5G/6G-Sicherheit in Deutschland: IT-Sicherheitsgesetz, BSI-Zertifizierung und Schutz der Mobilfunkinfrastruktur

Mit dem IT-Sicherheitsgesetz 2.0 wurde im Jahr 2021 ein entscheidender Schritt für mehr Sicherheit im Mobilfunkbereich gemacht. Zum ersten Mal schreibt das Gesetz verbindliche Anforderungen an Betreiber öffentlicher 5G-Netze und deren Lieferanten vor. Diese Vorgaben sind im Telekommunikationsgesetz (TKG) verankert und betreffen alle vier großen Mobilfunknetzbetreiber in Deutschland. Sie müssen nicht nur technische und organisatorische Maßnahmen umsetzen, sondern sich auch regelmäßig überprüfen lassen.

Die Bundesnetzagentur (BNetzA) gibt dafür einen detaillierten Sicherheitskatalog heraus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüft die Einhaltung alle zwei Jahre. Diese Prüfungen orientieren sich an etablierten Standards wie ISO 19011 und den KRITIS-Tiefenprüfungen. Ergänzt wird das Verfahren durch Dokumentenanalysen, Interviews und technische Tests. Der Abschluss der ersten Prüfungsrunde war Ende 2024. Die Zusammenarbeit zwischen BSI und BNetzA stellt sicher, dass die Ergebnisse nachvollziehbar dokumentiert und bewertet werden.

Zertifizierung kritischer Komponenten: NESAS CCS-GI als Maßstab

Ab 2026 ist es Pflicht, dass kritische Komponenten in 5G-Netzen zertifiziert sein müssen, bevor sie eingesetzt werden. Hierzu zählen etwa das Kernnetz, das Radio Access Network (RAN) und Management-Systeme. Die Identifikation dieser Komponenten liegt beim Netzbetreiber, die technische Prüfung und Zertifizierung übernehmen unabhängige Prüfstellen. Hersteller müssen in einem klar strukturierten Verfahren nachweisen, dass ihre Produkte die Sicherheitsanforderungen erfüllen.

Das zentrale Zertifizierungsschema ist das NESAS CCS-GI, eine Weiterentwicklung des internationalen Network Equipment Security Assurance Scheme (NESAS), das um deutsche Anforderungen und Prüfmethoden ergänzt wurde. Entwickelt wurde es vom BSI, das dabei auf die Security Assurance Specifications (SCAS) des 3rd Generation Partnership Project (3GPP) aufbaut. NESAS CCS-GI wird regelmäßig aktualisiert und soll künftig europaweit harmonisiert werden. Ziel ist es, widersprüchliche Vorgaben zwischen nationalen und internationalen Regelungen zu vermeiden.

Neben NESAS CCS-GI akzeptiert das BSI auch Prüfungen nach Common Criteria (CC) und das beschleunigte Sicherheitszertifizierungsverfahren (BSZ). Eine Auswahlhilfe und die jeweils aktuellen Anforderungsdokumente finden Hersteller in der Technischen Richtlinie (TR) 03163. Die Zertifizierung beinhaltet nicht nur die Prüfung des Produkts selbst, sondern auch der Entwicklungs- und Lebenszyklusprozesse. Die Ergebnisse werden öffentlich zugänglich gemacht, um Transparenz und Vertrauen zu schaffen.

TEMIS: Sicherheitslabor für 5G/6G-Infrastruktur

Um die praktische Umsetzung der Sicherheitsvorgaben zu überprüfen, hat das BSI 2023 das Test Environment for Mobile Infrastructure Security (TEMIS) eingerichtet. Dieses Labor dient als Testumgebung für nationale und private 5G-Netze und wurde 2024 um Technologien wie ein cloudnatives Kernnetz und Open RAN erweitert. In TEMIS werden Angriffsszenarien simuliert, Schwachstellenanalysen durchgeführt und neue Sicherheitskonzepte getestet.

Die Erkenntnisse aus TEMIS fließen direkt in die Weiterentwicklung des Sicherheitskatalogs und der Zertifizierungsverfahren ein. Durch die Kooperation mit Netzbetreibern, Herstellern und Forschungseinrichtungen entsteht ein praxisnahes Bild der aktuellen Bedrohungslage und möglicher Gegenmaßnahmen. TEMIS untersucht künftig auch Fragen der Roaming-Sicherheit, etwa Authentifizierung und Verschlüsselung im internationalen Mobilfunkverkehr. Hierbei werden auch Risiken durch Protokolle wie SS7 oder Diameter berücksichtigt.

Internationale Standardisierung: BSI im 3GPP und bei ETSI

Mobilfunknetze sind international vernetzt, deshalb sind einheitliche Sicherheitsstandards besonders wichtig. Das BSI bringt seine Erfahrungen aktiv in die Arbeitsgruppen des 3GPP und des European Telecommunications Standards Institute (ETSI) ein. Im Fokus steht das Prinzip „Security by Design“, bei dem Sicherheitsaspekte von Anfang an in die Entwicklung neuer Mobilfunkstandards einfließen.

Im Rahmen der Arbeitsgruppe SA3 des 3GPP hat das BSI mehr als 100 Vorschläge zur Verbesserung der SCAS-Spezifikationen eingebracht. Besonders im Bereich Open RAN, einer offenen Netzwerkarchitektur mit Komponenten verschiedener Hersteller, gibt es besonderen Bedarf an klaren Regeln, um Risiken durch offene Schnittstellen und Multivendor-Umgebungen zu minimieren. Das BSI bewertet regelmäßig die Sicherheit von Open RAN-Spezifikationen und gibt Empfehlungen zur Weiterentwicklung.

Mit Blick auf 6G ist das BSI bereits seit 2023 in der deutschen 6G-Plattform aktiv und arbeitet an Konzepten für vertrauenswürdige, KI-basierte und quantensichere Netzwerke. Erfahrungen aus der 5G-Sicherheit werden dabei gezielt genutzt, um typische Schwachstellen frühzeitig zu adressieren.

5G-Campusnetze: Sicherheit in privaten Mobilfunknetzen

Nicht nur öffentliche Netzbetreiber, sondern auch Unternehmen profitieren von 5G-Technologie. Mit sogenannten 5G-Campusnetzen können sie auf dem eigenen Gelände ein leistungsfähiges, maßgeschneidertes Mobilfunknetz betreiben. Diese Netze bieten garantierte Bandbreite, niedrige Latenz und hohe Zuverlässigkeit – etwa für Industrie 4.0, Logistik, medizinische Anwendungen oder smarte Gebäude.

Im Unterschied zu öffentlichen Netzen unterliegen private 5G-Netze nicht den gesetzlichen Vorgaben des TKG oder IT-Sicherheitsgesetzes. Die Verantwortung für die Sicherheit liegt allein beim Unternehmen. Hier setzt das BSI mit IT-Grundschutz-Profilen an: Sie bieten praxisnahe Musterlösungen, um ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen und Risiken systematisch zu adressieren. Die Profile basieren auf der ISO-27000-Normenreihe und sind kostenfrei erhältlich.

Die IT-Grundschutz-Profile enthalten eine vordefinierte Risikoanalyse, Hinweise zur Auswahl relevanter Assets und einen umfangreichen Maßnahmenkatalog. Sie helfen Unternehmen auch, die Integration des Campusnetzes in die bestehende IT-Landschaft (LAN, WAN, Cloud) sicher zu gestalten und Compliance-Anforderungen (z. B. NIS-2, KRITIS, DSGVO) einzuhalten.

Erfahrungsaustausch und Best Practices: Allianz für Cyber-Sicherheit

Um Wissen und Erfahrungen rund um private 5G-Netze zu bündeln, hat die Allianz für Cyber-Sicherheit den Erfahrungskreis „Non-Public Mobile Networks“ ins Leben gerufen. Hier diskutieren Experten und Unternehmen über aktuelle Herausforderungen, technische Entwicklungen, Standardisierung und Sicherheitsvorfälle. Die Ergebnisse fließen in die Weiterentwicklung der IT-Grundschutz-Profile ein.

In Pilotprojekten wurden bereits zahlreiche 5G-Campusnetze erfolgreich umgesetzt. Dabei zeigte sich, dass insbesondere die Integration in bestehende IT-Systeme, die Auswahl der Netzarchitektur (Standalone oder Non-Standalone) und das Management von IoT-Geräten kritisch sind. Die enge Zusammenarbeit zwischen Unternehmen und Behörden sorgt dafür, dass Sicherheitsstandards praxisnah weiterentwickelt und an neue Bedrohungen angepasst werden.

Bedrohungen und spezifische Risiken für 5G/6G-Netze

Die Bedrohungslandschaft für Mobilfunknetze ist komplex. Angreifer zielen sowohl auf die Funkschnittstelle als auch auf das Kernnetz oder die Management-Ebene. Besonders gefährlich sind staatlich gesteuerte Angriffe und Advanced Persistent Threats (APT), die gezielt Schwachstellen in Protokollen oder bei Lieferanten ausnutzen.

5G-Technologie bringt neue Risiken: Durch Softwarisierung und Virtualisierung (z. B. NFV, SDN) vergrößert sich die Angriffsfläche. Edge Computing und die starke Verbreitung von IoT-Geräten fordern weitere Schutzmaßnahmen, etwa durch Netzwerksegmentierung, Verschlüsselung und starke Zugriffskontrollen. Erfolgreiche Angriffe könnten kritische Infrastrukturen lahmlegen und weitreichende Folgen haben.

Wichtig ist ein kontinuierliches Monitoring, Patch-Management und der Austausch von Bedrohungsinformationen (Threat Intelligence). Unternehmen profitieren davon, wenn sie sich an Initiativen wie der Allianz für Cyber-Sicherheit beteiligen.

Ausblick: Wie geht es weiter mit der Mobilfunksicherheit?

Der gesetzliche Rahmen wird sich weiterentwickeln, um mit der Dynamik der Technik und der Bedrohungslage Schritt zu halten. Künstliche Intelligenz wird künftig eine größere Rolle spielen – sowohl in der Verteidigung als auch bei Angriffen. Quantencomputing stellt eine Herausforderung für bestehende Verschlüsselungsverfahren dar, weshalb Post-Quanten-Kryptographie frühzeitig in 5G/6G-Netze integriert werden sollte.

Europäische Initiativen wie die EU-Toolbox für 5G-Sicherheit fördern die Angleichung der Standards und die Zusammenarbeit zwischen den Mitgliedstaaten. Die Abstimmung mit ENISA, nationalen CERTs und internationalen Partnern bleibt zentral, um technologische Abhängigkeiten und geopolitische Risiken zu minimieren.

Eine resiliente und vertrauenswürdige Mobilfunkinfrastruktur ist das Ziel – und das erfordert einen gemeinsamen Kraftakt von Wirtschaft, Behörden und Forschung. Wer die aktuellen Empfehlungen und Standards umsetzt, ist gut gewappnet für die Herausforderungen der digitalen Zukunft.

(Dieser Artikel basiert auf Inhalten aus dem <kes>-Archiv sowie externen Fachquellen. Er wurde mithilfe von KI erstellt und durch die Redaktion geprüft.)

Literaturverzeichnis

Sebastian Reinhardt: „IT-Grundschutz++ – auf dem Weg zum digitalen Regelwerk: Evolution statt Revolution“, <kes> 2/2025, www.kes-informationssicherheit.de/print/titelthema-metriken-und-kennzahlen/it-grundschutz-auf-dem-weg-zum-digitalen-regelwerk/

Andreas Barke, Volker Tanger: „Zero Trust: Ein neuer Maßstab für den IT-Grundschutz?“, <kes> 6/2024, www.kes-informationssicherheit.de/print/titelthema-festplatten-dietriche-zur-extraktion-verschluesselter-daten/zero-trust-ein-neuer-massstab-fuer-den-it-grundschutz/

Bundesamt für Sicherheit in der Informationstechnik (BSI): „IT-Grundschutz-Profil zur Absicherung von 5G-Campusnetzen im Eigenbetrieb“, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-undEmpfehlungen/5-G/Absicherung-5G-Campusnetze/IT-Grundschutz/IT-GrundschutzAbsicherung-5G-Campusnetze_node.html

Europäische Union: „EU Toolbox on 5G Cybersecurity“, https://digital-strategy.ec.europa.eu/en/policies/5g-toolbox

3GPP: Security Assurance Specifications (SCAS), www.3gpp.org