Zertifizierung eines Produktes für 5G-Mobilfunkausrüstung des chinesischen Telekommunikationsunternehmens Zhong Xing Telecommunication Equipment
der Fraktion der CDU/CSU
Vorbemerkung
Am 7. Februar 2023 vermeldete das chinesische Unternehmen Zhong Xing Telecommunication Equipment (ZTE), dass ihr Produkt 5G NR gNodeB durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert wurde (www.zte.com.cn/global/about/news/20230207e2.html; cybersecurityasean.com/news-press-releases/zte%E2%80%99s-5g-nr-received-bsi-security-certification). Das BSI bietet seit dem 1. Juli 2022 eine Anerkennung als NESAS-Prüfstelle an. NESAS CCS-GI ist ein nationales Zertifizierungsschema für 5G-Mobilfunkausrüstung und ermöglicht es Herstellern, die Sicherheitsaussage ihres Produktes durch ein unabhängiges Zertifikat bestätigen zu lassen (www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Anerkennung-von-Stellen-und-Zertifizierung-IT-Sicherheitsdienstleister/NESAS/nesas_node.html). Bei dem zertifizierten Produkt handelt es sich um einen Verbindungspunkt in einem 5G-Funkzugangsnetz, das wiederum für die drahtlosen Verbindungen zu den Endgeräten im 5G-Standard zuständig ist und den Zugang zum Kernnetz des Telekommunikationssystems ermöglicht (www.bsi.bund.de/SharedDocs/Zertifikate_NESAS/NESAS-0002-2022.html?nn=1078996; www.ip-insider.de/was-ist-ein-ran-radio-access-network-a-16d3c3434b22c6e39bc56d482b897724/; www.itwissen.info/next-generation-core-5G-NGC.html).
In den USA erklärte die dortige Zulassungsbehörde für Kommunikationsgeräte Federal Communications Commission (FCC) am 30. Juni 2020 die chinesischen Telekommunikationsunternehmen ZTE und Huawei zu einem nationalen Sicherheitsrisiko für die Vereinigten Staaten. Das bedeutete gleichzeitig, dass die Behörde keine Subventionen an Telekommunikationsanbieter mehr für den Kauf, Erhalt, die Wartung, Verbesserung, Modifizierung oder zur anderweitigen Unterstützung von Geräten oder Dienstleistungen ausgegeben werden, die von Huawei oder ZTE hergestellt oder bereitgestellt werden. Der damalige Vorsitzende der FCC, Ajit Pai, führte zu dieser Entscheidung zudem aus, dass dem FCC-Präsidium eine gewichtige Beweiskraft dafür vorläge, dass die beiden Firmen Huawei und ZTE eng mit der Kommunistischen Partei Chinas (KPCh) und dem chinesischen Militär verbunden sind. Zudem unterliegen sie dem FCC zufolge dem chinesischen Gesetz. Damit seien sie zur Zusammenarbeit mit den chinesischen Geheimdiensten verpflichtet. Die damalige Entscheidung des FCC wurde auch damit begründet, dass es der KPCh nicht ermöglicht werden sollte, Schwachstellen in Netzwerken auszunutzen und kritische Kommunikationsinfrastruktur zu kompromittieren (docs.fcc.gov/public/attachments/DOC-365255A1.pdf).
Auf Anordnung der FCC am 25. November 2022 haben die USA ein Verbot von Verkauf und Import von Kommunikationsgeräten und Überwachungsausrüstung der chinesischen Technologiekonzerne Huawei und ZTE erlassen (www.dw.com/de/usa-verbannen-huawei-und-zte/a-63895829). Gleichzeitig ließ die Behörde die Möglichkeit offen, frühere Zulassungen rückgängig zu machen (www.spiegel.de/wirtschaft/usa-importverbot-fuer-zte-und-huawei-ausruestung-a-08bb91eb-72d6-40b8-be7f-73c0ecd4a1ff).
Neben den USA haben auch andere Staaten, wie Großbritannien, Kanada, Frankreich oder Schweden, die chinesischen Hersteller Huawei und ZTE vom Aufbau ihrer 5G-Netze ausgeschlossen (www.tagesschau.de/ausland/amerika/kanada-huawei-101.html; www.handelsblatt.com/technik/it-internet/mobilfunk-schweden-schliesst-huawei-und-zte-vom-5g-ausbau-aus/26290668.html).
Darüber hinaus hatten die USA im April 2018 Strafmaßnahmen gegen ZTE verhängt, weil das chinesische Unternehmen gegen Iran- und Nordkorea-Sanktionen verstoßen haben soll. US-Zulieferern wie Qualcomm und Intel wurde daraufhin für sieben Jahre verboten, Bauteile oder Software an ZTE zu verkaufen (www.handelsblatt.com/unternehmen/it-medien/sanktionsverstoesse-usa-einigen-sich-mit-chinesischem-tech-konzern-zte-auf-eine-milliarde-dollar-strafe/22657646.html).
In Deutschland wurde im Sommer 2016 ein Spionageangriff gegen die Deutsche Telekom durch das chinesische Unternehmen ZTE bekannt. Konkret sollen Manager des chinesischen Konzerns ZTE einen Telekom-Mitarbeiter bestochen haben, um geheime Infos über das gemeinsam mit Orange betriebene Einkaufsunternehmen Buyin zu erhalten. In diesem Zusammenhang wurden auch die Büroräumlichkeiten von ZTE in Bonn durchsucht (rp-online.de/wirtschaft/unternehmen/zte-unter-verdacht-spionageangriff-gegen-telekom_aid-18166383).
Wir fragen daher die Bundesregierung:
Fragen28
Ist es zutreffend, dass das Produkt 5G NR gNodeB des Unternehmens ZTE durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert wurde?
Wenn ja,
a) aus welchen Gründen hat die dem Bundesministerium des Innern und für Heimat (BMI) nachgeordnete Behörde, BSI, die in Rede stehende Komponente 5G NR gNodeB von ZTE sicherheitszertifiziert,
b) gab es bezüglich des Vorgangs Zertifizierung des Produkts 5G NR gNodeB von ZTE Kontakt zwischen dem BSI und der Bundesnetzagentur (bitte Kontakte auflisten),
c) dürfen aufgrund der BSI-Sicherheitszertifizierung in der Folge alle Mobilfunknetzbetreiber und öffentlichen Stellen in der Bundesrepublik Deutschland die entsprechenden 5G-Produkte von ZTE nutzen,
d) welche Auswirkungen hat die benannte Sicherheitszertifizierung auf den Marktzugang ZTEs mit seinen 5G-Produkten in der Bundesrepublik Deutschland?
Wenn nein, aus welchen Gründen wird nach Kenntnis der Bundesregierung berichtet, dass ZTE die genannte Sicherheitszertifizierung erhalten hat (cybersecurityasean.com/news-press-releases/zte%E2%80%99s-5g-nrreceived-bsi-security-certification)?
Hat die Bundesregierung Kenntnis von einer Verbindung des Unternehmens ZTE zur KPCh, und wenn ja, wie stellt sich diese Verbindung dar?
Hat die Bundesregierung Kenntnis von einer Verbindung des Unternehmens ZTE mit dem chinesischen Militär, und wenn ja, wie stellt sich diese Verbindung dar?
Unterliegt die chinesische Firma ZTE nach Kenntnis der Bundesregierung dem chinesischen Gesetz, und wenn ja, wäre die chinesische Firma ZTE nach Kenntnis der Bundesregierung damit zur Zusammenarbeit mit chinesischen Geheimdiensten verpflichtet?
Hat die Bundesregierung Kenntnis von einer Verbindung des Unternehmens Huawei zur KPCh, und wenn ja, wie stellt sich diese Verbindung dar?
Hat die Bundesregierung Kenntnis von einer Verbindung des Unternehmens Huawei mit dem chinesischen Militär, und wenn ja, wie stellt sich diese Verbindung dar?
Unterliegt die chinesische Firma Huawei nach Kenntnis der Bundesregierung dem chinesischen Gesetz, und wenn ja, wäre die chinesische Firma Huawei nach Kenntnis der Bundesregierung damit zur Zusammenarbeit mit den chinesischen Geheimdiensten verpflichtet?
Sind der Bundesregierung Sicherheitsvorfälle in Deutschland mit Bezug zu Telekommunikationsnetzwerken und kritischer Telekommunikationsinfrastruktur im Zusammenhang mit Komponenten chinesischer Unternehmen bekannt (bitte einzeln auflisten)?
Erwägt die Bundesregierung, ein Verbot von Verkauf und Import von Kommunikationsgeräten und Überwachungsausrüstung der chinesischen Technologiekonzerne Huawei und ZTE zu erlassen?
Hält es die Bundesregierung weiterhin für unbedenklich, den Einsatz kritischer Komponenten aus chinesischer Herstellung wie der Firma ZTE in 5G-Mobilfunknetzen zuzulassen, obwohl Staaten wie die USA, Großbritannien, Kanada, Frankreich oder Schweden die Hersteller Huawei und ZTE vom Aufbau ihrer 5G-Mobilfunknetze ausgeschlossen haben?
Sind der Bundesregierung über den in der Vorbemerkung der Fragesteller genannten Vorfall bei der Deutschen Telekom hinaus weitere Spionageangriffe oder Spionageversuche chinesischer Telekommunikationsunternehmen in Deutschland bekannt (bitte einzeln auflisten)?
Sind der Bundesregierung über den in der Vorbemerkung der Fragesteller genannten Vorfall bei der Deutschen Telekom hinaus weitere Spionageangriffe oder Spionageversuche chinesischer Telekommunikationsunternehmen in den EU-Staaten bekannt (bitte einzeln auflisten)?
Sind der Bundesregierung über den in der Vorbemerkung der Fragesteller genannten Vorfall bei der Deutschen Telekom hinaus weitere Spionageangriffe oder Spionageversuche chinesischer Telekommunikationsunternehmen in den NATO-Staaten bekannt (bitte einzeln auflisten)?
Sind der Bundesregierung Verstöße von ZTE Deutschland gegen die bestehenden Russland-Sanktionen bekannt (bitte Verstöße auflisten)?
Hat die Bundesregierung prüfen lassen, ob ZTE Deutschland gegen die bestehenden Russland-Sanktionen verstößt?
Könnte die Bundesregierung aufgrund von Sanktionsverstößen anderen Unternehmen eine Belieferung von ZTE mit Produkten untersagen, und wenn ja, auf Basis welcher Rechtsgrundlage beziehungsweise mit welchen Instrumenten?
Wird die in Erarbeitung befindliche China-Strategie der Bundesregierung den Umgang mit chinesischen Herstellern von kritischen Komponenten für Mobilfunknetze adressieren, und wenn ja, inwiefern?
Werden Komponenten chinesischer Hersteller in den Kommunikationsinfrastrukturen der Bundeswehr eingesetzt?
a) Wenn ja, wie viel Prozent der Komponenten in der Kommunikationsinfrastruktur der Bundeswehr stammen von chinesischen Herstellern (bitte zusätzlich die Hersteller auflisten)?
b) Wenn ja, unterliegen die bei der Bundeswehr eingesetzten Komponenten anderen (beispielsweise strengeren) Kriterien?
c) Wenn nein, war dies eine bewusste Entscheidung, denen Sicherheitsbedenken zugrunde lagen?
Sind der Einbau und die Verwendung von Komponenten chinesischer Hersteller in den Kommunikationsinfrastrukturen der Bundeswehr aus Sicht der Bundesregierung zulässig?
Was sind aus Sicht der Bundesregierung die Kriterien für die Zulassung zu Einbau bzw. Verwendung von Komponenten chinesischer Hersteller in den Kommunikationsinfrastrukturen der Bundeswehr?
Werden Komponenten chinesischer Hersteller in den Kommunikationsinfrastrukturen des BSI eingesetzt, und wenn ja, wie viel Prozent der Komponenten in der Kommunikationsinfrastruktur des BSI stammen von chinesischen Herstellern (bitte zusätzlich die Hersteller auflisten)?
Welche Mobilfunknetzbetreiber verwenden nach Kenntnis der Bundesregierung 5G-Technologie von ZTE in ihren Mobilfunknetzen?
Benutzt die Deutsche Bahn 5G-Technologie von ZTE in ihrem Mobilfunknetz, und wenn ja, in welchem Umfang?
Erwägt die Bundesregierung, in den Beschaffungsprozessen der Sicherheitsbehörden des Bundes das Vergabekriterium „Digitale Souveränität“ aufzunehmen?
Sollte die Bundesregierung nachträglich den Einbau von ZTE-Komponenten im Mobilfunknetz untersagen (www.br.de/nachrichten/deutschland-welt/5g-ausbau-wie-deutschland-den-einfluss-chinas-eindaemmen-will,TXpleLY) und die Mobilfunknetzbetreiber müssten diese ZTE-Komponenten wieder ausbauen, wer müsste die Kosten für den Ausbau tragen?
Bezugnehmend auf die Antwort zu den Fragen 1 bis 4, 6 bis 9 und 11 auf Bundestagsdrucksache 20/5598, erwägt die Bundesregierung, sich künftig von den Mobilfunknetzbetreibern berichten zu lassen, welche Komponenten aus undemokratischen Drittstaaten diese in den kritischen Infrastrukturen verbauen, und wenn ja, erwägt die Bundesregierung, auch dem Deutschen Bundestag darüber künftig regelmäßig zu berichten?
Bis wann wird die Bundesregierung voraussichtlich die von den Mobilfunknetzbetreibern Anfang April 2023 vorzulegende Liste geprüft haben (www.faz.net/aktuell/politik/inland/bmi-prueft-huawei-komponenten-beim-5-g-ausbau-auf-sicherheit-18730170.html), und bis wann können die Mobilfunknetzbetreiber mit einem Bescheid der Bundesregierung rechnen, ob Komponenten wieder ausgebaut werden müssen (bitte Quartal bzw. Jahr angeben)?
Welche nachgeordnete Behörde wird unter Federführung welches Bundesministeriums die Liste der Komponenten prüfen (www.faz.net/aktuell/politik/inland/bmi-prueft-huawei-komponenten-beim-5-g-ausbau-auf-sicherheit-18730170.html)?
Welche Rolle und welche Aufgabe hat die Bundesnetzagentur bei diesem Verfahren?
Wird das Auswärtige Amt an dem Verfahren beteiligt?
Nach welchen Kriterien wird die angekündigte Prüfung der Komponenten durchgeführt (www.faz.net/aktuell/politik/inland/bmi-prueft-huawei-komponenten-beim-5-g-ausbau-auf-sicherheit-18730170.html)?
Werden externe Unternehmen an der Prüfung beteiligt?
Wie viele Personentage nimmt eine durchschnittliche Prüfung in Anspruch?
Wie ist eine „Komponente“ definiert, und welchen Umfang hat eine „Komponente“?