Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht Risikoanalyse zu Open RAN
In der aktuellen Ausprägung beinhaltet Open RAN (Open Radio Access Network), basierend auf den Standards der O-RAN Alliance, „mittlere bis hohe“ Sicherheitsrisiken. Zu diesem Ergebnis gelangte das Barkhausen Institut, in der vom BSI beauftragten und nun veröffentlichten Studie. Federführend wurde die Risikoanalyse zu Open RAN vom Barkhausen Institut als unabhängige Forschungseinrichtung in Zusammenarbeit mit der Advancing Individual Networks GmbH aus Dresden und mit Unterstützung der secunet Security Networks AG erstellt.
Open-RAN ist ein technisches Konzept der O-RAN Alliance, dass die Interoperabilität von 5G-Netzen verbessern soll. Mithilfe von Standards und offenen Schnittstellen soll ein modulares System entstehen, in dem die Netzwerkelemente flexibel und herstellerunabhängig austauschbar sind. Dadurch sollen Offenheit und Interoperabilität im RAN (Radio Access Network) eines Mobilfunknetzes gefördert werden. Die Umsetzung von Open RAN basiert auf den 5G-RAN Spezifikationen von 3GPP (3rd Generation Partnership Project), einer weltweiten Kooperation von Standardisierungsgremien für die Standardisierung im Mobilfunk. Nicht nur Schnittstellenspezifikationen, sondern auch neue Komponenten mit intelligenten RAN-Funktionen werden definiert.
Die Risikoanalyse konnte feststellen, dass von einer Vielzahl in Open RAN spezifizierter Schnittstellen und Komponenten „mittlere bis hohe Sicherheitsrisiken“ ausgehen. Dieses Ergebnis sei aber wenig überraschend, da sich zum einen der aktuelle Entwicklungsprozess der Open RAN-Spezifikationen nicht an dem Paradigma von „security/privacy by design/default“ orientiere. Zum anderen seien die Prinzipien der mehrseitigen Sicherheit (minimale Vertrauenswürdigkeitsannahmen bezüglich aller Beteiligten) nicht berücksichtigt worden.
Der Präsident des BSI, Arne Schönbohm, zu der aktuellen Open RAN-Situation:
„Als Cyber-Sicherheitsbehörde des Bundes beobachtet und begleitet das BSI den Entwicklungsprozess von Open RAN. Deshalb haben wir eine Risikoanalyse beauftragt, die verschiedene Betroffene und Angreifergruppen analysiert und dabei die Risiken für die zentralen Schutzziele Vertraulichkeit, Integrität, Zurechenbarkeit, Verfügbarkeit und Privacy bewertet. Die Studie demonstriert dabei anhand einer Best-/Worst-Case-Betrachtung, dass das bisherige Open RAN noch nicht ausreichend nach Security by Design spezifiziert wurde und teilweise Sicherheitsrisiken aufweist. Die Sicherheitsverbesserungen sollten deshalb aus der Studie in die Spezifikationen aufgenommen werden, um den rasanten Zuwachs von Open RAN im Markt von Beginn an mit ausreichend sicheren Produkten bedienen zu können.“
Weitere Informationen sowie die Open RAN-Studie finden Sie hier: Bundesamt für Sicherheit in der Informationstechnik (BSI).