:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitsanforderungen bei 5G Bitkom fordert Rechtssicherheit für 5G-Netzausrüster
Der digitale Branchenverband Bitkom involviert sich stark in den Ausbau der 5G-Netzstrukturen in Deutschland. Im Rahmen der Aktualisierungen der Richtlinien und Sicherheitsanforderungen, die von der Bundesnetzagentur an Netzbetreiber gestellt werden, hat der Bitkom nun gefordert, dass eine eindeutige Rechtsgrundlage für jegliche Sicherheitsaspekte vorgelegt wird.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Der 5G-Ausbau in Deutschland ist ein langwieriger Prozess, der im Rahmen der Diskussionen um die Sicherheit große Schwierigkeiten für alle Beteiligten mitgebracht hat. Da für die Zukunft von 5G eine umfassende, flächendeckende Verwendung in allen privaten und wirtschaftlichen Sektoren angedacht ist, sind die Themen von Datenschutz und Datensicherheit von allergrößter Wichtigkeit.
Für die Regulierung derartiger Netzinfrastrukturen in Deutschland ist die Bundesnetzagentur verantwortlich. Die Behörde ist daher seit Beginn der Debatte um den 5G-Ausbau die Stelle, von der jegliche Möglichkeiten und Richtlinien abhängen, die Netzbetreiber betreffen.
Vor dem Hintergrund der Sicherheitsbedenken rund um 5G, wie etwa dem Huawei-Debakel, ist die Netzagentur zu besonderer Vorsicht angehalten. Die Anforderungen stehen im Dienst des Schutzes gegen Störungen, der Beherrschung von Risiken für die Sicherheit und insbesondere der Verhinderung von unerlaubten Zugriffen von außen.
Im Oktober 2019 hat die Bundesnetzagentur einen Entwurf der Neufassung des Kataloges von Sicherheitsanforderungen veröffentlicht. Das vollständige Dokument ist hier einzusehen. Die drei hauptsächlichen Aspekte der Aktualisierungen sind der Schutz des Fernmeldegeheimnisses, der Schutz personenbezogener Daten und die Sicherstellung der Verfügbarkeit von Netzen und Diensten.
Daraufhin konnten Branchenteilnehmer – also alle Player, die am Ausbau beteiligt oder davon betroffen sind – ihre Stellungnahme bis zum 22. November einreichen. Dies nahm der Bitkom, der äußerst bemüht um die Sicherheit zukünftiger Telekommunikationsnetze ist, zum Anlass, Probleme mit der aktuellen Fassung darzulegen, die im weiteren Verlauf zu Schwierigkeiten führen könnten.
:quality(80)/images.vogel.de/vogelonline/bdb/1655400/1655422/original.jpg "Entscheidend für die Vorbereitung auf 5G ist eine allgemeine Cybersicherheitsstrategie der Unternehmen, besonders im Hinblick auf die Übertragung von Daten. (Tom Wang - stock.adobe.com)")
Neuer Standard – neue Probleme
Sicherheitsrisiken von 5G-Netzwerken
Rechtsgrundlage für 5G-Ausstatter gefordert
Das Whitepaper sieht vor, dass Netzbetreiber und Netzausrüster den Sicherheitsanforderungen alle gleichermaßen verbindlich nachkommen müssen. Dieser Aspekt wurde vom Bitkom positiv angenommen, da nur mit einheitlichen Kriterien ein schneller Ausbau möglich wäre.
Doch eine weitere Pflicht, die den ausbauenden (also privatwirtschaftlichen) Instanzen zukommt, ist laut des Verbandes ein Stein des Anstoßes. Jeder Netzbetreiber ist dazu verpflichtet, Hersteller und Lieferanten von Einzelkomponenten der Infrastruktur auf ihre Vertrauenswürdigkeit zu bewerten und technische Überprüfungen bezüglich der Sicherheit der Geräte anzustellen.
In Punkt 3 zur Vertrauenswürdigkeit von Herstellern und Lieferanten schreibt die Bundesnetzagentur:
„Betreiber öffentlicher Telekommunikationsnetze und Erbringer öffentlich zugänglicher Telekommunikationsdienste mit erhöhter Kritikalität sind vor diesem Hintergrund gehalten, insbesondere Hersteller und Verkäufer bzw. Lieferanten von kritischen Komponenten vor Bezug angemessen auszuwählen. Bestandteil einer angemessenen Auswahl ist auch eine geeignete Untersuchung der Vertrauenswürdigkeit der Bezugsquelle. Das verpflichtete Unternehmen hat zum Nachweis der Vertrauenswürdigkeit der Bezugsquelle von dieser eine umfassende Erklärung einzuholen.“ (Katalog von Sicherheitsanforderungen 2.0, Seite 54)
Somit läge die gesamte Kompetenz bezüglich der Evaluierung der Vertrauenswürdigkeit potentieller Vertragspartner in der Hand der agierenden Unternehmen.
Der Bitkom fordert, dass diese Aufgabe nicht den einzelnen Ausrüstern zukommen dürfte, sondern direkt durch staatliche, konkrete Regularien bestimmt wird. Somit wären die Marktteilnehmer nicht in der Rolle, eigene Entscheidungen aufgrund nicht vollständig klarer Richtlinien treffen zu müssen.
Stattdessen hätten sie gesetzliche Entscheidungsgrundlagen, die in diesen Fällen die Basis für die Verantwortung übernimmt. Sowohl technische Überprüfung einzelner Komponenten und Infrastrukturelemente, als auch eine objektive Bewertung der Vertrauenswürdigkeit einzelner Hersteller solle somit Sache der Regierung werden.
Da der Ausbau des Netzes eine teure und aufwendige Angelegenheit ist, dürften die Akteure keinerlei Risiko tragen, das durch unklare Regeln entsteht. Da die Sicherheit öffentlicher Mobilfunknetze ein Thema der Politik ist, müsse sie dieses auch selbst übernehmen, anstatt es auf die Industrie auszulagern.
:quality(80)/images.vogel.de/vogelonline/bdb/1577600/1577633/original.jpg "Eine Warnung von Palo Alto Networks: Ohne geeignete Sicherheitsmaßnahmen könne 5G zur Gefahr werden. (© – peshkov – stock.adobe.com)")
Elemente für 5G-Cybersicherheit
5G: Sicherheitsverantwortliche müssen handeln
Umsetzung noch unklar
Die Forderungen des Bitkom in diesem Rahmen klingen logisch und nachvollziehbar, sowohl auf politischer als auch wirtschaftlicher Ebene. Doch ob die Bundesnetzagentur auch auf diese reagieren wird – und wenn ja, in welchem Umfang – bleibt noch abzusehen.
Die letzten Stimmen aus der Regierung klangen nämlich eher gegensätzlich – so, dass sämtliche Bestrebungen bezüglich der Höchstbewertung der Sicherheit sogar kompromittiert werden könnten. Das geht aus den Aussagen der deutschen Justizminister der Länder hervor, die bereits im Juni 2019 laut wurden.
Diese wünschten sich nämlich, stellvertretend für die Strafverfolgung in Deutschland, dass für die Polizei oder auch Geheimdienste spezielle Hintertürchen offenbleiben sollten. Durch die vermehrte Verwendung von Ende-zu-Ende-Verschlüsselung und weiterer Sicherheitsaspekte wie Network Slicing und IMSI-Verschlüsselung, die nativ in 5G implementiert werden, wäre die Überwachung nämlich auch für Strafverfolger immer schwieriger.
Daher scheint es unwahrscheinlich, dass die Anregungen des Bitkom in ihrer Vollständigkeit von der Politik akzeptiert werden. Doch so lange der Sicherheit des 5G-Netzes unangefochten die höchste Priorität zukommt, bleibt die Möglichkeit, dass die Bundesnetzagentur keine Kompromisse eingeht.
Die Relevanz der Anforderungen
Die ausführliche Stellungnahme des Bitkom zum Entwurf der Behörde kann ein wichtiger Meilenstein im Fortschritt des umfassenden 5G-Ausbaus in Deutschland werden. Viele der im Katalog bereits vorgeschlagenen Maßnahmen, als auch die Anregungen des Bitkom sind äußerst relevant, wenn eine sichere aber gleichzeitig wirtschaftliche Erschließung der Infrastruktur ermöglicht werden soll.
- Fremde Staaten, die über manipulierte Komponenten versuchen könnten, Zugang auf die international implementierten 5G-Netze zu erhalten, gelten aktuell als größter Bedrohungsfaktor. Der Fall Huawei hat darauf aufmerksam gemacht, dass ausländische Hersteller oder Lieferanten von den jeweiligen Regierungen dazu genutzt werden könnten, Backdoors oder Schadmöglichkeiten in die Infrastruktur zu schmuggeln. Auch vor dem Hintergrund des großen Interesses der Wirtschaft 4.0 an 5G bestehen Potentiale zur Industriespionage.
- Auch im Hinblick auf volkswirtschaftliche Interessen steht der Gesetzgeber in der Aufgabe, den Rechtsahmen klar auszugestalten. Wenn gesetzlich geregelt ist, dass alle umgesetzten Netze das gleiche Höchstmaß an Sicherheit vorweisen und wie dies realisiert werden muss, stehen dem Fortschritt durch Wettbewerb in der Folge weniger Hindernisse im Weg.
- Eine einwandfreie Rechtssicherheit für Investoren hätte zwei positive Effekte auf die Implementierung von 5G insgesamt: Auf der einen Seite sind die ausbauenden Unternehmen rechtlich abgesichert und können somit in einem klar abgesteckten Rahmen arbeiten. Außerdem hilft die staatliche Konkretisierung der Anforderungen bei der Standardisierung, was den Konkurrenzgedanken und den Aspekt der Sicherheit vollständig voneinander trennt.
Des Weiteren ist die Zeit ein großer Faktor. Das bisher noch viel genutzte 3G-Netz wird ab 2020 nach und nach abgeschaltet, wodurch für viele Endkunden ein flächendeckender Ausbau der 5G-Technologie immer wichtiger wird. Auch im Interesse der Gesamtwirtschaft sollten Lösungen schnellstmöglich gefunden werden.
Wenn Deutschland bei 5G eine Vorreiterstellung erhalten beziehungsweise bewahren möchte, ist es wichtig, dass die langfristig gültigen Sicherheitsanforderungen so bald wie möglich feststehen, damit Marktteilnehmer entsprechend planen können.
Weitere Forderungen des Bitkom
Zusätzlich zu den Kommentaren um die Rechtssicherheit, denen auch in Pressemitteilungen besonderer Ausdruck verliehen wurde, hat der Bitkom natürlich auch weitere Anregungen gebracht:
- Europaweite statt individuelle Regelung: Die umfassende Sicherheitsarchitektur, die von der Bundesnetzagentur für Deutschland geplant wird, ist eine gute Grundlage. Doch optimal wäre es, wenn die Richtlinien auf europaweiter Ebene umgesetzt würden. Das kann zu einer größeren Effizienz führen und wirtschaftliche Vorteile für den europäischen Binnenmarkt bringen.
- Auch die Hersteller sollten enger in den Prozess der Sicherheitsbestimmung involviert werden. Politik, Netzbetreiber und Hersteller der Hardware sollen alle eine Rolle bei der Fokussierung auf Sicherheit spielen, anstatt diese nur den Netzbetreibern zukommen zu lassen.
- Präzisere Festlegung kritischer Kernkomponenten. Im bisher realisierten Katalog, der mit der BSI erarbeitet wurde, sind häufig noch übergreifende Bezeichnungen anstatt präziser Typen verwendet. Außerdem ist der Begriff „kritischer Komponenten“ noch nicht exakt genug definiert.
(ID:46314804)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930890/original.jpg "Die digitale Infrastruktur in der EU soll belastbar und ausfallsicher sein, gerade im Krisenfall. (video4all - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1942400/1942450/original.jpg "Die Kooperation von Palo Alto Networks und IBM soll zu einer KI-gestützten Sicherheitsautomatisierung für 5G-Netzwerke führen. (© – Yingyaipumi – stock.adobe.com)")