Pressemeldung
Mit der 5G NR gNodeB des Mobilfunkausrüsters ZTE Corporation prüft die TÜV Informationstechnik GmbH (TÜVIT) in einem Pilotverfahren erstmalig ein 5G-Produkt nach dem NESAS-Zertifizierungsschema (NESAS CCS-GI). Mit der offiziellen Zertifizierung durch das BSI belegt der Telekommunikationsausrüster die IT-Sicherheitseigenschaften seiner 5G-Komponente ab sofort durch ein unabhängiges Zertifikat.
Geringere Latenzzeiten, höhere Übertragungsgeschwindigkeiten, bessere Netzstabilität – 5G bringt viele Vorteile mit sich, birgt allerdings auch eine erhöhte Gefahr durch Cyberangriffe. Denn mit der Vielzahl vernetzter Geräte steigt gleichzeitig auch die Zahl potenzieller Angriffspunkte. Um das Vertrauen in die IT-Sicherheit verschiedenster 5G-Mobilfunkkomponenten zu stärken, haben das 3rd Generation Partnership Project (3GPP) und die GSM Association (GSMA) das gemeinsame Bewertungsschema Network Equipment Security Assurance Scheme, kurz NESAS, entwickelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dieses Schema wiederum in ein nationales Zertifizierungsschema zur Produktzertifizierung überführt: Das NESAS Cybersecurity Certification Scheme – German Implementation (NESAS CCS-GI).1
Mit ZTE Corporation hat nun der erste Mobilfunkausrüster im Rahmen eines Pilotprojektes das Prüf- und Zertifizierungsverfahren nach NESAS CCS-GI erfolgreich durchlaufen. Dies besteht grundsätzlich aus zwei Bereichen: Der Auditierung der Entwicklungs- und Lebenszyklusprozesse sowie der Evaluierung der betrachteten technischen Fähigkeiten eines Netzwerkproduktes. Die Bewertung des Produktes erfolgte im Fall von ZTE durch TÜVIT als anerkannte Prüfstelle für NESAS CCS-GI.
Im Rahmen des gemeinsamen Pilotprojektes wurde die entwickelte Prüfmethodik erstmalig in der Praxis angewendet. Dem ging ein komplexer Versuchsaufbau voraus, in dessen Rahmen unter anderem eine 5G-Funkbasisstation (gNodeB) des Herstellers installiert sowie ein komplettes 5G Kernnetz nachgebildet wurde. Um die Voraussetzungen für die erfolgreiche Durchführung der Prüfung zu schaffen, lieferten Schwertransporter mehrere Tonnen schweres Equipment in die TÜVIT-Räumlichkeiten auf dem TÜV NORD CAMPUS in Essen, das in enger Zusammenarbeit mit den Techniker:innen von ZTE aufgebaut wurde. Im Anschluss daran machten sich die IT-Sicherheitexpert:innen mit dem dahinterstehenden System vertraut und begannen mit dem Testen der 5G NR gNodeB gemäß der Prüfungsanforderungen von NESAS CCS-GI. Hierzu gehörten standardisierte Sicherheitstests sowie diverse Testfälle.
Während der gesamten Testzeit standen die Expert:innen von TÜVIT in kontinuierlichem Austausch mit dem BSI, um zu berichten, wie die Durchführung der festgelegten Tests in der Praxis funktioniert sowie Feedback in Bezug auf definierte Anforderungen zu geben. „Das Pilotprojekt mit ZTE und die damit einhergehenden Erfahrungen und Erkenntnisse haben entscheidend dazu beigetragen, die NESAS CCS-GI-Zertifizierung weiter voranzutreiben“, so Lisa Jäger, IT-Sicherheitsexpertin bei TÜVIT. „Damit hat das noch recht junge Zertifizierungsschema seine Bewährungsprobe offiziell bestanden. Entscheidend für den erfolgreichen Abschluss des Projektes war dabei das gute Zusammenspiel aus einem fachlich versierten Team bei TÜVIT und einem Hersteller, der sich den Anforderungen selbstbewusst gestellt hat."
1 Die Zertifizierung nach NESAS CCS-GI ersetzt nicht die Prüfung kritischer Komponenten nach §9b BSIG im Hinblick auf eine voraussichtliche Beeinträchtigung der öffentlichen Ordnung oder Sicherheit.
Die TÜV Informationstechnik GmbH (Hauptsitz in Essen, Deutschland) ist ein renommierter IT-Sicherheitsdienstleister sowie ein unabhängiges Prüfinstitut und -labor für IT-Sicherheit und Cyber-Security in der Digitalisierung. Weltweit akkreditiert, seit 1995. TÜVIT schafft durch Schwachstellenanalysen, Audits und Evaluationen Vertrauen in Sicherheitsmaßnahmen auf der Ebene von Geschäftsprozessen, Daten, Applikationen und Technologien. In der Erkennung und Reaktion auf Cyberangriffe ist TÜVIT ein schlagkräftiger Partner und sorgt für eine schnelle Wiederherstellung der Geschäftsfähigkeit. Wirtschaft, Verwaltung und Betreiber kritischer Infrastrukturen stärken so ihre regulatorische Compliance in den Handlungsfeldern Vertraulichkeit, Integrität und Verfügbarkeit sowie ihre ganzheitliche Cyber-Resilienz und IT-Sicherheit in der Lieferkette.
Gemeinsam mit ALTER TECHNOLOGY bildet TÜVIT die Business Unit Digital & Semiconductor. Der Geschäftsbereich ist eine tragende Säule im Wissensunternehmen TÜV NORD GROUP, die seit über 150 Jahren weltweit für Sicherheit und Vertrauen steht. Ingenieur:innen und IT-Security-Expert:innen sorgen in mehr als 100 Ländern dafür, dass Unternehmen in der vernetzten Welt noch erfolgreicher werden.