Cybersicherheit von offenen Funkzugangsnetzen
Cybersicherheit von 5G-Netzen: EU veröffentlicht Bericht über die Sicherheit von Open-RAN
Open-RAN-Architekturen eröffnen neue Chancen auf dem Markt, bringen kurzfristig aber auch große sicherheitspolitische Herausforderungen mit sich bringen
Die EU-Mitgliedstaaten haben mit Unterstützung der Europäischen Kommission und der EU-Cybersicherheitsagentur ENISA einen Bericht über die Cybersicherheit von offenen Funkzugangsnetzen (Open RAN) veröffentlicht. Diese neue Art der 5G-Netzarchitektur wird in den kommenden Jahren eine alternative Möglichkeit für den Ausbau des Funkzugangsnetzes von 5G-Netzen auf der Grundlage offener Schnittstellen bieten. Dies ist ein weiterer wichtiger Schritt in der koordinierten Arbeit im Bereich der Cybersicherheit von 5G-Netzen auf EU-Ebene und zeigt die feste Entschlossenheit, weiterhin gemeinsam auf die sicherheitsbezogenen Herausforderungen der 5G-Netze zu reagieren und bei den Entwicklungen im Bereich der 5G-Technologie und -Architektur auf der Höhe zu bleiben.
Die EU-Bürgerinnen und ‑Bürger und EU-Unternehmen, die fortgeschrittene und innovative Anwendungen nutzen, die durch 5G-Technik und künftige Mobilfunknetzgenerationen ermöglicht werden, sollten sich auf höchste Sicherheitsstandards verlassen können. Im Anschluss an die auf EU-Ebene bereits geleistete koordinierte Arbeit zur Erhöhung der Sicherheit von 5G-Netzen mithilfe des EU-Instrumentariums für die 5G-Cybersicherheit haben die Mitgliedstaaten die Folgen der Open-RAN-Technik für die Sicherheit analysiert.
Margrethe Vestager, die für das Ressort "Ein Europa für das digitale Zeitalter" zuständige Exekutiv-Vizepräsidentin, erklärte: "Unsere gemeinsame Priorität und Verantwortung besteht darin, für einen zeitnahen Aufbau von 5G-Netzen in Europa und gleichzeitig ihre Sicherheit zu sorgen. Open-RAN-Architekturen eröffnen neue Chancen auf dem Markt, aber dieser Bericht zeigt, dass sie insbesondere kurzfristig auch große sicherheitspolitische Herausforderungen mit sich bringen. Es wird wichtig sein, dass alle Beteiligten genügend Zeit und Aufmerksamkeit für die Bewältigung dieser Herausforderungen aufwenden, damit die mit der Open-RAN-Technik verbundenen Erwartungen erfüllt werden können."
Der für den Binnenmarkt zuständige EU-Kommissar Thierry Breton fügte hinzu: "Angesichts der Einführung der 5G-Netze in der gesamten EU und der zunehmenden Abhängigkeit unserer Wirtschaft von digitalen Infrastrukturen, ist es wichtiger denn je, ein hohes Sicherheitsniveau unsere Kommunikationsnetze zu gewährleisten. Das haben wir mit dem 5G-Instrumentarium für Cybersicherheit getan. Und das tun wir – gemeinsam mit den Mitgliedstaaten – jetzt mit diesem neuen Bericht über Open RAN. Es ist nicht Sache der Behörden, eine Technologie zu bestimmen. Es liegt jedoch in unserer Verantwortung, die mit den einzelnen Technologien verbundenen Risiken zu bewerten. Dieser Bericht zeigt, dass die Open-RAN-Technik eine Reihe von Möglichkeiten, aber auch erhebliche sicherheitspolitische Herausforderungen mit sich bringt, die bisher noch nicht angegangen wurden und nicht unterschätzt werden dürfen. Die mögliche Einführung von Open RAN in den 5G-Netzen in Europa sollte keinesfalls zu neuen Schwachstellen führen."
Guillaume Poupard, Generaldirektor der französischen Agentur für Sicherheit der Informationssysteme (Agence nationale de la sécurité des systèmes d'information, ANSSI), erklärte: "Nach dem EU-Instrumentarium für die 5G-Cybersicherheit ist dieser Bericht ein weiterer Meilenstein in den Bemühungen der NIS-Kooperationsgruppe, die Sicherheitsrisiken unserer 5G-Netze zu koordinieren und zu mindern. Diese eingehende Sicherheitsanalyse von Open RAN trägt dazu bei, dass unser gemeinsamer Ansatz mit neuen Trends und damit verbundenen sicherheitspolitischen Herausforderungen Schritt hält. Wir werden unsere Arbeit fortsetzen, um diese Herausforderungen gemeinsam anzugehen."
In dem Bericht wurde festgestellt, dass Open RAN potenzielle Chancen für die Sicherheit mit sich bringen könnte, sofern bestimmte Bedingungen erfüllt sind. Durch eine größere Interoperabilität zwischen den RAN-Komponenten verschiedener Anbieter könnte die Open-RAN-Technik eine größere Diversifizierung der Anbieter innerhalb der Netze im selben geografischen Gebiet ermöglichen. Dies könnte zur Umsetzung der Empfehlung im Rahmen des 5G-Instrumentariums der EU beitragen, wonach jeder Betreiber über eine angemessene herstellerneutrale Strategie verfügen sollte, um eine größere Abhängigkeit von einem einzigen Anbieter zu vermeiden oder zu begrenzen. Die Open-RAN-Technik könnte ferner dazu beitragen, die Sichtbarkeit des Netzes durch die Nutzung offener Schnittstellen und Standards zu erhöhen, durch eine stärkere Automatisierung menschliche Fehler zu verringern und durch die Nutzung von Virtualisierung und Cloud-basierten Lösungen die Flexibilität zu steigern.
Das Konzept des Open RAN ist jedoch noch nicht ausgereift, und die Cybersicherheit stellt nach wie vor eine große Herausforderung dar. Vor allem kurzfristig würde Open RAN durch komplexere Netze eine Reihe von Sicherheitsrisiken verschärfen. Zu diesen Risiken gehören eine größere Angriffsfläche und mehr Eintrittspunkte für böswillige Akteure, ein erhöhtes Risiko einer Fehlkonfiguration von Netzen und mögliche Auswirkungen auf andere Netzfunktionen aufgrund der gemeinsamen Nutzung von Ressourcen. In dem Bericht wird auch darauf hingewiesen, dass technische Spezifikationen, wie sie von der O-RAN Alliance entwickelt wurden, nicht ausreichend ausgereift und von vorneherein sicher konzipiert sind ("secure by design"). Die Open-RAN-Technik könnte zu neuen oder verstärkten kritischen Abhängigkeiten führen, z. B. im Bereich Komponenten und in der Cloud.
In dem Bericht werden eine Reihe von Maßnahmen auf der Grundlage des 5G-Instrumentariums der EU empfohlen, um diese Risiken zu mindern und potenzielle Chancen von Open RAN zu nutzen, insbesondere:
>> Nutzung von Regulierungsbefugnissen, um die großmaßstäblichen Pläne der Mobilfunkbetreiber zur Einführung von Open RAN prüfen und erforderlichenfalls einschränken, verbieten und/oder spezifische Anforderungen oder Bedingungen für die Bereitstellung, den großmaßstäblichen Einsatz und den Betrieb von Open-RAN-Netzausrüstungen auferlegen zu können;
Verstärkung der wichtigsten technischen Kontrollen wie Authentifizierung und Autorisierung und Anpassung des Überwachungskonzepts an eine modulare Umgebung, in der jede Komponente überwacht wird;
>> Bewertung des Risikoprofils von Open-RAN-Anbietern, externen Dienstleistern im Zusammenhang mit Open RAN, Anbietern von Cloud-Diensten/Infrastrukturen und Systemintegratoren sowie Ausweitung der Kontrollen und Beschränkungen für Betreibermodellanbieter (Managed Service Providers, MSPs) auf diese Anbieter;
>> Behebung von Mängeln bei der Entwicklung technischer Spezifikationen: Der Prozess sollte den Grundprinzipien der Welthandelsorganisation (WTO)/des Übereinkommens über technische Handelshemmnisse (TBT) für die Entwicklung internationaler Normen [Erwägungsgrund 2 der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung] entsprechen, und Sicherheitsmängel sollten angegangen werden;
>> Aufnahme von Open-RAN-Komponenten in das künftige, derzeit in Entwicklung befindliche 5G-System für die Cybersicherheitszertifizierung zum frühest möglichen Zeitpunkt.
Was die Erhaltung und Konsolidierung der Kapazitäten der EU auf diesem Markt betrifft, so sollte zur Förderung des Wettbewerbs eine technologieneutrale Regulierung beibehalten werden. In diesem Rahmen könnten Mittel der EU und der Mitgliedstaaten für Forschung und Innovation im Bereich 5G und 6G genutzt werden, um EU-Akteuren die Möglichkeit zu bieten, unter gleichen Wettbewerbsbedingungen zu konkurrieren. Über das RAN hinaus ist es auch wichtig, potenzielle Abhängigkeiten oder mangelnde Vielfalt in der gesamten Wertschöpfungskette der Kommunikation im Hinblick auf die Diversifizierung des Angebots anzugehen.
Insgesamt wird in dem Bericht ein vorsichtiger Ansatz für den Übergang zu dieser neuen Architektur empfohlen. Beim Übergang und der gleichzeitigen Nutzung von bestehenden, zuverlässigen Technologien sollten ausreichend Zeit und genügend Ressourcen für die Vorabbewertung der Risiken, die Umsetzung geeigneter Risikominderungsmaßnahmen und die klare Festlegung der Verantwortlichkeiten im Falle eines Ausfalls oder eines Vorfalls vorgesehen werden.
Hintergrund
Der zeitnahe Aufbau sicherer 5G-Netze hat für die Europäische Union hohe Priorität. Um zu diesem Ziel beizutragen, haben die EU-Mitgliedstaaten mit Unterstützung der Europäischen Kommission und der EU-Cybersicherheitsagentur ENISA ein abgestimmtes Konzept für die Cybersicherheit von 5G-Netzen ausgearbeitet. Im Rahmen dieses abgestimmten Konzepts haben die EU-Mitgliedstaaten gemeinsam die Hauptrisiken im Zusammenhang mit 5G-Netzen bewertet ("koordinierte EU-Risikobewertung") und einen umfassenden risikobasierten Ansatz in Form des im Januar 2020 angenommenen 5G-Instrumentariums der EU festgelegt. Das 5G-Instrumentarium der EU empfiehlt eine Reihe gemeinsamer Risikominderungsmaßnahmen.
Das Instrumentarium umfasst strategische und technische sowie unterstützende Maßnahmen zur Steigerung seiner Wirksamkeit. Zu den Schlüsselmaßnahmen des 5G-Instrumentariums der EU gehören die Verschärfung der Sicherheitsanforderungen, die Bewertung der Risikoprofile von Anbietern, die Anwendung einschlägiger Beschränkungen auf Anbieter, die als mit einem hohen Risiko behaftet gelten, einschließlich des Ausschlusses von Anbietern, wo dies für wichtige Anlagen und Einrichtungen, die als kritisch und anfällig eingestuft wurden (wie z. B. die Kernnetzfunktionen), erforderlich ist, und Strategien zur Gewährleistung der Anbietervielfalt und zur Vermeidung von Abhängigkeiten.
Um den EU-Koordinierungsprozess im Bereich der 5G-Cybersicherheit fortzusetzen und zu vertiefen, wurden in der EU-Cybersicherheitsstrategie vom Dezember 2020 drei Hauptziele genannt: 1) Gewährleistung der fortschreitenden EU-weiten Konvergenz der Risikominderungsansätze, 2) Unterstützung des kontinuierlichen Wissensaustauschs und Kapazitätsaufbaus und 3) Förderung der Resilienz der Lieferketten und anderer strategischer Sicherheitsziele der EU.
Im Rahmen dieser Hauptziele wird die NIS-Kooperationsgruppe weiterhin Fragen im Zusammenhang mit neuen Trends und Entwicklungen in der 5G-Lieferkette beobachten und bewerten. Da Open RAN ein Markttrend bei der Entwicklung der 5G- und 6G-Architekturen ist, haben die Mitgliedstaaten beschlossen, die Folgen der Open-RAN-Technik für die Sicherheit zu analysieren, um die koordinierte Risikobewertung zu 5G zu ergänzen. (Europäusche Kommission: ra)
eingetragen: 29.05.22
Newsletterlauf: 22.07.22
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>