kann. Und zwar „innerhalb von einem Monat“, wenn „überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange dem Einsatz entgegenstehen“. Die Betreiber der Kritischen Infrastruktur müssten „eine entsprechende Entscheidung“ abwarten, bevor der Einsatz beispielsweise einer 5G-Komponente gestattet ist. Dies ist der sogenannte „Untersagungsvorbehalt“.
„Jour Fixe“ der Referatsleiter
Welches Ressort betroffen ist, richte sich „nach dem Sektor der Kritischen Infrastruktur und den daraus folgenden Ressortzuständigkeiten“. Geht es um Telekommunikationsfrage, ist also das unionsgeführte Wirtschaftsministerium (BMWi) betroffen, das SPD-geführte Auswärtige Amt (AA), wenn außen- und sicherheitspolitische Belange berührt werden – aber da die eine Frage nie von der anderen zu trennen ist, müssen also BMI, BMWi und AA immer gemeinsam eine Lösung finden. Das Einvernehmen ist dabei „zwingend“ für die Entscheidung.
Woher aber sollte plötzlich innerhalb eines Monats Einigkeit kommen, wenn der Streit über den richtigen Umgang mit Huawei in den vergangenen eineinhalb Jahren nicht zu schlichten war? „Die politische Entscheidung ist nicht gelöst, sondern in die Zukunft verschoben worden“, kritisiert Schallbruch: „Denn gibt es einen Dissens, wird ja das Ministerium mit der abweichenden Meinung eskalieren und dann landet die Entscheidung am Ende in der Politik.“
Konkret sieht der Eskalationsprozess so aus: „Fortlaufend und regelmäßig“ treffen sich die zuständigen Referatsleiter aus BMI, BMWi, AA und Bundeskanzleramt zu „interministeriellen Jour Fixes“, um sich zu Entscheidungen auszutauschen, da im Zweifel eben innerhalb von 30 Tagen eine Entscheidung gefunden werden muss. Gibt es auf der Arbeitsebene kein Einvernehmen, müssen zunächst die Minister versuchen, den Dissens zu lösen. Gelingt auch das nicht, wird das Kanzleramt „über den Streit zu beraten mit dem Ziel, eine einvernehmliche Entscheidung voranzutreiben“.
Merkel muss nicht die Botschaft überbringen
Zu beachten ist dabei insbesondere der dann folgende Satz: Die „formale Erteilung des Einvernehmens“ – wie immer es dann aussehen mag – „verbleibt bei den betroffenen Ressorts“ – was der Kanzlerin eine gesichtswahrende Lösung in ihrer China-Politik erlauben würde. Denn überbringen muss die Entscheidung am Ende nicht Angela Merkel (CDU), sondern das BMI.
Genannt wird der Name „Huawei“ freilich kein einziges Mal in dem Gesetzentwurf, aber um den chinesischen Netzausrüster dreht sich die nun seit Monaten dauernde Debatte. Kritiker befürchten, der Konzern könnte – womöglich freiwillig, mindestens aber durch chinesische Gesetze gezwungen – Geheimdiensten oder staatlichen Hackern Hintertüren in deutsche Infrastrukturen öffnen oder die Voraussetzungen schaffen, um Deutschland im Konfliktfall quasi per Fernzugriff vom Netz zu nehmen.
„Bei 5G geht es um die wichtigste und wertvollste Infrastruktur für das 21. Jahrhundert. Wofür wir die Technologie alles benutzt werden, können wir heute noch nicht einmal erahnen“, betont Metin Hakverdi, China-Berichterstatter der SPD-Fraktion.“ Einen Anbieter wie Huawei in dieses Netz zu lassen, der der politischen Kontrolle der Kommunistischen Partei Chinas untersteht, halte ich für einen großen Fehler.“
Huawei hat einen „Uiguren-Alarm“ getestet
Neben der Kontrolle über die Unternehmen kommt Chinas Umgang mit den Uiguren hinzu, die in „Umerziehungslagern“ interniert werden. Gerade berichtete die „Washington Post“, dass Huawei zusammen mit dem chinesischen Konzern Megvii an einer Gesichtserkennungssoftware arbeite, mit der die überwiegend muslimische Minderheit überwacht werden soll. Huawei erklärte, dass es sich nur um einen „Test“ gehandelt habe – aber schon allein die Probe eines „Uiguren-Alarms“ dürfte das Auswärtige Amts kaum milder stimmen, wenn es zur Entscheidungsfindung für den 5G-Ausbau kommt.
Das Wirtschaftsministerium sieht jedoch auch die Bedürfnisse der Mobilfunkbetreiber. Telekom, Vodafone und Telefónica arbeiten bereits heute mit Huawei zusammen, sie brauchen dringend Rechtssicherheit für den Ausbau des 5G-Netzes, der bereits begonnen hat – doch bis das IT-Sicherheitsgesetz 2.0 in Kraft tritt, wird es auch bei einem möglichen Kabinettsbeschluss am kommenden Mittwoch dauern.
Diskussion mitten im anlaufenden Wahlkampf
Denn nach der Kabinettsentscheidung folgt zunächst die Notifizierung bei der EU-Kommission, die drei Monate dauern könnte. Zwar darf das Gesetz parallel dazu bereits zur ersten Lesung in den Bundestag, die zweite und dritte aber darf erst stattfinden, wenn es grünes Licht aus Brüssel gibt. Und so könnte die parlamentarische Debatte mitten in den Wahlkampf geraten.
Dass es im Parlament noch Nachbesserungsforderungen geben wird, steht bereits fest. Zwar geht der vorliegende Vorschlag „in die richtige Richtung“, meint Hakverdi, dass das Kanzleramt und das Wirtschaftsministerium „sich bewegt und den Weg für eine Prüfung der politischen Vertrauenswürdigkeit endlich freigemacht“ haben. Doch der angedachte Mechanismus lasse ihn zweifeln, „ob man innerhalb von 30 Tagen eine so komplexe und weitreichende Entscheidung über die politische Vertrauenswürdigkeit treffen kann.“ Nachgedacht werden sollte deshalb darüber, „diese Frist zu verlängern, insbesondere, wenn es im Kabinett unterschiedliche Meinungen dazu gibt.“
Die Unionsfraktion hatte sich Anfang Februar 2020 in einem Positionspapier zwar nicht explizit für einen Huawei-Ausschluss ausgesprochen. Doch Norbert Röttgen, Vorsitzender des Auswärtiges Ausschusses und Bewerber um den CDU-Parteivorsitz, unterstreicht immer wieder seine Skepsis, kürzlich erneut im WirtschaftsWoche-Interview: „Technische Sicherheit und politische Vertrauenswürdigkeit“ seien die Kriterien bei der Anbieter-Auswahl, „also die Frage, ob ein Unternehmen am Ende dem Einfluss und den Interessen seines Herkunftsstaates ausgeliefert ist. Wenn das der Fall ist, dann würde die digitale Infrastruktur Deutschlands mittelbar in die Hände eines fremden Staates geraten. Die Souveränität über die Netze ist eine Frage der nationalen und europäischen Sicherheit.“
Doch dass das neue Gesetz das leisten kann, genau daran haben Praktiker wie Elmar Geese erhebliche Zweifel. Der IT-Sicherheitsexperte ist Mitglied im Forum Digitale Souveränität des Digitalgipfels der Bundesregierung und kritisiert die Verknüpfung von Sicherheit und Vertrauenswürdigkeit: „Ob eine technische Komponente vertrauenswürdig ist, kann nicht durch politische Institutionen getroffen werden, sondern nur durch technische Experten.“ Was der Gesetzentwurf als Prüf- und Zulassungsprozess fordere, erst recht kombiniert mit dem Einigungsvorbehalt, werde sich praktisch nicht umsetzen lassen. „Es sei denn man will in letzter Konsequenz ganz auf 5G verzichten.“
Huawei lobt „höhere Sicherheitsstandards“
Und was sagt Huawei? Der Gesetzentwurf „bietet eine gute Grundlage, um die IT-Sicherheit in Deutschland weiter zu verbessern“, erklärte ein Sprecher. Für „alle Anbieter“ gebe es „höhere und einheitliche Sicherheitsstandards“. Durch „erweiterte Erklärungen und prozessorientierte Prüfungen werden alle Technologieanbieter gleichermaßen eingeladen, sich fair am Wettbewerb, um die Bereitstellung von 5G-Technologie zu beteiligen, wenn sie die Sicherheitsanforderungen erfüllen“, sagte der Sprecher. Dieser „fakten- und standardbasierte Ansatz“ sei „von exemplarischer Bedeutung für die Bewältigung globaler Herausforderungen der Cybersicherheit“, Huawei werde weiterhin „transparent mit Regulierungsbehörden, Kunden und Branchenorganisationen zusammenarbeiten, um die Sicherheit der Mobilfunknetze zu gewährleisten.“
Aber im Zweifel muss der Konzern eben auch mit dem chinesischen Staat zusammenarbeiten – und das dürfte bei der Vertrauensprüfung die kritische Komponente sein, wenn es um die „einvernehmliche“ Entscheidungsfindung geht.
Mehr zum Thema: Die Huawei-Frage spaltet die Bundesregierung
