Endlich: EU-Toolbox für eine nachhaltige und umfassende 5G-Security ist verfügbar!

18.02.20 / Dr. Simon Hoff

Wenn man sich die Standards der 5. Generation des Mobilfunks (5G) anschaut, wird man schnell feststellen, dass die Informationssicherheit durchgängig ein integraler Bestandteil von 5G ist, der in der Standardisierung auf eine ausgesprochen positive Weise berücksichtigt und von Release zu Release auch stetig weiterentwickelt und gepflegt wird [1].

Nun sind die 5G-Standards (wie auch andere Standards) nichts anderes als ein meterhoher kontinuierlich wachsender Stapel Papier. Die Standards müssen (mit möglichst wenigen Fehlern) von den Herstellern in ihren 5G-Komponenten implementiert werden. Die Mobile Network Operators (MNOs) müssen die in den Produkten realisierten Sicherheitsfunktionen dann auch tatsächlich nutzen und die 5G-Netze auf eine nachhaltig sichere Art und Weise gestalten, konfigurieren und betreiben

Genau hier besteht jedoch offenbar ein dringender Handlungsbedarf, der die EU nach einer entsprechenden Risikoanalyse genötigt hat, aktiv zu werden. Die NIS Cooperation Group [1], die aus Repräsentanten der Mitgliedstaaten, der Europäischen Kommission und der „European Union Agency for Cybersecurity“ (ENISA) besteht, hat unter dem Titel „Cybersecurity of 5G networks – EU Toolbox of risk mitigating measures“ einen risikobasierten Maßnahmenkatalog zur 5G-Security erarbeitet, der Ende Januar 2020 veröffentlicht wurde [2].

Die EU-Toolbox gilt dann für alle in der EU im 5G-Bereich eingesetzten Produkte (sowohl für reine 5G-Komponenten als auch für sonstige Komponenten der Informations- und Kommunikationstechnik) und für alle MNOs und deren 5G-Netze in der EU. In einem gewissen Rahmen gehören hierzu auch die Betreiber eines privaten 5G-Netzes [3]. Versteckt in einer Fußnote sagt die EU-Toolbox auf Seite 10 nämlich hierzu: „Mobile virtual network operators (MVNOs) and critical infrastructure operators from another sector than telecommunications, which could operate 5G networks for their own activities or on behalf of third parties, would fall under a similar category of stakeholders.”

Maßnahmenkatalog

Im Kern geht es in der EU-Toolbox um nichts anderes als den nachvollziehbaren Nachweis einer nachhaltigen und umfassenden 5G-Security durch Hersteller und MNOs. Von den Herstellern wird beispielsweise „Security by Design“ gefordert. Von den MNOs wird erwartet, dass sie bei der Beschaffung nicht nur funktionale Aspekte, sondern auch die Informationssicherheit in den Produkten und bei den Herstellern selbst berücksichtigen.

Insgesamt muss gemäß den Maßnahmen der EU-Toolbox ein MNO ein nachhaltiges und für das 5G-Netz umfassendes Information Security Management System (ISMS) schaffen. Dabei muss ein MNO neben sicherer Architektur und sicherer Konfiguration auch den sicheren Betrieb seines 5G-Netzes gewährleisten. Hier wird auch erwartet, dass das Network Operation Center (NOC) und das Security Operation Center (SOC) als besonders kritische Komponenten On-Premises in dem jeweiligen Land realisiert sind, in dem auch das 5G-Netz liegt, bzw. zumindest innerhalb der EU. Für das Monitoring fordert die EU-Toolbox, dass es in der Lage ist, Bedrohungen und Anomalien im Netz schnell zu erkennen. In der Praxis wird dies bedeuten, dass MNOs verstärkt Techniken und Werkzeuge des Security Information and Event Management (SIEM) einsetzen werden [4].

Die Maßnahmen der EU-Toolbox gehen auch deutlich über die reinen 5G-Komponenten hinaus. 5G-Komponenten können per Network Function Virtualization (NFV) auf konventionellen Virtualisierungsplattformen und sogar mittels Cloud-Dienste realisiert werden. Die Toolbox fordert daher auch die konsequente Absicherung von Virtualisierungslösungen und Cloud-Diensten.

Zertifizierungen

Für den Nachweis einer angemessenen Informationssicherheit sollen gemäß EU-Toolbox entsprechende EU-Zertifizierungen sowohl für die in 5G-Netzen eingesetzten Produkte als auch für MNOs und deren 5G-Netze dienen. In diesem Zusammenhang ist erwähnenswert, dass die ENISA Ende letzten Jahres den Auftrag erhalten hat, ein Zertifizierungsschema für die Cyber Security von Cloud-Diensten zu entwickeln, was auch außerhalb von 5G höchst interessant ist.

Jetzt könnte man insgesamt denken, die Toolbox würde quasi automatisch alle Zertifikate liefern, über die Hersteller und MNOs eine nachhaltige 5G-Sicherheit nachweisen können. Das tut sie leider (zumindest noch) nicht. Die EU-Toolbox spezifiziert zwar Maßnahmen, die für die 5G-Sicherheit umgesetzt werden sollten, und dies beinhaltet auch die eben erwähnte Berücksichtigung von entsprechenden Zertifizierungen. Jedoch müssen diese Zertifizierungen und entsprechende Zertifizierungsschemata zu erheblichen Teilen leider erst noch erarbeitet werden, bzw. bestehende Standards, nach denen zertifiziert wird, inkl. der zugehörigen Umsetzungsempfehlungen (z.B. ISO 27001 / ISO 27002), um entsprechende 5G-Profile ergänzt werden. Das Ergebnis wird dann ein für Juli 2020 angestrebtes Paket von EU-weiten Zertifizierungen unter dem „EU Cybersecurity Act“ sein.

Die Veröffentlichung der 5G-Toolbox ist also nur der erste (wenn auch ausgesprochen wichtige) Schritt auf dem langen Weg zur 5G-Security. Die Zeit drängt. Wir werden daher den weiteren Fortschritt genau im Auge behalten und im Netzwerk Insider und in unseren Sonderveranstaltungen, Foren und Seminaren hierzu berichten.

[1] Siehe z.B. „Herausforderung 5G Security“ aus der Netzwerk Insider-Ausgabe Oktober 2019, verfügbar unter https://www.comconsult.com/5g-security/

[2] Siehe https://ec.europa.eu/digital-single-market/en/nis-cooperation-group

[3] Siehe https://www.politico.eu/wp-content/uploads/2020/01/POLITICO-Cybersecurity-of-5G-networks-EU-Toolbox-January-29-2020.pdf,

[4] Siehe https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Frequenzen/OeffentlicheNetze/LokaleNetze/lokalenetze-node.html

[5] Siehe auch „SecOps: Operative Informationssicherheit“ aus der Netzwerk Insider-Ausgabe Juni 2019, verfügbar unter https://www.comconsult.com/secops-operative-informationssicherheit/

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.