Kategorie: Spionage

BDSG-Reform: Gesichtserkennung und Scoring

11. Juli 2024

Das Bundesdatenschutzgesetz (BDSG) soll erneuert werden. Hierfür fand am 24.06.2024 im Bundestag eine Anhörung statt. Im Rahmen der Diskussionen zur BDSG-Reform ging es vor allem um Überwachung mittels Gesichtserkennung und die Regeln zu Schufa-Scoring. Bemerkenswert war insbesondere die Forderung nach einem Verbot biometrischer Überwachung im öffentlichen Raum durch automatisierte Systeme. (mehr …)

Kategorien: BDSG · Gesetzesvorhaben · Spionage

EU-Polizei drängt auf Client-Side-Scanning

20. Juni 2024

Die Debatte um verschlüsselte Kommunikation und die Zugriffsrechte von Strafverfolgungsbehörden spitzt sich weiter zu. Die Polizei- und Justizbehörden der EU intensivieren ihre Forderungen nach Methoden zum Umgehen von Verschlüsselung auf privaten Endgeräten. Deshalb drängt die EU-Polizei in einem am 11.06.2024 veröffentlichtem Bericht insbesondere auf das sogenannte Client-Side-Scanning (CSS). Dieser Ansatz ermöglicht das Durchsuchen und Ausleiten privater Kommunikation direkt auf den Endgeräten der Nutzer und ist deshalb besonders effektiv. Er birgt jedoch auch erhebliche Risiken für die Privatsphäre und die Datensicherheit. (mehr …)

Der EU Cyber Solidarity Act

24. April 2023

Am 18. April 2023 stellte die Europäische Kommission den EU Cyber Solidarity Act vor, um die Prävention, Erkennung und Reaktion auf Cyber-Sicherheitsvorfälle in der gesamten EU zu verbessern.

Verbesserung der Cyber-Sicherheit in der EU

Das Ziel des EU Cyber Solidarity Act sei es, die Kapazitäten in der EU zu stärken, um bedeutende und groß angelegte Cyber-Sicherheitsbedrohungen und Angriffe zu erkennen und darauf zu reagieren. Der Vorschlag umfasst ein europäisches Cyber-Sicherheitsschild, das aus miteinander verbundenen Security Operations Centres (SOCs) bestehen soll, sowie einem umfassenden Cyber-Sicherheits-Notfallmechanismus, um die Cyber-Sicherheit der EU zu verbessern.

Die Security Operations Centres sollen in mehreren länderübergreifenden SOC-Plattformen zusammengefasst werden. Diese SOCs sollen dabei fortschrittliche Technologien wie künstliche Intelligenz (KI) und Datenanalyse einsetzen, um Bedrohungen zu erkennen Dies soll eine schnellere und effizientere Reaktion auf größere Bedrohungen ermöglichen. Das Cyber-Sicherheitsschild soll insgesamt die Erkennung, Analyse und Reaktion auf Cyber-Bedrohungen verbessern.

Cyber-Sicherheits-Notfallmechanismus

Der Cyber-Sicherheits-Notfallmechanismus soll sicherstellen, dass die Vorbereitung und Reaktionen auf Cyber-Sicherheitsvorfälle verbessert werden. Dieses Ziel möchte man durch die Folgenden Schritte erreichen:

  • Unterstützung bei Vorbereitungsmaßnahmen
  • Überprüfung von Einrichtungen in wichtigen Sektoren wie Finanzen, Energie und Gesundheitswesen auf potenzielle Schwachstellen, die sie anfällig für Cyber-Bedrohungen machen könnten
  • Gemeinsamen Risikobewertung auf EU-Ebene
  • Schaffung einer EU Cyber-Sicherheitsreserve
  • Gegenseitige Unterstützung innerhalb der EU

Cybersecurity Incident Review Mechanism

Schließlich sieht der EU Cyber Solidarity Act auch die Einrichtung eines Cybersecurity Incident Review Mechanism vor. Dieser Mechanismus wird dazu beitragen, spezifische Cybersecurity-Zwischenfälle zu analysieren und Empfehlungen zur Verbesserung der Reaktion auf solche Vorfälle abzugeben.

Die Europäische Agentur für Cybersicherheit (ENISA) wird für die Überprüfung spezifischer oder groß angelegter Cybersecurity-Zwischenfälle verantwortlich sein. ENISA soll dann einen Bericht erstellen, der Lehren aus dem Zwischenfall zieht und gegebenenfalls Empfehlungen zur Verbesserung der EU-Cyberabwehr enthält.

Finanzierung

Die Umsetzung des EU Cyber Solidarity Act werde durch den Digital Europe Programme (DEP) finanziert. Der DEP unterstützte die digitale Transformation Europas und habe unter anderem den Auftrag, die europäische Cybersecurity zu stärken.

Für den EU Cyber Solidarity Act werden insgesamt 842,8 Millionen Euro zur Verfügung gestellt, wovon 100 Millionen Euro aus anderen Bereichen des DEP umgeschichtet werden. Dies soll die Umsetzung des Cybersecurity-Ziels des DEP verstärken.

Ein Teil der zusätzlichen 100 Millionen Euro werde dazu verwendet, das Budget des European Cybersecurity Competence Center (ECCC) zu stärken, um Maßnahmen im Bereich der SOCs und der Vorbereitung umzusetzen. Der Rest des Geldes werde zur Unterstützung der Einrichtung des EU Cybersecurity Reserve eingesetzt. Zusätzlich zu den Mitteln des DEP erwarte man auch auch Beiträge der Mitgliedstaaten, die das Budget des EU Cyber Solidarity Act auf bis zu 1,109 Milliarden Euro erhöhen könnten.

Fazit

Der EU Cyber Solidarity Act ist ein wichtiger Schritt zur Verbesserung der Cybersecurity in Europa. Durch die Einrichtung von SOCs, die Unterstützung der Vorbereitungsmaßnahmen und die Schaffung eines EU Cybersecurity Reserve würde die EU besser auf zukünftige Cybersecurity-Bedrohungen vorbereitet sein. Gleichzeitig wird die Einrichtung eines Cybersecurity Incident Review Mechanism dazu beitragen, dass die EU aus vergangenen Zwischenfällen lernen und ihre Cyberabwehr stetig verbessern kann.

Russland bereitet laut Medienberichten Cyberangriffe vor

31. März 2023

Nach umfassenden Recherchen durch mehrere Medien aus acht verschiedenen Ländern, darunter der Spiegel, das ZDF, der Guardian und die Washington Post, wurde bekannt, dass russische Geheimdienste in Zusammenarbeit mit einer Moskauer IT-Firma weltweit Cyberangriffe auf Einrichtungen der kritischen Infrastruktur planen.

Die „Vulkan-Files“, die aus den Jahren 2016 bis 2021 stammen, wurden von einem anonymen Whistleblower veröffentlicht, der über den Krieg Russlands in der Ukraine verärgert war.

Gezielte Angriffe auf die Infrastruktur

Offiziell gibt sich NTC-Vulkan als ein Beratungsunternehmen für Cybersicherheit aus. Das Unternehmen ist allerdings Teil des militärisch-industriellen Komplexes in Russland. Ein kürzlich aufgetauchtes Leck vertraulicher Dateien hat aufgedeckt, dass sie an der Förderung von Putins Cyberwarfare-Fähigkeiten beteiligt sind. Diese durchgesickerten Dokumente, die Tausende von Seiten umfassen, zeigen, wie die Vulkan-Ingenieure mit dem russischen Militär und den Geheimdiensten zusammenarbeiten. Ihre Arbeit umfasst die Unterstützung von Hacking-Operationen, die Ausbildung von Agenten für Angriffe auf die nationale Infrastruktur, die Verbreitung von Desinformationen und die Kontrolle über bestimmte Teile des Internets. Die Verbindung des Unternehmens mit dem föderalen Geheimdienst Russlands (FSB), den operativen und nachrichtendienstlichen Abteilungen der Streitkräfte (GOU und GRU) und dem Auslandsgeheimdienst (SVR) wurde durch diese Dokumente nachgewiesen.

Sowohl NTC-Vulkan als auch der Kreml wurden mehrfach um eine Stellungnahme gebeten, dort wollte man sich jedoch nicht zu den Enthüllungen äußern. Die Echtheit der Vulkan-Dateien wurde allerdings von fünf westlichen Geheimdiensten bestätigt. Die durchgesickerten Dokumente enthalten auch Beispiele für potenzielle Ziele, darunter eine Karte mit Punkten, die Orte in den USA markieren, sowie Details über ein Kernkraftwerk in der Schweiz.

Verbindungen zu westlichen Konzernen

Nachdem sie NTC-Vulkan verlassen hatten, arbeiteten mehrere ehemalige Mitarbeiter für große westliche Unternehmen wie Amazon und Siemens. Beide Unternehmen haben die Beschäftigung dieser ehemaligen Vulkan-Mitarbeiter eingeräumt, aber erklärt, dass ihre internen Kontrollen einen unbefugten Zugang zu sensiblen Informationen verhinderten. Einige dieser ehemaligen Mitarbeiter leben nun in EU-Ländern, darunter Deutschland, und arbeiten nach Angaben verschiedener Medien für globale Technologieunternehmen. Das Sicherheitsrisiko, das von diesen ehemaligen Vulkan-Ingenieuren ausgehe, sei unklar, ebenso wie die Frage, ob sie die Aufmerksamkeit westlicher Spionageabwehrbehörden auf sich gezogen haben oder nicht.

Bedrohungen auf dem Vormarsch

Die Enthüllungen kommen zu einem Zeitpunkt, an dem die Bedrohung durch Cyberangriffe auf die kritische Infrastruktur und die Spannungen mit Russland zunehmen. Eine solche Infrastruktur umfasst wichtige Systeme wie Stromnetze, Wasserwerke, Krankenhäuser und Transportnetze, die von Regierungen und Unternehmen auf der ganzen Welt betrieben werden.

Die potenziellen Auswirkungen solcher Angriffe auf die kritische Infrastruktur sind enorm. Sie könnten nicht nur die betroffenen Einrichtungen lahmlegen, sondern auch zu einer Kaskade von Problemen führen, die sich auf andere Bereiche ausbreiten können. Zum Beispiel könnte ein Angriff auf das Stromnetz in einer Stadt dazu führen, dass Krankenhäuser ohne Strom bleiben und lebenswichtige medizinische Geräte nicht mehr funktionieren. Die Entdeckung der Vulkan Files ist ein alarmierendes Zeichen dafür, dass solche Angriffe immer gezielter und aggressiver werden.

Wie können sich Regierungen und Unternehmen vor diesen Bedrohungen schützen?

Insgesamt sind die Vulkan Files ein alarmierendes Beispiel für die Bedrohung durch Cyberangriffe auf die kritische Infrastruktur und verschärfen zusätzlich den Konflikt mit Russland. Die Sicherheitsmaßnahmen müssen verstärkt werden, um Angriffe zu verhindern oder schnell darauf reagieren zu können. Das bedeutet, dass ein stärkeres Bewusstsein für Cyber-Sicherheitsrisiken in allen Bereichen geschaffen werden muss. Regierungen müssen sicherstellen, dass ihre kritische Infrastruktur ausreichend geschützt ist, und Unternehmen müssen sicherstellen, dass ihre Netzwerke sicher und robust sind.

Immer Ärger mit TikTok

15. März 2023

TikTok: eine harmlose Plattform für Jugendliche zum Teilen unterhaltsamer Videos mit dem Wunsch viral zu gehen oder eher eine Gefährdung für Regierungen und Gesellschaften? Zwei Standpunkte, die nicht weiter entfernt voneinander sein könnten. Eine Plattform mit mehr als einer Milliarden Nutzer*innen weltweit sorgt bei mehreren Anlaufstellen für Bauchschmerzen. Darunter ist die EU-Kommission sowie das Federal Bureau of Investigation (FBI). Selbst der ehemalige Präsident der Vereinigten Staaten, Donald Trump, wollte den Dienst vollends verbieten.

Über TikTok

Mit mehr als einer Milliarde Nutzer*innen ist die Plattform im Weltweiten Ranking lediglich auf Platz vier. Zur Veranschaulichung der Nutzerzahlen ist Meta (ehemalig Facebook) mit 2,9 Milliarden Nutzer*innen auf dem ersten Platz. Hinter dem Dienst steht das chinesische Unternehmen ByteDance. Zu den Problemfeldern zählt insbesondere der nach westlichen Standards mangelnde Daten- und Jugendschutz, eine umfangreiche politische Zensur, die Verbreitung von Fake News, Werbung für Fake-Markenartikel, betrügerische Inhalte bis hin zu möglicher Spionage des chinesischen Staates durch die Auswertung von Nutzerprofilen. Verantwortliche Sprecher*innen des Dienstes streiten nach autokratischem Muster alle Anschuldigungen immer wieder konstant ab.

Datenschutzrechtliche Bedenken

Mit einer Social-Media-App wie TikTok wird europaweit ein kaum vorstellbares Maß an personenbezogenen Daten generiert. Fraglich ist an dieser Stelle natürlich, wie mit diesen Daten verfahren wird und wer am Ende wirklich Zugriff auf diese haben könnte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert Bedenken gegenüber TikTok eher zurückhaltend. So erklärt das BSI, dass sich mit dem Aufstieg des Dienstes auch immer wieder warnende Stimmen zu Wort melden, die einen Abfluss der Benutzerdaten nach China befürchteten. China, ein Land ohne Angemessenheitsbeschluss.

Bringt der Digital Services Act die Lösung?

Das neue EU-Gesetz ermöglicht ggf. ein Verbot. EU-Kommissar Thierry Breton äußerte sich folgendermaßen dazu: „Wir werden nicht zögern, alle möglichen Sanktionen zu beschließen, wenn Prüfungen nicht die volle Einhaltung erkennen lassen“. Der Digital Services Act (DSA) wird ab dem 1. September dieses Jahres für große Plattformen anwendbar sein. Es bleibt abzuwarten, wie scharf das Schwert des DSA sein wird. Eine drastische Anpassung der internationalen Tech-Giganten an europäische Standards würde wohl von mehreren Stellen begrüßt werden.

 

Der Entwurf der EU-Kommission zur geplanten Chatkontrolle

19. Dezember 2022

In letzter Zeit haben Chatkontrollen immer mehr an Bedeutung gewonnen. Dabei handelt es sich um Maßnahmen, die dazu dienen, die Kommunikation in Online-Chats zu überwachen und gegebenenfalls zu beschränken. Diese Kontrollen werden oft von Unternehmen und Regierungen eingesetzt, um die Sicherheit und Integrität von Online-Communities zu gewährleisten.

Allerdings gibt es auch Bedenken hinsichtlich der Implikationen von Chatkontrollen. Kritiker argumentieren, dass solche Maßnahmen die Meinungsfreiheit einschränken und dazu führen können, dass wichtige Diskussionen und Debatten unterdrückt werden. Es besteht die Gefahr, dass Chatkontrollen zu Unrecht angewendet werden und somit zu falschen Entscheidungen führen.

Der Entwurf der EU-Kommission zur Neuregelung der „Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“, auch bekannt als CSA-Verordnung steht massiv unter Druck.

Der Grund: Der Entwurf zur neuen CSA-Verordnung macht keine genauen Vorgaben dazu, mit welchen konkreten Technologien die geplanten Maßnahmen umgesetzt werden sollen. Dafür sollen die Plattform-Betreiber verantwortlich sein. Gleichzeitig wird solchen Tech-Konzernen das Recht eingeräumt, hochgradig grundrechtseinschränkende Technologien zu entwickeln und zu verwenden. Um aber das Ziel der neuen CSA-Verordnung zu erreichen, also die Erstellung und die Verbreitung von Kindesmissbrauchsdarstellungen aktiv zu bekämpfen, sollen bestehende und erfolgreiche Strukturen des Kinderschutzes und deren Ausbau gefördert werden.

Ist Tech-Solutionismus die Lösung?

Der Tech‑Solutionismus besagt, dass Probleme durch neue Technologien gelöst werden können. Zugleich hat die Einführung komplexer neuer technischer Systeme meist die Entstehung von neuen Problemen zur Folge. Insbesondere die im Entwurf genannten algorithmischen Entscheidungssysteme sind nicht näher spezifiziert. Die tatsächliche Erkennung, so sieht es der Bericht vor, bleibt „technologieneutral“.

Zudem ist das automatisierte Melden von Inhalten ein viel komplexeres Problem, was sich an andere Anwendungsfälle bereits heute schon zeigen lässt. Die Algorithmen schlagen ohne inhaltliche Grundlage überdurchschnittlich häufig bei der Kommunikation unterrepräsentierter Gruppen an. Damit setzt so ein Entscheidungssystem die gesellschaftliche Diskriminierung fort, wobei aufgrund ihrer scheinbaren Objektivität die Entscheidung weniger angreifbar macht. Technische Lösungen können wohl nur so neutral sein, wie die Gruppe, die sie schafft, und die Daten, auf denen sie basiert.

Verschlüsselte Kommunikation aufbrechen

Die CSA-Verordnung sieht vor, digitale Kommunikationswege, wie Messenger, Chats auf Spieleplattformen, in Lern-Apps oder Ähnlichem, zu überprüfen. Genauso sollen Anwendungen, die die Kommunikation zwischen den Gesprächsteilnehmenden verschlüsseln, überwacht werden. Damit ist eine wirklich Ende-zu-Ende-verschlüsselte Kommunikation nicht mehr möglich. Eine ständige und dauerhafte Prüfung widerspricht aber dem Prinzip der Verschlüsselung: Entweder funktioniert sie und ist daher von keiner Instanz aufgebrochen werden oder sie ist kaputt.

Das “Datenschutzgrundrecht”

Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme schützt unsere persönlichen Daten und unsere privaten Kommunikationen, die digital gespeichert oder verarbeitet werden. Bei präventiven Eingriffen in diesen Schutzbereich sind insbesondere dem Staat hohe Hürden gesetzt: Solche Eingriffe sind immer nur anlassbezogen zulässig. Der Entwurf der CSA führt aber dazu, dass solche geschützten Bereiche aufgrund kontinuierlicher maschineller und menschlicher Überwachung nicht mehr existieren können. Insbesondere Journalisten, Whistleblower und Anwälten sind besonders auf intakte Verschlüsselung ihrer Kommunikation angewiesen. Die Überwachung durch Chatkontrollen würden ihre Arbeit nahezu aushebeln.

 

US-Bundesstaat Indiana verklagt TikTok wegen Daten- und Jugendschutzverstößen

8. Dezember 2022

Wie der Generalstaatsanwalt des US-Bundesstaats Indiana, Todd Rokita, am 7. Dezember 2022 bekannt gab, muss sich die chinesische Videoplattform TikTok in zwei Klageverfahren wegen seiner undurchsichtigen Datenverarbeitungspraktiken verantworten. Rokita bezeichnete die Plattform als „Trojanisches Pferd“, welches insbesondere bei Kindern und Jugendlichen großen Schaden anrichte.

Unangemessene Inhalte träfen auf Spionage

Die beiden Klagen des US-Bundesstaats thematisieren einen mangelnden Jugendschutz einerseits und andererseits mangelnden Datenschutz, der eine Spionage US-amerikanischer Nutzerinnen und Nutzer durch die chinesische Regierung ermögliche.

Obwohl die App im App-Store ab 12 Jahren freigegeben sei, würden Kinder und Jugendliche auf TikTok häufig mit unangemessenen Inhalten konfrontiert. So zeige TikTok diesen beispielsweise sexuelle und gewalttätige Inhalte sowie Alkohol- und Drogenmissbrauch. Dabei erlaube TikTok diese Inhalte nicht bloß, sondern schlage sie sogar gezielt vor. Mithilfe der Algorithmen sollten demnach junge Menschen von der App abhängig gemacht werden.

Hinsichtlich des Datenschutzes bemängelt Rokita insbesondere die Verbindungen TikToks zu China. Die chinesische Regierung habe einen erheblichen Einfluss auf die App, auch wenn TikTok dies abstreite. Problematisch sei hier unter anderem, dass die Daten von US-amerikanischen Nutzerinnen und Nutzern auf chinesischen Servern gespeichert würden, obwohl TikTok Verbindungen zu China in seinen Datenschutzbestimmungen im US-Markt unterschlage. Dabei seien diese Informationen in den EU-Datenschutzbestimmungen bereits enthalten. Entgegen TikToks Aussagen bestünde kein ausreichender Schutz vor Spionage seitens China. Insbesondere habe die chinesische Regierung bereits zuvor Interesse an der Datensammlung von TikTok gezeigt.

Erste Klage dieser Art – aber kein neuer Vorwurf

Die Vorwürfe gegen TikTok sind nicht neu. Zwar ist Indiana der erste Bundesstaat, der auf dem Klageweg gegen die App vorgeht. Doch schon 2020 hatte der damalige US-Präsident Donald Trump mit einem Verbot gedroht, woraufhin China mit einem Verkaufsstopp für Software-Algorithmen gekontert hatte. US-Präsident Joe Biden hatte den Verbotsversuch gestoppt. Zuletzt verboten die Gouverneure der US-Bundesstaaten Texas, Maryland, North Dakota und South Dakota sowie verschiedene Bundesministerien TikTok auf Dienstgeräten von Behördenangestellten. Auch der FBI-Chef Christopher Wray hatte Sicherheitsbedenken geäußert.

 

Huawei: US-Regierung warnt NATO-Staaten vor gefährlichen Schwachstellen

2. Dezember 2022

Auf dem NATO-Gipfel in Bukarest kamen in der vergangenen Woche die Mitgliedsstaaten der Allianz zusammen. Neben dem russischen Angriffskrieg wurde dort auch die Sicherheit der IT-Infrastruktur der Verbündeten thematisiert. Im Zuge dessen warnte die US-Regierung Deutschland und andere europäische Verbündete vor dem chinesischen Netzausrüster Huawei. Die Sicherheit der Netz- und IT-Infrastruktur sei auch für die Sicherheit der NATO essenziell. Mobilfunknetze sollten demnach vor chinesischem Einfluss abgesichert werden.

Weitere Verbote in den USA

Die USA weisen schon länger auf die engen Verbindungen zwischen Huawei und den chinesischen Behörden hin und warnen vor Spionage und Sabotage. Die Regierung erließ unter Präsident Trump ein Embargo, das amerikanischen Unternehmen nicht gestattet, mit Huawei Geschäfte zu betreiben.

„Die Vereinigten Staaten sind der Überzeugung, dass wir nicht-vertrauenswürdigen Anbietern nicht gestatten können, an unserer digitalen Infrastruktur, einschließlich unseres 5G-Netzes, mitzuwirken“, erklärte die NATO-Botschafterin der USA, Julianne Smith, in einem Interview mit dem Handelsblatt.  Der Einsatz solcher Anbieter würde „inakzeptable Risiken für die nationale Sicherheit mit sich bringen und zugleich eine Gefahr für die Privatsphäre der Bürger darstellen“.

Vergangene Woche wurde dann auch die Zulassung neuer Telekommunikationsgeräte der chinesischen Unternehmen Huawei Technologies und ZTE durch die US-Regierung verboten, da sie ein „inakzeptables Risiko“ für die nationale Sicherheit der USA darstellten.

Die US Federal Communications Commission (FCC) teilte am Freitag mit, dass sie die endgültigen Regeln verabschiedet habe, die auch den Verkauf oder die Einfuhr von Geräten des chinesischen Überwachungsgeräteherstellers Dahua Technology, der Videoüberwachungsfirma Hangzhou Hikvision Digital Technology und der Telekommunikationsfirma Hytera Communications Corp. verbieten. Dieser Schritt ist das jüngste Vorgehen Washingtons gegen chinesische Tech-Giganten, von denen befürchtet wird, dass Peking sie zum Ausspionieren von Amerikanern einsetzen könnte.

Auch in Deutschland umstritten

Als die Diskussion um Sicherheitsbedenken durch den Einsatz von Netzwerktechnik aus der Volksrepublik China im Jahr 2019 zuletzt aufkam, hatte die damalige Bundesregierung noch betont, dass man zwar die Bedenken zur Kenntnis genommen habe, selbst aber keine Konsequenzen vorsehe.

Nach mehreren Warnungen leitete auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Untersuchungen ein, die noch nicht abgeschlossen sind.

Als Reaktion auf die steigende Spionagegefahr in kritischen Infrastrukturen wie Mobilfunknetzen wurde in Deutschland das sog. Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) Ende Mai 2021 verkündet. Kurze Zeit später veröffentlichte die Bundesnetzagentur als Ergänzung des Gesetzes den gemeinsam mit dem BSI erarbeiteten neuen Katalog für die Sicherheitsanforderungen für Telekommunikationsnetze. Mit diesem Gesetz wurden nicht nur Betreibern Kritischer Infrastrukturen strengere Vorgaben für die IT-Sicherheit auferlegt, sondern erstmals auch Vorschriften für Unternehmen im besonderen öffentlichen Interesse erlassen. Bei Nichteinhaltung drohen hohe Bußgelder. Ordnungswidrigkeiten können laut §14 Abs. 5 BSIG mit Geldbußen von bis zu 2 Mio. Euro belegt werden. Darüber hinaus ist es möglich, kritische Bauteile zu verbieten, wenn deren Einsatz den „sicherheitspolitischen Zielen der Bundesrepublik Deutschland, der EU oder der NATO“ entgegensteht oder der Hersteller „unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird“.

Nicht wenige Bundestagsabgeordnete fordern bereits, das Gesetzt vollumfänglich auszuschöpfen und bei Bedarf die Regelungen auch weiter zu verschärfen.

Verbraucher:innen in Deutschland auch unmittelbar betroffen

Neben Huawei sind beispielsweise auch Xiaomi, Vivo und OPPO Technologie-Hersteller aus China. Vor einem Kauf von Hard- und Software sollten Verbraucher:innen auch Aspekte der technischen Sicherheit sowie das Vertrauen in den Hersteller berücksichtigen. Nach einer Recherche des ZDFs gehen Experten aber durchaus davon aus, dass Huawei „im Ernstfall“ auf den Smartphones seiner Nutzer Spionage-Software installieren könnte. Bei Produkten von kleineren unbekannteren Herstellern sei dabei besondere Vorsicht geboten.

Regierungsinterne Diskussionen gehen weiter

Laut Medienberichten wollen neben den USA auch Australien, Neuseeland, Japan, Frankreich, das Vereinigte Königreich, Taiwan, einige osteuropäische Staaten sowie das Baltikum beim 5G-Ausbau auf Komponenten von Huawei verzichten. Zusätzlich soll Huawei-Technologie aus bereits existierenden 3G- wie auch 4G-Netzen teilweise entfernt werden. Das weitere Vorgehen in Deutschland steht aktuell noch auf dem Prüfstand.

In Zukunft sollen strengere Prüfungen im Einzelfall über die Zulassung von entsprechenden Komponenten in 5G-Netzen entscheiden. Zusätzlich befasst sich die Bundesregierung aktuell mit einem neuen Entwurf zur China-Strategie. Das Dokument wurde bisher allerdings noch nicht veröffentlicht – wir halten Sie auf dem Laufenden.