Die neuen Sicherheitsanforderungen für den Bau von 5G-Netzen nehmen Gestalt an – jedenfalls in technischer Hinsicht. Ein von der Bundesnetzagentur am Dienstag veröffentlichter Katalog legt die Kriterien und Regeln fest, welche die Telekommunikationsunternehmen beim Einkauf von Komponenten, dem Bau und dem Betrieb der Netze zu beachten haben. Spezielle Vorgaben für den umstrittenen chinesischen Ausrüster Huawei gibt es darin nicht.

Die Vereinigten Staaten und Großbritannien haben ihn vom Bau ihrer 5G-Netze ausgeschlossen, weil sie ihm eine zu große Nähe zur Regierung in Peking vorwerfen und Sicherheitsrisiken bis hin zu Spionage und Sabotage befürchten. In Berlin will man so weit nicht gehen, wenngleich es auch dort Bedenken gibt.

Die Maßgabe aus dem Kanzleramt, dem Bundeswirtschaftsministerium und dem Verkehrsministerium lautet wiederum, dass Huawei-Lieferungen nicht von vorneherein verboten werden sollen. Sie sollen vielmehr nach denselben Vorgaben geprüft und bewertet werden wie die der europäischen und amerikanischen Konkurrenten.

Fortlaufende Sicherheitsüberwachung

Dieser Linie folgt der von der Netzagentur zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Datenschutzbeauftragten des Bundes ausgearbeitete Katalog. Sicherheitskritische Komponenten müssen zertifiziert werden, von Herstellern und Lieferanten sind „Vertrauenswürdigkeitserklärungen“ einzuholen. Und die Netzbetreiber sollen stets bei verschiedenen Herstellern einkaufen, um Abhängigkeiten zu vermeiden.

„Es ist sicherzustellen, dass durch die Abhängigkeiten von Dritten die Sicherheit von Netzwerken oder Dienstleistungen sowie personenbezogener Daten nicht beeinträchtigt wird“, heißt es in dem Papier, ein Passus, der immerhin auf Huawei gemünzt sein könnte. Auch wird die ausdrückliche Verpflichtung verlangt, dass vertrauliche Kundendaten nicht ins Ausland gelangen.

Grundsätzlich müssen die Netzbetreiber die „Zuverlässigkeit, Vertrauenswürdigkeit und Qualität“ von Lieferanten überprüfen. Eine fortlaufende Sicherheitsüberwachung in den Unternehmen und andere Schutzvorkehrungen sollen im laufenden Betrieb die Netze sichern.

Mit dem neuen Katalog werde dafür gesorgt, „dass moderne, leistungsfähige und sichere 5G-Netze aufgebaut und betrieben werden können“, sagte BSI-Präsident Arne Schönbohm. Ob sich die Politik mit den technischen Vorgaben zufrieden geben wird, oder ob sie sich doch das letzte Wort selbst vorbehalten will, ist indes weiterhin unklar. Der Entwurf geht nun zur Notifizierung an die Europäische Kommission, so dass es noch weitere Änderungen geben könnte.

Parallel dazu hat die Netzagentur als „kritisch“ eingestufte Funktionen identifiziert, die nach den Worten ihres Vizepräsidenten Wilhelm Eschweiler einen „besonders hohen Schutz“ aufweisen müssen und für die deshalb zusätzliche Sicherheitsanforderungen gelten sollen. Dazu zählen etwa die Kundenverwaltung, Verschlüsselungen, netzwerkübergreifende Schnittstellen und die Steuerung des Datentransports.

Bis Ende September werden Stellungnahmen eingeholt. Anschließend soll die Liste regelmäßig aktualisiert werden.