5G-Sicherheit muss nicht kompliziert sein: Zugänglichkeit zur Technologie verstärkt Sicherheit von 5G-Campusnetzen
Die fortschreitende Implementierung von 5G hat zweifellos eine Revolution im Bereich der Kommunikation und Konnektivität ausgelöst. Doch während die Technologie ein enormes Potenzial in Bezug auf Geschwindigkeit, Kapazität und Anwendungsmöglichkeiten bietet, hat sich im Bereich der Sicherheit ein kritischer Engpass aufgetan. Eine Umfrage von Sophos zeigt, dass trotz des Wissens um die speziellen Sicherheitsanforderungen von 5G nur eine begrenzte Anzahl von Unternehmen und Campusnetzwerken tatsächlich in Sicherheitsstandards investiert. Zwar gaben rund 75 Prozent der Befragten an, dass besondere Sicherheitsvorkehrungen für 5G erforderlich sind, aber nur etwa die Hälfte setzt diese auch tatsächlich um. Das größte Hindernis bei der Umsetzung stellt die immense Komplexität der Technologie dar.
Chester Wisniewski, Field CTO Applied Research bei Sophos, betont, dass es viel Zeit und tiefgehendes technisches Wissen erfordert, um die umfangreichen und detaillierten Spezifikationen der 5G-Protokolle zu erfassen. Die Komplexität resultiert aus der Vielzahl von Anwendungsfällen, die in die Technologie und Spezifikationen von 5G eingeflossen sind. Im Gegensatz zu den Anfängen von 2G, die nur Telefonie und SMS abdecken, muss 5G eine breite Palette von Anwendungen unterstützen, darunter Machine-Type Communication und Network Slicing. Dies führt zu einer äußerst komplexen Netzstruktur, was auch in der 5G- Standardarchitektur widergespiegelt wird, die bereits 33 Netzwerkkomponenten umfasst, während es bei 2G nur fünf waren.
Die Komplexität in der 5G-Netztechnologie findet sich daher auch beim Thema 5G-Sicherheit wieder. Es existieren 109 Dokumente im 5G-Standard, die sich auf Sicherheitsaspekte beziehen, wobei allein das Basisdokument 295 Seiten umfasst. Sogar Open5GS, eine Open-Source 5G-Lösung, besteht aus mehr als 3700 Dateien und über 900.000 Zeilen Code. Die enorme Komplexität der Technologie offenbart ein grundlegendes Prinzip der IT-Sicherheit: Angreifende haben den Vorteil, Zeit, Ort und Art des Angriffs zu wählen, während Verteidigende das gesamte System schützen müssen.
Die hohen Kosten und der hohe Zeitaufwand für die Implementierung komplexer Sicherheitsstandards stellen für Unternehmen eine Herausforderung dar. Immer wieder entdecken Forschende Schwachstellen in kommerziellen 5G-Netzen, die sich mit vergleichsweise geringem Aufwand ausnutzen lassen. Ein Beispiel dafür ist der ReVoLTE-Angriff, bei dem Angreifende Zugriff auf VoLTE-Telefonate erhielten. Es ist daher klar, dass Sicherheit in 5G-Netzen kein zusätzliches Add-On sein darf, insbesondere wenn es um den Schutz sensibler Unternehmenswerte geht.
Der Sicherheitsprozess muss bereits während des Netzwerkaufbaus beginnen und ein fundiertes Verständnis der 5G-Netztechnologie vorhanden sein. Dadurch können wichtige Sicherheitsentscheidungen von Anfang an getroffen werden. Schulungen und spezialisierte Software können 5G-Anwendende auf verschiedenen Ebenen befähigen, Sicherheitsstandards selbst zu bewerten. Eine enge Zusammenarbeit zwischen Herstellern, Integratoren und Netzbetreibenden ist bei der Betrachtung der Bedrohungsszenarien und der zu schützenden Informationen von entscheidender Bedeutung. Daraus ergeben sich die Maßnahmen, die zum Schutz des 5G-Netzes zu ergreifen sind. Solche Maßnahmen können beispielsweise der Einsatz von sicherheitsauditierten Netzkomponenten (NESAS-CCS-GI) oder die Durchführung von 5G-spezifischen Penetrationstests sein.
Angesichts der zunehmenden Komplexität der 5G-Netztechnologie muss der Zugang zur Technologie für alle Beteiligten verständlich und niedrigschwellig sein. Dies gilt für Hersteller, Integratoren und Campusnetzbetreibende. Nur so kann Sicherheit von Anfang an integriert und der Fokus auf Sicherheitsmaßnahmen verstärkt werden. Sicherheit darf kein Anhängsel von 5G sein, sondern muss integraler Bestandteil der 5G-Netze sein.
Autor: David Rupprecht, Geschäftsführer von Radix Security.