Experten empfehlen Etablierung eines ganzheitlichen Sicherheitsansatzes, um der 5G-Evolution den Weg zu bereiten.

Bei der allgegenwärtigen 5G-Diskussion um die Kosten, die Verantwortung der Netzbetreiber sowie die Verfügbarkeit und Leistungsfähigkeit des neuen mobilen Datennetzes erscheint die Frage nach der Sicherheit nur als Randthema. Palo Alto Networks warnt aber davor, hier Abstriche zu machen oder das Thema zu vertagen. Um Unternehmen dabei zu helfen ihre Daten, ihre digitalen Prozesse und ihre IT-Infrastruktur zu schützen, haben die IT-Sicherheitsexperten ein umfassendes Whitepaper erstellt. Die wesentlichen Inhalte fasst Palo Alto Networks wie folgt zusammen.

 

Die Reise zu 5G

Die Mobilfunkbetreiber haben ihre nächste Evolution begonnen: den Aufbau von 5G-Netzen, die eine beispiellose Anzahl von Mobilfunkdiensten mit höherer Geschwindigkeit und für Milliarden von Geräten und »Dingen« ermöglichen werden. Dies wird neue Dienste wie HD-Video, selbstfahrende Autos, die massive Verbreitung des Internets der Dinge (IoT), intelligente Städte und eine Massendigitalisierung von Unternehmen und Industrien vorantreiben.

5G verspricht transformative Mobilität durch ein verbessertes mobiles Breitbanderlebnis und die industrielle Digitalisierung durch Kundenwertschöpfung. Mobilfunkbetreiber werden die Möglichkeit haben, ihre Netze zu nutzen, um neue Geschäftsmodelle im Zusammenhang mit Enterprise Business Services zu ermöglichen. Es wird erwartet, dass die Einnahmen der Betreiber mit einer kontinuierlichen jährlichen Wachstumsrate von 2,5 Prozent steigen und 1,3 Billionen US-Dollar im Bereich der 5G-Dienste bis 2025 erreichen werden.

5G-Netze werden sich in den nächsten zehn Jahren in mehreren Schritten weiterentwickeln. Anwendungen und Dienste, die traditionell als Over-the-Top-/OTT-Dienste genutzt wurden, erforderten eine optimale Konnektivität. Mit 5G werden Anwendungsfälle für lebens- und geschäftskritische Services, die auf wichtige vertikale Märkte ausgerichtet sind, konkretere Anforderungen an Konnektivität, Sicherheit und gezielte SLAs stellen. 5G-Sicherheit wird geschäftskritisch und gibt Betreibern die Möglichkeit, in der Wertschöpfungskette vom reinen Konnektivitätsanbieter zum sicheren Business Enabler aufzusteigen.

 

Unterscheidungsmerkmale bei der Etablierung von 5G

Es ist auch klar, dass Sicherheit ein grundlegender Faktor für 5G ist. Natürlich wird in diesen frühen Phasen der 5G-Evolution viel Wert daraufgelegt, die höheren Datengeschwindigkeiten, die Latenzverbesserungen und das gesamte funktionale Redesign der Mobilfunknetze zu realisieren, um mehr Agilität, Effizienz und Offenheit zu ermöglichen.

Während die neuen Arten und Klassen von Anwendungen den Betreibern neue Umsatzmöglichkeiten bieten werden, wird die Explosion von kostengünstigen, stromsparenden und ungesicherten IoT-Geräten und -Sensoren mit NarrowBand-IoT auch erweiterte Sicherheitsrisiken für das Netzwerk des Betreibers und die Endbenutzer mit sich bringen. Die Festlegung des richtigen Sicherheitsansatzes in 5G-Netzwerken ist daher entscheidend und erfordert die Berücksichtigung einiger neuer Anforderungen und Herausforderungen, wobei es hierbei einige Mythen gibt, die es zu entzaubern gilt.

Zu den grundlegenden Fragen, die hier behandelt werden, gehören:

• Was ist der Unterschied bei 5G in Bezug auf die Sicherheit?
• Welche neuen Risiken und Auswirkungen gibt es für Dienstleister?
• Welcher ist der richtige 5G-Sicherheitsansatz und wie wird diese Entwicklung ablaufen?

 

5G-Sicherheitsmythen entzaubern

Um diese grundlegenden Fragen zu beantworten, gilt es zunächst einige gängige Mythen im Zusammenhang mit der 5G-Sicherheit zu entzaubern.

 

Mythos Nr. 1: Da sich 5G-Netzwerke weiterentwickeln, müssen lediglich bestehende Sicherheitselemente beschleunigt werden.

Die sich schnell entwickelnde Bedrohungslandschaft hat enorme Auswirkungen auf die 5G-Netze, die sich auf Verbraucher, Unternehmen und das eigene Mobilfunknetz des Betreibers auswirken. Die Serviceprovider sind an einem Wendepunkt angelangt, an dem sie einen ganz anderen Sicherheitsansatz verfolgen müssen. Ein Layer 3/Layer 4-basierter Sicherheitsansatz ist einfach nicht in der Lage, die anspruchsvollen Herausforderungen von heute und morgen effektiv zu bewältigen. Die Etablierung eines starken Sicherheitsrahmenwerks bedeutet viel mehr als nur das Zusammenfügen von Ad-hoc-Sicherheitsmodulen, um 5G-Sicherheit zu bieten. Getrennte Sicherheitsmodule werden nicht skaliert, und die Sicherheit kann nicht einheitlich im gesamten Netzwerk angewendet werden. Ein Hop-by-Hop-Sicherheitsmechanismus reicht nicht aus, um die von 5G geforderte differenzierte End-to-End-Sicherheit aufzubauen. Es bedarf eines ganzheitlichen und völlig neuen Sicherheitsansatzes.

 

Mythos Nr. 2: CGNAT sorgt für Sicherheit am Internet-Edge.

Kritische mobile Netzwerkinfrastrukturen werden oft ungeschützt gelassen, da davon ausgegangen wird, dass ein CGNAT-Gerät (Carrier Grade Network Address Translation) durch IP-Übersetzungsmechanismen Schutz für Teilnehmer und Geräte bietet. In Wirklichkeit bietet CGNAT als Inline-Gerät sehr wenig Schutz für IPv4-Geräte und Traffic sowie gar keinen Schutz für IPv6-Geräte und -Hosts. Darüber hinaus verwalten diese Netzwerkgeräte große Mengen an Zustandsdaten, was sie anfällig macht und wodurch sie oft DDoS-Angriffen aus dem Internet ausgesetzt sind. CGNAT-Geräte können die ersten Schwachpunkte bei diesen Angriffen sein. Daher muss CGNAT um eine Firewall erweitert werden.

 

Mythos Nr. 3: 5G ist da, daher können die Investitionen in 4G-Sicherheit begrenzt werden.

5G wird kein »Flash Cut« von Netzwerken von 4G bis 5G sein. 5G wird sich Seite an Seite mit 4G weiterentwickeln, wobei logische Entwicklungsstufen wahrscheinlich im nächsten Jahrzehnt stattfinden werden, bevor eine kritische Masse von 5G-Abonnenten erreicht wird. GSMA prognostiziert, dass 4G bis 2025 noch 66 Prozent der globalen Mobilfunknutzer ausmachen wird. Die frühen 5G-Projekte werden Brownfield-Implementierungen sein, ermöglicht durch 5G-Nicht-Standalone-Architekturen, die den vorhandenen 4G-Core für eine schnellere Einführung von 5G-Diensten nutzen, während die Betreiber mit der Einführung von 5G-Standalone-Architekturen für Greenfield-Implementierungen beginnen. Der 5G-Sicherheitsansatz muss mit bestehenden 4G-Netzwerken starten und sollte bei 5G konsistent behandelt werden.

 

Was ist der Unterschied von 5G in Bezug auf die Sicherheit?

Ein wichtiger Geschäftsfaktor für die Entwicklung von 5G-Netzwerken besteht darin, eine geschäftsorientierte Transformation mit offeneren Mobilfunknetzen zu ermöglichen, die eine dienstbasierte Architektur oder SBA nutzen. 5G-Netze werden eine grundlegende Veränderung der Architekturen gegenüber den heutigen Mobilfunkarchitekturen durchlaufen. Ein wichtiger Aspekt dieses Wandels wird die Bereitstellung und das Hosting von Anwendungen und Diensten sein, die auf den mobilen Edge hinausgehen, sowie von Unternehmensdiensten, die in diesen Netzwerken bereitgestellt und gehostet werden. Insbesondere IoT, Smart Utilities und Smart Cities gelten laut NGMN als eine der ersten transformativen Industrieanwendungen von 5G.

Um diese 5G-Vision zu ermöglichen, wird im Laufe der Zeit eine signifikante Weiterentwicklung der heutigen Mobilfunkarchitekturen stattfinden, die unter Berücksichtigung der folgenden Ansätze neue Sicherheitsschwachstellen und Bedrohungsvektoren erschließen wird.

 

Verbreitung von Bedrohungsvektoren

Bedrohungen warten nicht auf 5G. Großangriffe können von überall her hereinkommen, auch aus dem eigenen Netzwerk des Betreibers, über ein Botnetz mit Zehntausenden von großen, »bewaffneten« IoT-Geräten. 5G-Funknetzwerk-Implementierungen umfassen eine signifikante Erweiterung kleiner Zellen, die über nicht vertrauenswürdige Netzwerke verbunden sind, eine stärkere Nutzung von Cloud-RAN (C-RAN), 5G-NR (New Radio) über unlizenziertes Spektrum, Geräte-zu-Geräte-Kommunikation und Geräte, die mit mehreren Zellen verbunden sind. Diese Entwicklung verstärkt die Auswirkungen auf die Sicherheitslandschaft weiter, da die Anzahl der potenziellen Intrusionspunkte zunimmt. Eine IoT-Umgebung, die mit Malware infiziert ist, kann riesige Signalstürme erzeugen, die sich auf den Evolved Packet Core (EPC) auswirken und zu Ausfällen oder Serviceverlusten führen. Tiefgehende Transparenz und Kontrolle über alle Ebenen, einschließlich Anwendung, Signalisierung und Daten, an allen Standorten ist daher erforderlich.

 

Anwendungen und Dienste auf dem Vormarsch

Traditionell sind Netzbetreiber nur Konnektivitätsanbieter mit Anwendungen, und Dienste wurden bislang als Over-the-Top/OTT-Dienste aus dem Rechenzentrum des Serviceproviders oder auf einer Gi-Schnittstelle aus dem Internet bereitgestellt. Da 5G geschäfts- und lebenskritische Anwendungsfälle für wichtige vertikale Branchen bedient, werden Edge-Computing-Technologien eingesetzt, um Anforderungen mit geringer Latenz zu unterstützen, die durch Multi-Access-Edge-Computing (MEC) ermöglicht werden. Dies führt zu einer hochgradig verteilten Computerumgebung, die die Notwendigkeit einer effektiven Sicherheit am Edge erfordert. MEC spielt eine Schlüsselrolle bei der Beschleunigung der Vision der Netzwerktransformation in 5G und ermöglicht es dem Betreiber auch, in der Wertschöpfungskette nach oben zu gelangen, um zu einem sicheren Business Enabler zu avancieren.

 

Netzwerk-Slicing und softwaregesteuerte Agilität

5G-Mobilfunknetze werden die Vertikalisierung von Diensten in allen Branchen unterstützen. Sie sollen so aufgebaut werden, dass logische Netzschichten ermöglicht werden. Damit können die Betreiber Netze auf As-a-Service-Basis bereitstellen, um der breiten Palette von 5G-Anwendungsfällen gerecht zu werden. Diese Bereiche erfordern unterschiedliche Servicelevels, eine starke Isolierung pro Bereich, um die Verbreitung von Bedrohungen zu verhindern, und Sicherheitsrichtlinien, die pro Bereich instanziiert werden.

Technologiewechsel zu softwarebasierten Ansätzen wie SDN (Software-defined Network) und NFV (Network Functions Virtualization) werden durch Netzwerkmodernisierung für Agilität und Flexibilität sorgen, die Zeit bis zur Markteinführung neuer Dienste verkürzen und eine schnelle Servicebereitstellung ermöglichen. Diese Ansätze bringen jedoch Komplexität im Netzwerk mit sich. Eine Cloud-fähige NFV-Plattform, die offene APIs unterstützt und konsistente Sicherheit für Software und Hardware bietet, ist erforderlich, um die verteilten Architekturen von 5G zu ermöglichen.

 

Risiken und Auswirkungen für Serviceprovider

Die 5G-Sicherheit muss eng mit den Business-Services gekoppelt sein. Mobilfunkbetreiber können 5G-Hostingzentren nutzen, um Unternehmensanwendungen für vertikale Branchen zu hosten. Die Industrie ist darauf angewiesen, dass die Betreiber ihre Anwendungen bedienen, und die Sicherheit wird als eine gemeinsame Verantwortung für Betreiber und Unternehmen angesehen.

In einer Umfrage von Ericsson, an der die 20 führenden globalen Mobilfunkanbieter teilnahmen, identifizierten 90 Prozent der Befragten Sicherheit als wesentliches Unterscheidungsmerkmal bei der Einführung von 5G [1].

5G-Sicherheit reduziert die Geschäftsrisiken der Betreiber und sorgt für eine zuverlässige und sichere Verfügbarkeit von lebenskritischen Verbraucheranwendungen und geschäftskritischen mobilen Unternehmensdiensten. Die Etablierung eines hohen Reputationsindex wird für Mobilfunkbetreiber entscheidend sein, um profitable 5G-Geschäftsmodelle aufzubauen.

 

Sicherheit in 5G erfordert einen neuen Ansatz

Da der Umfang der 5G-Dienste wächst, wie bereits erwähnt, erfordert der Umgang mit den sich entwickelnden Sicherheitsherausforderungen und Risikofaktoren einen ganzheitlichen und transformativen Sicherheitsansatz über die Mobilfunknetze hinweg. Hierbei gilt es Folgendes zu berücksichtigen:

 

• Präventiver Sicherheitsansatz. Applikations-/Layer 7-Transparenz und Kontrolle über alle Ebenen, einschließlich Anwendung, Signalisierung und Daten, an allen Standorten ist erforderlich. Es gilt, die Angriffsfläche zu reduzieren, Anomalien zu finden und nichtkonformen Datenverkehr. Es geht darum, viel besser gerüstet zu sein, um proaktiv mit den Bedrohungen auf den RAN- und Roaming-Schnittstellen umzugehen.
• Erhöhter Grad an Sicherheitsautomatisierung. Sowohl 4G- als auch 5G-Netzwerke werden immer offener, virtualisierter und verteilter. Effektive 5G-Sicherheitsergebnisse erfordern umsetzbare Erkenntnisse im Cloud-Maßstab. Cloud-basierte Bedrohungsabwehr, die auf fortschrittlicher Big-Data-Analytik und maschinellen Lerntechniken basiert, ist entscheidend für eine schnelle Reaktion auf bekannte und unbekannte Bedrohungen in Echtzeit.
• Festlegung von kontextabhängigen Sicherheitsergebnissen. Datengesteuerte Bedrohungsabwehr bietet kontextuelle Sicherheitsergebnisse. Dies erfordert die Nutzung von GTP-Sichtbarkeit und Bedrohungsinformationen sowie die Korrelation der Bedrohung gegen die Angriffsquelle, um infizierte Geräte zu finden und zu isolieren, bevor Botnet-Angriffe potenziell stattfinden können.
• Integration von Sicherheitsfunktionen mit offenen APIs. Eine Single-Pass-Plattform mit offenen APIs bietet operative Einfachheit mit NFV/SDN-Architekturen. Mit der Weiterentwicklung von 4G/5G-Netzwerken werden mehr Funktionen virtualisiert und in Telco-Cloud-Umgebungen eingesetzt. Die Effektivität der Netzwerksicherheit, die mit 4G erreicht wird, muss sich nahtlos mit den Netzwerken entwickeln. Cloud-fähige NFVs, die offene APIs unterstützen und eine konsistente Sicherheit für Software und Hardware bieten, sind erforderlich, um die verteilten Architekturen von 5G zu unterstützen.

 

Fazit

Mit Beginn der Einführung von 5G suchen Unternehmen zunehmend nach Dienstleistern für ein belastbares Netzwerk mit robusten Sicherheitsmechanismen. Ziel ist es, ihre angeschlossenen Kunden zu schützen und sicherzustellen, dass Anwendungen und Dienste, die über ihre Netzwerke laufen, sauber und sicher sind. Prävention wird wichtiger denn je. Die Schaffung von Transparenz auf Anwendungsebene und konsistenter Sicherheit an allen Standorten im Mobilfunknetz ist für die Gewährleistung zukunftsfähiger Sicherheit unerlässlich.

 

Die Festlegung des richtigen Sicherheitsansatzes wird 5G weiter voranbringen. Erforderlich ist:

• Durchgängige Sicherheit über die gesamte 5G-Netzwerkarchitektur – innerhalb des Kernnetzes und verteilt bis zum Edge.
• Ein »sauberes« 5G-Netzwerk, das verhindert, dass Malware auf angeschlossene Geräte übertragen wird und Kunden vor Cyberangriffen schützt.
• Ein 5G-Netzwerk mit Sicherheitsmechanismen, die verhindern, dass nichtautorisierte Command-and-Control-Aktivitäten, auch bekannt als C2, von angeschlossenen Geräten ausgenutzt werden.
• Ein offenes und sicheres 5G-Netzwerk, das es ermöglicht, Netzwerkressourcen sicher Dritten zugänglich zu machen. So können Mobilfunkbetreiber die 5G-Akzeptanz und die Einnahmen aus 5G-Netzwerk-Ressourcen maximieren.
• Ein 5G-Netzwerk mit automatisierten Mechanismen zur Bedrohungssuche, die über wichtige Punkte im Kernnetzwerk und am Netzwerk-Edge verteilt sind und eine schnelle Identifizierung infizierter Hosts sowie eine schnelle Lösung sicherheitsrelevanter Vorfälle ermöglichen.
• Ein 5G-Netzwerk mit Präventionsmechanismen, das verhindert, dass Malware in Netzwerkfunktionen gelangt, sich dann über andere Funktionen ausbreiten und einzelne 5G-Slices infizieren kann.

 

Serviceprovider sind in der Lage, die wirtschaftlichen Vorteile von 5G zu nutzen und hochwertige Mobilfunknetze für eine sichere digitale 5G-Wirtscharft zu ermöglichen. Sie können zu Technologieförderern und vertrauenswürdigen Partnern für ihre Kunden werden, indem sie differenzierte Netzwerke aufbauen, um die Geschäftsmöglichkeiten zu maximieren und Haftungsrisiken zu minimieren.

 

Das komplette Whitepaper zur 5G-Sicherheit von Palo Alto Networks finden Sie auf Englisch unter https://start.paloaltonetworks.com/are-you-5G-ready

 

[1] Exploring IoT Strategies, Ericsson, April 2018, https://www.ericsson.com/en/internet-of-things/trending/exploring-iot-strategies