Die Diskussion über digitale Souveränität ist bei der Cloud stehen geblieben. Es wird über das auf die Daten anwendbare Recht, den Hosting-Anbieter und den Vertrag debattiert. Das ist richtig, aber das ist nur eine Ebene. Unter den Servern befindet sich ein physisches Netzwerk, und dieses Netzwerk läuft auf Geräten, die von einer Handvoll Unternehmen hergestellt werden. Die Frage, wer diese Geräte herstellt, wer sie wartet und wer aus der Ferne darauf zugreifen kann, ist von der Frage nach der Cloud zu unterscheiden. Sie ist älter, materieller und hat ihren eigenen Markt.
Lassen Sie uns auch hier die Begriffe klären.
Was ist ein Netzwerkausrüster?
Ein Telekommunikationsbetreiber – Orange, SFR, Deutsche Telekom – stellt weder seine eigenen Antennen noch seine Router her. Er kauft sie bei einem Netzwerkausrüster und betreibt sie anschließend. Der Netzwerkausrüster ist der Hersteller, der die Hardware entwickelt und produziert, über die der Datenverkehr läuft: Mobilfunkantennen, Basisstationen, die ein Gebiet abdecken, RAN-Geräte, die das Endgerät mit dem Netzwerk verbinden, Router im Kernnetz, die die Kommunikation weiterleiten, sowie optische Übertragungssysteme. Das ist die physische Infrastruktur, die man greifbar wahrnehmen kann, im Gegensatz zu den Diensten, die darauf laufen.
Doch die Hardware ist nur ein Teil des Vertrags. Jedes Gerät verfügt über eine Firmware, also die Low-Level-Software, die es steuert und die vom Hersteller geschrieben und aktualisiert wird. Und der Netzbetreiber unterzeichnet fast immer einen Wartungsvertrag, der dem Gerätehersteller Fernzugriff gewährt, um Störungen zu diagnostizieren, Patches zu installieren und den Gerätepark weiterzuentwickeln. Ein Netzwerk zu kaufen bedeutet also nicht, Geräte ein für alle Mal zu erwerben. Es bedeutet, eine langfristige Beziehung zu demjenigen aufzubauen, der weiß, wie sie im Inneren funktionieren, und der die Kontrolle behält, um sie am Laufen zu halten.
Die Marktlage
Der weltweite Markt für RAN-Ausrüstung teilt sich auf wenige Namen auf. Auf europäischer Seite bleiben das finnische Unternehmen Nokia und das schwedische Unternehmen Ericsson führende Akteure mit langjähriger Präsenz und einem beträchtlichen Patentportfolio. Doch ihr Einfluss nimmt ab. Das chinesische Unternehmen Huawei, lange Zeit Marktführer im RAN-Bereich, bietet Ausrüstung zu Preisen an, mit denen die Europäer kaum mithalten können, und hat massive Marktanteile erobert, bevor politische Beschränkungen seine Expansion im Westen bremsten. Der Preisdruck ist struktureller Natur: Ein Netzbetreiber, der ein landesweites Netz aufbaut, rechnet in Milliarden, und der Preisunterschied spielt bei der Entscheidungsfindung eine entscheidende Rolle.
Eine Lücke ist zu verzeichnen. Frankreich hatte einst seinen eigenen Ausrüster für den Massenmarkt, Thomson, der zu Thomson-CSF und später zu Thales für den Bereich Verteidigung und staatliche Elektronik wurde. Thales ist nach wie vor ein bedeutender Industriekonzern, doch im Bereich der zivilen Telekommunikationsnetze hat sich das traditionsreiche Unternehmen aus dem Markt zurückgezogen. Europa hat also zwei Akteure von Weltklasse, und keiner davon ist französisch. Das Thema lässt sich nicht auf eine Flaggenfarbe reduzieren: Es hängt von der noch vorhandenen industriellen Kapazität ab und vom Kurs derer, die diese noch tragen.
Warum der Ausrüster mehr Einfluss hat als der Cloud-Anbieter
Das ist der Punkt, den die Diskussion über die Cloud außer Acht lässt. Der Cloud-Anbieter besitzt Ihre Daten und verarbeitet sie im Rahmen eines bestimmten Rechts. Der Netzwerkausrüster hingegen sitzt mitten in der Leitung. Er stellt die Geräte her, durch die der gesamte Datenverkehr – Sprache, Daten, Signalisierung – fließt, noch bevor er auch nur einen einzigen Anwendungsserver erreicht.
Diese Position verschafft ihm drei konkrete Einflussmöglichkeiten. Die erste ist der physische Zugang zum Netzwerk: Die Hardware ist überall im Land installiert, in den Vermittlungsstellen und am Fuß der Antennen, und sie sieht den Rohdatenstrom vorbeifließen. Der zweite ist die Firmware: Der Hersteller schreibt den Code und entscheidet bei jedem Update über dessen Inhalt, was ein Vertrauen voraussetzt, das man bei Millionen von Geräten nicht Zeile für Zeile überprüfen kann. Der dritte Ansatz ist die Wartung: Die Verträge sehen Ferndiagnosen und -eingriffe vor, also einen permanenten, legitimen und für den Betrieb notwendigen Zugangskanal. Ein Cloud-Anbieter, den man verlässt, hinterlässt die Daten. Ein Gerätehersteller, von dem man abhängig ist, hat so lange Zugriff auf die Infrastruktur, wie das Netzwerk läuft, also kontinuierlich. Die Art des Zugriffs ist nicht dieselbe und reicht tiefer.
Was 5G an dieser Gleichung verändert
5G ist nicht einfach nur ein schnelleres 4G. Es verändert die Geometrie des Netzes. Um seine Übertragungsraten und Latenzzeiten einzuhalten, wird das Netz verdichtet: Wo 4G ein Gebiet mit wenigen Antennen abdeckte, vervielfacht 5G die Sendepunkte, insbesondere durch eng beieinanderliegende Kleinzellen in städtischen Gebieten. Mehr Geräte, die näher beieinander aufgestellt sind, bedeuten mehr Hardware desselben Anbieters, die tief in das Gebiet hinein verlegt wird.
Diese Verdichtung vergrößert automatisch die Angriffsfläche. Jedes Gerät ist ein Punkt, der Firmware empfängt und Fernwartung zulässt; eine Erhöhung ihrer Anzahl bedeutet somit eine Erhöhung der zu überwachenden Punkte und der Abhängigkeit vom Hersteller. 5G verwischt zudem die Grenze zwischen Kernnetz und Peripherie, indem es die Intelligenz an den Rändern bündelt, was die klare Unterscheidung zwischen sensiblen Bereichen und dem Rest verwischt. Es ist diese Kombination – mehr kritische Hardware, die über einen größeren Bereich verteilt ist –, die die Frage nach den Geräteherstellern mit ungewöhnlicher Deutlichkeit wieder auf die politische Agenda Europas gesetzt hat. Bei den Debatten über den Ausschluss bestimmter Anbieter aus den 5G-Netzen ging es nicht um Daten. Es ging darum, wer die Kontrolle über die physische Infrastruktur eines Netzes haben würde, das bei dieser Dichte zu einer strukturellen Abhängigkeit geworden ist.
Telekommunikationssouveränität lässt sich also nicht mit den Instrumenten der Cloud regeln. Das für Daten geltende Recht sagt nichts darüber aus, wer den Router herstellt, wer die Firmware schreibt und wer sich nachts einloggt, um ihn zu reparieren. Das sind zwei getrennte Fragen, zwei Ebenen, zwei Märkte. Solange man nur über die obere Ebene spricht, lässt man die materiellste aller Abhängigkeiten außer Acht.
Quellen
- Ericsson Mobility Report, Marktlage im Bereich RAN und weltweiter 5G-Ausbau
- Nokia, Jahresberichte und Marktanteile bei Netzwerkausrüstung
- Europäische Kommission, „5G Cybersecurity Toolbox“, Empfehlungen zu risikobehafteten Anbietern, 2020
- ANSSI, Vorabgenehmigungsverfahren für 5G-Ausrüstung (Gesetz vom 1. August 2019)
- Thales, Geschichte des aus Thomson-CSF hervorgegangenen Konzerns