EU-Bericht: Sicherheitspolitische Herausforderungen bei Open RAN

Mit dem offenen Mobilfunkstandard Open RAN wollen viele Netzbetreiber unabhängig von proprietären Lösungen einzelner Ausrüster werden. Doch es gibt Hürden.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 7 Beiträge
5G-Antenne in Köln

(Bild: dpa, Henning Koepke/Telefonica/dpa)

Von
  • Stefan Krempl

Die Cybersicherheit stellt "eine große Herausforderung" für das Konzept des offenen Mobilfunkstandards Open RAN (Open Radio Access Network) dar. So lautet eine der Haupterkenntnisse aus einem Bericht zu offenen Funkzugangsnetzen, den die Gruppe für Netzwerksicherheit der EU-Mitgliedsstaaten mithilfe der Kommission und der Cybersicherheitsagentur Enisa erstellt hat. Die technischen Spezifikationen für Open RAN seien in diesem Bereich noch nicht ausgereift und nicht von vornherein sicher konzipiert. Auch die Kontrolle darüber sei unzureichend.

Mit dem offenen Standard wollen viele Mobilfunknetzbetreiber unabhängig von proprietären Lösungen traditioneller Ausrüster wie Ericsson, Huawei oder Nokia werden, Kosten sparen sowie eine schnellere und größere Kontrolle über die Funktionsentwicklung erhalten. Die Deutsche Telekom berichtete jüngst anhand eines Tests in Neubrandenburg von großen Potenzialen der Technik.

Was der am Mittwoch veröffentlichte Bericht auch besagt: Gerade kurzfristig würde Open RAN durch die Einführung eines neuen Netzwerkansatzes, neuer Schnittstellen und neuer Arten von Funk-Komponenten, die möglicherweise von mehreren Anbietern stammen, "eine Reihe von Sicherheitsrisiken von 5G-Netzen verschärfen und die Angriffsfläche im Funkzugangsteil des Netzes vergrößern". Das Ausmaß dieser Wagnisse werde "je nach den Auswirkungen von Open RAN auf den Markt und dem Umfang seiner Einführung durch die Mobilfunknetzbetreiber variieren".

Zu den Hauptgefahren, den der Standardwechsel verstärken könnte, zählen die Autoren insbesondere eine wachsende Zahl von Einstiegspunkten für böswillige Akteure. Dies könnte zu Schwachstellen oder Ausfällen führen, die auch einen "unerwünschten Daten- und Informationsfluss zu neuen Drittanwendungen" umfassten.

Die Sicherheitsexperten der EU-Länder sehen ferner "ein erhöhtes Risiko der Fehlkonfiguration von Netzen". Dazu kommen könnten neue oder verstärkte Abhängigkeiten von Cloud-Anbietern, da die Virtualisierung und die Nutzung der Speicher in den Rechnerwolken im Telekommunikationssektor gerade durch Open-RAN-Implementierungen vorangetrieben werde. All diese Gefahren dürften sich auf andere Netzfunktionen aufgrund der dabei typischen gemeinsamen Nutzung von Ressourcen (Infrastruktur-Sharing) ausdehnen.

Überdies könnte Open RAN durch die zunehmende Dynamik neuer Marktteilnehmer einschließlich von Konzernen aus Drittstaaten erhebliche Störungen auf die EU-Kapazitäten auf dem 5G-Versorgungsmarkt haben. Dies drohe mittelfristig die strategische Autonomie und Sicherheit der EU zu schwächen.

Die Verfasser beschreiben aber auch einige potenzielle Chancen, die die offene Technik für die Cybersicherheit mit sich bringen könnte. Durch eine größere Interoperabilität zwischen den RAN-Komponenten verschiedener Anbieter sei es etwa denkbar, eine größere Diversifizierung der Anbieter innerhalb der Netze im selben geografischen Gebiet hinzubekommen. Dies könnte ein 5G-Ziel der EU erfüllen, wonach jeder Betreiber im Interesse der Unabhängigkeit von einzelnen Ausrüstern über eine angemessene herstellerneutrale Strategie verfügen sollte.

Open RAN dürfte dem Bericht nach zudem dazu beitragen, die Sichtbarkeit des Netzes durch die Nutzung offener Schnittstellen und Standards zu erhöhen. Die Technik könnte auch helfen, durch eine stärkere Automatisierung menschliche Fehler zu verringern und durch die Nutzung von Virtualisierung und Cloud-basierten Lösungen die Flexibilität zu steigern.

Um die Potenziale zu heben und die Risiken zu mindern, empfehlen die Autoren eine Reihe von teils weitreichenden Maßnahmen. So sollten Regulierer etwa ihre Befugnisse nutzen, um überdimensionierte Pläne der Mobilfunkbetreiber zur Einführung von Open RAN zu prüfen und erforderlichenfalls einzuschränken oder sogar ganz zu verbieten. Vorstellbar sei zudem, ihnen Anforderungen oder Bedingungen für den Betrieb von Open-RAN-Netzausrüstung aufzuerlegen.

Technische Kontrollen etwa zur Authentifizierung und Autorisierung im Netzwerk sollten dem Bericht zufolge verstärkt werden. Das Kontrollkonzept müsse an eine modulare Umgebung angepasst werden, "in der jede Komponente überwacht wird". Risikoprofile von Open-RAN-Anbietern sowie externen Dienstleistern wie Betreiber von Cloud-Services und Systemintegratoren sollten stimmig bewertet werden.

Bestehende Sicherheitsmängel sollten angegangen werden. Open-RAN-Bauteile müssten zudem frühestmöglich in das künftige, sich derzeit noch in Entwicklung befindliche 5G-System für die Cybersicherheitszertifizierung aufgenommen werden.

"Unsere gemeinsame Priorität und Verantwortung besteht darin, für einen zeitnahen Aufbau von 5G-Netzen in Europa und gleichzeitig ihre Sicherheit zu sorgen", betonte mit Margrethe Vestager die für Digitales zuständige Kommissionsvizepräsidentin. Alle Beteiligten sollten daher genügend Zeit und Aufmerksamkeit für die Bewältigung der ausgemachten Herausforderungen aufwenden, "damit die mit der Open-RAN-Technik verbundenen Erwartungen erfüllt werden können". Zuvor hatte schon das Bundesamt für Sicherheit in der Informationstechnik (BSI) "mittlere bis hohe Sicherheitsrisiken" in diesem Bereich ausgemacht.

(mki)