Litauische Cyber-Abwehr hatte vor Sicherheitslücken und Zensur-Funktionen in aus China stammenden Smartphones gewarnt

[datensicherheit.de, 27.09.2021] „Wie letzte Woche bekannt wurde, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich Untersuchungen gegen chinesische Smartphone-Hersteller eingeleitet“, berichtet Arved Graf von Stackelberg, „CSO“/„CMO“ bei DRACOON, in seiner aktuellen Stellungnahme. Das BSI habe mit diesem Schritt auf eine Warnung der litauischen Cyber-Abwehr reagiert – „diese hatte zuvor auf Sicherheitslücken und Funktionen zur Zensur in aus China stammenden Geräten aufmerksam gemacht“.

Foto: Petra Homeier

Arved Graf von Stackelberg: Kontrolle über IT-Infrastruktur und technische Standards muss bei Europa selbst liegen!

Smartphone-Zensurfilter aus der Ferne aktivierbar

Konkret untersucht worden seien in Litauen die Modelle „Huawei P40 5G“, das „Xiaomi Mi 10T 5G“ sowie das „OnePlus 8T 5G“, wobei das Cyber-Sicherheitszentrum aus Litauen (Nacionalinio Kibernetinio Saugumo Centro / NKSC), die Firma Xiaomi und deren Modell am deutlichsten kritisiert habe. „Hier stellte die Behörde fest, dass dieses technisch dazu fähig sei, bestimmte Inhalte auf dem integrierten Web-Browser zu zensieren“, so von Stackelberg.
Zwar sei dieser „Zensurfilter“ während der Untersuchung nicht aktiv gewesen, aber er habe aus der Ferne aktiviert werden können. Gegen das Huawei-Modell habe man in Litauen vorgebracht, dass der sogenannte App-Store auch auf Quellen verlinke, welche vom NKSC als unsicher eingeschätzt würden. Im Falle des OnePlus-Geräts seien keine Mängel festgestellt worden. Ein Xiaomi-Sprecher habe die Zensur-Vorwürfe aus Litauen zurückgewiesen.

Smartphone-Hersteller in Europa mit deutlichen Marktanteilen

Die Erkenntnisse des NKSC seien indes besorgniserregend. „Insbesondere auch vor dem Hintergrund, dass Smartphone-Hersteller wie Xiaomi und Huawai in Deutschland und Europa deutliche Marktanteile besitzen und somit Geräte dieser Hersteller durchaus verbreitet sind.“
Natürlich bedürften diese schweren Vorwürfe weiterer Untersuchung – und die Tatsache, dass das BSI beispielsweise die Möglichkeit einer Zensur-Funktion gegen Xiaomi ernstnehme und diesen nachgehe, sei zu begrüßen.

Smartphone-Untersuchungsergebnisse drängen zu digitaler Unabhängigkeit

Sollte sich der Vorwurf der Zensur bewahrheiten, wäre das allerdings fatal. Denn diese Form der Ausspähung und Kontrolle lasse sich nicht mit dem europäischen Verständnis von Datenschutz und dem Wert Datensouveränität vereinbaren.
Die vorläufigen Untersuchungsergebnisse aus Litauen seien ein weiteres deutliches Signal dafür, dass es Europa in Sachen Digitalisierung unbedingt gelingen müsse, sich unabhängig zu machen von China und den USA – und dass es gelte, eine eigene IT-Infrastruktur aufzubauen sowie auf eigene, auf dem Kontinent gehostete Software zu setzen.

Verdächtige Smartphones erinnern an dunkles Zukunftsszenario

Von Stackelberg betont: „Die Dringlichkeit, mit der Europas Unabhängigkeit im Bereich der Digitalisierung vorangetrieben werden muss, verdeutlicht auch die im Juli 2020 erschienene Studie ,Digitales Europa 2030‘ der Alfred Herrhausen Gesellschaft (AHG), in der drei mögliche Szenarien für die Zukunft Europas skizziert werden.“
Interessanterweise erinnerten die Vorkommnisse um mögliche Zensur im Rahmen von Smartphone-Modellen aus China stark an das in der Studie beschriebene erste Szenario und sollten vor diesem Hintergrund als Mahnung gesehen werden: In dem Szenario mit dem Namen „bedingt handlungsfähig und gespalten“ komme es nach der „Pandemie“ zu einer Wirtschaftskrise. Die EU werde durch die Auswirkungen dieser Krise, der innereuropäischen Ungleichheit hierbei, den Unterschieden bezüglich des Digitalisierungsfortschritts verschiedener Mitgliedstaaten sowie der zu starken strategischen Orientierung an den USA und China zunehmend politisch gelähmt.

Nicht nur bei Smartphones: Europa könnte zahnloser Tiger werden

Das gezielte Streuen von „Fake News“ außereuropäischer Staaten trage zur Destabilisierung der EU bei. Zusätzlich zu US-amerikanischen Unternehmen drängten vermehrt chinesische Konzerne in Europas Digitalen Raum vor, mit dem Ziel, ihre Marktanteile auszubauen, indem ihre jeweiligen Dateninfrastrukturen, technischen Standards und Dienstleistungen verbreitet und etabliert würden.
Letztendlich ende das Szenario damit, dass die EU und ihre politischen Institutionen an Bedeutung verlören – „sie werden lediglich als ,zahnlose Tiger‘ wahrgenommen“. Ein Grund für den Vertrauensverlust sei neben Desinformationen der (digital-)politische Stillstand. Politik mit Gestaltungsanspruch auf europäischer Ebene insgesamt, besonders im digitalen Bereich, habe kaum eine Chance.

Bei Smartphones und auch sonst: Jeder sollte das Recht an den eigenen Daten haben!

Die jüngsten Erkenntnisse aus Litauen in Hinblick auf mögliche Zensurfunktionen und Sicherheitslücken in Geräten chinesischer Smartphone-Hersteller erinnerten auf erschreckende Weise an Teile der von der AHG skizzierten Version zur Zukunft Europas. „Damit dieses Schreckensszenario nicht zur Realität wird, muss Digitalisierung in Europa in einer Art und Weise erfolgen, bei der die Kontrolle über die IT-Infrastruktur und technische Standards bei Europa selbst liegt“, stellt von Stackelberg klar.
Anders ausgedrückt gehe es bei der Stärkung der Digitalen Souveränität Europas um nicht weniger als die politische Glaubwürdigkeit und das Bestehen der EU und ihrer Institutionen allgemein. Die geplante Schaffung einer „Europa-Cloud“ im Rahmen des „GAIA X“-Projekts und die beispiellose Einführung eines eigenen Datenschutzstandards mit weltweiter Tragweite (EU-DSGVO) seien hier nur zwei Beispiele für die Innovationskraft und die Souveränität des Digitalstandortes Europa. Diesen gelte es jetzt zu festigen und zu stärken, schließlich gebe es nur eine Zukunft für Europa, „wenn jeder Bürger und jedes Unternehmen das Recht an den eigenen Daten hat“.

Weitere Informationen zum Thema:

Alfred Herrhausen Gesellschaft
Digitales Europa 2030 / Drei Szenarien für die Zukunft

datensicherheit.de, 16.06.2021
TeleTrusT veröffentlicht Handreichung: Secure Platforms für Digitale Souveränität / Technische Empfehlungen des TeleTrusT-Arbeitskreises „Secure Platform“ für das europäische IT-Ökosystem

datensicherheit.de, 18.02.2021
IT-Branche als Pionier gefordert: Konstruktive Ansätze für mehr Digitale Souveränität / Andrea Wörrlein kritisiert einseitige Forderungshaltung und fordert konkretes Engagement der IT-Branche und ihrer Verbände

datensicherheit.de, 11.02.2021
Digitale Souveränität – oft beschworen, immer mehr bedroht / Tobias Gerlinger kritisiert steigende Ausgaben des Bundes für Software von Microsoft zu Lasten Digitaler Souveränität

[datensicherheit.de, 20.05.2019] G DATAs „Lead Mobile Researcher“ Alexander Burris bewertet in seinem Kommentar die Entscheidung von Google, den Zugang auf Update-Informationen für Huawei einzuschränken. Für Smartphone-Besitzer bestehen demnach einige Risiken.

Folgen für Kunden dürften spürbar sein…

Der chinesische Netzwerkausrüster und Smartphone-Anbieter Huawei könnte bald den Zugriff auf wichtige Update-Informationen für das „Android“-Betriebssystem verlieren. Google habe einen entsprechenden Schritt angekündigt, nachdem US-Präsident Donald Trump Sanktionen gegen Huawei verhängt hatte.
Noch sei unklar, wie genau Huawei von der Informationssperre betroffen sein wird – die Folgen für Kunden dürften aber spürbar sein.

Betriebssystem-Updates und Sicherheitslücken für Googles Hardware-Partner

Google teilt mit den Hardware-Partnern im Voraus Informationen über wichtige Betriebssystem-Updates und Sicherheitslücken – damit diese entsprechende Patches für ihre Kunden vorbereiten können. Auf diese Vorabinformationen wird Huawei laut G DATA wohl künftig verzichten müssen.
Einige Informationen werde es aber weiter geben: So werde der chinesische Hersteller künftig noch auf die Daten des „Android“-Open-Source-Projekts (AOSP) zugreifen können. Das habe Google dem US-Informationsportal „The Verge“ bestätigt.

Prekäre Update-Lage unter „Android“

„Huawei-Nutzer werden Sicherheits- und Feature-Updates jetzt auf jeden Fall später bekommen, als bislang“, erläutert Burris. „Das ist für Nutzer keine gute Entwicklung – die Update-Lage unter ,Android‘ ist ohnehin bei vielen Herstellern prekär.“
Google versuche zwar, immer mehr Updates über die eigenen Systemdienste auszurollen und nicht den Umweg über die Gerätehersteller zu gehen. Doch diese Bemühungen seien längst nicht abgeschlossen.

Nächtliche, ungewollte Installation von Apps auf dem Gerät…

Außerdem werde Huawei für alle außerhalb von China verkauften Smartphones den Zugriff auf wichtige Google-Dienste wie den „Playstore“ verlieren. So müssten sich Anwender Alternativen suchen. Nicht alle hätten dabei das gleiche Sicherheitsniveau wie „Google Play“ – das Infektionsrisiko steige.
„Leider ist außerdem zu befürchten, dass windige Reseller das ausnutzen und gerootete Smartphones mit den Play-Services auf dem europäischen Markt anbieten. Das haben wir in der Vergangenheit schon bei Smartphones von Xiaomi und Lenovo gesehen“, so Burris. In diesen Fällen sei zum Teil auch manipulierte Software auf den Geräten vorinstalliert gewesen. Ein klassischer Hinweis auf eine solche Manipulation sei zum Beispiel die nächtliche, ungewollte Installation von Apps auf dem Gerät.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2019
Update erforderlich: Sicherheitslücke in Googles Bluetooth

datensicherheit.de, 25.04.2019
Google Play Store: Sechs gefährliche Apps mussten entfernt werden

datensicherheit.de, 15.10.2018
GPlayed: Cisco Talos entdeckt neuen Android-Trojaner

datensicherheit.de, 17.08.2018
Android: Vorinstallierte Apps angreifbar

[datensicherheit.de, 03.12.2014] Huawei hat aktuell einen Leitfaden zur Cyber-Sicherheit mit dem englischen Titel „Cyber Security Perspectives – 100 Requirements When Considering End-to-End Cyber Security with Your Technology Vendors“ herausgegeben. Dieser soll branchenweit die erste Liste mit diesbezüglichen Kriterien enthalten, die bei der Kaufentscheidung für IKT-Produkte beachtet werden sollten.

100 Kriterien für Käufer von IKT-Produkten

Huawei möchte nach eigenen Angaben die Entwicklung eines anerkannten Rahmengerüsts von Cyber-Sicherheitsstandards für Hardware- und Softwarehersteller vorantreiben. Konkret werden in dem Leitfaden 100 Kriterien für Käufer in elf wichtigen Bereichen (strategische Steuerung und Kontrolle, Standards und Prozesse, Gesetze und Regulierungsvorgaben, Personal, Forschung und Entwicklung, Verifizierung, Koordination externer Dienstleister, Produktion, sichere Dienstleistungsbereitstellung, Lösungen von Problemen, Fehlern und Schwachstellen sowie Auditierung) benannt.

Gemeinsame Anstrengung erforderlich

Regierungen, Regulierungsbehörden, Unternehmen und Verbraucher hätten bereits in fast jedem Lebensbereich zusammengearbeitet, um die Produktqualität und -sicherheit zu verbessern – im Bereich der IKT-Sicherheit bislang noch nicht. Sie hoffen nun, dass ihr neues Whitepaper helfen wird, diesen Prozess in Gang zu bringen, so John Suffolk, „Global Cyber Security Officer“ bei Huawei.

Weitere Informationen zum Thema:

Huawei Technologies
Top 100 Cyber Security Requirements [pdf-Datei]

[datensicherheit.de, 17.10.2013] Huawei veröffentlichte heute, 18.10.2013, sein Cyber Security White Paper. Damit möchte sich das Unternehmen in die anhaltende Diskussion der internationalen IKT-Branche zum Umgang mit den aktuellen Cyber-Herausforderungen einbringen. Im White Paper wird erläutert, wie Cyber Security zu einem integralen Bestandteil eines Unternehmens wird und die Forderung nach einheitlichen internationalen Cyber-Sicherheitsstandards bekräftigt .

Vor einem Jahr hat Huawei das erste White Paper zu diesem Thema veröffentlicht und damit seine Absicht und Verpflichtung bekräftigt, gemeinsam mit anderen Akteuren des öffentlichen und privaten Sektors die Vorteile von Technologie und Globalisierung zu nutzen und zugleich den damit verbundenen Herausforderungen pragmatisch zu begegnen. Seither hat sich auf globaler Ebene die Zusammenarbeit beim Thema Cyber Security verstärkt. Immer mehr Länder verfolgen einen pragmatischen Ansatz und setzen die Entwicklung von Sicherheitsgesetzen und -vorschriften auf ihre Agenda.

Das aktuelles White Paper beschreibt den ganzheitlichen Cyber Security Ansatz des Unternehmens im Detail, einschließlich eines stärker praxisbezogenen Überblicks über Huaweis Ansatz bei der Entwicklung, Herstellung und dem Einsatz von Technologien. In allen Prozessstufen sind Cyber Security Ansätze integriert. Sowohl in der übergreifenden Strategie und Organisationsstruktur, als auch in den täglichen Prozessen und Standards, im Personalmanagement, der Forschung und Entwicklung, Sicherheitsprüfungen, Lieferantenmanagement, Produktion, Lieferung, Rückverfolgung und Dienstleistung.

„Wenn wir bei Huawei den Sicherheitsaspekt berücksichtigen, sprechen wir nicht nur über die Probleme von gestern oder die aktuellen Herausforderungen. Wir legen unseren Fokus vor allem auf eine sichere Zukunft, in der unsere Welt sich dramatisch verändern wird“, sagte John Suffolk, Global Cyber Security Officer von Huawei. „Mit Blick auf die Zukunft wird die Notwendigkeit internationaler Industriestandards für Cyber Sicherheit deutlich.“

Je wichtiger IKT-Lösungen für unser Leben und unsere Geschäfte werden, desto mehr müssen die damit verbundenen Herausforderungen für die Branche gemeinsam auf nationaler und internationaler Ebene angegangen werden. Die aktuelle Veröffentlichung ist Teil der Bestrebungen von Huawei, einen Beitrag zu diesem zunehmend wichtigen Thema zu leisten.

„Wir hoffen, dass dieses White Paper als Katalysator für einen breiten, partnerschaftlichen und verantwortungsbewussten Dialog zwischen dem öffentlichen und privaten Sektor wirkt und damit den gemeinsamen Cyber Security Zielen dient“, so John Suffolk.

John Suffolk auf der Seoul Conference on Cyberspace 2013

Auf einer Podiumsdiskussion während der Konferenz zum Cyberspace in Seoul am 17. Oktober teilte John Suffolk seine Ansichten zum Umgang mit den Bedrohungen und Herausforderungen von Cyber Security. Er sagte: „Es ist Zeit, beim Thema Sicherheit den Reset-Knopf zu drücken und uns zu fragen, inwieweit wir uns für die Zukunft einen neuen Umgang mit Sicherheitsfragen wünschen und wie wir kooperieren können, um neue Verhaltensnormen, Standards und Gesetze zu definieren, mit denen ein Ausgleich zwischen Privatsphäre und Sicherheit hergestellt werden kann.“

„Das Problem mit Standards heutzutage ist, dass sie nicht standardisiert sind. Je mehr Regierungen, Unternehmen und Technologieanbieter gemeinsame Standards erarbeiten, ihren Zweck und ihre positive Wirkungen sehen und sich für eine effektive Umsetzung  -auch durch die Kaufkraft der Abnehmer – einsetzen, umso mehr wird die Welt beginnen, den Unterschied zu realisieren. Hierbei geht es nicht darum, alle Probleme zu lösen, sondern ein gemeinsames Verständnis zu entwickeln, welche Probleme wir lösen wollen und wie dies geschehen soll.“

„Wir wissen, dass wir noch viel tun müssen, um unseren Ansatz kontinuierlich weiter zu verbessern. Wir haben uns jedoch zur Offenheit und Transparenz verpflichtet und sind der Ansicht, dass unsere Fähigkeit, bessere und qualitativ hochwertige Produkte und Dienstleistungen anzubieten, wächst, je mehr Menschen unsere Richtlinien und Verfahren überprüfen, bewerten und in Frage stellen.“

John Suffolk schloss seine Ausführungen mit der Bemerkung ab: „Huawei wird weiterhin mit Regierungen, Kunden und anderen Akteuren daran arbeiten, die notwendigen Sicherheitsanforderungen auf offene, partnerschaftliche und transparente Weise zu erfüllen. Wir sind der Ansicht, dass wir nur durch eine internationale Zusammenarbeit von Technologieanbietern, Kunden und Gesetzgebern signifikante Fortschritte im Umgang mit Cyber-Herausforderungen erzielen können.“

In Deutschland stellten heute Ulf Feger, neuer Cyber Security Officer der Huawei Technologies Deutschland GmbH, und Olaf Reus, Mitglied der Geschäftsleitung von Huawei Deutschland, die aktuelle Cyber Security Strategie des Unternehmens vor.

Weitere Informationen zum Thema:

HUAWEI
Huaweis Cyber Security White Paper (Oktober 2013)

können Sie unter  herunterladen.