5G Security: Besondere Herausforderungen und Lösungsmöglichkeiten

Das 5G-Netz bietet eine explosionsartig gesteigerte Angriffsfläche. Die EU-Staaten erarbeiten eine Risikobewertung und können Firmen sogar vom 5G-Markt ausschließen. Security Testing Prozesse zur Härtung von 5G Protokollen und Produkten stehen allerdings heute schon bereit.

Goldenes 5G über Deutschlandkarte Bildquelle: © AlexLMX - Shutterstock

Damit sich der erhoffte Geschäftserfolg bei 5G einstellt, muss die Integrität des Netzes über jeden Zweifel erhaben sein.

Nie war Mobilfunk so politisch wie heute. Hochpolitisch sind die geforderten Sicherheitsmaßnahmen wie z.B. die End-to-End-Verschlüsselung. Aus Unternehmenssicht ist nicht-abhörbare (vertrauliche) und (insbesondere im IoTBereich) nicht-manipulierbare (nachweisbar integre) Kommunikation unverzichtbar. Dies kollidiert allerdings mit dem Wunsch der Sicherheitsbehörden, jegliche Kommunikation abzuhören und auch nachzuhören.

Die EU schätzt die mit 5G-Technik erwirtschafteten Umsätze für 2025 auf ca. 225 Mrd. EUR und einen Jahresgewinn für die Schlüsselbranchen Automobilsektor, Gesundheitswesen, Verkehr und Energie von 114 Mrd. EUR.

Zu Recht formuliert die 2017 vom Bundesministerium für Verkehr und digitale Infrastruktur herausgegebene Broschüre ‚5G-Strategie für Deutschland‘: „Um die neue 5G-Infrastruktur angemessen zu schützen, dürfen im Design Sicherheitsfunktionen zur Absicherung der Vertraulichkeit, Integrität und Verfügbarkeit nicht fehlen.“ Und sie verweist auf Verschlüsselung als Sicherheitsmaßnahme. Auf Software-Sicherheit wird genauso wenig eingegangen wie auf Sicherheitslücken, Covert Channels und Backdoors.

5G im Unterschied zu 2G (GSM/EDGE), 3G (UMTS) und 4G (LTE)

5G steht für das Mobilfunknetz der 5. Generation. Dieser Standard ist gekennzeichnet durch die Millimeterwellen- Technologie - im Gegensatz zur bisherigen Technologie im Zentimeterbereich. Mit höherer Frequenz nimmt die Reichweite grundsätzlich ab und die Störanfälligkeit zu: Bereits eine Teetasse stellt bei einer Wellenlänge von wenigen Millimetern ein Hindernis dar. Außerdem soll 5G als Echtzeitanwendung implementiert werden und dazu eine Latenz (Antwortzeit) von unter einer Millisekunde erreichen (bei 4G zwischen 30 und 50 Millisekunden) – diese Antwortzeit wird relevant bei mobilen Anwendungen wie dem autonomen Fahren und der Eisenbahn. Geplant sind Frequenzen ab 30 Gigahertz, wobei die Frequenzen von 100 bis 300 GHz für eine Hochgeschwindigkeits- Kommunikation in Betracht kommen.

Prognostiziert werden bis 2025 mehr als 1.9 Milliarden Teilnehmer und Endgeräte in 5G-Netzen – also ca. 20 Prozent aller Mobilfunkteilnehmer. Gartner geht davon aus, dass zwei Drittel aller Unternehmen bis dahin die Bereitstellung von 5G planen – insbesondere für IoT-Anwendungen; relevante Branchen sind Versorger mit Smart Metering, das Transportwesen mit Tracking-Sensoren, autonome Fahrzeuge und insbesondere das Gesundheitswesen mit Wearables und implantierten medizinischen Geräten. Dabei wird dieselbe Software auf Millionen Geräte, Fahrzeuge etc. aufgespielt, so dass schließlich alle Geräte, Fahrzeuge dieselbe Sicherheitslücke aufweisen. Eine einzige Sicherheitslücke bedroht also alle Geräte; sie gefährdet die funktionale Sicherheit des gesamten 5G-Mobilfunksystems.

Es geht dabei nicht nur um die Vermeidung des Abhörens von Kommunikation (Spionage), sondern gleichermaßen um die Vermeidung von Datenmanipulation! Daher ist es zwingend erforderlich, die gesamte Implementierung inklusive der Protokolle auf Sicherheitslücken zu prüfen. Ideal wäre eine (technikneutrale, überprüfbare) europäische Entwicklung dieser Komponenten.

Wird eine Sicherheitslücke identifiziert, sollte sie zeitnah gepatcht werden; dies setzt voraus, dass der Hersteller über die Sicherheitslücke informiert wird und er sie auch behebt. Bis heute gibt es dazu keine staatliche Regelung. Vielmehr kann jedermann völlig straffrei Sicherheitslücken suchen, geheim halten und verkaufen.