Sicherheit für 5G-Kernnetze: Herausforderungen und Lösungens
Ich gebe zu, dass mich meine Arbeit im Netzwerk- und Telekommunikationsbereich hier beeinflusst, aber ich bin fest davon überzeugt, dass 5G womöglich von allen Technologien den größten Einfluss auf unser Berufs‑ und Privatleben hat.
Wenn ich überlege, welche Entwicklungen und Innovationen 5G ermöglicht hat, denke ich besonders an Edge Computing, Mobilität, Internet der Dinge (IoT), softwaredefinierte Netzwerke (SDN) und Virtualisierung. 5G-Netzwerke gehören ohne Zweifel zu den kritischsten Infrastrukturen des digitalen Zeitalters.
Deshalb sollten wir akribisch dafür sorgen, dass 5G-Kernnetze, die so viele Elemente unseres Alltags kontrollieren, verwalten und unterstützen, mit robusten, zuverlässigen Sicherheitsmaßnahmen geschützt sind. Klingt das vielleicht etwas übertrieben? Nicht, wenn 5G-Kernnetze einen wesentlichen Beitrag zu blitzschneller Datenübertragung, reibungsloser Konnektivität und extrem niedriger Latenz in Ihrer Organisation leisten – und Anwendungsbereiche unterstützen, die ohne 5G gar nicht existieren würden.
Warum es wichtig ist, 5G-Kernnetze zu schützen
Für diejenigen, die sich vielleicht weniger gut mit Netzwerkarchitektur und -sicherheit auskennen, hier ein kurzer Überblick darüber, was 5G-Kernnetze sind und warum es so wichtig ist, sie zu schützen.
Das 5G-Kernnetz ist die Software-Engine eines 5G-Netzwerks – das Netzwerk, das heute so viele Mobilfunkanbieter nutzen. Dieser Kern umfasst verschiedene kritische Funktionen, die 5G-Netzwerke benötigen, um einwandfrei zu laufen. Dazu zählen NFV- und SDN-Funktionen sowie Funktionen für Automatisierung, Edge Computing, Netzwerksicherheit und IoT-Konnektivität.
Stellen Sie sich vor, ein Hacker dringt in das 5G-Kernnetz ein, infiziert es und deaktiviert all diese Funktionen. Ein solches Schreckensszenario möchte man um jeden Preis vermeiden.
Eine der größten Herausforderungen beim Schutz von 5G-Kernnetzen ist deren cloudnative Architektur, die sich insbesondere durch die vielen, nur lose miteinander verknüpften Komponenten von früheren Architekturen unterscheidet. Dadurch steigt die Komplexität – und ich muss Ihnen nicht erst erklären, dass durch zunehmende Komplexität auch die Angriffsfläche wächst und die Anzahl der Sicherheitslücken steigt.
Wie Sie 5G-Kernnetze schützen
Obwohl 5G-Kernnetze einen erheblichen Fortschritt in der Bereitstellung zuverlässiger, leistungsfähiger und resilienter Konnektivität darstellen, unterscheidet sich der Schutz dieser Kernnetze nicht erheblich vom Schutz von 4G-LTE- oder 5G-Netzwerken – jedenfalls im Prinzip nicht. Sie müssen immer noch Firewalls installieren, das Netzwerk segmentieren und Netzwerkbereiche, die nicht eng miteinander verknüpft sind, voneinander isolieren – um nur einige der nötigen Sicherheitsmaßnahmen zu nennen.
Bei der Planung und Bereitstellung des richtigen Sicherheitsframeworks für 5G-Kernnetze gibt es jedoch auch andere, strategische Überlegungen. Zum Beispiel ist es wichtig, dass Sie einen mehrschichtigen Sicherheitsansatz verfolgen, um die unterschiedlichsten Schwachstellen abzudecken und der heutigen vielfältigen Bedrohungslandschaft gewachsen zu sein. Dabei geht es nicht nur darum, ein technisches Framework zu entwerfen, sondern auch darum, die nötigen Maßnahmen zu implementieren, um Sicherheitslücken zu identifizieren, deren Auswirkungen auf die Organisation zu beschränken und sie in Zukunft ganz zu vermeiden. Außerdem muss das richtige technische Fachpersonal vorhanden sein, sowohl beim Anbieter als auch bei den vielen Organisationen, die das 5G-Kernnetz nutzen.
Der größte Unterschied bei 5G-Kernnetzen ist jedoch die Software. Zum Beispiel ist 4G-Technologie nicht cloudnativ und besteht daher aus eng miteinander verknüpften Komponenten, während Komponenten in 5G-Kernnetzen nur lose gekoppelt sind. Das sorgt für mehr Skalierbarkeit sowie für eine leichtere Verwaltung und Problemdiagnose.
Um 5G-Kernnetze effektiv zu schützen, benötigen Sie also ein detailliertes Verständnis der Unterschiede zwischen den Komponenten der älteren und neuen Technologien. Außerdem sollten Sie Ihre Prozesse zur Erkennung von Sicherheitslücken straffen und Ihre Teams befähigen, Risiken schneller zu identifizieren und ihre Auswirkungen einzudämmen.
Welche Herausforderungen müssen Sie dabei bewältigen?
Das klingt eigentlich wie ein guter Plan, oder? Nun ja, wie der ehemalige Schwergewichts-Champion Mike Tyson einmal erklärte: „Jeder hat einen Plan, bevor er ins Gesicht geschlagen wird.“ Dasselbe lässt sich über einen scheinbar gut durchdachten Sicherheitsplan sagen, der jeder noch so unerwarteten Gefahr oder Attacke standhalten muss.
Was Sie als Erstes bedenken sollten, ist, dass nicht alle Anbieter von 5G-Kernnetzen (und auch nicht alle Implementierungsmodelle) gleich sind. Sie sollten dafür sorgen, dass das Kernnetz auf einer ausgereiften Implementierung einer cloudnativen Infrastruktur aufsetzt und dass es durch ein gut durchdachtes Refactoring der älteren Kerntechnologie entstanden ist. Achten Sie darauf, wie die einzelnen Module innerhalb des Softwarepakets voneinander isoliert sind.
Wichtig ist auch ein zuverlässiges, robustes, multifunktionales Framework für die Erkennung und Behebung von Sicherheitslücken. Diese Lücken effektiv identifizieren, patchen und isolieren zu können, ist oft der entscheidende Faktor.
Hier ein Beispiel aus der Praxis: Stellen Sie sich vor, Sie haben eine Sicherheitslücke identifiziert und müssen sie in einem spezifischen Kernmodul patchen. Als Software noch aus einer monolithischen Infrastruktur bestand, in der Module eng miteinander verknüpft waren, konnte man in den meisten Fällen Lücken in allen Modulen patchen und dann das ganze System testen, um sicherzugehen, dass alle Module noch nahtlos zusammenarbeiteten. Doch in heutigen, lose verknüpften Architekturen wie die der 5G-Kernnetze kann das Patchen einer Sicherheitslücke in einem Modul unerwartete – und oft ungewollte – Auswirkungen auf andere Komponenten haben, auch auf die Sicherheit. Mithilfe sogenannter Regressionstests kann man etwaige negative Nebenwirkungen identifizieren, doch Anbieter müssen noch einige Hürden nehmen, bevor diese Tests im 5G-Bereich erfolgreich eingesetzt werden können. Aus diesem Grund werden 5G-Kernnetze noch nicht überall genutzt.
Die Vorteile von Zero Trust und anderen Schutzmaßnahmen
Manchmal frage ich mich, wie Zero Trust heißen würde, wenn wir die Namenswahl den Marketingteams überlassen hätten. Schließlich klingt „Zero Trust“ (Nullvertrauen) so, nun ja, so negativ und abwertend. Das macht aber nichts. Eigentlich finde ich es richtig, Leuten mit einer solch deutlichen Ansage klarzumachen, was beim Schutz von 5G-Kernnetzen wichtig ist.
Meines Erachtens bietet Zero Trust – oder der Ansatz, bedingungsloses Vertrauen in der IT zu hinterfragen – der 5G-Kernsicherheit viele Vorteile. Unter anderem ist Zero Trust viel mehr als nur eine technische Anleitung. Zero Trust ist fast ein philosophischer Grundsatz, der untermauert, dass wir beim Schutz von 5G-Kernnetzen nichts unversucht lassen werden. Das ist bei 5G besonders wichtig, weil ein Angriff auf diese Netzwerke erheblichen Schaden anrichten kann. In den immer dynamischeren und stärker vernetzten Umgebungen, in denen 5G heute zum Einsatz kommt (zum Beispiel im Lieferkettenmanagement und in der Softwareentwicklung), kann Zero Trust verhindern, dass Sicherheitslücken ausgenutzt werden.
Zero Trust leistet auch in anderen Bereichen der 5G-Kernsicherheit einen wichtigen Beitrag. Dazu zählen BYOD (Bring Your Own Device) und der Übergang zu hybridem und mobilem Arbeiten. Diese Arbeitspraktiken gehören nun zum Geschäftsalltag, sind aber nicht ohne Risiko. Zero Trust schafft hier Abhilfe und wirkt dem Risikofaktor Mensch entgegen. Das ist wichtig, denn Trends wie BYOD und Remotearbeit haben zwar die Produktivität und Zufriedenheit bei den Mitarbeitenden verbessert, Hackern aber auch potenzielle neue Einstiegstore in das 5G-Kernnetz eröffnet.
Bis vor einigen Jahren war das kein Thema, doch heute sind diese Überlegungen nicht mehr aus der Sicherheitsplanung wegzudenken. Beim Schutz von Remotesystemen haben wir unter anderem Tokens eingeführt, um den nicht autorisierten Zugriff auf Ressourcen zu unterbinden. Diese Sicherheitsüberlegungen sollten nicht nur für interne Teams gelten, sondern auch für Zeitarbeitende und Auftragnehmende.
IoT ist ein weiterer Bereich, in dem 5G zum Einsatz kommt und Zero Trust Anwendung findet. Heute müssen sämtliche Elemente der IoT-Wertschöpfungskette analysiert und auf Risiken untersucht werden, bis hin zu den Herstellern der Chipsätze für IoT-Geräte.
Außerdem müssen wir den gesamten IoT-Datenverkehr überwachen und gründlich auf Bedrohungen überprüfen, sodass diese früher erkannt und schneller blockiert werden können. Erschwerend ist nun auch „Bring Your Own IoT Device“ hinzugekommen (dafür ein einfaches Akronym zu finden, wird eine Herausforderung). Einige unserer Kunden verbinden ihre eigenen IoT-Geräte mit unserem 5G-Netzwerk und wir müssen ermitteln, woher sie diese Geräte haben, wie sie sie nutzen und auf welche Netzwerkservices sie zugreifen.
In einigen Fällen müssen wir Kunden die Nutzung unseres Netzwerks für bestimmte ihrer IoT-Geräte untersagen, weil wir diese Geräte nicht hinreichend sichern können. Dadurch schützen wir den Betrieb und unterstützen gleichzeitig die Einhaltung von Complianceanforderungen. Denn Behörden achten besonders genau auf die ordnungsgemäße, sichere Nutzung von IoT-Geräten in Netzwerkumgebungen – insbesondere seit 5G-Technologie in immer mehr Bereichen unserer Gesellschaft zum Einsatz kommt.
Stärkere Sicherheit und souveräne Entscheidungen: nächste Schritte
5G-Kernnetze müssen konsistent, zuverlässig und effizient geschützt werden – und die Strategie dafür muss passen. „Einigermaßen gut geschützt“ ist schlichtweg inakzeptabel. Wie gelingt Ihnen also dieser Schritt?
- Befolgen Sie von Anfang an Best Practices für die Netzwerksicherheit. Setzen Sie auf eine Shift-Left-Strategie und wenden Sie sie konsequent auf Menschen, Prozesse und Technologien an. Wichtig ist auch, sich einen Überblick über etablierte und weitverbreitete Sicherheitsframeworks zu verschaffen und sie anzuwenden, wie zum Beispiel NIST.
- Erwarten Sie stets einen Angriff mit schwerwiegenden, weitreichenden Folgen. Sie sollten mit den nötigen Prozessen, Tools, Schulungen und Incident-Response-Verfahren stets auf den Ernstfall vorbereitet sein. Sie sollten auch schnell handeln können, denn je weniger Zeit bei einem Vorfall zwischen Erkennung und Reaktion vergeht, desto weniger Kunden werden betroffen sein.
- Erarbeiten Sie einen soliden Kommunikationsplan, der alle relevanten Stakeholder – Sicherheitsexperten, IT-Teams, verschiedene Geschäftsabteilungen, die Führungsriege und sogar den Vorstand – miteinbezieht und halten Sie sich daran. Der Plan sollte sowohl regulatorische und rechtliche Vorgaben als auch die Anforderungen der Kunden, Partnerunternehmen und Behörden abdecken und eine schrittweise Anleitung dazu umfassen, welche Maßnahmen zu welchem Zeitpunkt von wem ergriffen werden müssen.
5G hat bereits viele Erwartungen übertroffen und findet in immer mehr Bereichen Anwendung. Wenn wir aber nicht in der Lage sind, 5G-Kernnetze hinreichend zu schützen, riskieren wir womöglich, all diese Vorteile zu verlieren.
Gemeinsam können wir für lückenlose 5G-Kernsicherheit sorgen und den Schutz aller digitalen Assets unserer Kunden und Benutzer gewährleisten.
Mike Irizarry ist Executive Vice President und Chief Technology Officer bei UScellular, einem der größten Full-Service-Mobilfunkanbieter der Vereinigten Staaten.