Tag Archives: Huawei

The 5G security debate in Germany gains momentum

2 February 2019

Report ‘Deutsche Telekom proposes steps to make 5G safe as Huawei debate rages’ (1) published on January 30, 2019 by Reuters Technology News makes clear that at least the German government and the Deutsche Telekom started to discuss 5G security issues.

“Deutsche Telekom takes the global debate on the security of network equipment from Chinese providers very seriously,” the company said in a statement that spelled out three confidence-building measures.

The company, which is nearly one-third state owned, proposed that all critical infrastructure should be independently certified before deployment by an independent laboratory under state oversight.”

That sounds good.

“It also called for network equipment makers to submit the source code that runs their equipment to a trusted third party. Under certain circumstances, an operator would be able to gain access to address any security vulnerabilities.”

From my point of view, this is not sufficient to increase trust in Huawei’s hard- and software. Moreover, it is also not enough to investigate Huawei hardware and software only. If it comes to matters of national security we should trust no network equipment supplier.

Hardware and source code of all vendors must be verified by an independent organization. Only verified hard and software versions are approved for installation and operations. In addition, a technical testing organization must oversee the installation of hardware and software to make sure that only verified components are installed.

I strongly recommend that the German government should found an independent firm for certifying the software and hardware of any network equipment supplier involved. A trusted German partner should hold a share of at least 51% in this company. Goal of this company is not spying on the suppliers know how, but to create trust in a critical infrastructure.

View on Saargau

View on Saargau from 49.596700, 6.618173

Without trust in the 5G network infrastructure, service providers will not take full advantage of the technology. This will throw back the digitalization in Germany, and thus the German economics, by years. Internet access with 2 MBit/s, the standard in the rural German area Saargau, is definitely not enough to be competitive in the long-term, not to mention for self-driving cars or remote surgery.

Enjoy the view on Saargau.


References

1. Busvine D, Rinke A. Deutsche Telekom proposes steps to make 5G safe as Huawei debate rages. Reuters [Internet]. 2019 Jan 30 [cited 2019 Feb 2]; Available from: https://www.reuters.com/article/us-usa-europe-huawei-tech-deutsche-telek-idUSKCN1PO26K

Advertisements

Sorge um Datensicherheit im 5G-Mobilfunknetz– Berlin erwägt Huawei beim Netzausbau auszusperren

20. Januar 2019

Seit einigen Wochen häufen sich die Berichte in der Presse über Zweifel an der Vertrauenswürdigkeit des chinesischen 5G-Technologielieferanten Huawei. Australien(1) und Neuseeland(2) haben Huawei bereits als Technologielieferant ausgeschlossen, Großbritannien(3) hat erhebliche Zweifel an der Datensicherheit der Huawei Technologie.

Auch in Deutschland wird diskutiert, Huawei vom 5G-Mobilfunknetzausbau auszuschließen. Friedolin Strack, Sprecher der Geschäftsführung des Asien-Pazifik-Ausschusses der Deutschen Wirtschaft, stellt in einem Interview mit Felix Rohrbeck in der Zeit Nr. 1/2019(4) die Vertrauensfrage: „Es wäre Quatsch, Unternehmen wie Huawei grundsätzlich von europäischen Aufträgen auszuschließen. Aber im besonders sensiblen Bereich der neuen Mobilfunk-Infrastruktur muss man sich schon fragen, welchen Partnern man vertrauen kann.“

Friedolin Strack liefert im Interview Lösungsansätze für die Schaffung sicherer Kommunikationsnetze: “Konkret gibt es zwei Möglichkeiten, sichere Telekommunikationsnetze in Deutschland zu gewährleisten: zum einen über die Gestaltung der Ausschreibungen für die Vergabe der 5G-Frequenzen. Oder man passt einfach das Telekommunikationsgesetz an und verpflichtet die Betreiber auf Technologien, die Datensicherheit gewährleisten. So hat das beispielsweise Australien gelöst.”

“Technologien die Datensicherheit gewährleisten” – das klingt vielversprechend, ist jedoch nicht “einfach” per Gesetz zu erzielen. Zudem ist nicht klar, was im Umfeld der 5G-Plattform unter Datensicherheit zu verstehen ist.

Das BSI Glossar der Cyber-Sicherheit definiert Datensicherheit(5) wie folgt:

“Mit Datensicherheit wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet. Ein modernerer Begriff dafür ist Informationssicherheit.”

Friedolin Strack reduziert Datensicherheit auf Vertraulichkeit. Aus Sicht der deutschen Wirtschaft ist dies nachvollziehbar. Der Schutz von geistigem Eigentum ist die Grundlage für den Erfolg der deutschen Unternehmen auf dem Weltmarkt.

Im Umfeld der 5G Plattform ist Vertraulichkeit hauptsächlich auf 2 Ebenen relevant:

  1. Gewährleistung der Vertraulichkeit der Teilnehmerdaten.
  2. Gewährleistung der Vertraulichkeit der Nutzdaten, die Teilnehmer über die Plattform mit anderen Teilnehmern oder Diensteanbietern austauschen.

Die Vertraulichkeit der Teilnehmerdaten ist von den Serviceprovidern zu gewährleisten. Der Lieferant der Plattformtechnologie sollte im Idealfall nicht auf Teilnehmerdaten zugreifen müssen.

Technologien zur Sicherung der Vertraulichkeit der Nutzdaten sind bekannt und unabhängig von der Plattform umsetzbar. Die Ende-zu-Ende Verschlüsselung(6) ist die bevorzugte Lösung. Hier erfolgt die Ver- und Entschlüsselung der Informationen auf den Endgeräten der Teilnehmer. Solange der Plattformbetreiber keinen Zugriff auf die Schlüssel hat ist die Vertraulichkeit gewährleistet.

Voraussetzung für die Ende-zu-Ende Verschlüsselung ist die Bereitstellung einer sicheren Schlüsselverwaltungsstelle, die die Online-Identitätsprüfung der Teilnehmer ermöglicht und die öffentlichen Schlüssel der Teilnehmer für die Verschlüsselung bereitstellt.

Schneller, flächendeckender Internetzugriff ist die Voraussetzung für die erfolgreiche Digitalisierung und die Umsetzung von Industrie 4.0 in der deutschen Wirtschaft. Daneben stellt die 5G-Plattform die Infrastruktur für Smart-Grid Anwendungen im Energiesektor, Smart- und Connected-Car Anwendungen und selbstfahrende Kraftfahrzeuge im Transportsektor, e-Health Anwendungen im Gesundheitswesen, usw. bereit.

5G Security

In diesem Umfeld sind Datenintegrität und Verfügbarkeit der Plattform von größter Wichtigkeit, da deren Verlust zum Verlust der funktionalen Sicherheit führen kann. Verfälschte Energieverbrauchsdaten aus dem Smart-Grid können zu großräumigen und langandauernden Stromausfällen führen wenn die Stromnetzbetreiber falsche Entscheidungen auf Grundlage dieser Daten treffen. Der Ausfall der Plattform kann zum Stillstand der gesamten selbstfahrenden Transportflotte führen, etc. In letzter Konsequenz gefährdet der Verlust der Datensicherheit der 5G-Plattform die nationale Sicherheit Deutschlands.

Die 5G-Plattform und sämtliche Services sind kritische Infrastrukturen (KRITIS) und unterliegen damit den Regelungen des IT-Sicherheitsgesetzes. Sind die Vorgaben des IT-Sicherheitsgesetzes ausreichend, wenn es um Fragen der nationalen Sicherheit geht?

Die Überlegung, Huawei als Technologielieferant für die 5G-Plattform auszuschließen ist also berechtigt. Wir müssen diese Frage jedoch auch bei amerikanischen oder europäischen Technologielieferanten stellen – wenn es um Fragen der nationalen Sicherheit geht dürfen wir keinem Lieferanten vertrauen.

Aus meiner Sicht sind weder die Gestaltung der Ausschreibungen für die Vergabe der 5G-Frequenzen noch eine Anpassung des Telekommunikationsgesetzes ausreichend um die Datensicherheit zu gewährleisten. Die Vorgehensweise der chinesischen Regierung zur Sicherung ausländischen Knowhows ist der dritte, erfolgversprechende Weg:

  1. Jeder Technologielieferant muss mit einem deutschen Unternehmen eine Partnerschaft eingehen, an der das deutsche Unternehmen 51% der Anteile hält. Ziel der Partnerschaft ist nicht der Transfer des Knowhows auf den deutschen Partner, sondern die Gewährleistung der Datensicherheit der 5G-Plattform.
  2. Der Technologielieferant bringt alle Software mit Quellcode und Hardware in das Unternehmen ein.
  3. Die besten IT-Spezialisten Deutschlands zertifizieren die Hard- und Software, erstellen das Konzept für den sicheren Betrieb der 5G-Plattform und verifizieren dessen Implementierung.
  4. Der Technologielieferant nutzt ausschließlich die zertifizierte Hard- und Software zum Aufbau der 5G-Infrastruktur in Deutschland.

Das verzögert die Einführung der 5G-Plattform etwas, reduziert jedoch die Wahrscheinlichkeit des Verlustes der Datensicherheit drastisch.

Parallel zum Aufbau der 5G Infrastruktur ist die Schlüsselverwaltungsstelle bereitzustellen. Damit ist gewährleistet, dass die Nutzer unabhängig von der Plattform (3G, LTE, 4G, etc.) sicher kommunizieren können. Werden zudem alle E-Mails digital signiert so sind Passwort Phishing Attacken nicht mehr möglich.

Zudem muss die Forschung in neue kryptographische Methoden umgehend intensiviert werden. Die heute genutzten Public-Key-Verfahren sind im Zeitalter von Quantencomputern nicht mehr sicher.


Quellenverzeichnis

  1. ITV News. Australia bans Huawei from 5G network over security concerns [Internet]. ITV News. 2018 [zitiert 20. Januar 2019]. Verfügbar unter: https://www.itv.com/news/2018-08-23/australia-bans-huawei-from-5g-network-over-security-concerns/

  2. Jolly J. New Zealand blocks Huawei imports over ‘significant security risk’. The Guardian [Internet]. 28. November 2018 [zitiert 20. Januar 2019]; Verfügbar unter: https://www.theguardian.com/business/2018/nov/28/new-zealand-blocks-huawei-5g-equipment-on-security-concerns

  3. Taylor C. UK defense minister admits „grave concerns“ over Huawei 5G equipment [Internet]. 2018 [zitiert 20. Januar 2019]. Verfügbar unter: https://www.cnbc.com/2018/12/27/uk-defense-minister-admits-grave-concerns-over-huawei-5g-equipment.html

  4. Rohrbeck F. China: „Das ist ein gehöriges Sicherheitsrisiko“. Die Zeit [Internet]. 29. Dezember 2018 [zitiert 29. Dezember 2018]; Verfügbar unter: https://www.zeit.de/2019/01/china-unternehmen-sicherheitsrisiko-industriespionage-friedolin-strack

  5. Bundesamt für Sicherheit in der Informationstechnik. BSI – Glossar der Cyber-Sicherheit [Internet]. Glossar der Cyber-Sicherheit. [zitiert 6. Januar 2019]. Verfügbar unter: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/cyberglossar/Functions/glossar.html

  6. Ende-zu-Ende-Verschlüsselung. In: Wikipedia [Internet]. 2018 [zitiert 6. Januar 2019]. Verfügbar unter: https://de.wikipedia.org/w/index.php?title=Ende-zu-Ende-Verschl%C3%BCsselung&oldid=182680921