BSI schreibt Studie zum Thema 5G MANO aus

Gegenstand der Ausschreibung ist eine Studie zur fachlich-technischen Bewertung der Angriffsflächen und -vektoren sowie eine Risikoanalyse des Systems NFV MANO im Kontext eines 5G-Netzes. Angebote können bis zum 16. Mai 2023 eingereicht werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Ausschreibung für die Erstellung einer Studie zum Thema MANO 5G veröffentlicht. Gegenstandsbereich der Ausschreibung ist die Erstellung einer Studie zur technischen Bewertung von Angriffsflächen und Angriffsvektoren sowie einer Risikoanalyse des MANO-NFV-Systems im Kontext des 5G-Netzes. Dabei soll MANO in seine Systemkomponenten NFV Orchestrator (NFVO), VNF Manager (VNFM) und Virtual Infrastructure Manager (VIM) unterteilt und einzeln analysiert werden.

Alle Schnittstellen des NFV MANO nach außen, z.B. zum Operation Support System/Business Support System (OSS/BSS), zu den NFVs und Element Managern oder zur NFV-Infrastruktur, müssen ebenfalls hinsichtlich systemischer Risiken und Angriffsvektoren betrachtet werden. Dabei steht die Erstellung einer Security Problem Definition (SPD) für NFV MANO mit Assets, Operational Environment, Attacker Model und Threats im Vordergrund. Darüber hinaus soll ein begründeter Vorschlag für eine EAL Einstufung auf Basis der abgeleiteten Security Requirements des NFV MANO erarbeitet werden.

Angebote können bis zum 16. Mai 2023 eingereicht werden.

Hintergrund

Laut des vom Bundestag am 23. April 2021 bestätigten Entwurfs des IT-Sicherheitsgesetzes 2.0 sollen kritische Komponenten entsprechend identifiziert werden (siehe BSI-Gesetz §2 Abs. 13 Satz 1). Die identifizierten Komponenten sind gemäß § 165 Abs. 4 TKG zu zertifizieren.

Die Netzwerk-Orchestrierung, d. h. das Erstellen, Konfigurieren, Überwachen und Löschen von Netzwerkfunktionen, ist kritisch gemäß der Liste der kritischen Funktionen (siehe Anlage zum Katalog von Sicherheitsanforderungen der Bundesnetzagentur). Auf Grundlage der Anforderungen aus der BSI TR-03163 soll ein Protection Profile erstellt werden. Die mit dieser Ausschreibung durchzuführende Studie bildet die Basis, um die Anforderungen und Rahmenbedingungen an das zu erstellende Protection Profile zu definieren.

 

Alle Anforderungen sowie die Ausschreibung finden Sie hier.