5G – zwischen Blaupause und Heiligem Gral

Von Udo Schneider, Garching

Kaum ein Thema beherrscht die moderne Kommunikation derzeit so sehr wie 5G – die fünfte Mobilfunk-Generation. Dabei ist es interessant zu beobachten, wie der neue Standard wahrgenommen wird: Aus Sicht des typischen Konsumenten scheint 5G nichts anderes als schnelleres 4G zu sein – eine neue Technik, mit deren Hilfe man nunmehr sechs Filme gleichzeitig streamen kann (mal ganz unabhängig von der Sinnhaftigkeit eines solchen Tuns). Obwohl diese Ansicht nicht falsch ist (die 5G-Luftschnittstelle ist in der Tat deutlich leistungsfähiger als bei 4G/LTE), ist dies doch nur die Spitze des Eisbergs.

Im professionellen Umfeld von 5G fällt immer wieder der Begriff Mobile Edge-Computing (MEC); der neue Standard wird außerdem als Ersatz für Zahlungsmittel jeder Art betrachtet und damit als direkte Konkurrenz von Banken gehandelt und bietet unter anderem die Möglichkeit, eigene „Programme“ im 5G-Netz auszuführen.

Tatsächlich ist die Luftschnittstelle („New Radio“, kurz: 5G NR) die am wenigsten beeindruckende Eigenschaft von 5G. Oder anders gesagt: Bei 5G geht es um wesentlich mehr als nur eine schnellere Übertragung von Daten zwischen Mobilfunkzelle und Endgerät. Vielmehr ist 5G die Blaupause eines Netzwerk- oder gar Kommunikationsdesigns „für das nächste Jahrtausend“.

Und an dieser Stelle wird 5G auch für IT- und Netzwerkverantwortliche interessant: Ideen, Praktiken und Tools, die es ermöglichen, ein massiv großes und dynamisches Kommunikationsgebilde quasi „automatisch“ aufzubauen und zu betreiben, sind nicht nur für die Telcos dieser Welt von Interesse. Vielmehr kann man an der 5G-Blaupause erkennen, wie auch „normale“ IT-Netze in Zukunft aussehen werden.

Um zu verstehen, was 5G so besonders und damit auch für „normale“ Netzwerke interessant macht, hilft ein Blick zurück in die Geschichte der Telekommunikationstechnik.

Prä-5G-Netze

Frühe Telefonnetze waren leitungsvermittelt: direkt wurden Eins-zu-eins-Leitungen zwischen Teilnehmern geschaltet – ganz früher sogar noch händisch im „Amt“. Aber auch spätere Selbstwahlnetze fallen technisch noch unter diesen Begriff (vgl. Abb. 1). Fast alle solchen Netze wurden im Laufe der Zeit durch paketvermittelte Netze ersetzt. Dazu gehören moderne Telefonnetze (die darüber vermittelte Leitungen „simulieren“) genauso wie das Internet (vgl. Abb. 2) oder auch Mobilfunknetze inklusive 4G und LTE.

Obwohl diese Netze in gewisser Weise „intelligent“ sein können, fehlt eine klare zentrale Steuerung und Koordination: Router im Internet können zwar „autark“ entscheiden, tun dies aber unter Zuhilfenahme von mit ihren Nachbarn automatisch ausgetauschten Daten. Wie in der Vergangenheit leider schon oft vorgefallen, kann die Summe korrekter autarker Entscheidungen durchaus zu einer (Zer-)Störung des Gesamtsystems führen. Darüber hinaus ist der strukturelle Aufbau dieser Netze oft noch zu einem sehr hohen Grad fixiert: Eventuelle Nutzungsmuster müssen schon bei der Planung des Netzes antizipiert und entsprechend in der Struktur abgebildet werden. In Zeiten, in denen es nur eine sehr begrenzte Anzahl von Nutzer- und Verkehrsarten gab, war ein solcher „Offline“-Ansatz auch durchaus praktikabel – mittlerweile sieht das anders aus.

Ein letzter Punkt betrifft die Kommunikation zwischen verschiedenen Netztypen: Auch wenn heute aus Nutzersicht vieles einheitlich wirkt, sind hinter den Kulissen lokale Netze, IP-Backbones und verschiedene Wireless- und Mobil-Netze komplett unterschiedlich zu betreiben und zu pflegen – der gemeinsame Nenner „Internet-Protocol“ (IP) ist erst ganz oben im Schichtenmodell angesiedelt, darunter gibt es aber kaum Gemeinsamkeiten.

5G-Charakteristik

Im Gegensatz zu den oben genannten Netzen lässt sich 5G, wenn man die Luftschnittstelle einmal außer Acht lässt, durch drei durchgängige Konzepte beschreiben:

• Alles Cloud: Im 5G-Umfeld werden alle Ressourcen, inklusive (Funk-)Hardware, in Pools verwaltet – wie beim Cloud-Computing gibt es keine statische Zuordnung von Ressourcen zu Nutzern, vielmehr werden automatisiert Ressourcen zugewiesen. Dies betrifft neben physischen Verbindungen und virtuellen Maschinen (VMs) auch Funk- und Netzwerkhardware. Ein Laptop als 5G-Subscriber kann beispielsweise nahtlos zwischen Ethernet, WLAN und 5G-NR wechseln und bleibt dabei immer „im 5G-Netz“.
• Alles Software: Ressourcen aus den Pools werden über Software dynamisch zu Service-Stacks zusammengebaut. Der Laptop aus dem Beispiel bekommt aufgrund seiner Identität dynamisch einen bestimmten Service zugewiesen: Ändert sich etwa die Art der physischen Anbindung, so wird per Software dieser Teil inklusive eventueller Abhängigkeiten dynamisch aktualisiert. Im Hintergrund arbeiten Software-Defined Networking (SDN) und Network Function Virtualization (NFV) als Basis dieser Dynamik.
• Alles automatisiert: Alle Aktionen laufen in der Regel ohne menschlichen Eingriff vollautomatisiert ab. Als Service-Designer definiert man Anforderungen und Rahmenbedingungen und kann diese via Simulation verifizieren – das eigentliche Konfigurieren der Infrastruktur zur Laufzeit findet aber dynamisch und vollautomatisch statt. Da alle Daten elektronisch vorliegen und sich auch alle Aktionen elektronisch anstoßen lassen, ist dies gleichzeitig das optimale Spielfeld für selbstlernende Systeme der künstlichen Intelligenz (KI), die das Gesamtsystem basierend auf den Vorgaben des Designs selbstständig und kontinuierlich optimieren.

Aus Sicht der „normalen“ Netzwerk- und IT-Verwaltung sind SDN und NFV auf jeden Fall naheliegend – sowohl was den zeitlichen Implementierungshorizont als auch die Vertrautheit mit den Verfahren angeht.

SDN und NFV

5G verabschiedet sich, wie bereits angemerkt, von der physischen Sicht auf die Netzwerkinfrastruktur: Jegliche Netzwerkhardware (bzw. deren Data-Plane) wird von der Entscheidungsinstanz (Control-Plane) entkoppelt. Dadurch lassen sich zur Laufzeit beliebige Netzwerktopologien einfach durch Softwarekonfiguration auf- und abbauen. Zwei Server können sich zum Beispiel in demselben Layer zweier Netzwerke wähnen, obwohl sie physisch auf zwei Kontinenten residieren und über verschiedene Switches, Router, Kabel oder gar Satelliten kommunizieren.

In diesem Kontext offenbart sich eine Schwäche bestehender Netzwerkdesigns: Netzwerkfunktionen, die über reines Forwarding hinausgehen (also z. B. Firewalls, Content-Scanner oder Load-Balancer), sind zurzeit sehr oft nur als dedizierte Hardware der jeweiligen Hersteller verfügbar. Aus Sicht des Service-Providers (und das kann auch die interne Netzwerkabteilung sein) ergibt sich damit aber ein massives Problem: Auf der einen Seite gibt es mit SDN ein Verfahren, das es ermöglicht, extrem dynamisch, schnell und einfach Netzwerkarchitekturen aufzubauen, zu testen, zu betreiben und wieder abzubauen. Auf der anderen Seite gibt es aufgrund der physisch stationären Netzwerkappliances einen Flaschenhals, durch den man – je nach Service – hindurch muss. Immerhin lohnt es sich nicht, „überall“ Appliances in einer solchen Zahl zu postieren, dass diese auch im Worst Case den Verkehr bewältigen könnten. Hinzu kommt, dass dies für jede Art Appliance zu wiederholen wäre, wo es keine Trennung zwischen Hard- und Software gibt – die Funktion von Hersteller A läuft halt nur auf der Appliance von Hersteller A.

Um sich von dieser Abhängigkeit von Netzwerkfunktionen zu lösen, greift 5G auf Virtual Network Functions (VNF) beziehungsweise Network Function Virtualisation (NFV) zurück. Die Grundidee dürfte jedem bekannt sein, der schon einmal mit virtualisierten Workloads gearbeitet hat: Statt einer strikten Bindung von Soft- und Hardware werden die entsprechenden NFs nur noch durch Software abgebildet – in Form virtueller Maschinen auf einem Hypervisor.

So werden auch Network Functions komplett über Software steuerbar – komplette Netzwerk- und Netzwerkfunktions-Designs lassen sich über Software konfigurieren und betreiben. Ein Nebenprodukt dieser Kombination sind sogenannte Network Slices: logisch komplett isolierte Netze, die über die gleiche physische Infrastruktur kommunizieren. Im Hintergrund werden die Services und Qualitätsmerkmale dieser Slices transparent mittels SDN und NFV auf die jeweils vom Subscriber gebuchten beziehungsweise benötigten Servicemerkmale gemappt.

Die übergreifende Konfiguration der gesamten Servicekette findet über den „Management and Orchestration (MANO) Software Stack“ statt, der aufgrund vorgegebener Parameter sämtliche benötigten Komponenten wie SDN-Kontroller, Virtualisierungshosts und auch entsprechende VNFs konfiguriert.

Die in 5G genutzte Architektur orientiert sich an der vom European Telecommunications Standards Institute (ETSI) definierten NFV-Architektur (Abb. 4). Große Teile davon lassen sich beispielsweise mittels der „Open Platform for NFV“ (www.opnfv.org) betreiben und studieren.

Trotz der auf den ersten Blick massiv gestiegenen Komplexität (bes. im Vergleich zu „einfachen“ Netzwerken) ist das von 5G genutzte Netzwerk- und Service-Design die Zukunft. Gerade SDN ist heute schon Bestandteil vieler Services – auch wenn man sich dessen oft nicht bewusst ist, da diese Funktionen sich besonders im Virtualisierungsumfeld hinter Begriffen wie (Distributed) Virtual Switch oder Ähnlichem verstecken.

Mittelfristig wird SDN aber auch „normale“ Workloads betreffen – sei es nur, um eine transparente oder hochverfügbare Kommunikation über geografische sowie Cloud-/On-Premise-Grenzen hinweg zu ermöglichen. Spätestens dann werden aber physische Appliances zum nächsten Stolperstein und ebnen damit den Weg für NFV. Dann fehlen nur noch eine saubere Architektur und entsprechende Kontrollfunktionen und Schnittstellen (APIs) – letztendlich genau das, was die ETSI-Architektur definiert.

Über kurz oder lang sollte sich also jeder aus dem IT-Service oder Netzwerkbereich mit dieser Technologie beschäftigen – besonders, weil davon auszugehen ist, dass sich schlüsselfertige 5G-Service Stacks auch in vielen anderen Umgebungen (on Premise oder in der Cloud) mittelfristig schnell ausbreiten werden. Dies ist aus Sicht der Service-Erbringung eine riesengroße Chance, da man ab diesem Zeitpunkt Services mit einheitlichen APIs völlig unabhängig von Endgerät, Zugangsverfahren-/diensten und Serviceanbietern „end to end“ provisionieren kann.

KI und ML

Im Zusammenhang mit 5G ist zudem häufig von Machine Learning (ML) oder auch künstlicher Intelligenz (KI) die Rede. Abseits des Marketinghypes gibt es in diesem Kontext ganz konkrete Einsatzszenarien: Da in einem 5G-Netz alles über Software konfiguriert werden kann und gleichzeitig alle (Meta-)Daten über Nutzung und Belastung auch in maschinenlesbarer Form auflaufen, liegen optimale Voraussetzungen für den Einsatz von KI- und ML-Verfahren vor.

Ein Beispiel ist die optimale Verteilung von Sendeleistung und Netzwerkverkehr abhängig von Tageszeit und/oder Nutzung – ein anderes die automatische Bereitstellung ebendieser bei Großereignissen. Im Rahmen der beim Service-Design vorgegebenen Rahmenparameter können KI/ML selbstständig und fortwährend Optimierungen am System vornehmen. Die damit verbundene Verbesserung der Servicequalität ist bei älteren Netzen allein schon aufgrund der oft notwendigen manuellen Aktionen schlichtweg nicht möglich.

5G-Sicherheit

Im Kontext „Sicherheit für 5G“ gibt es sowohl schlechte als auch gute Nachrichten – beiden gemein ist, dass sie aufgrund der Softwarezentrierung, Automatisierung und massiven Skalierung nur noch wenig mit klassischer Netzwerk- oder IT-Sicherheit allgemein zu tun haben. Gerade beim Betrieb eigener (Campus-) 5G-Netze ist den wenigsten bewusst, welchen Software-Stack man sich damit ins Haus holt. Dies ist nicht per se schlecht – der Stack muss nur ausreichend geschützt sein! Erlangt ein Angreifer Verwaltungszugriff auf den MANO, so kontrolliert er auf einen Schlag sämtliche von diesem verwaltete Ressourcen. Ist dieser auch über Federation-Services mit anderen Anbietern und MANOs verknüpft, umfasst dies unter Umständen die gesamte Lieferkette.

Beim Absichern einer 5G-Basisinfrastruktur ist also höchste Vorsicht geboten. Hier liegt definitiv kein Bereich vor, für den das Motto „um Sicherheit kümmern wir uns am Projektende“ gelten dürfte, ganz im Gegenteil: Security gehört in allen Ausprägungen von Anfang an dazu – alles andere wäre grob fahrlässig!

Ein nicht zu unterschätzender Aspekt ist die fehlende Standardisierung von Security im NFV/SDN-Umfeld: Während die Verwaltung im Rahmen des ETSI-Modells klar definiert ist, fehlen Referenzarchitekturen zum Betrieb von Security-Funktionen im NFV-Modell. Zusätzlich zum MANO, der sich um die Konfiguration der Infrastruktur kümmert, kommt also noch ein Security-Orchestrator hinzu, der Richtlinien verwaltet, von MANO vorgenommene Änderungen validiert und Telemetriedaten aus dem gesamten System protokolliert – kommen Security-VNFs zum Einsatz, so werden auch deren Richtlinien über den Security-Orchestrator provisioniert. Aktuelle Forschungsprojekte und Arbeitsgruppen lassen immerhin bereits erahnen, dass uns auch hier in Zukunft eine einheitliche Referenzarchitektur zur Verfügung stehen dürfte.

Im Betrieb von 5G-Netzen tauchen darüber hinaus neue, aus dem klassischen Netzwerkumfeld eher unbekannte oder (angeblich) gelöste Herausforderungen auf, die in den folgenden Abschnitten erörtert werden sollen.

Erkennungsraten

Viele Security-Ansätze basieren im Kern auf einem White- oder Black-Listing-Ansatz, der in der Regel auf IP-Netze und -Verkehr im klassischen Sinne optimiert ist. In einem volldynamischen 5G-Netz kann dieser einfache Ansatz ins Leere laufen beziehungsweise unbefriedigende Ergebnisse liefern: Während es früher eine überschaubare Anzahl von Kommunikationsprofilen (z. B. User vs. Server) gab, taucht mit 5G schnell eine große und dynamisch wechselnde Anzahl von Profilen/Subscribers auf – was für das eine Nutzerprofil in Bezug auf Kommunikationsverhalten völlig normal ist, kann dabei für ein anderes Profil einen massiven Angriff bedeuten. Bei der Einführung von 5G ist also darauf zu achten, dass kein falsches Bild entsteht, wenn die Indikatoren (KPIs) bestehender, nicht auf 5G angepasster (Hardware-) Lösungen auf einmal in den Keller gehen. Optimalerweise werden gleichzeitig mit dem 5G-Rollout auch entsprechend angepasste Security-VNFs ausgerollt, um genau diesem Effekt entgegenzuarbeiten.

Attribution/Identität

Eine der allgemein größten Herausforderungen sind sicherlich die Attribution und das Identity-Management. Gerade beim großflächigen Ausrollen von IoT-Geräten ist hier auch auf eine Zuweisung von Geräte-Identität zu SIM-Identität zu achten. Gerade bei Geräten ohne „feste“ SIM ergeben sich ansonsten nahezu unlösbare Probleme beim Erkennen und Zuweisen entsprechender Profile. Auf der anderen Seite können gesicherte Identitäten im Zusammenhang mit Verhalten auch als Lehrmaterial für KI und ML dienen, sodass diese quasi „automatisch“ lernen, was normal ist und was nicht.

Security-Architektur

Aufgrund des holistischen Ansatzes von 5G ist der Einsatz von punktueller Sicherheit (klassisch am „Flaschenhals“) weder möglich noch sinnvoll. Vielmehr ist es erforderlich, sich einen Dienst „End to End“ anzuschauen und sinnvolle Sicherheitsmaßnahmen in seine Infrastruktur zu integrieren. Da ein Dienst auch durchaus eine gesamte Lieferkette und mehrere beteiligte Parteien umfassen kann, ist dies keine einfache Aufgabe. Hier ist mehr als reines Security-Wissen gefragt! Vielmehr benötigt man eine Sicherheitsarchitektur, die sich an der Architektur der Firmendaten(-flüsse) orientiert. Letztendlich ist also auch hier deutlich mehr (Business-) Prozesswissen gefragt, um Security sinnvoll anwenden zu können.

Der menschliche Faktor

Die Komplexität eines 5G-Netzwerkes stellt ganz neue Herausforderungen an das Betriebspersonal. Man führe sich einfach vor Augen, dass Themen wie Netzwerk-Infrastruktur, Servervirtualisierung und Security (z. B. Firewall) heute in vielen Organisationen von getrennten Abteilungen betreut werden. Im 5G-Kontext sind dies Grundbausteine – im Fehler- oder Supportfall ist das benötigte Wissen um Komponenten und Konzepte also um ein Vielfaches höher. Aber auch lieb gewonnene Werkzeuge wie einfache Netzwerktraces sind mit SDN und NFV fast obsolet oder werden so groß, dass man sie mit konventionellen Methoden nicht mehr auswerten kann.

Unter Umständen ist der klassische Netzwerker vor diesem Hintergrund auch nicht mehr der passende Troubleshooter. Bei den dann gegebenen komplexen Strukturen und immensen Datenmengen ist hingegen die statistische Suche nach der Nadel im Heuhaufen oft vielversprechend. Das dazu nötige Rüstzeug ist aber eher bei einem Data-Scientist oder Menschen mit ähnlicher Ausbildung (z. B. Mathematiker) zu finden. Das Profil, mit dem man bisher Personal gesucht hat, kann sich unter Umständen also grundlegend ändern.

Am deutlichsten lässt sich dies vielleicht bei denen festmachen, die man im Falle eines Angriffes hinzuzieht: Sie benötigen unter anderem herausragende technische Fähigkeiten, gute Kontakte zu Telcos und großen SOCs/CERTs, Einblick in Untergrundforen und Diskussionen, Verbindungen zu Strafverfolgungsbehörden und/oder anderen Diensten sowie ein „Hacker-Denken“ zur schnellen Analyse und Reaktion auf einen Vorfall. Solche sogenannten „Apex-Responder“ findet man aber nicht einfach so auf dem freien Arbeitsmarkt. Vielmehr werden diese hoch bezahlten Kräfte oft nur durch Mundpropaganda bekannt. Gerade in diesem Kreis ist es daher umso schlimmer, wenn Mitarbeiter „verbrannt“ werden – sei es durch Überlastung oder durch Unterforderung.

Ein möglicher Ansatz ist es, solche Personen in einem Train-the-Trainer-Modell einzusetzen: Damit baut sich im Laufe der Zeit eine Mitarbeiter-Gruppe auf, die „Standardaufgaben“ irgendwann ohne die Apex-Responder durchführen kann – damit diese für Aufgaben frei bleiben, die nur sie bewältigen können. Ein weiterer Ansatz ist es, gleichzeitig auch eine KI/ML-Instanz mit diesem Wissen zu trainieren, um im besten Fall den nächsten oder zumindest einen ähnlichen Angriff vollautomatisch abwehren zu können.

Simulation und Automation

Wo Schatten fällt, da ist auch Licht: Security im 5G-Umfeld ist nicht nur negativ! Ein massiver Vorteil von 5G ist die Möglichkeit, ganze Dienste und Wertschöpfungsketten „auf Knopfdruck“ zu simulieren. Das wird oft nur im Zusammenhang mit dem monetären Aspekt gesehen, trifft aber für Security genauso zu. Ein anderer Aspekt ist die mögliche Automatisierung: Wenn Sicherheit nicht mehr manuell und getrennt von Services konfiguriert wird, sinkt auch die Gefahr, etwas zu übersehen. Gerade diesen Aspekt sehen viele Experten als einen der wichtigsten Security-Vorteile überhaupt: 80 % Security-Controls, die durchgängig und automatisch mitprovisioniert werden, sind oft deutlich effizienter als eine „oft, aber nicht immer“-99%-Security an einigen Flaschenhälsen.

KI und ML (II)

Auch bei der Sicherheit ist das Thema ML und KI naheliegend: 5G-Systeme können im Laufe der Zeit das „normale“ Nutzungsverhalten verschiedener Kategorien von Subscribers automatisch lernen. Fällt ein Subscriber massiv aus der Rolle, beispielsweise weil seine Rufnummer für „International Revenue Share Fraud“ (IRSF) missbraucht wird, so kann dies vom System automatisch erkannt und auch unterbunden werden. Fast alle Betrügereien, die heute im Telco-Bereich üblich sind, ließen sich damit wirkungsvoll adressieren.

Fazit

5G ist weit mehr als nur eine schnellere Luftschnittstelle – 5G ist vielmehr eine Blaupause für das Netzwerk-Referenzdesign der Zukunft. Dieses Design ist nicht auf Telcos beschränkt, sondern beschreibt mittelfristig eine Architektur zur effizienten Bereitstellung von Diensten über Firmengrenzen und Lieferketten hinweg. Um dies zu erreichen, werden grundlegende Verfahren wie SDN und VNF in der Fläche ausgerollt. Dies erhöht aber die Komplexität des ausgerollten Stacks massiv!

Trotz oder, besser gesagt, gerade aufgrund dieser Komplexität muss Sicherheit von vornherein Teil der Services sein. Nur dann lassen sich die Vorteile ausschöpfen, ohne von den Nachteilen aufgefressen zu werden. Dies bedingt aber eine andere Herangehensweise an Security, als es bisher der Fall war – und impliziert mittelfristig womöglich ein völlig anderes Mitarbeiterprofil im Umfeld der „IT-Security“.

5G ist eine Schlüsseltechnologie, die uns noch lange begleiten wird. Die Möglichkeiten, die sich durch eine durchgehende, Hardware-agnostische Netzwerksicht für End-to-End-Dienste ergeben, sind schlichtweg enorm und werden die Telekommunikationsbranche noch einige Zeit auf Trab halten.

Udo Schneider ist Security Evangelist DACH bei Trend Micro Deutschland.

Literatur

[1] Craig Gibson, Securing 5G Through Cyber-Telecom Identity Federation, Trend Micro Research, November 2019, https://documents.trendmicro.com/assets/white_papers/wp-securing-5g-through-cybertelecom-identity-federation.pdf
[2] Craig Gibson, Europol’s European Cybercrime Centre (EC3), CyberTelecom Crime Report 2019, Trend Micro Research, März 2019, https://documents.trendmicro.com/assets/white_papers/wp-cyber-telecomcrime-report-2019.pdf
[3] 5G PPP Work Group on Security (Hrsg.), 5G PPP Phase1 Security Landscape, Juni 2017, https://5g-ppp.eu/wp-content/uploads/2014/02/5GPPP_White-Paper_Phase-1-SecurityLandscape_June-2017.pdf
[4] 5G Ensure, 5G Enablers for Network and System Security and Resilience – Deliverables, http://5gensure.eu/deliverables
[5] Ijaz Ahmad, Tanesh Kumary, Madhusanka Liyanagez, Jude Okwuibex, Mika Ylianttila, Andrei Gurtovk, 5G Security: Analysis of Threats and Solutions, in: 2017 IEEE Conference on Standards for Communications and Networking (CSCN), September 2017, online verfügbar via www.researchgate.net/publication/318223878