Regulierung: Auswirkungen auf die 5G-Sicherheit in Europa

Europäische Regierungen erlassen Gesetze und Richtlinie

[datensicherheit.de, 15.12.2020] Das Thema 5G wurde in den vergangenen Monaten aus vielerlei Perspektive diskutiert und durchleuchtet. Sergej Epp, Chief Security Officer bei Palo Alto Networks in Zentraleuropa, erläutert wie sich rechtliche Regulierung auf die 5G-Sicherheit in Europa auswirken wird.

Der Experte für Cybersicherheit erklärt:

Sergej Epp, Chief Security Officer bei Palo Alto Networks, Foto: Palo Alto Networks

„In den letzten Jahren hat in Europa eine lebhafte Diskussion über die Telekommunikations- und 5G-Sicherheit stattgefunden. Viele Telekommunikationsanbieter sind aktuell mit der Entwicklung der Cybersicherheitsarchitekturen sowohl für bestehende 4G-Netze als auch für geplante 5G-Technologien beschäftigt. Viele von diesen stehen nun vor der Einführung. Dieser verstärkte Fokus ist eine Reaktion auf die wachsende Zahl von Cyberbedrohungen in mobilen Netzwerken sowie auf die Erkenntnis, dass der Aspekt ‚Sicherheit‘ ein wichtiges Unterscheidungsmerkmal für künftige Dienstleistungen wird. Es ist aber auch eine Reaktion auf die wachsenden Erwartungen der politischen Entscheidungsträger von Regierungen, wenn es um das Thema ‚Vertrauen in 5G Netzwerke‘ geht.

Als weltweit tätiges Unternehmen für Cybersicherheit arbeitet Palo Alto Networks mit zahlreichen Telekommunikationsanbietern und Unternehmen auf der ganzen Welt zusammen, die auf mobile Netzwerke angewiesen sind. Wir haben weltweit zahlreiche Lösungen realisiert, die es den Kunden ermöglichen, mobile protokoll-spezifische Bedrohungen, Malware und andere Schwachstellen in Mobilfunknetzen zu mitigieren und somit mögliche Cyber-Risiken zu reduzieren.

Umfang und Ausgereiftheit von Cyberangriffen hat stark zugenommen

Seit einigen Jahren beobachten wir, dass die Gefahren und Cyberangriffe auf diese Netzwerke in Umfang und Ausgereiftheit weiter stark zugenommen haben. Dabei stehen nicht nur die Netzwerkinfrastrukturen und Protokolle im Fokus der Angreifer, sondern auch die angeschlossenen und zunehmend kritischen Geräte, Dienste und Anwendungen (z.B. Roboter, Drohnen, etc). Die Wirkung der möglichen Angriffe steigt also. In Zukunft wird sich das Tempo der Angriffe beschleunigen, nicht zuletzt aufgrund der höheren Geschwindigkeit, mit der 5G- Netze einhergehen, sowie durch die wachsende Angriffsfläche, die sich aus dem schieren Volumen der IoT-Geräte ergibt. All dies macht die Cybersicherheit von Netzwerken, Daten, IoT-Geräten und Unternehmensdiensten unerlässlich. Um diesen Herausforderungen zu begegnen, hat Palo Alto Networks vor kurzem die branchenweit erste 5G-native Sicherheitslösung eingeführt, die containerisierte 5G-Sicherheit, Echtzeit-Korrelation von Bedrohungen mit 5G-Identifikatoren und 5G-Network-Slice-Sicherheit umfasst.

Europäische Regierungen erlassen Gesetze und Richtlinien

Die europäischen Regierungen wissen sehr genau , was beim Aufbau von 5G-Netzwerken auf dem Spiel steht, und erlassen daher Gesetze und Richtlinien, die Unternehmen dazu ermutigen, Cyber-Risiken in Telekommunikationsnetzwerken zu mitigieren. Im April 2020 veröffentlichte zum Beispiel die deutsche Bundesnetzagentur den Entwurf für einen Katalog der Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen, sowie für die Verarbeitung personenbezogener Daten, Version 2.0. Anhang I, Abschnitt 2.2 des Katalogs fordert von Anbietern von Telekommunikationsdiensten mit einer IP-Infrastruktur“, die Verkehrsdaten regelmäßig auf Auffälligkeiten zu überwachen, „um Angriffe oder Fehler zu erkennen“ und eine geeignete Monitoring-Infrastruktur zu implementieren, die in der Lage sein sollte, Bedrohungen kontinuierlich zu erkennen und zu verhindern.  Als geeignete Datenquellen für die Sicherheitsüberwachung können zum Beispiel BGP-Router, DNS-Server, E-Mail und IPSec dienen, so der Katalog. Der deutsche Leitfaden ist lobenswert, weil er verdeutlicht, dass die Überwachung von Netzwerken auf Bedrohungen und die Verhinderung von Angriffen in Echtzeit von wesentlicher Bedeutung sind, um das Volumen und die Auswirkungen von Cyberattacken auf die nationale Infrastruktur, Regierungsnetze, Unternehmen und Bürger zu verringern. Die Sicherheitsanforderungen werden Berichten zufolge noch vor Ende 2020 offiziell in einem Bundesanzeiger bekannt gegeben.

Prinzip der „geringsten Berechtigung“

Die Bemühungen Deutschlands um die Sicherheit von 5G-Netzwerkinfrastrukturen sind im  Kontext weitreichender politischer Aktivitäten in ganz Europa zu sehen. Im Januar 2020 veröffentlichte die Europäische Kommission die Toolbox zur 5G-Cybersicherheit, die den  EU-Mitgliedsstaaten dabei helfen soll, sowohl strategische wie auch technische Maßnahmen für die Sicherung von 5G Technologien umzusetzen. Zu diesen Maßnahmen gehören strenge Zugangskontrollen, das Prinzip der „geringsten Berechtigung“ (Konzept und die Praxis der Einschränkung von Zugriffsrechten für Benutzer), die Segmentierung der Netzwerke und effektive Authentifizierung, Autorisierung, Protokollierung und Prüfung. Die Umsetzung der Toolbox ist zwar freiwillig, erfolgt jedoch auf nationaler Ebene. Die Toolbox ist in gewissem Masse der empfohlene „Werkzeugkasten“ für die Mitgliedstaaten, um den europäischen Kodex für elektronische Kommunikation (EECC) als ein umfangreiches neues EU-Telekommunikationsrecht, in nationales Recht, bis Dezember 2020 umzusetzen.

Sicherheitsmaßnahmen sollten „den Stand der Technik berücksichtigen“

Die Sicherheitsanforderungen des EECC in Artikel 40 und 41 fordern die Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder öffentlich zugänglichen elektronischen Kommunikationsdiensten auf, „angemessene und verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit von Netzen und Diensten angemessen zu handhaben“. Diese Maßnahmen sollten „den Stand der Technik berücksichtigen“, „ein dem vorhandenen Risiko angemessenes Sicherheitsniveau gewährleisten“ und „die Auswirkungen von Sicherheitsvorfällen auf Nutzer und andere Netze und Dienste verhindern und auf ein Mindestmaß beschränken“.

Dazu hat die Europäische Agentur für Cybersicherheit (ENISA) am 10. Dezember 2020 zwei Dokumente für die nationalen Regulierungsbehörden der Mitgliedstaaten herausgegeben, um sie bei der Umsetzung dieser Bestimmungen zu unterstützen: die Leitlinie für Sicherheitsmaßnahmen im Rahmen des EECC und eine 5G-Ergänzung zu dieser Leitlinie.

Dienstanbiter investieren in Cybersicherheit

Ungeachtet der Gesetzgebung und Richtlinien haben viele europäische Dienstanbieter bereits begonnen, in bewährte, hochmoderne Sicherheitstools und -fähigkeiten zur Sicherung von Netzwerken zu investieren. Dies gilt insbesondere seit dem Aufkommen von Sicherheitslücken in 4G und 5G Protokollen. Bei diesen Investitionen handelt es sich vor allem um Lösungen für Echtzeitabwehr, Authentifizierung und Zugangskontrolle, Netzwerksegmentierung und Containersicherheit. Die Telekommunikationsdiensteanbieter folgen damit den bewährten Prinzipien wie Zero-Trust-Architekturen, Prävention und Automatisierung. Wichtig ist, dass sich Netzbetreiber zunehmend der Notwendigkeit bewusst werden, eine ständige Echtzeit-Überwachung und -Regeldurchsetzung aufrechtzuerhalten, um jederzeit in der Lage zu sein, Cyber-Sicherheitsbedrohungen im mobilen Verkehr fortlaufend zu erkennen und zu stoppen. In diesem Zusammenhang hat die GSMA, der Branchenverband, der die Interessen von Mobilfunkbetreibern weltweit vertritt, darunter mehr als 200 europäische Betreiber, im März 2020 ein Referenzdokument herausgegeben, das Empfehlungen für Telekommunikationsdiensteanbieter zur Erkennung und Verhinderung von Angriffen auf die GPRS-Tunnelprotokoll-Nutzerebene (GTP-U) gegen Mobilfunknetze, -dienste und -anwendungen enthält.

Unternehmen bereiten sich auf Nutzung von %G vor

Neben den Telekommunikationsanbietern, bereiten sich aber auch die Unternehmen darauf vor, private 5G-Netze zu nutzen. Zum Beispiel hat die deutsche Bundesnetzagentur kürzlich mehr als 80 Lizenzen für Frequenzen im Frequenzband von 3.700 bis 3.800 MHz an Firmen wie Audi, Bosch und Lufthansa zur Nutzung von lokalen 5G-Netzen vergeben. Dabei ist es dringend notwendig, dass die Regulierungsbehörden auch diese privaten 5G Netzwerke nicht außer acht lassen. Vielen kritische Anwendungsfälle wie Industrieroboter oder selbstfahrende Fahrzeuge werden nämlich vor allem in privaten und nicht in den öffentlichen 5G-Netzwerken umgesetzt.

Internationale Verbände beim Thema 5G involviert

Auch viele internationale Verbände beschäftigen sich aktuell mit dem Thema 5G Sicherheit. So führt beispielsweise das in der Schweiz ansässige Weltwirtschaftsforum eine branchenübergreifende Initiative durch, die einen nachhaltigen und sicheren Übergang zur nächsten Generation von Mobilfunknetzen beschleunigen soll. Das Ziel der Initiative ist es, hochrangigen Führungskräften die aufkommenden Sicherheitsrisiken und systemischen Herausforderungen von Mobilfunknetzen zu vermitteln. Dabei erarbeiten sie wichtige Empfehlungen für Maßnahmen, mit deren Hilfe diese Risiken besser verstanden und beherrschbar gemacht werden können.

Eins steht fest: Investitionen in die Cybersicherheit werden unverzichtbar sein, wenn es um die Zukunft der Mobilfunknetze geht. Gleichzeitig wird weitere Regulierung der 5G-Sicherheit dazu beitragen, die Grundsicherheit dieser kritischen Netzwerke zu erhöhen und Cyber-Risiken zu reduzieren.  Leitlinien helfen vor allem kleinen Mobilfunkbetreibern oder Betreibern privater 5G-Netzwerke, wie z.B. Unternehmen, die sich oft keine Cybersicherheitsexpertise zu diesem Thema leisten können.

Ähnlich wie im Finanzsektor kann die Regulierung der Sicherheit mobiler Netzwerke dazu beitragen, zum einen das Vertrauen in die Infrastruktur und Technologie zu stärken, aber auch neue Geschäftsmodelle zu ermöglichen. Es ist nicht überraschend, dass einige Telekommunikationsanbieter dieses bereits erkannt haben und Investitionen in die Cybersicherheit getätigt haben, um damit einer stärkeren Marktdifferenzierung Vorschub zu leisten und neue Geschäftsmöglichkeiten zu ermöglichen.

Zeit zum Handeln

Jetzt ist es jedoch an der Zeit, dass alle handeln müssen. Die Cybersicherheit muss bereits in der Entwurfsphase (Stichwort: Security by Design) künftiger Telekommunikationsnetzwerke von allen relevanten Akteuren berücksichtigt werden: Mobilfunknetzbetreiber, Regierungen und Unternehmen, die ihre eigenen privaten Netzwerke betreiben. Möglich wird das nur durch einen umfassenden Ansatz, der die Risiken der angeschlossenen Geräte, der Netzwerkinfrastruktur und der eigentlichen Netzwerke berücksichtigt, und je nach Anwendungsfall entsprechend umsetzt.“

Weitere Informationen zum Thema:

datensicherheit.de, 03.04.2020
Sichere Erschließung des Potenzials der digitalen 5G-Wirtschaft