Berlin In der Ampelkoalition wird eine Ausweitung der Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI) diskutiert, um die sogenannte kritische Infrastruktur (Kritis) besser gegen autoritäre Staaten wie China zu schützen. Die Überlegungen zielen darauf ab, den Aufgabenzuschnitt der Behörde so zu ändern, dass bei der Zertifizierung von IT-Technik ausländischer Hersteller wie Huawei künftig auch geopolitische Risiken berücksichtigt werden müssen.
Der Vizechef der Grünen-Bundestagsfraktion, Konstantin von Notz, begründete dies damit, dass der Einbau von Komponenten in digitale Infrastrukturen aufgrund der „hohen Bedeutung für unser gesellschaftliches Zusammenleben“ höchsten Sicherheitsstandards genügen müsse. „Um Gefahrenlagen konkret bewerten zu können, müssen bei den behördlichen Prüfungen neben technischen Erwägungen auch rechtsstaatliche, sicherheitspolitische sowie geostrategische Aspekte zum Tragen kommen“, sagte er dem Handelsblatt. „Nur so können wir den massiven Gefahren endlich konsequent begegnen.“
Auch der SPD-Außenpolitiker Metin Hakverdi hält es für geboten, das bisherige Prüfprozedere des BSI zu überdenken. „Es reicht nicht, nur eine Art Tüv für die kritische Infrastruktur durchzuführen“, sagte Hakverdi dem Handelsblatt. „Künftig muss auch eine geopolitische Bewertung als Kriterium eine zentrale Rolle spielen.“
Anlass für die Überlegungen sind die Bestrebungen des Innenministeriums von Ressortchefin Nancy Faeser (SPD), den Schutz kritischer Infrastrukturen in Deutschland deutlich zu verbessern. Das BSI soll hierfür zu einer Zentralstelle für Cybersicherheit ausgebaut werden, die den Ländern hilft, Sicherheitslücken zu schließen. Nach Ansicht der Ampelpolitiker gibt es in dieser Hinsicht jedoch auch bei der Behörde selbst Verbesserungsbedarf.
Es geht um den Umgang des BSI mit sicherheitsrelevanten Komponenten der chinesischen Firmen Huawei und ZTE, die im großen Stil in den deutschen Mobilfunknetzen verbaut sind. Zu den Aufgaben von Deutschlands oberster Cybersicherheitsbehörde gehört auch die Prüfung und Zertifizierung von IT-Produkten. Erst Ende Januar hat das BSI eine 5G-Komponente von ZTE als sicher zertifiziert.
USA verbannen Huawei-Geräte vom Markt
Dabei haben im vergangenen Jahr die USA eindringlich vor Netztechnik von ZTE und Huawei gewarnt und die Zulassung neuer Geräte verboten. Dahinter steht die Sorge, China könne über die 5G-Technik Spionage betreiben. Huawei wies die Vorwürfe stets zurück. Tatsächlich konnten bisher weder Spionage noch Sabotage eindeutig nachgewiesen werden. Huawei betont, höchsten Sicherheitsstandards zu genügen und unter keinerlei Einfluss „irgendwelcher externen Organisationen oder Personen in seinem Handeln“ zu stehen.
>> Lesen Sie auch: Regierung plant Verbot von Huawei und ZTE im deutschen Netz
Der Vizepräsident des Bundesamts für Verfassungsschutz, Sinan Selen, sieht dagegen in Huawei oder ZTE Unternehmen, „die staatlich sehr stark beeinflusst sind“, und warnte: „Ich habe nicht den Eindruck, dass die Kronjuwelen unserer Wirtschaft gut genug geschützt werden.“
Die Problematik ist der Bundesregierung bekannt. „Beide Unternehmen stehen auf verschiedenen Ebenen unter Kontrolle der Kommunistischen Partei Chinas“, heißt es in einer Ende März veröffentlichten Regierungsantwort auf eine parlamentarische Anfrage.
Der SPD-Bundestagsabgeordnete Hakverdi riet daher, sich an den USA zu orientieren. „Hier wurde schon lange realisiert, dass China ein geopolitischer Rivale ist. Das fließt im Kleinen wie im Großen in jede Bewertung ein“, erklärte Hakverdi. In Deutschland sei das noch nicht überall der Fall, und das sei das Problem auch beim BSI. „Deshalb müssen wir unseren gesetzlichen und strukturellen Werkzeugkasten anpassen und der Geopolitik mehr Gewicht verleihen“, sagte der SPD-Politiker. „Das heißt: Die Prüfkriterien des BSI müssen erweitert werden.“
Der FDP-Innenpolitiker Manuel Höferlin sieht dafür keine Notwendigkeit. Gebe es bei einer Prüfung Zweifel an der Vertrauenswürdigkeit eines Anbieters, dann erwarte er, dass das Bundesinnenministerium diese „rechtssicher vom Markt ausschließen“ werde, sagte Höferlin dem Handelsblatt. „Ein neues Prüfkriterium braucht es dafür nicht, denn Geopolitik ist mit dem Aspekt der öffentlichen Ordnung und Sicherheit Deutschlands bereits in der aktuellen Gesetzeslage erfasst.“
Für den CDU-Sicherheitspolitiker Roderich Kiesewetter greift es zu kurz, nur bei Prüfkriterien anzusetzen. „Vielmehr müssen geopolitische Erwägungen bei allen sicherheitsrelevanten Entscheidungen miteinfließen“, sagte er. Das gelte zum Beispiel auch bei Investitionszusicherungen oder wirtschaftlichen Kooperationen.
Experte sieht zusätzliche Prüfkriterien für das BSI kritisch
Sven Herpig von der Stiftung Neue Verantwortung (SNV), einem Thinktank für Digitalpolitik, wies ebenfalls auf die bereits bestehenden gesetzlichen Möglichkeiten hin. „Während die technische Beurteilung beim BSI liegt, liefern weitere Sicherheitsbehörden nachrichtendienstliche Erkenntnisse zu“, erläuterte er. Auch Ministerien wie das Auswärtige Amt oder das Wirtschaftsressort könnten Einschätzungen entsprechend ihrer Expertise abgeben. Das heißt, die geopolitische Beurteilung werde von anderen zuständigen Behörden wahrgenommen.
>> Lesen Sie auch: Kommentar – Die China-Abhängigkeit großer deutscher Konzerne schadet der Bundesrepublik
Gleichzeitig, so Herpig, zeige die Kaspersky-Warnung, dass das BSI durchaus geopolitische Aspekte bereits mitberücksichtige. Das BSI hatte vor dem Hintergrund des russischen Angriffskriegs gegen die Ukraine im März 2022 empfohlen, Virenschutzsoftware von Kaspersky durch alternative Produkte zu ersetzen. Es bestehe ein erhebliches Risiko „eines erfolgreichen IT-Angriffs“, an dem ein russischer Hersteller gegen seinen Willen als Werkzeug oder aktiv beteiligt sein könnte.
Hakverdi sieht dennoch dringenden Handlungsbedarf. „Wir sind so verletzlich in der Infrastruktur, dass wir ganz schnell Fortschritte machen müssen“, sagte er. „Man stelle sich vor, wir hätten eine Auseinandersetzung mit China, bei der es um Wirtschaftssanktionen geht. Im schlimmsten Fall könnten wir in einigen Bereichen in echte Schwierigkeiten geraten“, gab der SPD-Politiker zu bedenken. „Etwa wenn Peking unsere kritische Infrastruktur und damit unser Land über verbaute Technik chinesischer Hersteller lahmlegen würde.“
Für den Grünen-Politiker von Notz ist zweierlei wichtig – „wie die Integrität unserer kritischen Infrastruktur gewährleistet werden kann und wir uns zugleich unabhängiger von Technologien aus autoritären Staaten machen“. Seine Fraktion setze sich daher für eine „priorisierte Verabschiedung“ des „Kritis-Dachgesetzes“ ein, um den dringend erforderlichen Kurswechsel konsequent in die Umsetzung zu bringen. Mit dem Gesetz soll ein besserer Schutz der wichtigsten Sektoren erreicht werden.
In einem ersten Schritt will die Regierung Schwachstellen der bestehenden gesetzlichen Vorgaben beseitigen, um den Einsatz chinesischer Technologie in deutschen Telekommunikationsnetzen zurückdrängen zu können. Diese Vorschriften sollen dann im Rahmen des „Kritis-Dachgesetzes“ auf weitere Bereiche der kritischen Infrastruktur ausgeweitet werden. Bis zum Sommer soll ein entsprechender Gesetzentwurf vorliegen.
Mehr: Deutschlands oberste Cybersicherheitsbehörde setzt selbst Huawei-Technik ein
