Schutz für die neue Mobilfunkgeneration
5G-native Sicherheit
Das Versprechen von 5G ist viel mehr als geringere Latenzen oder höhere Geschwindigkeit: 5G kann eine massive Business-Transformation und Digitalisierung mit sich bringen, es kann die Zukunft von Industrie 4.0 und kritischer Infrastruktur voranbringen. Voraussetzung ist, dass sich die 5G-Vernetzung sicher betreiben lässt.
Laut einer Prognose der GSMA (GSM Assiciation, Verband der Mobilfunknetzbetreiber) vom März 2020 soll 5G in den nächsten 14 Jahren 2,2 Billionen Dollar zur Weltwirtschaft beitragen. 5G kann die digitale Transformation von Fertigung, Logistik, großen Veranstaltungsorten, Öl- und Gasindustrie, Bergbau und vielen anderen Branchen unterstützen. All diese Branchen und Unternehmen müssen sich darauf verlassen können, dass 5G-Netzwerke und -Dienste hochsicher sind, bevor sie investieren. 5G-native Sicherheit auf Enterprise-Niveau wird dazu beitragen, das Potenzial der Technik zu erschließen und den Unternehmen das Vertrauen zu geben, das sie brauchen, um mit der geschäftlichen Transformation voranzukommen. Diese 5G-native Sicherheit ruht auf drei Hauptsäulen:
- Sicherheit für SBA (Service-basierte Architektur) inklusive der 5G-Netzwerke, -Schnittstellen, -Protokolle und -APIs,
- 5G-Netzwerk-Slice-Sicherheit sowie
- Absicherung von Container-basierten Umgebungen.
5G begann mit Release 15 der Branchenvereinigung 3GPP (Third Generation Partnership Project) und findet mit 3GPP Release 16 seine Fortsetzung. 5G Release 17 ist noch nicht definiert und soll 2022 fertiggestellt werden. Es ist nicht möglich, etwas zu schützen, wenn man keinen Einblick hat. Das erste Ziel bei der Absicherung von 5G ist daher die Sichtbarkeit und ständige Echtzeitüberwachung der 5G-Signalisierungs- und -Datenschichten, um Sicherheitsbedrohungen und Angriffe erkennen zu können. Der nächste Schritt ist das automatische Verhindern bekannter Angriffe, Bedrohungen und Schwachstellen, die der Netzbetreiber mittels konstanter Echtzeitüberwachung erkannt hat.
Beispiele für 5G-Bausteine, die Sicherheitstransparenz und Prävention benötigen, sind die Schnittstellen, in der 5G-Architektur als N2, N3, N6, N9 und N11 bezeichnet. Wenn Malware die Kontrolle über IoT- oder Mobilgeräte übernimmt, kann sie über einen Command-and-Control-Server gleichzeitige Angriffe auf der Datenebene tausender infizierter Geräte koordinieren. Dieser Angriff erfolgt nicht über den üblichen Verdächtigen, eine Internetschnittstelle (N6), sondern über eine Schnittstelle infizierter Geräte (N3). Gibt es keine ausreichende Sicherheit auf N3, wird es im 5G-Core zu Überlastungen und vielleicht sogar Ausfällen kommen. Andere Malware-Typen können Angriffe auf die Signalisierungsschicht starten. Es gilt, Angriffe dieser Art auf die N2-Schnittstelle (Schnittstelle zwischen Funkmast und der Access- and Mobility-Management-Funktion AMF, d.Red.) zu erkennen und zu verhindern. Und schließlich sollte man einer Roaming-N9-Schnittstelle aus einem anderen Netz oder einem anderen Land aus Sicherheitssicht niemals vertrauen.
Diese Sicherheitstransparenz und -prävention sollte intelligent sein und Angriffe, Bedrohungen und Schwachstellen mit den echten 5G-Teilnehmer- und Geräteidentitäten korrelieren können: mit SUPI (Subscription Permanent Identifier) und PEI (Permanent Equipment Identifier). Dies ermöglicht es, Bedrohungen und Angriffe automatisch zu identifizieren und Sicherheitsmechanismen auf der Basis von SUPI und/oder PEI granular durchzusetzen. Im Fall unbekannter Zero-Day-Bedrohungen kann maschinelles Lernen (ML) helfen, Bedrohungen auf intelligente Weise zu stoppen, Geräte zu sichern und Sicherheitsrichtlinien zu empfehlen. Bisher nutzten Netzwerksicherheitsprodukte ML-Modelle nur für die Out-of-Band- und nicht für die Inline-Erkennung. Inzwischen ist es jedoch möglich, Echtzeit-ML-Modelle zu nutzen, um unbekannte Angriffe zu erkennen und zu verhindern. Im Wesentlichen folgt das Konzept der Sicherheitstransparenz und -kontrolle einem Zero-Trust-Ansatz, und zwar an allen Schnittstellen und APIs, an allen benötigten Standorten und auf allen Signal- und Datenschichten.
Standardisierungsgremien waren in der Vergangenheit stark auf die Sicherheit der Signalisierungsschichten fokussiert. Natürlich ist das wichtig, aber wie sieht es mit der Sicherheit auf der Datenebene aus? Unternehmen müssen dafür sorgen, dass sie über Sicherheitsmechanismen verfügen, um die verschiedenen Phasen der Angriffskette („Kill Chain“) aus Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command-and-Control und Action zu erkennen. Diese Angriffskette gilt es in jeder möglichen Phase zu unterbrechen. Hacker müssen in jeder Phase erfolgreich sein, Sicherheitsmechanismen hingegen nur einmal – und zwar so früh wie möglich in der Angriffskette.
Ebenso wichtig wie die Sicherheit der Signalisierungs- ist die der Datenschicht. Die GSMA hat kürzlich Überlegungen zur Sicherheit der Datenschicht in das neue FS.37-Referenzdokument aufgenommen. Die zweite Version, die kürzlich veröffentlicht wurde, enthält Empfehlungen für Service-Provider zur Erkennung und Verhinderung von Angriffen auf die GTP-U-Ebene (GPRS Tunnelling Protocol User) von Mobilfunk-Netzwerken, -Diensten und -Anwendungen. FS.37 enthält Beispiele sowie Richtlinien für die logische Implementierung von Sicherheitsfunktionen.
- 5G-native Sicherheit
- 5G-Netzwerk-Slicing-Sicherheit
Lesen Sie mehr zum Thema
