Das Bundesamt für Sicherheit in der Informationstechnik hat eine Studie veröffentlicht, die sich mit der Frage, welche Sicherheitsrisiken sich aus der durch die O-RAN Alliance spezifizierten O-RAN-Umsetzung eines 3GPP-RANs ergeben.
Open-RAN auf dem Prüfstand
In einer neu veröffentlichten Studie geht das Bundesamt für Sicherheit in der Informationstechnik auf die Sicherheitsrisiken von Open-RAN ein. Sie hebt die potentiellen Gefahren, die von der durch die O-RAN Alliance spezifizierte O-RAN-Umsetzung eines 3GPP-RANs ausgehen können, hervor. Dies ist in Zeiten, in denen die Sicherheitsthematik der Mobilfunknetze rund um das US-Embargo von Huawei stark diskutiert wird, sehr interessant, zumal die ersten Netzbetreiber bereits Open-RAN in Pilotprojekten einsetzen.
Im Rahmen der Studie erfolgt zunächst eine funktionale Beschreibung eines 3GPP-RANs sowie der O-RAN-Architektur im Allgemeinen. Auf diesen Informationen basierend, wird dann eine umfassenden Risikoanalyse durchgeführt, die die Schwerpunkte Vertraulichkeit, Integrität, Zurechenbarkeit, Verfügbarkeit und Privacy berücksichtigt. Für eine Einschätzung der potentiellen Risiken werden hierbei drei Stakeholder herangezogen. Dies sind im Einzelnen ein Nutzer eines 5G-Netzes, der Betreiber eines 5G-Netzes sowie der Staat für eine gesellschaftliche Perspektive.
Studie sieht Sicherheitsrisiken
Derzeit ist der Open-RAN-Standard noch in der Entwicklung, sodass in den aktuellen Spezifikationen viele Dinge relativ unspezifisch sind und gerade im Bereich Sicherheit noch viel Spielraum bieten. Daher hat die Studie bei der Risikoanalyse sowohl ein „worst-case“-Szenario ohne jegliche Umsetzung der optionalen Sicherheitsmaßnahmen sowie eine „best-case“-Bewertung mit allen (optionalen) Sicherheitsmaßnahmen durchgespielt. Zudem wurden verschiedene Angreifer (ein außenstehender Angreifer, ein 5G-Nutzer, ein Insider, der Cloud-Betreiber sowie der
RAN-Betreiber selbst) betrachtet.
Das Ergebnis der Studie besagt, dass eine Vielzahl der in O-RAN spezifizierten Schnittstellen und Komponenten derzeit mittlere bis hohe Sicherheitsrisiken aufweisen. Das ist allerdings auch wenig verwunderlich, da sich der neue Standard eben noch in der Entwicklung befindet und sich nicht an dem Paradigma von „security/privacy by design/default“ orientiert. Die Studie konnte im Rahmen der Risikoanalyse diverse Verbesserungsmöglichkeiten zur Risikominimierung identifizieren, die in die Spezifikationen aufgenommen werden sollten.
Klicken um den Beitrag zu bewerten!
[Insgesamt: 0 Durchschnitt: 0]
M. Schwarten
freischaffender Redakteur
Technik begeistert mich seit rund 25 Jahren – vor allem dann, wenn sie das Leben leichter statt komplizierter macht. Besonders am Herzen liegen mir Mobile Devices wie Smartphones, Tablets und Smartwatches. In diesem Bereich arbeite ich seit vielen Jahren.
