Projekttitel:
5Guide – Erstellung eines Leitfadens und von Werkzeugen für ein Core Pentesting von 5G-Campusnetzen
Fördergeber:
BSI – Bundesamt für Sicherheit und Informationstechnik
Konsortialführer:
Dr. David Rupprecht, Radix Security GmbH
Projektkonsortium:
Radix Security GmbH; Westfälische Hochschule
Gelsenkirchen Bocholt Recklinghausen
Projektbeschreibung:
Mobilfunknetze sind ein grundlegender Bestandteil der Infrastruktur unserer Gesellschaft. Die aktuelle Mobilfunkgeneration 5G verstärkt die Integration in unseren Alltag weiter und eröffnet neue Möglichkeiten durch eine höhere technische Leistungsfähigkeit. Die Sicherheit unserer Infrastrukturen spielt dabei eine fundamentale Rolle. Die Nutzung eines 5G-Netzes über bereits etablierte Web-Technologien wie HTTP/HTTPS, REST oder auch OAUTH birgt erhebliche Sicherheitsrisiken. Eine umfassende Sicherheitsanalyse von 5G-Netzen erweist sich jedoch als technisch sehr anspruchsvoll. Dies liegt an der hohen Komplexität der Netze und ihrer Komponenten. Während eine sicherheitskritische Zertifizierung von öffentlichen Netzen bereits initiiert und durch das NESAS-CCS-GI Schema spezifiziert ist, sind private Campusnetze von der verpflichtenden Anwendung ausgenommen. Durch die Bereitstellung eines dedizierten Pentesting-Tools und dem erforderlichen Training soll die Zugänglichkeit von Sicherheit in der 5G-Netztechnologie erhöht und gleichzeitig die erschwerende Komplexität des Themas für Campusnetzbetreiber minimiert werden.
Wir wollen den Betreibern von 5G-Campusnetzen ein technisch ausgereiftes, skalierbares und leicht zugängliches Lösungsangebot zur Verfügung zu stellen, mit dem sie ihre kritischen Anlagen besser schützen können. Wir streben demnach an, 5G-Campusnetzbetreiber zu befähigen, die eigene Netzinfrastruktur auf sicherheitskritische Faktoren zu testen, um so einen Sicherheitsstandard im 5G-Campusnetzbereich zu schaffen, auch ohne vorherrschende Zertifizierungspflicht. Der Wert des globalen 5G-Sicherheitsmarkts wird derzeit auf 1,3 Mrd. USD (2022) geschätzt, mit einem erwarteten Wachstum auf 7,2 Mrd. USD bis 2027, was einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 41,6 % über den betrachteten Zeitraum entspricht. Dementsprechend umfasst der verfügbare Gesamtmarkt verschiedene Akteure wie kommerzielle und Campusnetzbetreiber, Ausrüstungsanbieter und Integratoren. All diesen Gruppen ist gemeinsam, dass sie verschiedene Arten von Sicherheitslösungen für ihre Infrastrukturen und Produkte benötigen. Ein Markt für 5G-Sicherheitslösungen ist im Entstehen.
Ziel des Projektes 5Guide ist es, die Sicherheit von 5G-Netzen zu erhöhen, die keiner Zertifizierungspflicht unterliegen. Dies betrifft vor allem private Campusnetze, deren Betreiber das Wissen und die Mittel erhalten, um das Sicherheitsniveau während der Implementierung und des Betriebs zu erhöhen. Das Ziel kann in zwei Aspekte unterteilt werden. Ein Training ermöglicht es Campusnetzbetreibern, aber auch PentesterInnen, sich mit der Materie der 5G-Sicherheit vertraut zu machen. Das Tooling ermöglicht eine technisch unterstützte Sicherheitsbewertung von 5G-Campusnetzen, die in weiterer Folge durch gezielte Maßnahmen zu einer Verbesserung der Sicherheit führt. Damit steht ein robuster und skalierbarer Ansatz zur Verfügung, um die Kompetenz der Akteure und Verantwortlichen aufzubauen und zu erhöhen und somit die Sicherheit von 5G-Netzen zu verbessern.
Mit einem „Training and Tooling“-Ansatz senken wir die Eintrittsbarriere für neue und etablierte Unternehmen 5G sicher zu implementieren. Mit der technischen Entwicklung eines Demonstrators, der die bestehenden Anforderungen potenzieller Kundengruppen beantwortet, wird ein strategischer Eintritt in den Markt ermöglicht. Der entsprechende Arbeitsplan zielt auf die Evaluation verschiedener Annahmen ab, die im Falle einer positiven Verifizierung den Bedarf an den angebotenen Softwarelösungen bestätigen. So können wir kurzfristig demonstratorische Produkte an Early Adopters lizenzieren und damit die ersten Schritte des Markteintritts vollziehen. Dies beeinflusst die wirtschaftliche Tragfähigkeit des Projekts positiv, ermöglicht es uns gleichzeitig aber auch, die Eigenschaften der angebotenen Produkte an die Anforderungen der Kunden anzupassen. 5Guide bietet ein hohes Verwertungspotential. Neben der traditionellen
Aufbereitung von Forschungsresultaten auf Konferenzen und in Journalen ist insbesondere vorgesehen, die Projektergebnisse in die (Weiter-)Entwicklung konkreter Dienstleistungen einfließen zu lassen. Weiterhin werden die Ergebnisse Beiträge zur öffentlichen Diskussion und zur akademischen Lehre leisten. Es ist geplant, die Projektergebnisse als Open-Source-Software zur Verfügung zu stellen.
Die Projektergebnisse haben signifikanten Einfluss auf die zukünftige Akquise von weiteren Mitteln sowohl auf nationaler als auch auf EU-Ebene, insbesondere da Vorarbeiten in diesem Arbeitsgebiet geschaffen wer- den, die zukünftig genutzt werden können, um Deutschland im europäischen Kontext zu platzieren. Hieraus ergeben sich interessante Möglichkeiten für Folgeprojekte, insbesondere nach Projektabschluss.