Cybersicherheit von 5G-Netzen: EU veröffentlicht Bericht zur Sicherheit von Open RAN

Am 11. Mai 2022 haben die EU-Mitgliedstaaten mit Unterstützung der Europäischen Kommission und ENISA, der EU-Agentur für Cybersicherheit, einen Bericht über die Cybersicherheit von Open RAN vorgestellt. Der Aufbau sicherer 5G-Netze hat für die Europäische Union hohe Priorität. Um zu diesem Ziel beizutragen, haben die EU-Mitgliedstaaten mit Unterstützung der Europäischen Kommission und der ENISA einen konzertierten Ansatz für die Cybersicherheit von 5G-Netzen entwickelt, welcher in der im Januar 2020 angenommenen EU-5G-Toolbox beschrieben ist.

Open RAN bezeichnet eine neue 5G-Netzwerkarchitektur, die in den kommenden Jahren eine alternative Möglichkeit bieten soll, den Funkzugangsteil von 5G-Netzwerken basierend auf offenen Schnittstellen bereitzustellen und somit einen weiteren Baustein in der koordinierten Arbeit auf EU-Ebene zur Cybersicherheit von 5G-Netzen setzen wird. Durch größere Interoperabilität zwischen RAN-Komponenten verschiedener Anbieter kann Open RAN eine größere Diversifizierung von Anbietern innerhalb von Netzwerken im selben geografischen Gebiet ermöglichen. Die Open RAN-Technologie könnte auf diese Weise einen signifikanten Beitrag leisten, die Empfehlung der EU-5G-Toolbox zu erfüllen, dass jeder Betreiber über eine angemessene Multi-Vendor-Strategie verfügen sollte, um eine größere Abhängigkeit von einem einzelnen Anbieter zu vermeiden oder zu begrenzen. Open RAN könnte ebenso die Sichtbarkeit des Netzwerks dank der Verwendung offener Schnittstellen und Standards erhöhen, menschliche Fehler durch stärkere Automatisierung reduzieren und die Flexibilität durch den Einsatz von Virtualisierung und cloudbasierten Lösungen erhöhen.

Der nun veröffentlichte Bericht stellte jedoch fest, dass heutige Open RAN-Systeme unter bestimmten Bedingungen noch potenzielle Sicherheitslücken aufweisen könnten. Insbesondere kurzfristig würde Open RAN durch die zunehmende Komplexität von Netzwerken eine Reihe von Sicherheitsrisiken verschärfen. Zu diesen Risiken gehören eine größere Angriffsfläche und mehr Einstiegspunkte für böswillige Akteure, ein erhöhtes Risiko einer Fehlkonfiguration von Netzwerken und potenzielle Auswirkungen auf andere Netzwerkfunktionen aufgrund der gemeinsamen Nutzung von Ressourcen. Der Bericht stellte auch fest, dass technische Spezifikationen, wie sie von der O-RAN Alliance entwickelt wurden, nicht ausreichend ausgereift sind. Open RAN könnte somit zu neuen oder verstärkten kritischen Abhängigkeiten führen, beispielsweise im Bereich Komponenten und Cloud.

Um diese Risiken zu mindern und potenzielle Chancen von Open RAN zu nutzen, empfiehlt der Bericht eine Reihe von Maßnahmen auf der Grundlage der EU-5G-Toolbox, insbesondere:

  • die Verstärkung wichtiger technischer Kontrollen wie Authentifizierung und Autorisierung und Anpassung des Überwachungsdesigns an eine modulare Umgebung, in der jede Komponente überwacht wird;
  • die individuelle Bewertung des Risikoprofils von Open RAN-Anbietern, externen Dienstleistern im Zusammenhang mit Open RAN, Cloud-Service-/Infrastrukturanbietern und Systemintegratoren;
  • die zügige Behebung von Mängeln bei der Entwicklung technischer Spezifikationen sowie
  • die frühzeitige Aufnahme von Open RAN-Komponenten in das zukünftige 5G-Zertifizierungssystem für Cybersicherheit

In der Gesamtschau empfiehlt der Bericht somit eine vorsichtige Herangehensweise und Überführung bestehender Mobilfunkinfrastrukturen in die Open RAN-Architektur, um auf diese Weise potentielle Sicherheitsrisiken im Ausbau von 5G-Netzwerken zu minimieren.