Robuste Netze, digitale Stärke
Digitalisierung braucht hochverfügbare Kommunikationsnetze
Integrität, Robustheit und Vertraulichkeit sind die elementaren Voraussetzungen für vertrauenswürdige Kommunikation. Sie gewährleisten das Vertrauen der Nutzer in Technik und Betreiber.
Jetzt kontaktierenMobilfunknetze sind das Rückgrat unserer vernetzten Gesellschaft – sie ermöglichen Kommunikation, Wirtschaft und öffentliche Sicherheit. Doch als kritische Infrastruktur sind sie auch ein attraktives Ziel für Cyberangriffe. Sicherheitslücken in Mobilfunksystemen können fatale Folgen haben: von Datenlecks bis hin zu großflächigen Ausfällen. Deshalb müssen IT-Sicherheit und Resilienz oberste Priorität haben. Nur durch robuste Verschlüsselung, sichere Komponenten und regelmäßige Updates können wir unsere digitale Souveränität und die Verfügbarkeit dieser lebenswichtigen Netze gewährleisten.
Mobilfunknetze sind komplex. Neben einem sicheren Betrieb kommt es besonders auf die Security der Technologieebene an. In Kern-, Transport- und Zugangsnetzen sind heutzutage eine Vielzahl unterschiedlicher Komponenten verbaut, zumeist von unterschiedlichen Herstellern. Auch die Software spielt in modernen Funknetzen eine herausragende Rolle. So ermöglichen Software-Defined Networks (SDN) im Mobilfunk eine Trennung von Steuerung (Control Plane) und Datenübertragung (Data Plane) und damit flexiblere, effizientere und sicherere Mobilfunknetze. Besonders Network Slicing, automatisierte Netzverwaltung und dynamische Ressourcensteuerung profitieren davon. Doch wie implementiert man die richtigen Security Funktionalitäten und wie weist man deren Wirksamkeit nach? Wir haben eine Antwort darauf.
Im Rahmen des BSI-Förderaufrufs „Cybersicherheit und digitale Souveränität in 5G/6G-Kommunikationstechnologien“ wurde ein Konsortium zwischen der TÜV Informationstechnik GmbH (TÜVIT) und der exceeding solutions GmbH gebildet, um effiziente Teststrategien für kritische 5G-Komponenten zu analysieren. Das Projekt umfasste die Spezifikation eines Testframeworks unter Berücksichtigung von Anforderungen aus dem NESAS (Network Equipment Security Assurance Scheme) Testschema und dem NESAS CSS-GI (NESAS Cybersecurity Certification Scheme - German Implementation) Zertifizierungsschema sowie die Erstellung und Inbetriebnahme eines lauffähigen Demonstrators.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist gemäß § 165 Abs. 9 Telekommunikationsgesetz (TKG) für die Überprüfung von Betreibern mit erhöhtem Risikopotenzial zuständig. Dazu gehören derzeit die Betreiber von 5G-Netzen in Deutschland. Diese Aufgabe ergibt sich aus dem IT-Sicherheitsgesetz 2.0 und wurde erstmals im Jahr 2023 durchgeführt. Zur Erfüllung des Prüfauftrags wurden erste Versionen einer Prüfgrundlage und des Prüfverfahrens entwickelt, die die Anforderungen aus dem TKG weiter konkretisieren. Beide Dokumente müssen in den Jahren 2023 bis 2025 weiterentwickelt werden. Die Gründe hierfür sind, dass der Katalog der Sicherheitsanforderungen der Bundesnetzagentur nach § 167 TKG aktualisiert wird, eine neue Version der ISO 27001 kurz vor der Veröffentlichung steht und der „Leitfaden zu Sicherheitsmaßnahmen nach dem EECC“ der ENISA zu berücksichtigen ist.
TÜVIT hat im Auftrag des BSI die Prüfgrundlage und die dazugehörigen Dokumente erstellt. Weitere Quellen, die TÜVIT aufgrund seiner Branchenkenntnis und im Rahmen seiner Recherchen identifiziert, fließen zur Qualitätssteigerung mit ein. Ziel ist es, den aktuellen Stand der Technik abzubilden und eine hochwertige Prüfgrundlage zu entwickeln, die den Prüfer optimal unterstützt und vergleichbare Ergebnisse für unterschiedliche Prüfer ermöglicht.
Das Network Equipment Security Assurance Scheme (NESAS) ist ein Rahmenwerk zur Gewährleistung und Verbesserung der Sicherheit in der Mobilfunkbranche. NESAS schafft damit eine Grundlage für die Bewertung der definierten Sicherheitseigenschaften von IT-Produkten, die zur Bereitstellung von Mobilfunknetzinfrastrukturen eingesetzt werden, im Folgenden als Netzprodukte bezeichnet. Um dies nachzuweisen, müssen die entsprechenden Netzprodukte vom Hersteller nach vorauditierten Entwicklungs- und Lebenszyklusprozessen entwickelt werden. Die Erfüllung der auditierten Prozesse und der produktspezifischen Sicherheitsanforderungen wird dann in einer Evaluierung in einem Prüfzentrum nachgewiesen.
TÜVIT hat in Zusammenarbeit mit der ZTE Corporation eine Pilotevaluation eines 5G gNodeB durchgeführt. Die Erkenntnisse und Erfahrungen aus dieser ersten Evaluierung sind in die NESAS CCS-German Implementation (GI) eingeflossen, die auf dem GSMA-NESAS-Evaluierungsschema basiert. Bei bestimmten Verfahrensschritten, Prüfungsfragen oder Testaktivitäten werden dabei mögliche zusätzliche Anforderungen berücksichtigt. Diese wurden von der BSI-Zertifizierungsstelle in den Application Notes and Interpretations of the Scheme (AIS) als separate Dokumente veröffentlicht.
Gute Gründe, die für uns sprechen