5G testet die Grenzen der Cybersicherheit in der Schweiz
Immer mehr Regierungen gehen das Risiko ein, mit ausländischen Anbietern von 5G-Netzwerken zusammenzuarbeiten. Die Schweiz als eine der ersten Anwenderinnen der Technologie steht deshalb im Blickpunkt. Wird sie ausländische Anbieter wie Huawei in der 5G-Lieferkette einschränken oder den Markt entscheiden lassen?
Nehmen wir an, ein Hacker greife eine 5G-Antenne an und sende schädliche Signale an Millionen von angeschlossenen Geräten. Dies verursache einen Ausfall des Verkehrssystems und des Energienetzes und bringe die Städte zum Stillstand. Der Schaden breite sich schnell auf die Netzwerke anderer Länder aus und führe zu einem massiven Angriff auf das globale Internet
Dieses SchreckensszenarioExterner Link – es ist gar nicht so weit hergeholt – zeigt, dass bei allen Vorteilen, welche die durch 5G ermöglichte Verbindungsfähigkeit mit sich bringen könnte, auch die Sicherheitsanforderungen steigen. Die in der vergangenen Woche veröffentlichte EU-weite Risikobewertung der 5G-CybersicherheitExterner Link bestätigt diese These. Die Abhängigkeit kritischer Dienstleistungen von 5G-Netzen bedeute, dass eine erhebliche Störung wahrscheinlich besonders schwerwiegende Folgen haben werde.
«Jeder technologische Wandel birgt Chancen und Risiken», sagt Florian Egloff, Leiter des Center for Security Studies der ETH Zürich.
Weil kein Schweizer Unternehmen über die Mittel verfügt, um die Infrastruktur für ein 5G-Netz zu liefern, müsse die Schweiz auf «ausländische Technologieanbieter zurückgreifen, wenn sie die 5G-Technologie einsetzen will».
Der Fall Huawei
Im Falle von 5G ist in erster Linie der chinesische Telekommunikationsriese Huawei in der Lage, alle erforderlichen Elemente eines 5G-Netzes zu verhältnismässigen KostenExterner Link zu produzieren.
Dies weckt Ängste vor chinesischer Cyberspionage und Forderungen nach staatlichen Schutzmassnahmen. Diese reichen wie im Fall der USA und Australien von völligen Verboten bis hin zu Vorschlägen für neue Sicherheitsprotokolle in der Europäischen UnionExterner Link.
Die Warnungen haben sich auch in der Schweiz niedergeschlagen. Anfang des Jahres stellten Schweizer Politiker FragenExterner Link zu den Risiken einer Zusammenarbeit mit Huawei.
Die Schweiz hat Hunderte von 5G-AntennenExterner Link im Land aufgestellt und ist damit einer der weltweit führenden 5G-PioniereExterner Link.
Alle drei grossen Schweizer Telekom-Betreiber – Salt, Sunrise und Swisscom – haben die Bewilligung erhalten, das Land mit 5G-Antennen abzudecken, und alle haben Huawei-Geräte in ihren Fest- und Mobilfunknetzen. Sunrise hat Huawei auch mit der Bereitstellung der Technologie für das 5G-Netz beauftragt.
Die Schweizer Regierung sagt, dass sie die Sicherheitsbedenken ernst nehme. Aber sie räumt auch ein, dass ihr die Hände gebunden seien.
Ein Sprecher des Bundesamts für Kommunikation (BAKOM) sagte gegenüber swissinfo.ch, dass der Staat aus rechtlichen Gründen nicht in der Lage sei, die Netzbetreiber bei deren Wahl von Geräteanbietern zu beeinflussen.
Was ist 5G?
5G ist die nächste Generation der drahtlosen Mobilfunktechnologie, die höhere Datengeschwindigkeiten, bessere Reaktionsfähigkeit und die Möglichkeit bietet, gleichzeitig mit mehr Geräten zu verbinden. In Fachkreisen wird 5G als digitales NervensystemExterner Link der künftigen Gesellschaft bezeichnet.
Die Technologie soll dazu beitragen, Robotik und Automatisierung, virtuelle und erweiterte Realität sowie künstliche Intelligenz und maschinelles Lernen voranzutreiben. Weitere Informationen darüber, wie die Schweiz 5G entwickelt, finden Sie hierExterner Link.
Wer ist verantwortlich?
Wer ist also für die Sicherheit dieser Technologie verantwortlich? Die nationale Sicherheit fällt in den Zuständigkeitsbereich der Regierung. Aber die Gesetzgebung kann nicht immer Schritt halten mit den schnellen technologischen Veränderungen.
Der Entwurf für ein revidiertes Fernmeldegesetz der Schweiz enthält einen spezifischen Artikel zur Cybersicherheit, der die Unternehmen auffordert, alle unbefugten Manipulationen an ihren Telekommunikationsgeräten zu bekämpfen.
Weder im Fernmeldegesetz noch in der letzten Überarbeitung des DatenschutzgesetzesExterner Link werden jedoch potenzielle Gefahren erwähnt, die sich aus Verträgen mit ausländischen Anbietern von Soft- oder Hardware ergeben.
«Das Fernmeldegesetz wurde in einer Phase entwickelt, in der das Thema ausländische Anbieter nicht auf der Tagesordnung stand», sagt Florian Roth, Rechtsanwalt mit Schwerpunkt Telekommunikationsrecht bei Walder Wyss in Zürich.
Es gibt eine Reihe von unverbindlichen SicherheitsrichtlinienExterner Link, die auf das Jahr 2009 zurückgehen.
Auch die revidierte Cybersicherheits-Strategie der Schweiz bleibt eher vage, so dass es den privaten Akteuren überlassen bleibt, Massnahmen zu ergreifen, die in der Strategie nicht spezifiziert sind, sagt Roth.
Der Ansatz ist laut Roth typisch für die Schweizer Regulierungsbehörde. «Es ist sehr pragmatisch. Die Regulierungsbehörde delegiert oft an die Akteure auf dem Markt, angemessene Massnahmen zu ergreifen.»
Damit liegt ein Grossteil der Verantwortung für die Netzsicherheit in den Händen der Telekommunikation.
Für diese Unternehmen gibt es derzeit keine verbindlichen Regeln für die Nutzung von Hardware ausländischer Anbieter. Sie sind auch nicht gesetzlich verpflichtet, einen Sicherheitsverstoss zu melden, es sei denn, dieser verursache grössere Störungen des Dienstes oder des Netzwerks.
Dies kann sich mit der Umsetzung des revidierten Schweizer Datenschutzgesetzes ändern, aber es ist nicht klar, wann dieses in Kraft treten wird.
Sowohl Swisscom als auch Sunrise teilten swissinfo.ch mit, dass sie Risikobewertungen von Lieferanten durchführen und Bedrohungen für den Staat regelmässig überwachen und melden würden. Sunrise wies auch darauf hin, dass Huawei die Systeme liefere und betreibe, die Daten selbst aber bei Sunrise bleiben würden.
Die mehrheitlich in staatlichem Besitz befindliche Swisscom erklärt, dass sie in allen Verträgen und mit allen Anbietern Exit-Klauseln habe. Kooperationen haben Fristen, die in der Regel nach fünf bis zehn Jahren überprüft und neu ausgeschrieben werden.
Darüber hinaus veröffentlicht das Unternehmen regelmässig einen Cybersicherheitsbericht.Externer Link
Das Problem der Hintertüren
Einige Cybersicherheits-Experten sagen jedoch, dass diese Massnahmen möglicherweise nicht ausreichten. Eine grosse Frage betrifft so genannte «Backdoors» (Hintertüren) oder versteckte Remote Access Points (Fernzugänge), die genutzt werden können, um die Kontrolle über ein Gerät zu erlangen.
Da 5G-Netze laut dem EU-Bericht weitgehend auf Software basieren werden, könnten grössere Sicherheitsmängel es den Akteuren erleichtern, absichtlich Hintertüren in Produkte einzubauen, die schwieriger zu erkennen sind.
Laut einem Nachtrag zum Cybersicherheits-Artikel im Fernmeldegesetz hält sich die Regierung zurück, die Telekommunikationsanbieter aufzufordern, nach physischem Zugang und Hintertüren in der Hard- und Software zu suchen.
Ein Sprecher des BAKOM sagte gegenüber swissinfo.ch, dass dies aus Machbarkeitsgründen weitgehend ausgelassen wurde. Es sei für Telecom-Unternehmen oft nicht möglich, weil sich die Kunden-Computer irgendwo befänden.
Abwarten
Im Moment scheint die Schweizer Regierung abwartend zu sein und zuerst zu beobachten, was in der EU passiert.
Mehr
Die Schweiz, eine Insel des 5G-Widerstands
Die Regulierungsbehörde muss auch den Schutz der Privatsphäre und den Wettbewerb auf dem Markt gegeneinander abwägen, wenn sie schärfere Massnahmen zur Erhöhung der Cybersicherheit erwägt, sagt Roth.
Schliesslich geht auch darum, die Beziehungen zu China – einem der wichtigsten Handelspartner der Schweiz – nicht zu gefährden.
Über alles betrachtet, nehme die Schweizer Regierung die Belange der Lieferkette ernst, ist Egloff von der ETH Zürich überzeugt.
Der jüngste CybersicherheitsberichtExterner Link von 2018 stellt fest, dass im Land eine allgemeine Diskussion darüber stattfinde, wie sich die Schweiz «von der Abhängigkeit von den beiden Technologie-Giganten USA und China» befreien könne. Die Regierung kündigte ausserdem die Errichtung eines Kompetenzzentrums für Cybersicherheit an.
Aber die Herausforderungen sind sowohl aus strategischer als auch aus technischer Sicht enorm. Eine Studie des Center for Security Studies an der ETH Zürich weist darauf hin, dass es nach wie vor Unklarheiten in den Beziehungen zur Privatwirtschaft und fehlende Anreize für Unternehmen gebe, sich mit Fragen der nationalen Sicherheit zu befassen.
Die entscheidende Frage, sagt Egloff, lautet: «Ab wann sollte der Staat die Unternehmen mit der Sicherung ihrer Infrastruktur beauftragen beziehungsweise sie dabei unterstützen?»
(Übertragung aus dem Englischen: Peter Siegenthaler)
In Übereinstimmung mit den JTI-Standards
Einen Überblick über die laufenden Debatten mit unseren Journalisten finden Sie hier. Machen Sie mit!
Wenn Sie eine Debatte über ein in diesem Artikel angesprochenes Thema beginnen oder sachliche Fehler melden möchten, senden Sie uns bitte eine E-Mail an german@swissinfo.ch