Es nimmt nicht Wunder, wenn die USA dem Hersteller Huawei unterstellen, in die Telekommunikations-Technologie könnten „Hintertüren“ eingebaut sein – zum Mithören oder zum Zwecke von Sabotageakten. Es kann als offenes Geheimnis gelten, dass Geheimdienste – ganz gleich ob Ost oder West – nicht zimperlich sind bei Methoden zur Informationsgewinnung. Prominent ans Licht gekommen waren derlei Praktiken rund um den Fall der Krypto AG: CIA und der deutsche Nachrichtendienst BND beteiligten sich in den 1970er Jahren an der Schweizer Firma Crypto AG, die Verschlüsselungstechnik für Militär und Geheimdienste anbietet. Über 100 Nationen sind Kunden der Crypto AG. Damit die Geheimdienste mithören können, wurden Hintertüren eingebaut – eine Praxis, die zwischen 1970 und 1993 währte.
Politische Analysten formulieren zunehmend die Hypothese, dass sich zunehmend wirtschaftliche und technologische „Großräume“ bilden. Dazu Prof. Dr. Herfried Münkler im Interview mit DIE ZEIT vom 16.04.2020: “Meine Vermutung ist, dass wir es, intensiviert durch die Pandemie-Erfahrung, künftig mit einer Reihe von Großräumen zu tun haben werden, die nicht nur in wirtschaftlicher Hinsicht eine stärkere Autarkie ausbilden (…) Ich denke an die USA, China und Russland, dann an die Europäer, wenn sie denn zusammenbleiben. Und an Indien, sofern der Subkontinent nicht unter dem Hindu-Nationalismus zerfällt.“ Auch eine eher bi-polare Struktur wird diskutiert, mit China auf der einen Seite und USA / Europa auf der anderen Seite.
Indizien gibt es zahlreiche: Angespornt durch die Sanktionen gegen Huawei hat China seine Bemühungen um eine eigene Chip-Industrie verstärkt. Das Land mag noch ein Jahrzehnt benötigen, um zum Stand der Technologie aufzuschließen, aber das Land hat bewiesen, dass es diese strategische Konsequenz aufbieten kann. Vor Kurzem wurde zudem das weltweit größte Freihandelsabkommen RCEP zwischen China und weiteren 14 asiatisch-pazifischen Staaten abgeschlossen. Und: einige europäische Staaten haben sich dem US-Boykott des Netzwerkausrüsters angeschlossen, unter anderem Großbritannien.
Die Spionage von Geheimdiensten ist so alt wie das Staatswesen selbst. Und auch Industriespionage reicht weit zurück in der Geschichte. So gelang etwa einem französischen Jesuiten Anfang des 18ten Jahrhunderts Zutritt zur hermetisch abgeschirmten chinesischen Porzellanindustrie. Er fragte Arbeiter aus, zeichnete die Anlagen zur Porzellanherstellung ab. Das ist der Beginn der französischen Porzellanindustrie. Die Vernetzung über das Internet sowie die technologischen Schwachstellen erlauben allerdings Spionageaktivitäten anderer Größenordnung. Einen guten Überblick gibt der Sicherheitsexperte Gerhard Reischl in seinem Buch Internet of Crimes.
Die Konsequenz: Für sicherheitskritische Hardware und Software kommen sichtlich häufiger Überlegungen zur Anwendung, die man im Hinblick auf die Rüstungsindustrie kennt (Autarkie, Souveränität). Huawei ist hierfür ein einschlägiges Beispiel. Bei Hardware geht es darum, „dass zwischen PCB13 und PCB14 keine Einheit für Spionagezwecke integriert ist“ – so formulierte es kürzlich der Manager einer Firme mit Sicherheitsprodukten. PCB steht hierbei für eine Leiterplatte (Printed Circuit Board).
Eine entscheidende Frage wird sein, wie man die Grenzen zieht: Wo beginnt und endet der sicherheitskritische Bereich? Welche Hardware- und Softwareprodukte betrifft das? Nehmen wir zudem an, dass Prof. Dr. Herfried Münkler richtig liegt und Europa zu einem eigenständigen „Großraum“ wird: Wie müsste dann die Technologie-Strategie Europas aussehen, um in sicherheitskritischen Bereichen technologisch souverän zu bleiben (wenn nicht sogar autark)? Eine Grundlage gibt es bereits: 2003 einigten sich die Ressorts auf Bundesebene auf eine Definition kritischer Infrastrukturen („KRITIS“) in 9 Bereichen: Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Medien und Kultur, Wasser, Finanz- und Versicherungswesen, Ernährung, Staat und Verwaltung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI)“ hat hierzu Anforderungen formuliert, die etwa für die Sicherheit von Netzwerke in Unternehmen/Einrichtungen gelten müssen, die unter die Definition von KRITIS fallen.
Wir bereits angedeutet, kann man daraus auch eine industriepolitische Strategie ableiten. Ich arbeite beispielsweise für einen Softwarekonzern, der unter anderem eine mächtige Softwarelösung für das „Identity Access Management“ bereitstellt. Es ist eine Anwendung, die auch in globalen und komplexen Unternehmen sicherstellt, dass Mitarbeiter nur auf diejenigen Daten Zugriff haben, die für die Position/Rolle auch erforderlich sind. Wechselt ein Mitarbeiter etwa seine Stelle innerhalb des Unternehmens, werden automatisch Zugriffsrechte auf Daten entzogen (für die alte Stelle) und neue Zugriffsrechte vergeben (für die neue Stelle). Eine Vielzahl von Daten-Leakage-Skandalen lässt sich auf ein unzureichendes Management von Zugriffsrechten zurückführen.
In diesem Markt gibt es gegenwärtig noch zwei europäische Anbieter für diese Software. Nämlich Beta Systems Software AG (ein Pionier in dem Markt) und Omada. Weitere Anbieter stammen aus den USA. Dass diese Software sicherheitskritisch ist, steht außer Frage. Ist sie aber sicherheitskritisch im Sinne einer nationalen bzw. europäischen Souveränität? – Betrachten wir einmal den Worst Case: Einem Nutzer (auch einem Hacker) kann über ein „Hintertürchen“ Zugang zu ALLEN Daten verschafft werden. Nach meinem Verständnis ist das ein äußerst sicherheitskritisches Szenario, gerade im Hinblick auf Industriespionage. Will man ein Krypto AG-Szenario mit Europa als Opfer vermeiden, dann sollte die Option eines europäischen Anbieters für diese Software bewahrt werden. Und eine ähnliche Überlegungen gilt für eine Reihe weiterer Unternehmen …
Zum Weiterlesen
Kleine Chronik der Cyber Attacken
Buchempfehlung: „Internet of Crimes“ – Von Cybergrooming bis Zero Day Exploits
