Projekttitel:
Pentest-5GSec – Mobiles Pentesting für sichere 5G-Netze
Fördergeber:
BSI – Bundesamt für Sicherheit und Informationstechnik
Konsortialführer:
Prof. Dr. Matteo Große-Kampmann, AWARE7 GmbH
Projektkonsortium:
AWARE7 GmbH; Ruhr-Universität Bochum
Projektbeschreibung:
Die Verbreitung von 5G-Netzen erfordert eine hohe Sicherheit der einzelnen Komponenten. Insbesondere mit der zunehmenden Privatisierung des Mobilfunksektors durch Campusnetze müssen diese unter dem Aspekt der Informationssicherheit betrachtet und behandelt werden. Da Campusnetze für verschiedene Infrastrukturen, darunter auch kritische Infrastrukturen wie das Gesundheitswesen oder die Energieversorgung, genutzt werden sollen, müssen entsprechend hohe Sicherheitsstandards innerhalb des Netzes vorhanden sein. Darüber hinaus müssen auch die eingesetzten Komponenten geprüft werden, da sie letztlich den gesamten Netzverkehr innerhalb eines Netzsegments oder Campusnetzes verarbeiten.
Vor allem im Kernnetz setzen 5G-Netze auf Webtechnologien wie HTTPS, Docker, Kubernetes oder OpenAPI. Diese Komponenten ändern sich ständig und müssen neben der eigentlichen Hardware auch getestet und gehärtet werden. Aktuelle Audit- oder Pentesting-Richtlinien sind für 5G-fähige Kommunikationsgeräte nicht konform. Diese Wissenslücke muss unbedingt geschlossen werden, da immer mehr 5G-Geräte in der realen Welt eingesetzt werden.
Außerdem müssen die aktuellen Bedrohungsmodelle ständig aktualisiert werden und auf der Grundlage dieser Bedrohungsmodelle müssen die Produkte in einem Laborsystem entsprechend zertifiziert werden. Derzeit gibt es in Deutschland nur zwei NESAS-CCS-GI-Testzentren, die die erwartete Anzahl der zu testenden Systeme kaum bewältigen können.
Dieses Projekt soll zu einer vielfältigen Audit-Landschaft beitragen und bestimmte Aspekte des Audit-Prozesses einer breiten Öffentlichkeit zugänglich machen. Insbesondere die Komponenten des Pentestings und der Bedrohungsmodellierung sollen innerhalb des Audit-Prozesses gestärkt werden. Ziel ist es, ein mobiles Prüflabor und Werkzeuge zu entwickeln, die zum Pentesting eines 5G-Netzwerks eingesetzt werden können. Darüber hinaus werden Erkenntnisse im Bereich der Bedrohungsmodellierung und der wirtschaftlichen Tragfähigkeit generiert.