Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern, für Bau und Heimat vom 1. April 2019 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 19/9041 19. Wahlperiode 03.04.2019 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Matthias Büttner, Dr. Dirk Spaniel, Wolfgang Wiehle, weiterer Abgeordneter und der Fraktion der AfD – Drucksache 19/8593 – Sicherheitsüberprüfung von Netzelementen durch das Bundesamt für Sicherheit in der Informationstechnik V o r b e m e r k u n g d e r F r a g e s t e l l e r Einem starken Datenschutz muss nach Auffassung der Fragesteller in Zeiten der Digitalisierung und der damit einhergehenden einfacheren Verbreitung und Missbrauch von sensiblen Daten ein hoher Stellenwert eingeräumt werden. Die Fragesteller vertreten die Ansicht, dass bei sensibler Netzinfrastruktur sicherzustellen ist, dass die digitale Souveränität gewahrt bleibt. Nach Ansicht der Fragesteller gehört Telekommunikation (unter anderem Mobilfunk- und Glasfasernetze ) zur kritischen Infrastruktur des Landes. Die Systeme und Netzelemente von Huawei Technologies Co. Ltd. und ZTE Corp. wurden deshalb bei mehreren befreundeten Regierungen für den weiteren Ausbau in kritischen Infrastrukturen ausgeschlossen (www.faz.net/ aktuell/wirtschaft/diginomics/japan-verbietet-regierungsauftraege-fuer-huaweiund -zte-15929277.html). Das Auswärtige Amt und der Bundesnachrichtendienst sind jedoch nach umfangreicher Prüfung des Sachverhaltes nun ebenfalls zu der Überzeugung gekommen , dass die Systeme und Netzelemente von Huawei Technologies Co. Ltd. und ZTE Corp. nicht in kritischen Infrastrukturen verbaut werden dürfen (www.handelsblatt.com/politik/deutschland/5g-ausbau-bnd-und-auswaertigesamt -warnen-vor-chinas-macht-ueber-huawei/23991388.html?ticket=ST-10237 47-dXgmgKdP9ZblgHgrRhbF-ap1). Das Bundesamt für Sicherheit und Information (BSI) entgegen sieht immer noch keinen Anlass, die Systeme und Netzelemente von Huawei Technologies Co. Ltd. für den weiteren Ausbau auszuschließen, weil es diese für sicher hält. Für so gravierende Entscheidungen wie einen Bann bräuchte man Belege. In einem extra von Huawei Technologies Co. Ltd. eingerichtetem Labor könne das BSI die Sicherheit überprüfen. Das BSI hat mitgeteilt, dass bislang keine Unsicherheiten oder Bedrohungen festgestellt wurden (www.spiegel.de/ netzwelt/netzpolitik/5g-netzausbau-bsi-spricht-sich-gegen-huawei-boykottaus -a-1243708.html, www.computerbild.de/artikel/cb-News-Internet-5G- Ausbau-Deutschland-Huawei-Spionage-22952595.html). Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/9041 – 2 – Deutscher Bundestag – 19. Wahlperiode Medienberichten zufolge verständigten sich hochrangige Regierungsvertreter jedoch darauf, die Sicherheitsanforderungen an die Netzinfrastruktur zu verschärfen . Diese sollen von der Bundesnetzagentur gemeinsam mit dem BSI zeitnah vorgelegt werden; unter anderem soll eine Verpflichtung zur Zertifizierung des verwendeten Equipments durch das BSI vorgesehen sein (www.zeit.de/ news/2019-02/14/eu-sicherheitskommissar-warnt-vor-chinesischer-it-dominanz- 190214-99-989604, www.teltarif.de/huawei-5g-spionageverdacht-bundesregierung/ news/75493.html). Es besteht ein breiter Konsens unter den Experten, dass Huawei Technologies Co. Ltd. bei dem Entwicklungstand der 5G-Mobilfunksysteme dem Markt über ein Jahr voraus ist. So ist der ehemalige Präsident des Bundesnachrichtendienstes , Gerhard Schindler, der Ansicht „Wir sind also gar nicht in der Lage, zu beurteilen, was da eingebaut wird. Es sind daher Szenarien denkbar, dass im Krisenfall unser Netz abgeschaltet wird, worauf wir nicht vorbereitet sind.“ (www.n-tv.de/wirtschaft/Frueherer-BND-Chef-warnt-vor-Huawei-article2085 5160.html). 1. Wie kann das BSI die Systeme und Netzelemente von Huawei Technologies Co. Ltd. prüfen, für sicher erklären und zertifizieren, wenn es in Deutschland kaum Entwickler und Experten gibt, die ebenfalls diesen Vorsprung in dieser Technologie – plus der erforderlichen Erfahrung hierzu, die Sicherheit zu prüfen – haben, um das beurteilen zu können? Die Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfolgt nach dem erprobten Schema unter Einbeziehung privater Prüfstellen , die vom BSI lizenziert sind (www.bsi.bund.de/zertifizierung). 2. Wie viele Entwickler und Experten, die den benötigten Anforderungen genügen , gibt es nach Kenntnis der Bundesregierung in Deutschland? Hierzu sind der Bundesregierung keine Erhebungen bekannt. 3. Wie war es möglich, innerhalb des BSI umfangreiches Personal mit so hoher Expertise, die nach Einschätzung der Fragesteller ja noch über dem von Huawei Technologies Co. Ltd. liegen muss, in so kurzer Zeit aufzubauen? a) Seit wann arbeitet dieses Personal mit dieser hohen Expertise für das BSI? b) Wurde dieses Personal vom BSI ausgebildet, hat es sich die Expertise während der Tätigkeit für das BSI erarbeitet, oder wurde die Expertise „eingekauft“? Die Fragen 3 bis 3b werden gemeinsam beantwortet. Die Expertise des BSI-Personals entspricht den Anforderungen. Die Personalstärke des BSI wird den jeweiligen Anforderungen entsprechend angepasst. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/9041 4. Da solche Experten nach Ansicht der Fragesteller in der Wirtschaft fehlen und hohe Einkommen erzielen, stellt sich die Frage, was die Prüfung eines einzigen Netzelementes von Huawei Technologies Co. Ltd. kostet, bis alle Tests durchlaufen sind, und ein Netzelement von Huawei Technologies Co. Ltd. als sicher erklärt werden kann? a) Welche Personalkosten fallen hierbei an (bitte getrennt nach Besoldungsstufen und Planstellen auflisten)? b) Welche weiteren Kosten, neben Personalkosten, fallen bei der Überprüfung eines einzigen Netzelementes an (bitte einzeln auflisten)? Diese Frage kann vor Festlegung der Erweiterung des Katalogs an Sicherheitsanforderungen für den Betrieb von Telekommunikationsnetzen nicht beantwortet werden, da der Bedarf an Zertifizierung und Standardisierung noch nicht abschließend festgelegt wurde. c) Wer trägt diese Kosten? Die Kosten für Zertifizierungsverfahren trägt der Antragsteller, bei Produkten ist das üblicherweise der Hersteller. Die Kosten sind der Kostenverordnung für Amtshandlungen des BSI zu entnehmen. 5. Wer hat das BSI beauftragt, bei Bauteilen des asiatischen Herstellers Huawei Technologies Co. Ltd. zu überprüfen, ob die Sicherheitsfreigabe dieser einzelnen Netzelemente für den Einsatz in deutscher kritischer Infrastruktur erteilt werden kann? a) Handelt es sich um einen Regelauftrag, bei dem alle Komponenten aller Hersteller überprüft werden? b) Wie oft werden Komponenten geprüft? c) Wird nach einem Firmwareupdate erneut geprüft? Die Fragen 5 bis 5c werden gemeinsam beantwortet. Die Erteilung einer Sicherheitsfreigabe für den Einsatz von Komponenten in Kritischer Infrastruktur ist generell nicht gesetzlich vorgesehen. Eine derartige verpflichtende Prüfung durch BSI findet derzeit nicht statt. Betreiber von öffentlichen Telekommunikationsnetzen sind verpflichtet, technische Schutzmaßnahmen nach § 109 des Telekommunikationsgesetzes (TKG) umzusetzen. Hierzu hat die Bundesnetzagentur in Abstimmung mit dem BSI erste Eckpunkte erstellt und am 7. März 2019 veröffentlicht. Diese sehen eine Überprüfung von kritischen Kernkomponenten von beim BSI anerkannten Prüfstellen und eine Zertifizierung durch das BSI vor. Details zur Ausgestaltung sind in der Bearbeitung. Im Zuge des Aufbaus von 5G-Netzen ist auch geplant, im Rahmen der laufenden Novellierung des Telekommunikationsgesetzes den § 109 zu überarbeiten und um zusätzliche verbindliche Sicherheitsanforderungen zu ergänzen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/9041 – 4 – Deutscher Bundestag – 19. Wahlperiode 6. Wo finden die Überprüfungen der Netzelemente statt? a) Wie viele Tests sind nach Kenntnis der Bundesregierung im Labor von Huawei durchgeführt worden (bitte einzeln nach Datum auflisten)? b) Wie viele Tests sind nach Kenntnis der Bundesregierung an anderen Standorten durchgeführt worden (bitte einzeln nach Datum auflisten)? Die Fragen 6 bis 6b werden gemeinsam beantwortet. Diese Daten werden vom BSI nicht erfasst. Für mögliche zukünftige verpflichtende Zertifizierungen wird auf die Antwort zu Frage 5 verwiesen. 7. Wie viele Mittel wurden in die Standorte aus Frage 6 investiert (bitte getrennt nach Einzelposten und Förderungen auflisten)? Zu diesen privatwirtschaftlichen Investitionen liegen keine Informationen vor. 8. Wie viele BSI-Mitarbeiter und wie viele Jahre des Testens wären nach Einschätzung der Bundesregierung notwendig, um ein 5G-Netzelement der Huawei Technologies Co. Ltd. vollständig zu verstehen, damit ein „Kill Switch“, oder unfreundlicher Informationsabfluss ausgeschlossen werden kann? Wären diese BSI-Mitarbeiter nach Ansicht der Bundesregierung dann nicht auch in der Lage, selbst diese 5G-Netzelemente herzustellen, eine Entwicklung , die nach Einschätzung der Fragesteller in Asien hunderte Mannjahre Entwicklungszeit benötigt hat? Die genauen Vorgaben für die zukünftig notwendigen Zertifizierungen von kritischen Kernkomponenten werden noch entwickelt. Auf die Antwort zu Frage 5 wird verwiesen. 9. Prüft das BSI jetzt erst kurz vor dem Einsatz zum ersten Mal die Komponenten ? Gibt es einen Prozess, um mit „Sicherheit by Design“ auch stufenweise Entwicklungsstadien nach dem Stand der Technik hierzu abnehmen zu können? Ziel des BSI ist grundsätzlich eine Prüfung vor dem Einsatz. Die Vorgaben für die zukünftig geplanten notwendigen Zertifizierungen von kritischen Kernkomponenten werden derzeit noch entwickelt. Auf die Antwort zu Frage 5 wird verwiesen . Ja, einen solchen Prozess gibt es. 10. Welche Tests wurden an 2G-, 3G- und 4G-Komponenten vom BSI durchgeführt (bitte getrennt nach Datum auflisten)? Welche Erfahrungen aus diesen Prüfungen sind in die Überprüfungen der 5G-Komponenten geflossen? Eine systematische Überprüfung von Infrastrukturkomponenten für Mobilfunkanwendungen wurde in der Vergangenheit nicht durchgeführt. Jedoch hat das BSI in der Vergangenheit diverse Zertifizierungsverfahren nach Common Criteria für Netzwerk- und Kommunikationsprodukte durchgeführt. Darunter finden sich auch Zertifizierungsverfahren zu Produkten, die für einen Einsatz im Bereich 5G-Mobilfunkstandard in Frage kommen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 5 – Drucksache 19/9041 Eine nach Datum getrennte Liste ist auf der BSI-Homepage öffentlich einsehbar: www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Produktzertifizierung/ ZertifizierungnachCC/ZertifizierteProdukte/Netzwerkprodukte/Netzwerkprodukte_ node.html. 11. Ist die Bundesregierung der Ansicht, dass durch die vom BSI durchgeführten Prüfungen eine ausreichend hohe Sicherheit gegeben ist, um die überprüften Komponenten in kritischer Infrastruktur einzusetzen? Auf die Antwort zu Frage 5 wird verwiesen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333