Fragen? Antworten! Siehe auch: Alternativlos
Demnach sollen künftig die Lieferanten der Netzbetreiber ihre Produkte unter Sicherheitsaspekten zertifizieren lassen und Sicherheitsgarantien abgeben. Diese Auflagen würden dann für alle gelten.Wie üblich in der Politik klingt das kraftvoll und agil aber ist tatsächlich bloß heiße Luft. Security-Zertifikate gibt es wie Sand am Meer. Die einzigen, die sowas wie eine Aussage haben, sind amtliche Zertifikate nach Common Criteria, die werden dann vom BSI zertifiziert und da gibt es verschiedene Abstufungen (die tatsächliche technische Prüfung führt aber auch das BSI nicht selbst durch sondern beauftragt damit andere). Das Spektrum geht von Bullshit-Blablah über Quellcode-Audits bis hin zu formaler Verifikation. Ich weiß aus zuverlässiger Quelle, dass solche Zertifikate nie verweigert werden, sondern bloß wie beim TÜV Bedingungen gestellt werden, die halt Zeit und Geld kosten, und so eine Zertifizierung braucht dann auch mindestens ein Jahr, so als Hausnummer. Es geht hier um 5G. Die Hersteller sind froh, bei 5G überhaupt was anbieten zu können. Keiner der Hersteller kann da formale Verifikation vorweisen.
Die eigentliche Schranke ist daher meinem Verständnis nach, dass man von Huawei verlangen würde, dass sie ihren Quellcode rausrücken, damit der ordentlich auditiert werden kann. Und in der Tat ist das für viele Branchen und Unternehmen direkt ein Ausschlusskriterium. Allerdings nicht für Huawei. Hauwei hat bereits mit den Briten und Australiern entsprechende Vereinbarungen unterschrieben, und die laufen auch schon seit vielen Jahren. Zwei der Five Eyes hatten also schon Zugriff, dann kann man das auch dem Rest der Welt zeigen. Und in der Tat erzählte mir heute ein Kumpel, dass Huawei in Brüssel ein Cyber Security Zentrum eröffnet hat, wo EU-Regierungen Einblick in den Quellcode nehmen können, und auditieren lassen, bis sie blau anlaufen.
Soviel also zur ersten Seehofer-Anti-Huawei-Forderung. Die ist damit ein Rohrkrepierer. Die zweite war: Sicherheitsgarantien abgeben. Da kann ich ja nur heiser lachen. Wer mein Blog schon länger liest, weiß, wie häufig ich hier aktuelle Cisco-Fuckups verlinke. Cisco ist besonders schlimm, aber die anderen Hersteller sind nicht so viel besser, dass sie ernsthaft Sicherheitsgarantien geben könnten im Sinne von "Sicherheitsschwankungen gibt es nicht, sonst haften wir". Das ist völlig illusorisch. Die kochen alle mit altem Spülwasser. Daher wird damit eher etwas gemeint sein wie "garantiert Updates innerhalb von diesem Zeitrahmen", und das kann Huawei natürlich genau so anbieten wie alle anderen. Das ist also auch ein Rohrkrepierer.
So und jetzt haben wir zwei Möglichkeiten. Entweder unser Horst ist zu blöde, um eine Formulierung zu finden, die Huawei wirklich ausschließt — ooooder unser Horst ist so schlau, den Amis eine Nebelwand-Formulierung hinzulegen, um die ruhigzustellen, damit dann doch alle Huawei kaufen (weil die preislich einfach mal die Hälfte der Konkurrenz aufrufen), und den Amis zu sagen, es tut uns leid, wir haben unser Bestes gegeben. Da bin ich gerade ein bisschen in der Zwickmühle. Ich würde mir natürlich gerne vorstellen, dass unser Innenminister schlau genug ist, die Amis so zu verarschen. Aber … der Seehofer?! Da fehlt mir gerade dir Vorstellungsgabe dafür.
Update: Noch ein Gedanke am Rande: Zertifizierung ist inhaltlich die Antithese zu agiler Softwareentwicklung. Eigentlich ist es schockierend, dass Hersteller das überhaupt mitmachen. Windows hat mal eine Zertifikation gekriegt, und das war dann unter praxisnahen Annahmen wie "hat kein Diskettenlaufwerk und keine Netzwerkkafte". Das ist lange her, sieht man ja schon an den Diskettenlaufwerken, die damals noch üblich waren. Ein Zertifikat ist natürlich wertlos und müsste neu gemacht werden, wenn die Software gepatcht wird. Aber wir patchen schneller als wir ein Zertifikat nachprüfen können. Insofern kann eigentlich grundsätzlich kein Softwareprodukt ein Security-Zertifikat haben oder gar damit werben, das den Namen auch verdient. Entweder das Zertifikat trifft zu, aber dann wurde die Software nicht mehr gepatcht seit dem und ist deshalb unsicher, oder es gab Patches aber dann zertifiziert das Zertifikat nicht die eingesetzte Version und ist damit hinfällig.
Update: Übrigens sei nochmal der Hinweis gestattet, dass wir bei Huawei keinerlei Unterlagen haben, die beweisen würden, dass Geheimdienste Hintertüren einbauen. Bei Cisco gab es solche Unterlagen in den Snowden-Unterlagen.
Update: Und noch eine Bemerkung am Rande: Hier geht es jetzt erstmal nur um 5G, aber bei der Verbreitung in existierenden Netzen (LTE z.B.) ist Huawei sehr stark. Man muss diesen Vorstoß der Amerikaner jetzt also so lesen, dass die den Fuß in die Tür kriegen wollen. Wenn die EU jetzt tatsächlich beschließt, dass Huawei nicht in unserer kritischen Infrastruktur eingesetzt werden darf, dann müsste man ja auch die alte Hardware aus den Racks reißen und durch andere Hardware ersetzen. Wir reden da von Milliardenkosten!
Update: Stellt sich raus: Huawei hat auch in Bonn schon seit November 2018 ein "Security Innovation Lab", wo sie dem BSI Quellcodeanalysen ermöglichen wollen.