Cybersicherheit für die 5G/6G-Mobilfunkinfrastruktur
Der Gesetzgeber hat die Notwendigkeit von höheren Sicherheitskriterien erkannt und setzt diese im Aufbau der öffentlichen 5G-Netze um. Davon profitieren unter anderem auch viele Unternehmen, die 5G-Technologie für ihre privaten, lokalen Netze nutzen.
.
Die Sicherheit von 5G-Netzen spielt eine zentrale Rolle in der digitalen Infrastruktur Deutschlands. Mit dem IT-Sicherheitsgesetz 2.0 von 2021 wurden entscheidende Maßnahmen ergriffen, um die Informationssicherheit zu verbessern. Erstmalig wurde die Überprüfung der 5G-Netzbetreiber und die verpflichtende Zertifizierung von kritischen Komponenten in 5G-Netzen im Telekommunikationsgesetz (TKG) verankert.
Die Betreiber von 5G-Mobilfunknetzen müssen strenge Sicherheitsvorgaben erfüllen, die im TKG verankert sind. Der Sicherheitskatalog nach § 167 TKG beschreibt, welche Maßnahmen erforderlich sind, um ein hohes Schutzniveau zu gewährleisten. Das BSI überprüft die Einhaltung dieser Anforderungen im Zweijahresturnus. Dabei arbeitet das BSI eng mit der Bundesnetzagentur (BNetzA), dem Herausgeber des Sicherheitskatalogs, zusammen. Die erste Überprüfungsrunde der vier öffentlichen 5G-Mobilfunknetzbetreiber begann 2023 und wurde Ende 2024 abgeschlossen. Dabei orientieren sich die Verfahren an bewährten Standards wie der ISO 19011 und den KRITIS-Tiefenprüfungen des BSI. Ziel dieser Überprüfungen ist es, geeignete Nachweise dafür zu erbringen, in welcher Form die gesetzlichen Anforderungen erfüllt werden.
Die Zertifizierung ist ein weiterer wichtiger Bestandteil zur Sicherheit der 5G-Mobilfunknetze in Deutschland. Ab 2026 müssen 5G-Mobilfunknetzbetreiber sicherstellen, dass kritische Komponenten im 5G-Netz zertifiziert sind, bevor sie in Betrieb genommen werden. Die Identifikation der kritischen Komponenten obliegt den Netzbetreibern.
Hersteller dieser Komponenten müssen die Zertifizierung in Zusammenarbeit mit einer Prüfstelle und der jeweiligen Zertifizierungsstelle durchführen lassen. In der Technischen Richtlinie (TR) 03163 definiert das BSI die zulässigen Zertifizierungsschemata. Dazu gehören das „Network Equipment Security Assurance Scheme Cybersecurity Certification Scheme – German Implementation“ (NESAS CCS-GI), Common Criteria (CC) sowie die „Beschleunigte Sicherheitszertifizierung“ (BSZ). Hersteller erhalten mit der Zertifizierung eine Bestätigung der Einhaltung der Sicherheitsanforderungen durch das BSI. Im Anhang A der TR 03163 werden neben einer Auswahlhilfe für das geeignete Zertifizierungsschema ebenso die zulässigen Anforderungsdokumente für die drei genannten Schemata aufgelistet. Die jeweiligen Anforderungsdokumente müssen für die Erfüllung der Zertifizierungspflicht zwingend genutzt werden. Die Liste der zulässigen Anforderungsdokumente wird durch das BSI fortlaufend aktualisiert und ergänzt.
Nationales Zertifizierungsschema
NESAS CCS-GI basiert auf einem international anerkannten Prüfschema der NESAS Group, die zur „Groupe Speciale Mobile Association“ (GSMA) gehört. Die technischen Anforderungen ergeben sich aus den „Security Assurance Specifications“ (SCAS) des „3rd Generation Partnership Project“ (3GPP), die spezifische Sicherheitsprüfungen für 5G-Netzwerkkomponenten definieren. Das BSI hat das Schema weiterentwickelt und um Methoden zur Auditierung, Evaluierung und Anforderungen an die Sicherheit von Entwicklungs- und Lebenszyklusprozessen ergänzt, um eine einheitliche und nachvollziehbare Zertifizierung sicherzustellen.
Um die parallel betriebenen Schemata NESAS der GSMA und das nationale NESAS CCS-GI sowie die zugrunde liegenden und erweiterten SCAS-Dokumente zu harmonisieren und inkompatible Anforderungen auf nationaler und internationaler Ebene zu vermeiden, engagiert sich das BSI aktiv in Standardisierungsgremien. Dabei fließen nationale Erkenntnisse in internationale Diskussionen ein, während Deutschland zugleich von internationalem Fachwissen profitiert. Die Erfahrungen, die sich aus der Umsetzung und dem Betrieb des Zertifizierungsschemas ergeben, werden vom BSI in die NESAS Group zurückgespiegelt. Dadurch ergibt sich die Chance, das ursprüngliche NESAS-Schema so fortzuentwickeln, dass es zukünftig als Standard des European Telecommunications Standards Institute (ETSI) Einzug in eine europäische Harmonisierung finden kann.
5G-Sicherheit zum Anfassen
Mit dem „Test Environment for Mobile Infrastructure Security“ (TEMIS) hat das BSI 2023 ein Sicherheitslabor geschaffen. Ziel ist die Erhöhung des Sicherheitsniveaus und der Resilienz nationaler und privater 5G-Netze. Mithilfe des „5G/6G Security Lab“ werden die Vorgaben und Richtlinien für die 5G-Netzbetreiber im Einvernehmen mit der BNetzA praxisorientiert fortgeschrieben. 2024 wurde das Labor um weitere Netzwerktechnologien erweitert, darunter ein cloudnatives 5G-Kernnetz sowie Funktechnik mit Open-Radio-Access-Network-(RAN)-Option. Künftig soll TEMIS auch Roaming-Szenarien untersuchen und damit die Sicherheit im internationalen Mobilfunkverkehr verbessern.
Mitgestaltung sicherer Standards
Das BSI bringt seine Erkenntnisse aus TEMIS gezielt in internationale Standardisierungsgremien ein und verfolgt dabei das Prinzip „Security by Design“. Für die globale Normung des Mobilfunks ist das Gremium 3GPP führend. So wurden bereits über 100 Vorschläge zur Verbesserung der SCAS-Spezifikationen in die 3GPP-Arbeitsgruppe SA3 eingebracht, die für die Sicherheit der Mobilfunknetze im Mobilfunkstandard zuständig ist.
Auch im Bereich „Open RAN“ engagiert sich das BSI intensiv, um Sicherheitsstandards zu prüfen und weiterzuentwickeln. Bereits 2021 wurde im Auftrag des BSI in einer Studie die Sicherheit der damaligen Open-RAN-Spezifikationen kritisch unter die Lupe genommen. Seitdem kommentieren die BSI-Expertinnen und -Experten kontinuierlich in die Standardisierung bei ETSI (Arbeitsgruppe MSG) eingereichten Spezifikationen der O-RAN Alliance hinsichtlich ihrer Sicherheitseigenschaften. Diese Technologie wird zukünftig noch weiter an Bedeutung für die Funk-Infrastruktur in der Fläche gewinnen.
Besonders wichtig ist die Mitarbeit an der Entwicklung von 6G: Seit 2023 ist das BSI in der deutschen 6G-Plattform zum Thema „Security and Trustworthiness“ aktiv und unterstützt die Erforschung von Sicherheitskonzepten für die nächste Mobilfunkgeneration. Auch im Gremium 3GPP nehmen erste 6G-Studien dazu Gestalt an.
Sicherheit in privaten 5G-Netzen
Private 5G-Netze, auch 5G-Campusnetze genannt, sind Mobilfunkinfrastrukturen, die Institutionen auf ihrem eigenen Gelände aufbauen können. Durch die Nutzung dieser privaten 5G-Netze haben Unternehmen die Möglichkeit, die 5G-Technologie spezifisch auf die Anforderungen ihres Anwendungsszenarios abzustimmen und die Vorteile und Eigenschaften des 5G-Mobilfunkstandards auszuschöpfen. Eine Besonderheit von 5G besteht darin, dass Endgeräte gezielt auf Antennen, anstatt zufallsgesteuert verbunden zu werden, wie es bei Wi-Fi der Fall ist. Dabei sind Bandbreite und Datendurchsatz festgelegt und garantiert. Darüber hinaus können im Netz befindlichen Endgeräten mittels Network-Slicing unterschiedliche Qualitätsparameter wie zum Beispiel Latenz und Übertragungsgeschwindigkeiten zugesichert werden.
Im Gegensatz zu öffentlichen 5G-Netzen unterliegen 5G-Campusnetze nicht den regulatorischen Vorgaben des TKG oder BSI-Gesetzes. Um dennoch Unternehmensdaten und Prozesse zu schützen und die Verfügbarkeit des 5G-Campusnetzes zu gewährleisten, ist Sicherheit ein zentrales Thema.
Das BSI unterstützt Unternehmen mit IT-Grundschutz-Profilen, die auf der ISO-27000-Reihe basieren und praxisnahe Sicherheitsmaßnahmen für den Betrieb von 5G-Campusnetzen bieten. Um den Betrieb sowie die Integration von 5G-Campuslösungen mit Best Practices so sicher wie möglich zu gestalten, hat das BSI zusammen mit Anwenderinnen und Anwendern sowie Menschen mit Expertise aus der Wirtschaft Mustersicherheitskonzepte entwickelt. Diese sollen Unternehmen dabei helfen, ein 5G-Campusnetz sicher aufzubauen, zu betreiben und in den Unternehmensverbund zu integrieren.
IT-Grundschutz bildet eine einfach strukturierte Hilfestellung für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Die Risikoanalyse und Auswahl relevanter Netzwerk- und IT-Systeme ist in IT-Grundschutz-Profilen bereits durchgeführt und muss nur bei Bedarf durch die Unternehmen an den eigenen Schutzbedarf angepasst oder ergänzt werden. Zur Mitigation der Risiken und Absicherung der betrachteten Assets und Prozesse werden Maßnahmen aufgeführt, die durch praxisnahe Umsetzungshinweise ergänzt werden.
Um den Austausch von Best Practices zwischen Unternehmen und Menschen mit Expertise zu fördern, wurde der Erfahrungskreis „Non-Public Mobile Networks“ innerhalb der Allianz für Cyber-Sicherheit gegründet. Der Schwerpunkt liegt auf der Sicherheit von privaten 5G-Netzen – ergänzt durch Themen wie 5G-Standardisierung, Netzaufbau und -betrieb, die Umsetzung konkreter Anwendungsfälle sowie die Integration von Endgeräten. Die Erkenntnisse, Erfahrungen und Anforderungen der Mitglieder fließen in die Erstellung von IT-Grundschutz-Profilen zur Absicherung von privaten 5G-Netzen ein. Bei Interesse an der kostenfreien Mitgliedschaft können sich interessierte Personen an folgendes Postfach wenden: erfahrungskreis-npmn@bsi.bund.de
Details und weitere Informationen zum Einsatz des IT-Grundschutzes für die Absicherung von 5GCampusnetzen sind über www.bsi.bund.de/DE/Th emen/ Unternehmen-und-Organisationen/Informationen-undEmpfehlungen/5-G/Absicherung-5G-Campusnetze/IT-Grundschutz/IT-GrundschutzAbsicherung-5G-Campusnetze_node.html verfügbar.