5G-Sicherheit: Architektur, Risiken und Maßnahmen

5G-Netzwerksicherheit: Risiken und Bedrohungen

Die 5G-Sicherheit umfasst Schutzmaßnahmen und Vorgehensweisen, die darauf ausgelegt sind, die gesamte Architektur von Mobilfunknetzen der fünften Generation zu schützen. Dazu gehören die Infrastruktur, also Kernnetzwerke, Radio Access Networks (RAN) und Edge Computing, verbundene Geräte, der Datenverkehr sowie die darauf laufenden Services. 5G-Netzwerke setzen in hohem Maße auf Virtualisierung, softwarebasierte Komponenten, Netzwerk-Slicing und Cloud-native Funktionen, die zwar Flexibilität und Leistung steigern, aber auch die potenzielle Angriffsfläche vergrößern.

Da 5G zum Rückgrat von Industrie, Infrastruktur und kritischen Lebensbereichen wird, indem es mehr Geräte vernetzt und Anwendungen wie Telemedizin und Smart Grids ermöglicht, steigen auch die Sicherheitsrisiken massiv an. Eine Sicherheitsverletzung kann somit nicht nur einzelne Nutzer, sondern ganze Systeme betreffen. Gleichzeitig schaffen fortschrittliche Funktionen wie Netzwerk-Slicing und verteilte Edge-Knoten neue Sicherheitsherausforderungen, etwa bei der Isolierung von Netzwerk-Slices voneinander, der Absicherung von Lieferketten und der Verwaltung einer großen Anzahl von IoT-Endpunkten.

Hier sind einige der wichtigsten Risiken und Bedrohungen, die es bei der Absicherung eines 5G-Netzwerks zu berücksichtigen gilt:

• Kompromittierung der Lieferkette: Manipulierte oder fehlerhafte Hardware, Firmware und andere Komponenten von Drittanbietern können die Integrität des Netzwerks gefährden.
• Risiken durch Legacy-Infrastruktur und Abwärtskompatibilität: Die Abhängigkeit von älteren Systemen, zum Beispiel 4G LTE, als Fallback kann bekannte Schwachstellen wieder in die 5G-Umgebung zurückbringen.
• Erweiterte Angriffsfläche durch die Konnektivität von IoT-Geräten: Müssen viele vernetzte Geräte unterstützt werden, von denen viele über unzureichende Sicherheitsvorkehrungen verfügen, können Einfallstore für Malware, Botnets und andere Bedrohungen entstehen.
• Risiken durch Virtualisierung sowie Cloud-native und softwarebasierte Infrastruktur: Durch den Einsatz von Software-defined Networking (SDN), virtualisierten Netzwerkfunktionen, Edge Computing und APIs bei 5G steigt die Wahrscheinlichkeit, dass Fehlkonfigurationen, unsichere Container und gemeinsam genutzte Ressourcen eine Bedrohung darstellen.
• Sicherheitslücken bei Netzwerk-Slicing und Multi-Tenant-Isolierung: Virtuelle Netzwerkabschnitte, sogenannte Slices, sind unter Umständen nicht vollständig voneinander isoliert. Wird also ein Slice kompromittiert, kann dies auch auf andere übergreifen.
• Denial-of-Service- und Signaling-Storm-Angriffe: Da über 5G-Netzwerke enorme Mengen an Geräte-Traffic und Steuersignalen fließen, können gezielte DoS-Angriffe das System mit einer Flut von Signalisierungsdaten und anderem Traffic überlasten und so die Verfügbarkeit kritischer Services massiv stören.
• Abhören, Traffic-Analyse und Rogue Base Stations: Angreifer könnten Daten abfangen oder manipulieren, Nutzer tracken oder vorgetäuschte Basisstationen nutzen, um die Privatsphäre oder Integrität zu beeinträchtigen.
• Unzureichendes Monitoring und mangelnde Sichtbarkeit in verteilten Edge-Umgebungen: Mit der steigenden Zahl an Edge-Knoten, Geräten und verteilter Infrastruktur wird es immer schwieriger, Bedrohungen zu erkennen und einheitliche Sicherheitsstandards durchzusetzen.

5G-Sicherheitsarchitektur

Beim 5G-Kernnetzwerk, das die Koordination zwischen verschiedenen Teilen des RAN und die Konnektivität zum Internet übernimmt, handelt es sich um eine servicebasierte Architektur (Service-based Architecture, SBA). Diese basiert auf Cloud-Technologien und stellt Authentifizierung, Sicherheitsfunktionen und Session-Management sowie weitere Dienste bereit.

Die SBA entkoppelt Netzwerkfunktionen in modulare Services und stützt sich stark auf Network Functions Virtualization (NFV). Hierbei werden Netzwerkdienste virtualisiert, die klassischerweise auf proprietärer Hardware liefen. Die Bereitstellung erfolgt über Multi-Access Edge Computing, eine Netzwerkarchitektur, die Cloud-Computing-Ressourcen und Speicherfunktionen an den Rand des Netzwerks verlagert und sie somit näher zu dessen Nutzern bringt.

Trotz dieser Veränderungen gibt es nach wie vor eine klare modulare Trennung zwischen dem RAN, das für die drahtlose Konnektivität zuständig ist, und den Sicherheitsprotokollen des 5G-Kernnetzwerks.

Da 5G jedoch mittlerweile stark von virtualisierten Netzwerkfunktionen, Cloud-nativer Infrastruktur, Multi-Vendor-Umgebungen und Edge-Bereitstellungen abhängt, kann es sich nicht allein auf hardwarezentrierte Legacy-Sicherheitsansätze verlassen. Infolgedessen unterstützen und erfordern 5G-Netzwerke ein breiteres Spektrum an Sicherheitsprotokollen, -techniken und -funktionen, um der enorm erweiterten Angriffsfläche, der wachsenden Anzahl von Geräten und Anwendungsfällen sowie der Komplexität moderner Bereitstellungen gerecht zu werden.

5G-Sicherheitsfunktionen

Das sind die wichtigsten 5G-Sicherheitsmerkmale im Überblick:

Verschlüsselung

Stärkere 256-Bit-Verschlüsselungsalgorithmen und die Trennung der Sicherheitsschlüssel vom Kernnetzwerk sorgen für einen besseren Datenschutz. Das Ziel besteht darin, die Kommunikation ausreichend widerstandsfähig gegen Angriffe durch Quantencomputer zu machen.

Datenschutz

Sämtliche Daten, die über 5G-Netzwerke übertragen werden, unterliegen dem Vertraulichkeits- und Integritätsschutz. Bedrohungen durch IMSI-Catcher (International Mobile Subscriber Identity) und TMSI-Catcher (Temporary Mobile Subscriber Identity) gehören damit der Vergangenheit an. Diese nutzen in 2G-, 3G- und 4G-Netzen die Schwachstelle aus, dass permanente oder temporäre Nutzerkennungen beim ersten Verbindungsaufbau im Klartext gesendet werden. Bei 5G ist dies nicht mehr möglich.

Die 5G-Sicherheitsspezifikationen erlauben keine Klartextübertragungen der Subscription Permanent Identifier (SUPI). Anstatt seine wahre Identität anzugeben, übermittelt ein 5G-Gerät eine datenschutzkonforme Kennung, die den verdeckten SUPI enthält. Diese  Subscriber Concealed Identity (SUCI) stellt sicher, dass Identität und Standort eines Nutzers oder Geräts verschlüsselt sind. Dadurch lassen sie sich ab dem Moment der Einbuchung ins Netzwerk weder identifizieren noch lokalisieren.

Zudem verfügt 5G über eine Integritätsprüfung auf der Netzwerk-Control-Plane und ergänzt diese durch einen zusätzlichen Check auf der User Plane, die den Benutzer-Traffic zwischen Gerät und RAN überträgt. Dies garantiert, dass Nachrichten zwischen einem Gerät und der Anwendung auf der User Plane über die Funkschnittstelle nicht abgefangen oder manipuliert werden können.

Authentifizierung und Autorisierung

5G verwendet ein Authentifizierungsprotokoll namens 5G Authentication and Key Agreement, um die Identität von Nutzern, Geräten und Netzwerkelementen mittels asymmetrischer, randomisierter Verschlüsselung zu verifizieren. Dabei sendet die Access and Mobility Management Function eine Authentifizierungsanfrage an die Authentication Server Function. Diese leitet Authentifizierungsanfragen an das Unified Data Management weiter, das dann je nach Teilnehmerprofil über die passende Authentifizierungsmethode entscheidet. Unterstützt werden Pre-Shared Keys, Zertifikate und Token. 4G hingegen erfordert zwingend eine physische SIM-Karte, was für einfache IoT-Geräte, die auf eine eSIM angewiesen sind, unpraktisch ist.

Roaming-Sicherheit

Alle Kommunikationsverbindungen zwischen Kernnetzwerkknoten nutzen die gleichen Protokolle und werden durch einheitliche Sicherheitsvorgaben geschützt. Dies reduziert die Anzahl der Sicherheitsprozesse. Gleichzeitig implementiert der Security Edge Protection Proxy (SEPP) einen Ende-zu-Ende-Sicherheitsschutz für den ein- und ausgehenden Netzwerk-Traffic. Damit ersetzt der SEPP die in 3G- und 4G-Netzen verwendeten Signalisierungssysteme Signaling System 7 und Diameter.

Zuverlässigkeit

Netzwerk-Slicing, das der klassischen Netzwerksegmentierung ähnelt, ermöglicht es, dass verschiedene Segmente über individuelle Sicherheitsvorgaben für spezifische Anwendungsfälle verfügen. Außerdem kann bei einem sicherheitsrelevanten Vorfall der Datenverkehr schnell blockiert oder unter Quarantäne gestellt werden, sofern er sich in einem separaten Netzwerk-Slice befindet.

Sicherheitsvorteile von 5G

5G schließt kritische Sicherheitslücken des 4G-Standards, indem es auf häufigere Authentifizierungs- und Integritätsprüfungen setzt. Die Kombination aus High-Speed-Datenübertragung, starker Verschlüsselung und konsequenter Authentifizierung macht Szenarien wie intelligente Automatisierung, besseres Monitoring kritischer Infrastrukturen und Smart Cities zu realistischen Möglichkeiten.

Der 5G-Standard vereint die Expertise und das Know-how führender Fachleute weltweit und stellt die Sicherheit in den Mittelpunkt. Da Sicherheitsmaßnahmen bereits in der Designphase integriert wurden (Security by Design), dürften 5G-Netzwerke heute und in Zukunft deutlich resilienter gegenüber Angriffen sein.

5G-Sicherheit: Probleme bei der Implementierung

Diese Vorteile haben ihren Preis, da die Einführung von 5G kostspielig ist. Beispielsweise sind mehr Sendestationen erforderlich, um das gleiche Gebiet wie ein 4G-Netz abzudecken. Zudem treiben Best Practices im Sicherheitsbereich die Kosten zusätzlich in die Höhe. 5G erfordert ein konsequentes Handeln durch Regulierungsbehörden wie der Federal Communications Commission in den USA oder der Bundesnetzagentur in Deutschland, um gegen Provider vorzugehen, die zur Kostensenkung auf vorgeschriebene Sicherheitsfunktionen verzichten – eine Praxis, die die Sicherheit in vielen Vorgängernetzen geschwächt hat.

Die Einführung von 5G hängt von einer globalen Lieferkette ab, was Hackern zahlreiche Möglichkeiten eröffnet, Hardware, Software und Services zu kompromittieren. In der Praxis wird es noch einige Jahre dauern, bis es 5G-Netzwerke ohne Legacy-Technologien gibt. Bis dahin muss 5G mit 3G und 4G interoperabel bleiben. Infolgedessen stellen Downgrade-Angriffe, bei denen Hacker eine Verbindung so manipulieren, dass ein weniger sicherer 3G- oder 4G-Service genutzt wird, weiterhin eine Bedrohung dar.

Darüber hinaus herrscht ein Mangel an Sicherheitsexperten, die über fundiertes Fachwissen im Bereich der 5G-Sicherheit verfügen. Selbstverständlich müssen die Netzwerkausrüster die von den einschlägigen Standards geforderten Sicherheitsmaßnahmen korrekt umsetzen. Ein größeres Risiko besteht jedoch darin, dass Mobilfunknetzbetreiber, also diejenigen, die 5G in der Praxis einführen, durch eine fehlerhafte Konfiguration ihrer Systeme neue oder unvorhergesehene Schwachstellen verursachen können.

Die 5G-Infrastruktur ist weitaus komplexer als die von 4G: Millionen zusätzlicher vernetzter Geräte, mehr Routing-Knoten und eine größere Anzahl an Zugangspunkten vergrößern die Angriffsfläche massiv. Monitoring und Wartung müssen modernisiert werden, um eine Bedrohungserkennung in Echtzeit zu gewährleisten. Andernfalls könnte ein einziges kompromittiertes Gerät potenziell Tausende miteinander vernetzte Systeme gefährden.

5G schafft Raum für innovative Dienste und Branchen. Dies könnte jedoch auch das Interesse neuer Akteure im Bereich der Cyberkriminalität wecken und das Spektrum der Angriffsvektoren erweitern. Das stellen die Resilienz der 5G-Netze sowie die Wirksamkeit der Sicherheitsmechanismen, die für die Sicherheit der 5G-Kommunikation sorgen, auf die Probe. Viele dieser Risiken und Bedrohungen sind heute noch nicht vollständig absehbar. Daher müssen das 3rd Generation Partnership Project (3GPP) und andere Organisationen, die an der Festlegung von Sicherheitsstandards für mobile Technologien beteiligt sind, sicherstellen, dass die Anforderungen kontinuierlich an die sich wandelnde Bedrohungslage und künftige Risikobewertungen angepasst und umgesetzt werden.

Ansätze zur Absicherung von 5G-Netzwerken

Um 5G-Umgebungen zu schützen, setzen Service-Provider und Unternehmen zunehmend auf eine Zero-Trust- und identitätszentrierte Architektur. Dabei wird anstelle eines impliziten Vertrauens in Geräte oder Netzwerksegmente jede Zugriffsanfrage – sei es von einem Gerät, einem Benutzer oder einer Netzwerkfunktion – kontinuierlich anhand von Identität, Kontext und Risiko verifiziert. Dieser Ansatz wird oft mit einer Mikrosegmentierung von Netzwerkdomänen kombiniert – zum Beispiel durch die Isolierung von IoT-Endpunkten, Edge-Knoten und Core-Services –, um den Schaden im Falle einer Sicherheitskompromittierung zu begrenzen. Ein robustes Identitätsmanagement, das die gegenseitige Authentifizierung zwischen Benutzergeräten und Netzwerk sowie den zertifikats- oder Token-basierten Zugriff umfasst, bildet eine tragende Säule dieses Konzepts.

Gleichzeitig bedeutet der Schutz der tieferliegenden 5G-Infrastruktur, der gestiegenen Komplexität gerecht zu werden, die durch Virtualisierung, cloudnative Komponenten, Edge Computing und globale Lieferketten entstanden ist. Zu den wichtigsten Maßnahmen gehören eine Ende-zu-Ende-Verschlüsselung sowohl auf der User Plane als auch auf der Control Plane, die Absicherung softwarebasierter und virtualisierter Komponenten durch den Einsatz gehärteter Hardwaresicherheitsmodule, die kryptografische Steuerung des Schlüssellebenszyklus sowie Trusted Platform Modules. Außerdem werden strenge Evaluierungsprogramme für Netzwerkausrüster und Komponenten implementiert, um Risiken in der Lieferkette zu minimieren. Um anomales Verhalten über verteilte Netzwerk-Slices oder Edge-Knoten hinweg in Echtzeit zu erkennen, werden zunehmend Monitoring- und Threat-Detection-Funktionen auf Basis von Machine Learning (ML) und anderen Formen der KI integriert.

5G-Sicherheit: Due Diligence

Eine effektive Due Diligence beginnt mit einer gründlichen Überprüfung der Netzwerkausrüster und der Lieferkette. Netzbetreiber müssen ihre Zulieferer genau verifizieren und die Vertrauenswürdigkeit von Hardware- und Softwarekomponenten bewerten. Dabei muss darauf geachtet werden, dass dokumentierte Prozesse für eine sichere Fertigung, das Patch-Management, Updates und die Benachrichtigung bei Sicherheitsvorfällen vorliegen. Dazu gehört die Erfassung von Unternehmenshintergründen, Finanzinformationen und der Sicherheitsstrategie des Netzwerkausrüsters – und zwar nicht nur beim Onboarding, sondern als kontinuierlicher Prozess.

Als Nächstes folgt eine umfassende Überprüfung der Netzwerkarchitektur, des Identity and Access Managements und des Monitorings. Im Rahmen der Due Diligence müssen alle Endpunkte und Segmente – darunter Edge-Knoten, Slices, RAN und Core – präzise identifiziert werden. Außerdem ist zu prüfen, ob alle Prinzipien der Mikrosegmentierung beziehungsweise des Zero Trust konsequent umgesetzt wurden. Darüber hinaus gilt es, die wechselseitige Authentifizierung und ein starkes Schlüsselmanagement zu verifizieren sowie eine flächendeckende Verschlüsselung auf der Control- und User-Plane sicherzustellen. Ebenso entscheidend ist die Möglichkeit, Anomalien zu erkennen, Ereignisse zu protokollieren und auf Vorfälle zu reagieren.

Darüber hinaus müssen Telkos auch Compliance, Betriebsbereitschaft und ein durchgehendes Sicherheitsniveau gewährleisten. Sie müssen darauf achten, dass relevante Standards eingehalten, Audit Trails revisionssicher aufgezeichnet und regelmäßige Risikobewertungen für externe Zugriffe sowie Infrastrukturänderungen durchgeführt werden. Zudem ist es unerlässlich, den Überblick über die Sicherheit virtualisierter oder Cloud-nativer Funktionen zu behalten. Es reicht nicht aus, das System einmalig sicher aufzubauen: Die verteilte, softwarebasierte Natur von 5G erfordert permanente Due Diligence.

Trends bei der 5G-Netzwerksicherheit

Wie die meisten technologischen Entwicklungen unterliegt auch die 5G-Sicherheit einem ständigen Wandel. Mit der Evolution des Sektors rücken folgende Trends bei der 5G-Netzwerksicherheit in den Fokus, die Sie im Blick behalten sollten:

• Verstärkte Implementierung von Zero-Trust- und identitätsorientierten Modellen. Da 5G-Architekturen zunehmend dezentraler und virtualisierter werden, reicht der klassische Perimeter-Defense-Ansatz nicht mehr aus. Immer mehr Unternehmen stellen auf Zero-Trust-Frameworks um, die Geräte, Benutzer und Services kontinuierlich überprüfen, anstatt Netzwerksegmenten implizit zu vertrauen. Dieser Ansatz unterstützt zudem die Mikrosegmentierung und eine granulare Zugriffskontrolle in 5G-fähigen Umgebungen.
• Verstärkter Einsatz von KI, Machine Learning und Edge Analytics zur Erkennung und Abwehr von Bedrohungen. Da 5G-Netzwerke massive Konnektivität und Edge-Computing-Implementierungen ermöglichen, wächst der Bedarf an Echtzeit-Monitoring und automatisierten Reaktionen. KI- und ML-Tools werden fest in den Netzwerkbetrieb integriert, um anomale Muster zu identifizieren, schneller auf Bedrohungen zu reagieren und sich an neue Angriffsmethoden anzupassen – insbesondere an Angriffe auf IoT-Endpunkte oder Netzwerk-Slices.
• Vorbereitung auf zukünftige Bedrohungen: quantensichere Kryptografie und Maßnahmen zur Stärkung der Lieferkettenresilienz. Mit der steigenden Anzahl von 5G-Geräten und virtualisierten Netzwerkfunktionen wächst auch die Angriffsfläche. Zwei Strategien werden hier im Vordergrund stehen: erstens die Einführung oder Pilotierung von Post-Quanten-Kryptografie zum Schutz vor zukünftigen quantenbasierten Angriffen. Zweitens eine stärkere Fokussierung auf die Absicherung der Lieferkette für Hardware und Software, da kompromittierte Komponenten in einem 5G-Netzwerk die Sicherheit des gesamten Systems aushebeln können.

This article was originally published by SearchNetworking.