Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Zertifizierung von Mobilfunkausrüstung nach NESAS CCS-GI

Ab Mitte des Jahres 2022 wird das BSI ein neues Produktzertifizierungsverfahren für 5G-Mobilfunkausrüstung anbieten. Der vorliegende Artikel liefert einen Überblick zur Entwicklung der neuen Produktzertifizierung, welche Anforderungen zu erfüllen sind und wie sie perspektivisch weiterentwickelt werden soll.

Lesezeit 10 Min.

Durch neue Anwendungsfälle und einen erweiterten Funktionsumfang in der 5. Generation des Mobilfunkstandards spielt die IT-Sicherheit moderner Mobilfunknetze eine immer wichtigere Rolle. Die in 5G angestrebte Verlagerung einzelner Netzfunktionen mit dedizierter Hardware hin zu softwarebasierten und virtualisierten Funktionen mit immer kürzer werdenden Releasezyklen führt zu neuen Sicherheitsanforderungen und damit einhergehend zu neuen Prüfaspekten und -abläufen. Das „Network Equipment Security Assurance Scheme“ (NESAS) soll genau diese Anforderungen bedienen und eine gemeinsame Basis schaffen, um das IT-Sicherheitsniveau branchenweit zu erhöhen. Dafür werden unter anderem Ansätze wie Security-by-Design mit in die Betrachtung der Sicherheitsleistung einbezogen.

NESAS ist ein von der Groupe Speciale Mobile Association (GSMA) und dem 3rd Generation Partnership Project (3GPP) unter Mitwirkung global operierender Mobilfunkhersteller, Netzbetreiber und Anbieter entwickeltes Rahmenwerk zur Überprüfung, Gewährleistung und Verbesserung der IT Sicherheit in der Mobilfunkbranche.

Vom Bewertungs- zum Zertifizierungsschema

Vom Bewertungs- zum Zertifizierungsschema Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das GSMA-NESAS9 Bewertungsschema zu einem nationalen Zertifizierungsschema weiterentwickelt, damit Hersteller ein IT-Sicherheitszertifikat für 5G-Mobilfunkausrüstung erlangen können. „NESAS Cybersecurity Certification Scheme – German Implementation“ (NESAS CCS-GI) soll diesen Herstellern ermöglichen, gegenüber Nutzer:inne:n oder Behörden die Einhaltung von geforderten Sicherheitseigenschaften durch ein deutsches IT-Sicherheitszertifikat nachzuweisen. Dafür wurden die für die Zertifizierung und zur Einhaltung nationaler gesetzlicher Vorgaben notwendigen Prozessschritte ergänzt und angepasst.

Das NESAS CCS-GI unterscheidet sich von anderen Produktzertifizierungsverfahren wie zum Beispiel den Common Criteria (CC) oder der „Beschleunigten Sicherheitszertifizierung“ (BSZ) dadurch, dass grundsätzlich vier Parteien zusammenwirken:

  • der Antragsteller, meist der Hersteller des Produkts, das zertifiziert werden soll
  • ein Team aus Auditoren, welches die Produktentwicklungs- und Lebenszyklusprozesse auditiert
  • eine Prüfstelle, die das Produkt untersucht sowie die Zertifizierungsstelle, die jedes Verfahren begleitet und für Vergleichbarkeit sorgt.

NESAS CCS-GI bedient die Vertrauenswürdigkeitsstufe „Basic“ (vgl. [1]) des Cybersecurity Act (CSA), wodurch eine große Breitenwirkung über die Produktpalette der Mobilfunkausrüstung erzielt werden soll. Gleichzeitig soll es als Grundlage für weitere Produktzertifikate (zum Beispiel CC oder BSZ) mit erhöhten Anforderungen an die IT-Sicherheitsaussage dienen.

Möchte ein Hersteller ein NESAS-CCS-GI-Produktzertifizierungsverfahren durchlaufen, muss er eine Prüfstelle mit der Produktevaluierung beauftragen und kann anschließend einen Zertifizierungsantrag stellen. Die Zertifizierungsstelle überprüft, ob sich das Produkt für eine Zertifizierung eignet. Ist dies der Fall, kann die Überprüfung der Sicherheitsaussage des Produkts beginnen.

Das NESAS-Schema betrachtet nicht ausschließlich die Sicherheitsleistung des Netzwerkprodukts, sondern überprüft auch die Einhaltung von Sicherheitsanforderungen an die Produktentwicklungs- und Lebenszyklusprozesse, nach denen das Produkt entwickelt wurde und betrieben wird. Dieses Vorgehen soll dazu beitragen, die IT-Sicherheit schon bei Designentscheidungen mit zu berücksichtigen. Die Bewertung untergliedert sich aus diesem Grund in die zwei aufeinander aufbauenden Teilbereiche Prozessaudit und Produktevaluation.

Das Prozessaudit

Die Produktentwicklungs- und Produktlebenszyklus-Prozesse werden in einem Prozessaudit betrachtet. Dieses Audit ist der eigentlichen Produktevaluierung im Prüflabor vorgelagert und wird von einem Auditteam durchgeführt. Das Auditteam wird durch die Zertifizierungsstelle ausgewählt. Dafür werden Unternehmen, die Personal mit geeigneten Kenntnissen bereitstellen, über einen Rahmenvertrag an das BSI gebunden. In einem Miniwettbewerb erfolgt dann für jedes Verfahren die Auswahl von geeigneten Auditoren.

Insgesamt werden 21 Prozesse wie zum Beispiel Security-by-Design, Vulnerability Remedy Process, Security Fix Communication, die bei der Produktentwicklung und über die Einsatzdauer einer Produktklasse Anwendung finden, an einem exemplarischen Standort des Herstellers unabhängig von einem konkreten Produkt auditiert. Neben dem Auditbericht wird auch eine Liste von geeigneten Nachweisen erstellt, die als Ergebnis der Durchführung dieser einzelnen Prozesse entsteht. Diese Nachweisliste ist eine Besonderheit des NESAS-Verfahrens gegenüber anderen Produktzertifizierungsverfahren.

Die Zertifizierungsstelle überprüft alle Auditergebnisse, die in dieser Prozessphase generiert werden, und nimmt am Ende den Auditbericht ab. Nach erfolgreichem Abschluss kann der nächste Verfahrensschritt, die Produktevaluierung in der Prüfstelle, begonnen werden.

SCAS-Tests

Mittels der Security-Assurance-Specifications-(SCAS)-Tests können von der 3GPP spezifizierte und standardisierte Komponenten beziehungsweise Funktionen getestet werden. Diese Tests stellen die Konformität der Komponenten mit spezifischen Funktionen auf Basis des akzeptierten Standards der 3GPP sicher und implementieren Tests auf bekannte Schwachstellen in Mobilfunknetzen. Damit ähneln SCAS-Tests in Bezug auf die gewählte Herangehensweise Unit-Tests in der Softwareentwicklung, mit denen mangelnde Konformität und bekannte Sicherheitslücken bereits während der Entwicklung erkannt und vermieden werden können (vgl. etwa [3]).

SCAS-Tests sind in Bezug auf ihre technische Abdeckung nach den in 3GPP definierten Netzfunktionen gegliedert: Der Nummernkreis TS33.xxx behandelt Sicherheitsaspekte für die Mobilfunkgenerationen 2G bis 5G. Die SCAS-Tests im Dokument TS33.117 finden allgemein Anwendung für verschiedene Netzwerkprodukte und Funktionen. In den anderen Dokumenten erfolgt die Erweiterung auf spezifische Funktionen. Durch die Namensgebung und Nummerierung der Dokumente ist eine direkte Zuordnung zu den Sicherheitsspezifikationen der 3GPP möglich, die eine äquivalente Benennung und Nummerierung aufweisen. Die einzelnen Tests werden dabei durch semi-formell geschriebene Dokumente spezifiziert, die Test-Spezifikationen für die jeweiligen Funktionen enthalten sowie exemplarische Angaben über die zu erwartenden Ergebnisse des Tests machen.

Die Produktevaluierung

Für die Produktevaluierung erhält die Prüfstelle nicht nur die üblichen Unterlagen und das Netzwerkprodukt, sondern auch die für das Netzwerkprodukt ausgefüllte Nachweisliste, das heißt die konkreten, im Rahmen der Entwicklung oder Weiterentwicklung angefallenen Nachweise, dass das Produkt nach den auditierten Prozessen entwickelt wurde. Damit kann die Prüfstelle ermitteln, ob die auditierten Prozesse für das konkrete Netzwerkprodukt auch eingehalten wurden. Nach dieser eher formalen Prüfung folgen Tests auf Basis der „Security Assurance Specifications“ (SCAS). Die SCAS-Tests können innerhalb von NESAS CCS-GI als Rahmenwerk für die Durchführung von Tests an 5G-Equipment verstanden werden, auf deren Grundlage die Prüfstelle ein Votum über die Zertifizierung abgibt.

Alle SCAS-Tests (siehe Kasten) sind unter [2] kostenlos verfügbar und können durch interessierte Prüfstellen genutzt werden. Da für einige SCAS-Tests jedoch eine umfangreiche Ausrüstung für die Ausführung der Evaluation notwendig ist, stellt dies eine gewisse Hürde für den Einstieg in die NESAS-Evaluierung dar. Prüfstellen, die Evaluierungen für das Zertifizierungsverfahren durchführen möchten, benötigen neben der technischen Ausrüstung eine Anerkennung als Prüfstelle und herangezogener Evaluatoren hinsichtlich ihrer Kompetenz durch das BSI.

Während der Evaluierung dokumentiert die Prüfstelle alle durchgeführten Tests, Ergebnisse sowie Bewertungen, erstellt daraus einen finalen Evaluierungsreport und übersendet diesen an die Zertifizierungsstelle zur Überprüfung und Abnahme.

NESAS-CCS-GI-Besonderheiten

Im Falle eines positiven Abschlusses des Prozessaudits und der Produktevaluierung kann die Vergabe eines IT-Sicherheitszertifikats nach NESAS CCS-GI erfolgen. Der Antragsteller wird über die Entscheidung informiert und erhält das Zertifikat zur Verwendung. Ein NESAS-CCSGI-Zertifikat besitzt grundsätzlich eine Laufzeit von zwei Jahren. Bei bisherigen Zertifizierungsverfahren bezieht sich die Sicherheitsaussage auf die konkret überprüfte Produktversion.

Ein Update oder Sicherheitspatch des Produkts und damit eine Änderung der Produktversion würde dazu führen, dass das Produkt nicht mehr im zertifizierten Betrieb eingesetzt wird. Kurze Releasezyklen würden somit eine erneute Produktzertifizierung nach sich ziehen. Im NESAS CCS-GI Schema soll dieser Problemstellung durch nachfolgendes Vorgehen Rechnung getragen werden.

Da der Zertifizierungsstelle sowohl der Auditbericht über die grundsätzlichen Prozesse als auch die von der Prüfstelle kontrollierten Nachweise für das Einhalten der Prozesse beim konkreten Produkt vorliegen, kann das Zertifikat über die tatsächlich evaluierte Version hinaus ausgestellt werden. Konkret gilt das Zertifikat innerhalb seiner zweijährigen Laufzeit durchgehend auch für alle „geringfügigen Aktualisierungen“ (siehe Kasten), ohne dass es einer expliziten Re-Evaluierung/Freigabe durch das BSI bedürfte.

Der Hersteller muss diese geringfügigen Aktualisierungen allerdings der Prüfstelle mit einer Auswirkungsanalyse melden, sodass die Prüfstelle ein Votum an das BSI abgeben kann. Diese papierbasierte Prüfung hinterfragt lediglich, ob die Aktualisierung tatsächlich eine „geringfügige Aktualisierung“ ist. Falls sich dabei herausstellen sollte, dass es keine geringfügige Aktualisierung ist, dann muss der Hersteller klar kommunizieren, dass diese und alle darauf aufbauenden Versionen des Produkts nicht mehr zertifiziert sind. Dies wird zukünftig auch auf der BSI-Zertifikatsliste im Internet [4] gekennzeichnet. Die abschließende Entscheidung obliegt dabei stets der Zertifizierungsstelle.

Gegenwärtig findet für das beschriebene Zertifizierungsverfahren eine Pilotphase mit zwei Herstellern und Prüfstellen statt, in der die Verfahrensschritte und Dokumente einer eingehenden Überprüfung und Überarbeitung unterzogen werden, um NESAS CCS-GI voraussichtlich gegen Ende des zweiten Quartals 2022 in den Produktivbetrieb zu überführen. Weiterführende Informationen zu NESAS CCS-GI sowie zukünftig auch die aktuell gültigen Schemadokumente können unter [4] abgerufen werden.

Externe Schemadokumente

NESAS CCS-GI ist auf der Basis des GSMA-NESAS-Bewertungsschemas entstanden – dieses bedient sich gleichzeitig an SCAS-Tests der 3GPP. Bei der Erstellung des nationalen Zertifizierungsschemas wurde darauf geachtet, eine möglichst hohe Kompatibilität mit dem vorhandenen Bewertungsschema der GSMA zu wahren. Dafür wurden die vorhandenen Methoden, Abläufe und Sicherheitsanforderungen übernommen und durch Abläufe, die für ein Zertifizierungsverfahren notwendig sind, ergänzt.

Um zukünftige Anpassungen der GSMA-Dokumente zu berücksichtigen, wird in den Schemadokumenten von NESAS CCS-GI auf die Schemadokumente der GSMA und auf die SCAS-Tests der 3GPP referenziert.

Die Versionen der referenzierten Dokumente werden durch das Qualitätsmanagement des BSI dokumentiert, archiviert und die jeweils gültigen Versionsnummern in einem Dokument veröffentlicht, welches allen Zertifizierungsverfahren im BSI übergeordnet ist. Aktualisierungen der externen Dokumente werden durch das BSI beobachtet und einem Bewertungsprozess unterzogen, bevor diese zu einem bestimmten Zeitpunkt in das nationale Schema übernommen werden. Das Eingangsdatum eines Zertifizierungsantrags bestimmt die angewendeten Versionen der externen referenzierten Dokumente. Dies gilt für die von der GSMA genutzten Methoden und Sicherheitsanforderungen wie auch für die von der 3GPP definierten SCAS-Tests.

Weitere Anforderungen an Methoden sowie Präzisierungen und Ergänzungen von Sicherheitsanforderungen werden in Anwendungshinweisen zum Schema (AIS) dokumentiert. Durch eine Beteiligung in Standardisierungsgruppen der GSMA und 3GPP werden diese Anpassungen für nachfolgende Versionen der externen Dokumente vorgeschlagen. Auf diesem Weg kann zukünftig auch der Bedarf an zusätzlichen Prüfkriterien für Mobilfunkausrüstung, für die es unter Umständen aktuell noch keine Prüfkriterien gibt, frühzeitig in die etablierten Gremien eingebracht werden.

Geringfügige Aktualisierungen

Eine geringfügige Aktualisierung (engl. „Minor Update“) ist wie folgt definiert: Geringfügige Aktualisierungen sind Anpassungen von Sicherheitsfunktionen oder der Beschaffenheit des Produkts, die der Aufrechterhaltung oder Wiederherstellung der zertifizierten Sicherheitsleistung (als Summe der Sicherheitsaussagen der Produktevaluation) dienen oder die für die Sicherheitsleistung irrelevant sind. Damit ist der typische Sicherheitspatch Teil dieser Definition – sollte aber die Korrektur zum Beispiel neue Sicherheitsfunktionen erfordern oder die Sicherheitsleistung ändern (z. B. durch Verlagerung auf andere Produkte), dann kann dies nicht als Teil einer (zertifikatserhaltenden) geringfügigen Aktualisierung passieren.

Ausblick und Fazit

Zusätzlich zu den Standardisierungsgremien hat die European Union Agency for Cybersecurity (ENISA) Arbeitsgruppen gebildet, die ein europäisches Zertifizierungsschema für die Zertifizierung von 5G-Komponenten  nach dem CSA erarbeiten. Die Weiterentwicklung des GSMA-NESAS-Bewertungsschemas zu einem nationalen Zertifizierungsschema für IT-Sicherheit soll dabei eine Vorbildfunktion einnehmen. Deshalb ist das BSI in diesen Arbeitsgruppen ebenfalls vertreten und lässt seine Erfahrungen bei der Schemaentwicklung mit einfließen.

Sobald es ein europäisches Zertifizierungsschema für 5G-Komponenten gibt, wird das nationale Schema NESAS CCS-GI durch jenes EU-Schema abgelöst und die Zertifizierungstätigkeit durch private Zertifizierungsstellen übernommen. Das BSI wird die bis dahin gesammelten Erfahrungen beim Aufbau der privaten Zertifizierungsstellen mit einbringen.

Die aufeinander aufbauenden Prüfschritte Prozessaudit und Produktevaluierung und deren Prüfkriterien sowie die Wiederverwendung von Auditergebnissen für Produkte die nach denselben Prozessen entwickelt wurden, tragen dazu bei, immer kürzer werdende Releasezyklen bei der Bewertung der IT-Sicherheitsleistung eines Produkts für 5G-Mobilfunkausrüstung zu berücksichtigen Die Aufrechterhaltung des Zertifikats für geringfügige Aktualisierungen berücksichtigt diesen Bedarf ebenfalls.
Durch die Adaption bestehender Bewertungsschemata und die Mitwirkung in diversen Gremien können die nationalen Bedarfe an zertifizierter Mobilfunkausrüstung genauso berücksichtigt werden wie die Bedürfnisse von international agierenden Herstellern.

 

Literatur

[1] Dietmar Bremser, Sebastian Fritsch, EU Cybersecurity-Act, Europäische Zertifizierungsschemata – ein Interpretationsansatz, <kes> 2020#2, S. 44
[2] 3rd Generation Partnership Project (3GPP), 3GPP Specification series, Portalseite, www.3gpp.org/DynaReport/33-series.htm
[3] Pina Merkert, Programmierte Prüfer, Eine Einführung ins automatische Testen mit Python, c‘t 1/2020, S. 152, http://ct.de/y718
[4] Bundesamt für Sicherheit in der Informationstechnik (BSI), Zertifizierung nach NESAS CCS-GI, Das nationale Zertifizierungsschema für 5G-Mobilfunkausrüstung, Portalseite, www.bsi.bund.de/nesas

Diesen Beitrag teilen: