Wie sich 5G-Netze sicher betreiben lassen
Mit dem Einsatz von privaten 5G-Netzen ergeben sich neue Anforderungen - Aktuell steigt in der Industrie die Nachfrage nach 5G-Netzen, mit denen sich Effizienzgewinne durch Automatisierung erzielen lassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit dem IT-Grundschutz-Profil „5G-Campusnetze“ ein Werkzeug zur Verfügung, mit dessen Hilfe Unternehmen individuelle Sicherheitskonzepte für private 5G-Netze implementieren können.
Der Aufbau der fünften Mobilfunkgeneration schreitet voran, schafft aber auch neue Angriffsvektoren. So muss ein Unternehmen, das sich ein privates 5G-Netz (5G-Campusnetz) installiert, beispielsweise mit einem hohen Aufwand bei der Risikoanalyse rechnen. Allerdings ist das Know-how dafür in der Branche nicht flächendeckend vorhanden, was den Schutz dieser Netze erschwert. Deswegen bietet das BSI mit dem IT-Grundschutz-Profil „5GCampusnetze“ eine Anleitung, mit dessen Hilfe sich Anwenderinnen und Anwender mit dem Thema Informations- und IT-Sicherheit in privaten 5G-Netzen vertraut machen können. Die darin enthaltene Risikoanalyse wurde bereits durch die Autoren erstellt und gibt konkrete Handlungsempfehlungen, mit denen sich ein 5G-Campusnetz schützen lässt. Diese Schablone kann der Anwender individuell an sein Unternehmen anpassen – sie berücksichtigt somit die Bedingungen des jeweiligen 5G-Campusnetzes anhand des beschriebenen Informationsverbunds.
Die aktuelle Version des IT-Grundschutz-Profils betrachtet 5G-Campusnetze als reine Insellösungen, also ohne unmittelbare Anbindung an öffentliche Netze. Ziel ist somit die Absicherung der Anbindung einer eingekauften Lösung in die eigene Infrastruktur. Der Fokus liegt auf der Nutzung von Konnektivitätsdiensten auf 5G-Basis. Die Anwender besitzen in diesem Szenario keine Netzhoheit und betreiben das Netz nicht selbst.
Private 5G-Netze sind im Vergleich zu öffentlichen 5G-Mobilfunknetzen nicht durch das BSI-Gesetz oder das Telekommunikationsgesetz reguliert. Unternehmen oder Institutionen, die private 5G-Netze nutzen oder eine zukünftige Nutzung anstreben, sind somit nicht zur Umsetzung von regulatorischen Forderungen verpflichtet.
5G-Lizenz
Um ein 5G-Campusnetz betreiben zu dürfen, ist die Beantragung einer Lizenz zur Nutzung der entsprechenden Frequenzen bei der Bundesnetzagentur (BNetzA) notwendig. Da diese Lizenz nur zur Nutzung der Frequenzen an einem bestimmten Ort ausgestellt wird, muss das 5G-Campusnetz immer ortsfest betrieben werden. Soll das 5G-Campusnetz an unterschiedlichen Orten zum Einsatz kommen, so muss für jeden dieser Einsatzorte eine gesonderte Lizenz bei der BNetzA angefordert werden. Meistens beantragt der Nutzer die Frequenzen bei der BNetzA. Bei der Verwendung eines gemeinsamen Zugangsnetzes kann es auch vorkommen, dass der Dienstleister diese bereitstellt. Jegliche Konfigurationen sowie die Bereitstellung der SIM-Karten und die Verteilung der Radio-Units (Antennen) werden vom Dienstleister durchgeführt. Auch im Fremdbetrieb gibt es immer die Möglichkeit, den 5GCore in der Cloud zu hosten oder ein in der Cloud gehostetes Zugangsnetz (Radio Access Network, RAN) zu verwenden. Hier bieten unterschiedliche Dienstleister verschiedene Betriebsmodelle an.
Abbildung 1: Netzplan
Der IT-Grundschutz bietet eine ganzheitliche Grundlage für den Aufbau einer soliden IT- und Informationssicherheit im Unternehmen: Neben technischen Aspekten werden infrastrukturelle, organisatorische und personelle Themen betrachtet. Das ermöglicht ein systematisches Vorgehen, um notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Die BSI-Standards 200-1 bis 200-4 liefern konkrete Vorgehensweisen, das IT-Grundschutz-Kompendium Anforderungen. Mithilfe der drei Vorgehensweisen Basis-, Standard- und Kern-Absicherung kann eine Institution relativ einfach ein Informationssicherheitsmanagementsystem (ISMS) aufbauen (vgl. Abbildung 2). Die Standard-Absicherung entspricht der empfohlenen IT-Grundschutz-Vorgehensweise. Sie hat einen umfassenden Schutz für alle Prozesse und Bereiche der Institution als Ziel. Die Basis-Absicherung hingegen ist für Institutionen interessant, die einen Einstieg in den IT-Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern möchten. Da die meisten Nutzungsszenarien von 5G-Campusnetzen besonders schützenswerte Daten und Infrastrukturen beinhalten, orientiert sich dieses IT-Grundschutz-Profil an der Standardabsicherung.
Abbildung 2: Die verschiedenen Arten der Grundschutz-Absicherungen. Das Profil 5G-Campusnetze orientiert sich an der Standardabsicherung.
Darüber hinaus wurde der benutzerdefinierte Baustein „INF.bd.1 Ortsveränderliche Einhausung für Telekommunikationssysteme“ neu erstellt. Dieser deckt die physische Absicherung von Hardwarekomponenten der 5G-Campusnetze sowie von allen anderen Telekommunikationssystemen, zum Beispiel Digital Enhanced Cordless Telecommunications (DECT), in transportablen Containern und anderen Einhausungen ab. Der Baustein ist notwendig, da wesentliche Unterschiede zur Unterbringung in Serverräumen und ortsfesten Gebäuden bestehen.
Anwendungsbereich und Zielgruppe
Viele Unternehmen, die 5G-Campusnetze einsetzen, bevorzugen die Abgeschlossenheit des 5G-Netzes aus Sicht der Informationssicherheit. Es existiert lediglich eine Schnittstelle zum internen Firmennetz, über die der Datenaustausch läuft. Dabei beschränkt sich der Kreis der berechtigten Nutzer meist auf Geräte, die zu einem bestimmten Unternehmen oder einer bestimmten Institution gehören.
Das IT-Grundschutz-Profil des BSI zur Absicherung von 5G-Campusnetzen legt die aktuellen Standards ab Release 15 des 3rd Generation Partnership Project (3GPP) und den Betrieb als Stand-alone-(SA)-Netz zugrunde. Es verfügt, wie alle anderen 5G-Netze auch, über mindestens eine Basisstation (gNodeB), über deren angeschlossene Antenne (Radio-Unit, RU) die mobilen Endgeräte mit dem Kernnetz (engl. Core-Network) verbunden werden. Die Radio-Unit bildet, zusammen mit dem gNodeB, das Zugangsnetz. Das Netz kann man für eine größere Reichweite und Ausleuchtung mittels weiterer Radio-Units erweitern.
In einem solchen Netz (vgl. Abbildung 1) werden neben den üblichen Endgeräten wie Smartphones, Tablets und Notebooks häufig auch verschiedene Arten von Sensorik und Aktorik eingesetzt. Diese sind beispielsweise in autonomen Plattformen wie selbstfahrenden Robotern verbaut. Diverse Internet-of-Things-(IoT)-Geräte lassen sich ebenfalls über solch ein Netz drahtlos miteinander verbinden. Innerhalb des Kernnetzes können, je nach individuellen Anforderungen, verschiedene Netzdienste bereitgestellt werden.
Geltungsbereich und Schutzbedarf
Der Einsatz der 5G-Technik in 5G-Campusnetzen erfolgt in der Regel mit dem Ziel, zuverlässig geringe Latenzen bei hohen Bandbreiten zu erreichen. Dabei wird erwartet, dass in äußerst niedrigen Reaktionszeiten die richtigen Daten zuverlässig das Ziel erreichen, um eine korrekte Verarbeitung sicherzustellen, wie es beispielsweise bei der Robotersteuerung in vielen Fällen notwendig ist.
Die Luftschnittstelle in Funknetzen ist grundsätzlich leicht abzuhören. Aus diesem Grund wurde mit 5G eine verbesserte Abhörsicherheit eingeführt, die in 5G-Stand-alone-Campusnetzen standardmäßig angewandt wird. Entsprechend sind eine höhere Integrität und Vertraulichkeit möglich. Zudem lässt sich das Sicherheitsniveau individuell an höhere Anforderungen anpassen.
Besonders wichtig ist das beispielsweise in industriellen und medizinischen Umfeldern, in denen 5G-Campusnetze zum Einsatz kommen. Denn hier wird dem Schutz der verarbeiteten Daten ein hoher Stellenwert beigemessen, unter anderem um Wirtschaftsspionage zu verhindern sowie hochsensible medizinische und personenbezogene Daten zu schützen.
Ausblick
Das Feld der privaten 5G-Netze ist noch sehr neu und daher immer noch einem ständigen Wandel, besonders bei den Einsatzgebieten, aber auch in den Betriebsmodellen, unterworfen. Entsprechend passt das BSI das IT-Grundschutz-Profil regelmäßig an den aktuellen Stand der Technik an. Ebenso werden bei Bedarf weitere IT-Grundschutz-Profile und benutzerdefinierte Bausteine entstehen, um verschiedene Einsatzszenarien von 5G-Campusnetzen so gut und übersichtlich wie möglich abzubilden und die Anwendung von sicherheitsbezogenen Best Practices so einfach wie möglich zu gestalten.
In die IT-Grundschutz-Profile und benutzerdefinierten Bausteine fließen die Hinweise der Hersteller und Anwender selbst ein. Die Anmerkungen und Vorschläge nimmt das BSI sowohl im Rahmen von Anwenderworkshops als auch während der „Community-Draft“-Phase auf. In dieser Phase haben alle Interessierten die Möglichkeit, entsprechende Kommentare und Vorschläge zu übermitteln. Falls Interesse besteht, hier mitzugestalten, kann man sich direkt an das BSI (5g@bsi.bund.de) wenden.
Fremdbetrieb: Beim Fremdbetrieb übernimmt ein Dienstleister den Betrieb und die Wartung des 5G-Campusnetzes vollständig. Entsprechende Dienstleister sind oft auf 5G-Campusnetze spezialisiert. Auch einige öffentliche Mobilfunkanbieter haben ein entsprechendes Angebot. Der Dienstleister übernimmt die Rolle des Netzbetreibers und verfügt entsprechend über die Netzhoheit.
Stand-alone: Zugangsnetz und Kernnetz für 5G non Stand-alone: Basis ist ein EPC-Kernnetz und als Zugangsnetz wird LTE mit 5G NR kombiniert
Der Begriff 5G-Campusnetz bezeichnet ein lokal betriebenes, nicht öffentliches 5G-Netz. Solch ein Netz hat gewöhnlich keine direkte Anbindung an das öffentliche Mobilfunknetz.
Jo-Ann Scharkoff ist Referentin im Referat SZ 32 –Vorgaben und Auditierung für Telekommunikationsnetze, 5G im Bundesamt für Sicherheit in der Informationstechnik.
Jennifer Gabriel ist wissenschaftliche Mitarbeiterin im Bereich Sicherheit im Mobilfunk am Deutsche Telekom Lehrstuhl für Kommunikationsnetze von Prof. Frank Fitzek an der TU Dresden. Sie hat 15 Jahre Erfahrung im Bereich IT- und Informationssicherheit, u. a. als ISO 27001 Lead Auditor und in der Beratung.