Die Debatte um Huawei beschäftigt uns seit einiger Zeit. Sie offenbart die massiven Versäumnisse der Bundesregierung in der IT-Sicherheitspolitik. Schließlich diskutieren wir über die Überprüfbarkeit von Hard-und Software seit vielen Jahren. Das seit vielen Monaten andauernde Hin und Her der Bundesregierung ist peinlich. Die jetzige Debatte sollten wir nutzen, um uns – anbieterunabhängig und grundsätzlich – mit diesen zentralen Fragen der digitalen Gesellschaft auseinanderzusetzen. Doch genau das tut die Bundesregierung nicht. Dadurch vergibt sie auch die Chance, die digitale Souveränität Europas und Deutschlands zu stärken. In einem Gastbeitrag, den ich gemeinsam mit Franziska Brantner, europapolitische Sprecherin der grünen Bundestagsfraktion, verfasst habe, fordern wir die Bundesregierung auf, ihr bisheriges Handeln zu überdenken und sich mit längst auf dem Tisch liegenden Fragen zu beschäftigen. Unser Gastbeitrag, den wir hier dokumentieren, ist im Handelsblatt erschienen.

Warum die Huawei-Debatte eine digitalpolitische Chance für Europa ist

Gastbeitrag von Konstantin von Notz & Franziska Brantner

Der Fall Huawei offenbart erhebliche Defizite unserer IT-Sicherheitspolitik. Eine klare Positionierung der Bundesregierung ist längst überfällig. Die Sicherstellung der Integrität unserer digitalen Infrastrukturen müsste längst eine zentrale staatliche Aufgabe sein – in Deutschland und in Europa. Doch bislang wird der Staat seiner sich direkt aus dem Grundgesetz abzuleitenden Verantwortung für den effektiven Schutz der Privatheit von Kommunikation und digitalen Infrastrukturen nicht ansatzweise gerecht. Wie eklatant die Versäumnisse sind, zeigt der Fall Huawei exemplarisch. Gleichzeitig bietet sich derzeit die große Chance, Dinge grundsätzlich zu klären und die digitale Souveränität Deutschlands und Europas langfristig zu sichern. Doch diese Chance verspielt die Bundesregierung bislang fahrlässig durch Desinteresse und jahrelange Untätigkeit.

Der Fall Huawei offenbart die erheblichen Defizite unserer bisherigen IT-Sicherheitspolitik in aller Schonungslosigkeit. Trotz einer seit Jahren intensiv geführten Diskussion um die Nicht-Überprüfbarkeit von Hard- und Software ist es hier bis heute nicht gelungen, Mindeststandards für den Einsatz von IT – zumindest in besonders schützenswerten Netzen – zu definieren. Gleichzeitig ist es nicht gelungen, die seit Jahren bestehenden Defizite und den Umstand abzustellen, dass wir noch immer keine unabhängigen Stellen zur Überprüfung und Zertifizierung von eigesetzter Hard- und Software haben. Das Versagen der Bundesregierung auf diesem zentralen Zukunftsfeld rächt sich nun bitter. Dabei ist die Debatte alles andere als neu. Sie wurde beispielsweise im Rahmen der Aufklärung des parlamentarischen Untersuchungsausschuss zur NSA/BND-Affäre bereits intensiv geführt. Dort beschäftigten sich Abgeordnete und Bundesregierung vor Jahren schon einmal sehr intensiv mit der Frage, wie vertrauenswürdig von deutschen Unternehmen und Sicherheitsbehörden eingesetzte digitale Technologien eigentlich sind. Und schon damals wurde deutlich, dass wir kaum wissen, welche Komponenten wir wo einsetzen, mit welchen IT-Sicherheitsrisiken dies verbunden ist und welche „Hintertüren“ in welchen Netzen verbaut sind.

Digitale Infrastrukturen sind die Hauptschlagadern unserer durch und durch technologisierten Gesellschaft. Wie verheerend es ist, sich nie angemessen mit diesen zentralen Fragen beschäftigt und von unabhängigen Aufsichtsstrukturen überprüfbare Kriterien zumindest für besonders kritische Bereichen definiert zu haben, lernt die Bundesregierung derzeit auf sehr schmerzhafte Weise. Ganz Europa schaut momentan darauf, wann und wie sich Deutschland in Sachen Huawei verhält. Die Erwartungshaltung und der – auch und gerade von engen Verbündeten – derzeit ausgeübte Druck auf die Bundesregierung sind zweifellos hoch. Die Mittel, die eigenen Interessen durchzusetzen, waren von verschiedener Seite fragwürdig. Gerade vor diesem Hintergrund wäre es an der Zeit, sich selbstbewusst und zukunftszugewandt endlich den vielen offen Fragen zu stellen.

Doch wo Führung und die Klärung zentralen Zukunftsfragen der digitalen Gesellschaft gefordert wären, sind bislang ein hochnotpeinliches, monatelanges Hin- und Her, anhaltende Grabenkämpfe zwischen verschiedenen Ministerien und Sicherheitsbehörden sowie ein geostrategisches Blinken der Kanzlerin in Richtung China zu beobachten, was den Blick auf tatsächliche, langfristige Lösungen und einer echten digitalen Souveränität Deutschlands und Europas verstellt. In diesem Sinne sind wir ganz bei der EU-Kommissionspräsidentin Ursula von der Leyen, die gerade sagte: „Es ist unsere Pflicht, an einem besseren System zu arbeiten, das auf unseren Werten von Freiheit, Demokratie und Rechtsstaatlichkeit basiert.“

Deutsche Fahrräder sicherer als die eigene IT-Infrastruktur

Kauft man in Deutschland ein Fahrrad, so kann man sich sicher sein, dass es verkehrstauglich ist und aufwändige Prüfverfahren durchlaufen hat. Gerade als Bürgerinnen und Bürger einer der wichtigsten Industrienationen der Welt weiß man: Regulierung ist alles andere als Teufelswerk, sie verhindert keinen Wettbewerb. Im Gegenteil: Sie ermöglicht ihn oft erst auf hohem Niveau. Sie schützt Verbraucherrechte und bietet Unternehmen Rechtssicherheit.

Dennoch gibt es bis heute kaum Vorgaben und Mindeststandards für die Beschaffenheit und Einsatz von IT-Komponenten, was schlicht absurd ist, wenn man die Bedeutung von teils winzigen Bauteilen wie Chips mit denen eines Fahrrads für die Souveränität und die Sicherheit unserer digitalen Gesellschaft vergleicht. Eine gute IT-Sicherheitspolitik müsste längst integraler Bestandteil einer Industrie-, Sicherheits- und Gesellschaftspolitik sein, die verstanden hat, welche Bedeutung Vertrauen und Integrität in der digitalen Gesellschaft zukommt. Ist sie aber nicht.

Die Herausforderungen sind zweifellos groß. Für alles, was regelmäßige Software-Updates braucht, wird die Sache kompliziert. Im „Mobilfunk 5.0“ verschwimmt die Grenze zwischen dem sichtbaren und dem unsichtbaren Teil des Netzwerks. Antennen sind kleine Rechenzentren, sich ständig veränderte Software macht die Netze leistungsfähig, aber eben auch anfälliger für Angriffe. Oder anders ausgedrückt: Wer heute Schlüsselkomponenten für das 5G-Netz liefert, erhält damit auch die Möglichkeit des Zugangs zu unseren Energienetzen, der Finanzwelt, zu Krankenhäusern, Unternehmen und privaten Wohnungen. Das einpreisend sind echte Handlungen zum Schutz der Integrität unserer digitalen Infrastrukturen überfällig. Denn wenn wir den digitalen Wandel unserer Gesellschaft nicht proaktiv und selbstbestimmt gestalten, tun es andere – mit vielleicht nicht so guten Absichten.

Eine klare Positionierung der Bundesregierung auf nationaler Ebene in Sachen Huawei, bei der bestehende Gesetzesgrundlagen in China und sehr weitreichende Verbindungen zwischen dem Unternehmen und der chinesischen Staatsregierung, genauso aber geplante Einsatzgebiete in den Blick genommen werden müssen, ist überfällig. Hier kommen wir zu dem Schluss, dass der Einsatz von Huawei-Komponenten Risiken birgt, die nur äußerst schwer abzusehen sind. Gleichzeitig monieren wir, dass wir diese wichtige Debatte bislang zu sehr im nationalstaatlichen Kämmerlein statt mit unseren europäischen Verbündeten gemeinsam geführt haben. Neben Entscheidungen, die unsere nationalstaatliche Souveränität nicht gefährden, brauchen wir ein entschlossenes, gemeinsames Handeln auf europäischer Ebene. Ein solches wäre mit echten Kraftanstrengungen und Investitionen verbunden, würde aber die digitale Souveränität der EU als Perspektive erst in Reichweite rücken. Langfristig ist nur so die Integrität der digitalen Infrastrukturen, die Wettbewerbsfähigkeit und die digitale Souveränität zu erreichen.

Bei 5G notfalls Verzögerungen in Kauf nehmen

Die jetzt zu treffenden Entscheidungen hätten zweifellos auch eine große geopolitische Relevanz: Letztlich geht es um die Positionierung Europas auf dem hart umkämpften Technologie-Markt und die Frage, ob wir den Anspruch haben, digital souverän zu werden. Unter diesen Bedingungen sollte Europa auf die eigenen Stärken setzen und sich nicht länger in Abhängigkeiten von anderen begeben.

Der Weg ist zweifellos ein langer: Schon heute haben Telekom, Vodafone und Telefónica Komponenten von Huawei in den 3G- und 4G-Netzen verbaut, zum Teil zu mehr als 50 Prozent. Je größer der Anteil eines Herstellers im Netz, desto höher die Abhängigkeit. Soweit, so logisch. Änderungen werden Zeit in Anspruch nehmen. Gerade weil 5G so viel mehr ist als nur „schnelles Internet“, weil es zukünftig eine so zentrale Rolle spielen wird, müssen wir Abhängigkeiten jedoch schnellstmöglich reduzieren. Hier müssen wir abwägen, ob wir schnellstmöglich ein 5G-Netz zur Verfügung haben wollen oder es gegebenenfalls besser ist, gewisse Verzögerungen in Kauf zu nehmen, dafür aber später sicherere Netze zu haben. Wir sind der Meinung: Für hochsicherheitsrelevante digitale Infrastrukturen auch zukünftig auf Konzerne aus autoritären Staaten zu setzen, ist schlicht fahrlässig.

Die Herausforderungen werden zweifellos nicht dadurch kleiner, dass es derzeit nur eine Handvoll Konzerne gibt, die 5G-Technologie an die Mobilfunkanbieter liefern können. Zwei der führenden Unternehmen in diesem Bereich kommen aus Europa: Nokia und Ericsson. Beide bauen schon heute 5G-Netze auf der ganzen Welt, vor allem in den USA, aber auch in Asien und Europa. Sie können technologisch durchaus mithalten und sind innovativ: echte europäische Tech-Champions, von denen es nicht gerade viele gibt. Auf ihre Stärken sollten wir uns besinnen.

Bislang führen wir die Debatte um die Rolle Huaweis, um die digitale Souveränität Europas und um Versäumnisse in der IT-Sicherheitspolitik leider noch immer extrem oberflächlich. Obwohl die zentralen Fragestellungen auf dem Tisch liegen, diskutieren wir sie bisher viel zu zögerlich. Das muss sich endlich ändern. Wir müssen die sich derzeit bietende Chance einer echten digitalpolitischen Neuaufstellung Europas nutzen.

Die Bundesregierung muss die jetzt begonnene Debatte nutzen, endlich zu verstehen, dass die vielen zu klärenden Fragen weit über das 5G-Netz und Huawei hinausgehen. Vielmehr muss die eigene, bisherige IT-Sicherheitspolitik grundlegend hinterfragt werden. Es geht um die Frage, warum wir eigentlich bis heute, fernab des 5G-Netzes, so gut wie keine Mindeststandards für Geräte des sogenannten „Internet der Dinge“ haben, die heute schon millionenfach in deutschen Haushalten und Unternehmen verbaut sind.

Europäische Industriepolitik digital denken

Für alle Tech-Firmen, auch und gerade für die europäischen, müssen verbindliche Mindeststandards definiert, diese von unabhängiger Seite kontrolliert und Verstöße nötigenfalls durch ein klares Haftungs-Regime auch tatsächlich sanktioniert werden. Beachten wir dies, könnten gute, überprüfbare IT-Technologien und „IT-Security made in Germany/Europe“ weltweit ein noch größerer Exportschlager werden als dies schon heute der Fall ist. Aufgabe deutscher Regierungspolitik müsste sein, zusammen mit Frankreich und anderen wichtigen Akteuren die relevanten Player an einen Tisch zu bringen und die deutsche und europäische Industriepolitik neu zu denken, nämlich digital.

Warum gibt es noch immer keine „Bundescloud“ oder eine europäische Lösung und warum speichern selbst Bundesbehörden bis heute sensibelste Daten auf US-Servern, obwohl der Bundesbeauftragte für den Datenschutz (und damit die zuständige, unabhängige Aufsichtsbehörde) diese Praxis mit Hinweis auf gesetzliche Grundlagen wie den „Patriot Act“ als schlicht „rechtswidrig“ einstuft. All dies sind Baustellen, die seit Jahren bekannt sind, aber dennoch nie angegangen wurden, auch weil sie im fachlich zuständigen Bundesinnenministerium nie politische Priorität genossen – trotz aller Datenskandale und aller Angriffen auf Unternehmen, den Bundestag und das Regierungsnetz. Das muss sich endlich ändern.

Zu guter Letzt muss gefragt werden, welchen Teil unsere eigene, bisherige IT-Sicherheitspolitik zur Gefährdung der IT-Sicherheit leistet, beispielsweise durch das starre Festhalten der Bundesregierung am staatlichen Handel mit Sicherheitslücken, die immer auch Hackern als Einfallstore offen stehen. Wir sollten uns fragen, ob es wirklich sinnvoll ist, Millionen Euro in das Brechen von Kryptografie zu investieren statt diese Mittel proaktiv in gute Verschlüsselungstechnologien und die Härtung digitaler Infrastrukturen zu investieren. Wir sollten massive Versäumnisse der vergangenen Jahre schnellstmöglich aufholen, überfällige Grundsatzentscheidungen treffen und insgesamt eine 180-Grad-Kehrtwende im Bereich der IT-Sicherheitspolitik einleiten.

Tun wir all dies endlich, eröffnet sich die Chance, uns in europäischen und internationalen Diskussionen an die Seite derer zu stellen, die eine wertegeleitete, den Prinzipien der Offenheit und Überprüfbarkeit verpflichtenden IT-Sicherheitspolitik wollen. Dies bietet ein enormes Potential – für den Schutz von Grundrechten, die Stärkung unserer digitalen Souveränität und den deutschen wie europäischen Wirtschaftsstandort.

Konstantin von Notz ist Vize-Chef der Grünen-Fraktion, seine Kollegin Franziska Brantner europapolitische Sprecherin.

Tags

Comments are closed

Archive