Mobilfunksysteme und -komponenten

Im Rahmen des BSI-Förderaufrufs „Cybersicherheit und digitale Souveränität in 5G/6G-Kommunikationstechnologien“ wurde ein Konsortium zwischen der TÜV Informationstechnik GmbH (TÜVIT) und der exceeding solutions GmbH gebildet, um effiziente Teststrategien für kritische 5G-Komponenten zu analysieren. Das Projekt umfasste die Spezifikation eines Testframeworks unter Berücksichtigung von Anforderungen aus dem NESAS (Network Equipment Security Assurance Scheme) Testschema und dem NESAS CSS-GI (NESAS Cybersecurity Certification Scheme - German Implementation) Zertifizierungsschema sowie die Erstellung und Inbetriebnahme eines lauffähigen Demonstrators.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist gemäß § 165 Abs. 9 Telekommunikationsgesetz (TKG) für die Überprüfung von Betreibern mit erhöhtem Risikopotenzial zuständig. Dazu gehören derzeit die Betreiber von 5G-Netzen in Deutschland. Diese Aufgabe ergibt sich aus dem IT-Sicherheitsgesetz 2.0 und wurde erstmals im Jahr 2023 durchgeführt. Zur Erfüllung des Prüfauftrags wurden erste Versionen einer Prüfgrundlage und des Prüfverfahrens entwickelt, die die Anforderungen aus dem TKG weiter konkretisieren. Beide Dokumente müssen in den Jahren 2023 bis 2025 weiterentwickelt werden. Die Gründe hierfür sind, dass der Katalog der Sicherheitsanforderungen der Bundesnetzagentur nach § 167 TKG aktualisiert wird, eine neue Version der ISO 27001 kurz vor der Veröffentlichung steht und der „Leitfaden zu Sicherheitsmaßnahmen nach dem EECC“ der ENISA zu berücksichtigen ist.

TÜVIT hat im Auftrag des BSI die Prüfgrundlage und die dazugehörigen Dokumente erstellt. Weitere Quellen, die TÜVIT aufgrund seiner Branchenkenntnis und im Rahmen seiner Recherchen identifiziert, fließen zur Qualitätssteigerung mit ein. Ziel ist es, den aktuellen Stand der Technik abzubilden und eine hochwertige Prüfgrundlage zu entwickeln, die den Prüfer optimal unterstützt und vergleichbare Ergebnisse für unterschiedliche Prüfer ermöglicht.

Das Network Equipment Security Assurance Scheme (NESAS) ist ein Rahmenwerk zur Gewährleistung und Verbesserung der Sicherheit in der Mobilfunkbranche. NESAS schafft damit eine Grundlage für die Bewertung der definierten Sicherheitseigenschaften von IT-Produkten, die zur Bereitstellung von Mobilfunknetzinfrastrukturen eingesetzt werden, im Folgenden als Netzprodukte bezeichnet. Um dies nachzuweisen, müssen die entsprechenden Netzprodukte vom Hersteller nach vorauditierten Entwicklungs- und Lebenszyklusprozessen entwickelt werden. Die Erfüllung der auditierten Prozesse und der produktspezifischen Sicherheitsanforderungen wird dann in einer Evaluierung in einem Prüfzentrum nachgewiesen.
TÜVIT hat in Zusammenarbeit mit der ZTE Corporation eine Pilotevaluation eines 5G gNodeB durchgeführt. Die Erkenntnisse und Erfahrungen aus dieser ersten Evaluierung sind in die NESAS CCS-German Implementation (GI) eingeflossen, die auf dem GSMA-NESAS-Evaluierungsschema basiert. Bei bestimmten Verfahrensschritten, Prüfungsfragen oder Testaktivitäten werden dabei mögliche zusätzliche Anforderungen berücksichtigt. Diese wurden von der BSI-Zertifizierungsstelle in den Application Notes and Interpretations of the Scheme (AIS) als separate Dokumente veröffentlicht.