Im Frühling 2019 erliess US-Präsident Donald Trump ein Dekret zum "nationalen Notstand" in der Telekommunikation, das Geschäfte mit Firmen verfeindeter Nationen unterbinden sollte. Der Akt zielte vor allem auf China und dessen international wichtigsten Tech-Konzern Huawei, gegen den im Sommer 2020 harte Sanktionen in Kraft traten. Huawei-Gründer Ren Zhengfei antwortete auf Trumps Akt in einem internen Memo in martialischen Worten: Man müsse den Konzern nun in eine "eiserne Armee" umbauen und stehe vor einem "schmerzhaften langen Marsch" – letzteres spielt auf einen zentralen Mythos der kommunistischen Partei Chinas (KPCh) an. Der weite Weg scheint steiniger zu werden. Für 2021 wies Huawei noch knapp 100 Milliarden Dollar Umsatz aus, ein Einbruch von 28,6% gegenüber dem Vorjahr für den lange erfolgsverwöhnten Konzern.

Und der Druck auf Huawei steigt auch unter Joe Biden, der den harten Kurs der Vorgängerregierung mit etwas eleganterer Rhetorik fortsetzt. Derzeit werden in den USA Komponenten von Huawei und ZTE aus den Netzwerken entfernt, wofür der Staat Telekomfirmen mit rund 5 Milliarden Dollar kompensiert. Ähnliche hart gehen den chinesischen Anbieter auch Neuseeland, Grossbritannien und Australien an, während Sanktionen in der Deutschen Regierung diskutiert werden. Auch in der Schweiz sind entsprechende politische Vorstösse hängig. Der Einsatz von IKT-Komponenten soll verboten werden können, wenn ein Anbieter mit einem autokratischen Staat verbandelt sei, heisst es in einer Motion der SP-Fraktion, in der Huawei namentlich erwähnt wird. Der Konzern beschäftigt hierzulande knapp 400 Mitarbeitende und arbeitet mit den 3 grossen Telekommunikationsanbietern Swisscom, Sunrise und Salt zusammen. Huawei-Komponenten finden sich bei allen dreien.

Ähnlich wie Kaspersky reagierte auch der chinesische Konzern auf die Vorwürfe mit einer Initiative zur Förderung des Vertrauens. Huawei spielt aber in einer anderen Liga als der russische Softwarehersteller, den wir im letzten Teil der Geotech-Reihe besucht haben. Als Leader in der Ausrüstung der 5G-Infrastruktur könnte Huawei im zentralen Nervensystem der digitalen Welt dominant sein. Auch geopolitisch präsentiert sich die Lage anders: China hat das Potential in einer bi- oder multipolaren Welt einen der Pole zu dominieren, das Land liegt bei hohen Wachstumsraten in der Wirtschaftsleistung auf Platz 2 hinter den USA. Mit seinen 1,4 Milliarden Einwohnern bietet es einen riesigen Heimmarkt, wo Huawei letztes Jahr fast zwei Drittel seines Umsatzes erzielte. Allerdings brach das Geschäft des Konzerns auch dort am stärksten ein, die heimische Wirtschaft schwächelt.

Im Gegensatz zu Russland gab es in China nie einen formellen politischen Bruch. Das Land steht noch immer unter der Kontrolle der kommunistischen Partei, in der Huawei-Gründer Ren Zhengfei als ehemaliger Armeeingenieur laut Medienberichten Mitglied ist. Die Besitzstrukturen des Konzerns gelten als undurchsichtig. Da er nicht an der Börse notiert ist, ist er auch nicht zur Offenlegung verpflichtet, was immer wieder Anlass zu Spekulationen bot.

Auf der Firmenwebsite erfährt man lediglich, dass Firmenchef Ren Zhengfei weniger als 1% der Aktien besitzt. Der Rest gehöre rund 130'000 Mitarbeitern von Huawei, heisst es dort. Christopher Balding, Professor an der Fulbright University of Vietnam, hat 2019 ein Datensatz mit geleakten Lebensläufen von Huawei-Mitarbeitenden untersucht und kam zum Schluss, es gebe eine tiefe und dauerhafte Verbindung zum chinesischen Staat. Das Magazin 'Republik' hat 2021 mit weiteren Medien recherchiert und festgehalten, dass die internen Strukturen von Huawei militärisch anmuten und geopolitische Ziele über allem stehen würden.

Das sind auch Gründe, warum Julian Kamasa vom Center for Security Studies (CSS) an der ETH Zürich die Transparenzinitiative kritisch beurteilt. Der Sicherheitsforscher sagt: "Huawei behauptet zwar, ein multinationales Unternehmen im Besitz der Mitarbeitenden zu sein. Das stimmt aber nur bedingt und daher bleiben die Eignungsstrukturen intransparent. Einen echten Einblick in die Unternehmensstrukturen und Besitzverhältnisse könnte wohl nur ein Börsengang bewirken". Eine transparente Firmenstruktur mit multinationalen Anteilseignern wäre für die Machthaber in Peking indes kaum akzeptabel, so Kamasa.

Der Ruf von Huawei hat erheblich gelitten, die Schweizer Kommunikationsabteilung ist nicht zu beneiden. Auf Fragen von inside-it.ch antwortet sie ausführlich und stellt einen Besuch im Transparenzzentrum in Brüssel in Aussicht. Dieses wurde 2019 eröffnet und zählte laut Huawei bereits 3000 Besucher vor allem aus ganz Europa. Zuletzt schrieb ein Schweizer Autor für einen von Huawei mitfinanzierten Sammelband darüber und berichtete von "völlig unspektakulären" und "fensterlosen, engen Räumen", in denen Forscher Quellcode überprüfen könnten. Die Anzahl Code Reviews, die in Belgien durchgeführt wurden, ist indes überschaubar, wie es auf Anfrage heisst. Das führt Huawei auch auf die Covid-Restriktionen zurück. Rund 10 Bewertungskampagnen hat es demnach gegeben, die mit Vorbereitung und Interpretation mehrere Wochen oder gar Monate in Anspruch genommen haben.

Das Auffinden von Backdoors ist indes schwierig, die Analyse von statischem Quellcode wird von Security-Experten kritisch beurteilt. Huawei zeigt sich hier offen: Kunden dürften für die Untersuchung des Codes auch eigene Software-Tools verwenden, die in einer Vorbereitungsphase festgelegt werden. Zeitliche Einschränkungen für die Code Review soll es keine geben, versichert Michael Holzer, der bei Huawei Schweiz als CSO für die Cybersecurity und den Schutz der Privatsphäre zuständig ist. Er ergänzt: "Was den Zugang zum Code betrifft, so ist es unsere Hauptanforderung, den Zugang zu unseren Labors von allen externen elektronischen Geräten aus zu beschränken." Das sei üblich bei so sensiblen Evaluierungen, könne aber Einschränkungen mit sich bringen, die im Vorfeld besprochen werden müssten.

Der Code, den Tester in Belgien untersuchen, wird in einem Datacenter in Shenzhen aufbewahrt. Dort, rund 17 Flugstunden von Brüssel entfernt, kann man auch Hardware unter die Lupe nehmen. Laut Holzer sollen Signaturen sicherstellen, dass der untersuchte Quellcode auch wirklich jenem in der Softwarefabrik entspricht. Wie bei Kaspersky sollen die Kunden anhand der generierten Binärdateien überprüfen können, ob es sich um den produktiven Code handelt. "Wir haben auch stark in Prozesse und Werkzeuge investiert, um die sogenannte binäre Äquivalenz zu realisieren", erklärt Holzer, womit man als Kunde die Identität von kompiliertem Code erkennen soll.

Zudem habe man organisatorische Prozesse für die Sicherheit des Codes implementiert. So sollen Sicherheitsbeauftragte jede Codezeile von Entwicklern prüfen, bevor sie eingereicht werden. Der Code sei so dokumentiert, dass jede Zeile mit Erstellungsdatum, Entwickler und dem Antrag auf Entwicklung einer Funktionalität verknüpft sei, heisst es vom CSO von Huawei Schweiz. Auch lässt man die Systeme von externen Stellen prüfen. Huawei schreibt, dass es für 5G-Komponenten als erstes Unternehmen eine Zertifizierung nach internationalen Standard NESAS/SCAS erhalten hat. Also alles bombensicher?

Anderer Meinung ist das National Cyber Security Centre (NCSC) von Grossbritannien, wo vor 10 Jahren das Huawei Cyber Security Evaluation Centre eröffnet wurde. Die zum Geheimdienst GCHQ gehörige Cyberabteilung hielt zuletzt im Sommer 2021 fest, dass die Qualität der Software nicht den Industriestandards genügen würde. Huawei wehrte sich empört und erklärt nun gegenüber inside-it.ch, kein anderes Unternehmen werde so streng kontrolliert wie der chinesische Hersteller. In den 10 Jahren des Zentrums sei keine einzige Backdoor gefunden worden und auch keine Beweise für die Einmischung der chinesischen Regierung. Dies musste auch der ehemalige Chef des GCHQ einräumen.

Es dürfte aber nicht zur Entspannung beigetragen haben, dass 2021 ein Bericht des Beratungsunternehmens Capgemini bekannt wurde, wie 'Golem' berichtete. In diesem soll nachgewiesen worden sein, dass Huawei selbst aus China Anrufe im Netz ihres niederländischen Mobilfunkkunden KPN abhören konnte. Darunter laut Capgemini auch jene von mehreren Ministern sowie chinesischen Dissidenten. Huawei bestreitet die Vorwürfe.

Die Situation des Konzerns ist offenbar dramatisch, zumindest wenn man den Worten des globalen CEOs Glauben schenkt. Kürzlich wurde ein weiteres internes Memo von Ren Zhengfei geleakt, in dem es heissen soll: "Wir müssen zuerst überleben, und wir werden eine Zukunft haben, wenn wir überleben." Auf die Frage nach Umsatzverlusten oder Druck in der Schweiz gibt sich die PR von Huawei indes sehr allgemein: Man arbeite mit den 3 grossen Netzwerkbetreibern zusammen und habe im Enterprise-Geschäft zulegen können. Man plane aber weitere vertrauensbildende Massnahmen und fühle sich der Schweiz verbunden, wo Huawei im nächsten Jahr seit 15 Jahren tätig sei.

"Aber die geopolitische Situation hat sich weiter verschärft. Obwohl Huawei ein rein businessorientiertes Technologieunternehmen ist, wird ihm manchmal die Glaubwürdigkeit abgesprochen. Wir folgen dem Zero-Trust-Prinzip, gemäss dem es keine vertrauenswürdigen Dienste, Anbieter, Anwender oder Geräte innerhalb oder ausserhalb von Netzwerken gibt, die nicht eigens geprüft, authentifiziert und autorisiert wurden", heisst es von CSO Holzer. Der Ansatz wird in der Security-Welt immer populärer. Was dieser zu einer sicheren Schweizer Infrastruktur beitragen kann und welche Massnahmen sonst nötig wären, erfahren Sie im letzten Teil dieser Artikelserie.