Kritischen Infrastruktur: Pläne der Bundesregierung sehen Verbot für chinesische IT-Komponenten vor

Nach mehreren Medienberichten ist ein Verbot für diverse Komponenten chinesischer Hersteller betreffend des deutschen 5G-Netzes geplant. Das Verbot soll auch bereits verbaute Teile umfassen.

Hintergrund ist, die kritische Infrastruktur zu schützen und Abhängigkeiten gegenüber einzelnen Staaten zu reduzieren. Als Rechtsgrundlage dient das im Jahr 2021 novellierte IT-Sicherheitsgesetz.

Es wird befürchtet, dass chinesischen Stellen über die betroffenen Komponenten Zugriff auf sensible Daten erhalten könnten, Netze technisch manipulieren oder für Reparaturen oder Wartung benötigte Komponenten nicht liefern. Zu diesem Schluss kommt eine Untersuchung des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Wenngleich die Untersuchung aktuell noch nicht abgeschlossen ist, sollen die Erkenntnisse ausreichend sein, um Maßnahmen betreffend Huawei und ZTE umzusetzen. Das BSI hat in einer Prüfung zwar keine technischen Hintertüren erkennen können, betrachtet jedoch die Kontrolle der Unternehmen durch die chinesische Regierung als kritisch.

Ein Verbot bestimmter Komponenten hätte weitreichend Folgen, da hiervon auch bereits verbaute Komponenten betroffen wären, welche kosten intensiv zu ersetzen wären.

Profiteure wären westliche Anbieter, u.a. Nokia und Ericsson. Offizielle Reaktionen von Netzbetreibern, wie Telekom, Telefónica oder Vodafone stehen noch aus.

Fazit:

Es stellt sich unweigerlich die Frage, welche Auswirkungen diese Schritte und Erkenntnisse auf die Finanzdienstleistungsbranche haben. Dass es solche Auswirkungen gab, zeigte sich bereits wenige Wochen nach dem militärischen Eingreifens Russlands in der Ukraine. Mitte März 2022 riet das BSI, die Virenschutzsoftware des russischen Unternehmens Kaspersky durch andere Software zu ersetzen. So heißt es in der Stellungnahme des BSI „Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden“. Aktuelleren Datums ist das Verbot der chinesischen Tik Tok App auf Smartphones der EU-Kommission, ferner droht ein landesweites Verbot der App in den USA. Hintergrund ist die Befürchtung, dass Nutzerdaten abgegriffen und nach China abgeführt werden.

Implikationen ergeben sich für die Bewertung der bestehenden Applikations- und Infrastrukturebene des Finanzdienstleisters. Hierbei lassen sich u.a. nachfolgende Fragen aufwerfen: Welche Anbieter werden aufgrund von Beherrschungsverhältnissen oder anderweitigen geographischen Verflechtungen mit kritischen Drittstaaten in Verbindung gebracht? Welche Leistungen werden von diesen Anbietern erbracht? Können sich im Störungsfall durch diese Leistungen Auswirkungen auf kritische Geschäftsprozesse ergeben? Welche Alternativen finden sich am Markt und können diese umgesetzt werden?

Auswirkungen ergeben sich auch für geplante Beauftragungen und Anschaffungen. Wenngleich die Zuverlässigkeit eines Hard- oder Softwareanbieters Teil einer jeder Ausschreibung und Vergabe sein wird, ist diese angesichts der gestiegenen geopolitischen Spannungen auch unter diesem erweiterten Aspekt zu würdigen. Hierbei gilt es neben der Zuverlässigkeit des potenziellen Partners zu prüfen, ob dessen Verbindung zu einem Drittstaat aktuell und auch perspektivisch als kritisch eingestuft wird. Sofern es diesbezüglich Anhaltspunkte gibt, sind Risikoaufschläge denkbar, welche die Leistung des Anbieters kalkulatorisch verteuern.

Während entsprechend Due Diligence Maßnahmen im KYC- und Compliance-Votierungs-Prozess seit Jahren gelebte Praxis sind und Risikoaufschläge üblich sind, ist diese Sichtweise im Kontext der kritischen Infrastruktur noch stärker zu verankern. Hieran lassen die vorgenannten Entwicklungen keinen Zweifel. Es stellt sich abschließend die Frage, ob die bestehenden Organisationseinheiten eines Finanzdienstleisters angemessen auf diese Herausforderung ausgerichtet und vernetzt sind. Wenngleich es sich nicht zwingend um eine originäre Compliance-Aufgabe handelt, ist es gut zu wissen, dass die Instrumente dazu im Compliance-Umfeld grundsätzlich vorhanden und erprobt sind.

Quellen: Netzausbau in Deutschland: Verbot für chinesische 5G-Komponenten? | tagesschau.de, Bundesregierung will chinesische Firmen aus deutschem Mobilfunk drängen - DER SPIEGEL, 5-G-Mobilfunknetz: Bundesregierung will Komponenten von Huawei und ZTE verbieten | ZEIT ONLINE, BSI - Archiv Pressemitteilungen - BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten (archiviert) (bund.de), Kaspersky: BSI warnt vor Hackerangriff über Antivirus-Software (handelsblatt.com)

[D1]