5G Security: Besondere Herausforderungen und Lösungsmöglichkeiten

Fortsetzung des Artikels von Teil 2.

Der softScheck 5G Security Testing Process

Der unverzichtbare Einsatz von Firewalls, Verschlüsselung und Antivirenprogramme etc. reicht allerdings bei Leibe nicht aus. Bevor ein 5G-Netz in Betrieb genommen werden kann, werden von softScheck 6 Methoden zur Identifizierung und Behebung von Sicherheitslücken - entsprechend den Phasen des Software-Entwicklungsprozesses – eingesetzt:

Security Testing Prozess Bildquelle: © softScheck

Der 5G Security Testing Process

1. Security Requirements: Diese beschreiben sicherheitsrelevante nicht-funktionale Anforderungen an die Sicherheitsarchitektur.

2. Threat Modeling: Kritische Komponenten werden schon im Entwicklungsprozess identifiziert und von nicht-kritischen isoliert; Komplexität wird minimiert. Threat Modeling dient der Identifizierung und Modellierung von Bedrohungen in der Architektur, um Risiken besser einzuschätzen und Sicherheits- Empfehlungen sowie Sicherheits-Maßnahmen abzuleiten.

3. Static Source Code Analysis analysiert den Quellcode einer Anwendung, um Programmierfehler und Sicherheitslücken zu identifizieren.

4. Fuzzing (Dynamic Analysis): Vom Fuzzer generierte Daten werden an die Eingabeschnittstellen gesendet mit dem Ziel, einen Systemabsturz oder andere Anomalien wie hoher Hauptspeicherverbrauch oder hohe Prozessorauslastung zu erreichen. Ein verursachter Crash o.ä. liefert dann Informationen über die Sicherheitslücke.

5. Penetration Testing: Hierbei kommen Angriffstechniken zum Einsatz, um Sicherheitslücken im Zielsystem zu identifizieren und das Gefährdungspotential besser einschätzen zu können.

6. Identifizierung von Covert Channels und Backdoors: Das BSI fordert in jüngerer Zeit auch die Prüfung auf versteckte Funktionen und Hintertüren. 5G Security Testing Process