Sicherheit ist Voraussetzung für den Erfolg von 5G

Umfassende End-to-End-Strategie erforderlich

Heutige Cyberangriffe können bereits die Sicherheit von Mobilfunknetzen umgehen. Es ist daher nicht damit getan, einfach die bestehende Sicherheitstechnologie schneller zu machen. Herkömmliche Ansätze werden nicht skalierbar oder in der Lage sein, erfolgreiche Angriffe in 5G-Netzwerken zu verhindern.

5G bedeutet eine erhebliche Ausweitung von kleinen Zellen, die sich über nicht vertrauenswürdige Netzwerke verbinden, Device-to-Device-Kommunikation und Geräte, die sich mit mehreren Zellen gleichzeitig verbinden. Dies erweitert die Bedrohungslandschaft, indem sich die Anzahl der Einstiegspunkte erhöht.

Angesichts von Milliarden verbundener Geräte und kritischer Unternehmensanwendungen, die auf 5G-Netzwerke angewiesen sind, können Netzbetreiber Angriffe und Sicherheitsvorfälle nicht erst angehen, nachdem sie bereits geschehen sind. Sie müssen stattdessen eine umfassende End-to-End-Sicherheitsstrategie einführen. Diese umfasst die folgenden Elemente:

• Vollständige Sichtbarkeit, Inspektion und Kontrollen, die über alle Schichten des Netzwerks hinweg angewendet werden, einschließlich Anwendungs-, Signalisierungs- und Datenebene.
• Cloud-basierte Bedrohungsanalysen in Kombination mit fortschrittlichen Big-Data- und Machine-Learning-Algorithmen, die über verschiedene Standorte des Mobilfunknetzes hinweg eingesetzt werden können, um schnell auf bekannte und unbekannte Bedrohungen in Echtzeit zu reagieren.
• Sicherheitsfunktionen, die mit offenen APIs integriert sind, um konsistente Sicherheit über Software sowie Hardware hinweg zu bieten und die verteilten 5G-Architekturen zu unterstützen.
• Kontextabhängige Sicherheitsergebnisse mit datengesteuerter Bedrohungsabwehr, um infizierte Geräte zu finden und zu isolieren, bevor Angriffe möglicherweise stattfinden können.

Für die 5G-Sicherheit sind Sichtbarkeit, Prävention und Korrelation von Benutzer- und Gerätebedrohungen in Echtzeit unverzichtbar. Netzbetreiber und Unternehmen können Sicherheitsrichtlinien auf Grundlage des Benutzers und des Geräts anwenden, was den Einblick in den Signalisierungskanal voraussetzt.

Mittels Echtzeitkorrelation von Bedrohungen lässt sich feststellen, welcher Teilnehmer, welcher Server oder welche virtuelle Maschine der Angreifer ins Visier genommen hat oder von wo aus die Bedrohung ausgeht. Diese Erkenntnisse unterstützen und beschleunigen auch die forensische Untersuchung eines Cyberangriffs.

Containerbasierte Sicherheit für 5G

Mit Containerlösungen wie Docker oder Kubernetes lassen sich viele Hürden der klassischen IT wie die Bereitstellung und Skalierung von Ressourcen bewältigen. Eine containerbasierte Anwendung lässt sich in einer Hybrid-Cloud-Umgebung On-Premises betreiben und bei Bedarf in die Public Cloud migrieren. 5G nutzt die Vorzüge dieser zeitgemäßen, flexibel skalierbaren Architekturen zugunsten einer effizienten Ressourcenauslastung.

Cloud-native Architekturen bilden bereits die Basis für einen Großteil der 5G-Infrastruktur. Die Kombination aus Cloud und Container spielt für die 5G-Sicherheit eine entscheidende Rolle. Containerbasierte Next-Generation Firewalls lassen über einen zentralen Cloud-nativen Orchestrator bereitstellen. Ziel ist es, damit den Schutz von Core- und Edge-Clouds in Multi-Cloud-Umgebungen und damit den sicheren Betrieb von 5G-Infrastruktur und -Diensten zu gewährleisten.

Zeitgemäße Containersicherheit läuft nach dem folgenden Schema ab:

• Enge Integration der Sicherheitslösung in die Entwicklerumgebungen und in die Container-Registry: Entwickler können somit Sicherheitslücken oder Schadsoftware in öffentlich verfügbaren Containern oder Templates erkennen und beseitigen.
• Check der Containersicherheit vor dem Produktiveinsatz: Eine sorgfältige Prüfung der Container verhindert, dass unsicher konfigurierte oder anderweitige Mängel aufweisende Container in den Produktionsbetrieb übergehen.
• Permanente Überwachung der Container im Produktiveinsatz: Die Sicherheitslösung überwacht den Datenverkehr auf Anzeichen für die Ausnutzung von Schwachstellen.

Welche Rolle 5G-Network-Slicing für die Sicherheit spielt

Aus Sicht eines Mobilfunkbetreibers ist ein Netzwerk-Slice ein unabhängiges, durchgängiges, logisches Netzwerk, das auf einer gemeinsam genutzten physischen Infrastruktur läuft und eine vereinbarte Servicequalität bereitstellen kann.

5G-Netzwerke in Kombination mit Network Slicing ermöglichen eine auf die spezifischen Geschäftsanforderungen zugeschnittene Konnektivität und Datenverarbeitung. Die anpassbaren Netzwerkfunktionen umfassen Datengeschwindigkeit, Qualität, Latenz, Zuverlässigkeit, Sicherheit und Services.

Diese Fähigkeiten werden immer auf der Grundlage eines Service Level Agreements (SLA) zwischen dem Mobilfunkbetreiber und dem Geschäftskunden bereitgestellt. Ein Netzwerk-Slice kann sich über mehrere Teile des Netzwerks erstrecken (zum Beispiel Zugangsnetzwerk, Kernnetzwerk und Transportnetzwerk) und kann bei mehreren Betreibern eingesetzt werden.

„Mit einer umfassenden End-to-End-Sicherheitsstrategie werden 5G-Netzbetreiber in der Lage sein, ihre Netzelemente und Teilnehmer zu schützen und gleichzeitig differenzierte Netzwerksicherheitsdienste bereitzustellen.“

Sergej Epp, Palo Alto Networks

Ein Netzwerk-Slice umfasst dedizierte und/oder gemeinsam genutzte Ressourcen (beispielsweise Rechenleistung, Speicher und Bandbreite) und ist von anderen Netzwerk-Slices isoliert. Mobilfunknetzbetreiber könnten einen einzigen Netzwerk-Slice-Typ einsetzen, der die Anforderungen mehrerer Branchen erfüllt, und mehrere Netzwerk-Slices unterschiedlichen Typs, die als ein einziges Produkt für Geschäftskunden (ein Business Bundle) verpackt sind, die mehrere, unterschiedliche Anforderungen haben.

Zum Beispiel kann ein autonomes Fahrzeug gleichzeitig ein Slice mit hoher Bandbreite für Infotainment und ein ultrazuverlässiges Slice für Telemetrie und assistiertes Fahren benötigen.

Netzwerksicherheit für 5G-Kunden lässt sich umsetzen, indem der Netzbetreiber Sicherheitsrichtlinienregeln basierend auf dem Netzwerk-Slice/Service-Typ (SST) erstellt. 5G-Netzwerkfunktionen kommunizieren miteinander unter Verwendung des HTTP/2-Protokolls über dienstbasierte Schnittstellen.

Der Verkehr von User Equipment (UE) oder IoT-Geräten wird in GTP-U-Tunneln im 5G-Netzwerk übertragen. Die Firewall ist an den N3- und N11-Schnittstellen positioniert. Sie überwacht den Austausch von Steuer- und Signalisierungsnachrichten an der N11-Schnittstelle, die das HTTP/2 als Protokoll der Anwendungsschicht verwendet. An der N3-Schnittstelle entkapselt die Firewall die GTP-U-Tunnels, die den Benutzerverkehr transportieren. Die Firewall korreliert die Single Network Slice Selection Assistance Information (S-NSSAI) mit dem IP-Verkehr innerhalb der GTP-U-Tunnel in einem 5G-Netzwerk. Daraus ergeben sich adäquate Einsatzmöglichkeiten in einem 5G-Netz.

5G-Sicherheit ist die Voraussetzung, um neue Anwendungsmöglichkeiten voranzutreiben

Mit einer umfassenden End-to-End-Sicherheitsstrategie werden 5G-Netzbetreiber in der Lage sein, ihre Netzelemente und Teilnehmer zu schützen und gleichzeitig differenzierte Netzwerksicherheitsdienste bereitzustellen. Ziel ist es, auf sichere Weise neue Anwendungsmöglichkeiten voranzutreiben, die sich durch 5G zweifelsohne ergeben. Die Schaffung von Transparenz auf der Anwendungsebene und konsistenter Sicherheit im gesamten 5G-Netz ist für die Bereitstellung zeitgemäßer Sicherheit dabei unerlässlich.

Über den Autor:
Sergej Epp ist CSO Zentraleuropa bei Palo Alto Networks. Das Unternehmen ist ein Anbieter von Cybersicherheitslösungen, darunter auch spezielle Angebote für 5G.