Blog
/
Cyber-Resilienz

EU-Compliance-Mandate verstehen: Telekommunikations-5G und darüber hinaus

Illumio Editorial
,
December 3, 2020
23 min. Lesedauer

In Teil eins In dieser Blogserie habe ich über die Compliance-Landschaft gesprochen und darüber, dass die verschiedenen Branchen jeweils ihre eigenen behördlichen Mandate oder Leitlinien zur Cybersicherheit haben. Darauf folgten ein Beitrag zu Regulierung und Sicherheitskontrollen im Bereich kritischer Systeme und Betriebstechnologie, einem Bereich, in dem ich direkte Erfahrung hatte. Von dort aus besprachen wir die Vorschriften für Finanzdienstleistungen in der EU präsent. Endlich DSGVO und Cyber Essentials/Cyber Essentials Plus als eine Reihe von Richtlinien des NCSC (UK National Cyber Security Centre) zur Cybersicherheit.

Heute werde ich mich auf einen sich schnell entwickelnden Bereich der Sicherheit konzentrieren: die Telekommunikation und die Kommunikationsplattformen, die sie bauen. 5G ist natürlich der aktuelle Schwerpunkt, aber die Sicherheitsrichtlinien und Gesetze, die heute in Kraft treten, schaffen auch die Voraussetzungen für die Zukunft jenseits von 5G.

Die Telekommunikationsbranche

In den letzten Jahren hat sich der Schwerpunkt innerhalb der Branche und der Regierung erheblich verlagert, um die Auswirkungen einer schwachen Sicherheit auf das immer wichtiger werdende Telekommunikationsgeschäft zu untersuchen. Teilweise geht es dabei um nationalstaatliche Implikationen auf hoher Ebene. Zum Beispiel die Verwendung von Netzwerkgeräten bestimmter Anbieter oder Länder im „Packet Core“, der Basisplattform, über die Anrufe und Daten weitergeleitet werden. Dies zeigt die Bedeutung, die diese Netzwerke für die Zukunft der Welt haben — jeder potenzielle Kompromiss oder jede Hintertür, die auch nur das geringste Existenzpotenzial hat, hat weitreichende Auswirkungen.

Dies führt auch zu einem Fokus auf Peripheriesysteme, Organisationen und Lieferanten. Das NCSC im Vereinigten Königreich beispielsweise konzentrierte sich zunächst auf die Lieferkette für die Telekommunikationsbranche, bevor es sich mit Leitlinien und Gesetzen für die 5G-Netze selbst befasste.

Das Bericht zur Überprüfung der Lieferkette im britischen Telekommunikationssektor, veröffentlicht im Juli 2019 von einem erste Überprüfung im Jahr 2018, sagt, dass „die größte Cyberbedrohung für den britischen Telekommunikationssektor von den Bundesstaaten ausgeht“, rät aber auch davon ab, sich für alle unterstützenden Systeme auf einen einzigen Anbieter zu verlassen. Zu den skizzierten Sicherheitsrisiken gehören:

  • nationale Abhängigkeit von einem Anbieter, insbesondere von Anbietern, die als hochriskant eingestuft werden;
  • Fehler oder Sicherheitslücken in Netzwerkgeräten;
  • Die „Hintertür-Bedrohung“ — die Einbettung bösartiger Funktionen in Geräte von Anbietern; und
  • Administratorzugriff des Anbieters zur Bereitstellung von Gerätesupport oder als Teil eines Managed-Services-Vertrags.

Das NCSC skizziert dann die unterschiedliche Sicherheitsempfindlichkeit der verschiedenen Netzwerktypen und -funktionen:

NCSC

5G-Infrastruktur

Mit der Weiterentwicklung neuer Netzwerktechnologien wie 5G ändert sich die Art und Weise, wie wir Geräte verbinden und diese verbundenen Systeme verwalten, grundlegend. Bei 5G geht es um mehr als nur um erhöhte Geschwindigkeit, mit erheblich reduzierter Latenz, erheblich verbesserter Zuverlässigkeit und Verfügbarkeit und bis zu 100-mal so vielen angeschlossenen Geräten für einen bestimmten Bereich. 5G ermöglicht die direkte Steuerung von IoT-Geräten, die Fernsteuerung von Technologien wie Drohnen in Echtzeit ohne die Latenzprobleme früherer Technologien, Fahrzeug-zu-Fahrzeug-Kommunikation und viel weniger Abhängigkeit von herkömmlicher Kabel-/WLAN-Konnektivität für kritische Systeme.

Ericsson

Die Anwendungsfälle, die dies ermöglicht, verändern das resultierende Sicherheitsmodell erheblich.

5G beinhaltet eine Reihe integrierter Sicherheitsverbesserungen, wie sie beispielsweise von Ericsson beschrieben wurden hier. Zu den Verbesserungen gehört die Ende-zu-Ende-Verschlüsselung mit IMSI (International Mobile Subscriber), im 5G-Sprachgebrauch auch als Subscription Permanent Identifier (SUPI) bekannt.

5G ist jedoch mit größerer Sicherheit eine „kritische Infrastruktur“ als frühere datenspezifische Telekommunikationsnetze. Da der Schwerpunkt auf der Zuverlässigkeit, Verfügbarkeit und Steuerung kritischer Systeme, z. B. in Autos, liegt, ist 5G ein unverzichtbares Rückgrat der Infrastruktur und nicht die eher unterhaltungs- und datenspezifische Nutzung von 4G. Dies ist in der folgenden Abbildung von Ericsson übersichtlich dargestellt:

5G

Im Abschnitt „Verbessertes mobiles Breitband“, einschließlich Smartphone-Datenkonnektivität, werden die offensichtlichsten 5G-Anwendungsfälle hervorgehoben. Im Folgenden wird jedoch eine ganze Reihe von Maschine-zu-Maschine-Kommunikation veranschaulicht.

Unten sehen wir kritische Industriesysteme, Verkehrssicherheit usw., die alle 5G für die direkte Kommunikation verwenden und nicht maßgeschneiderte Netzwerke für jeden Zweck.

Beratung — dann Recht

Nach der ersten Überprüfung der Lieferkette ist das NCSC in Großbritannien zunächst umgezogen um die Sicherheit des britischen Telekommunikationssektors zu überprüfen.

Dabei wurde festgestellt, dass „die Mehrheit der Angriffsvektoren mit der höchsten Punktzahl in eine der folgenden fünf Kategorien passte:

  • Ausbeutung über die Managementebene der Betreiber
  • Ausbeutung über das internationale Signalflugzeug
  • Nutzung virtualisierter Netzwerke
  • Ausbeutung über die Lieferkette
  • Verlust der nationalen Fähigkeit, unsere Netzwerke zu betreiben und zu sichern (Abhängigkeit)“

Von hier aus war die rasante Entwicklung dann Abschaffung des früheren Telecoms Assurance Scheme - CAS (T) und die Ausarbeitung des Sicherheitsanforderungen für die Telekommunikation (TSR) Beratung mit unterschiedlichem Aufgabenbereich.

Dies befindet sich derzeit noch im Entwurf, enthält aber bekanntermaßen spezifische Anforderungen in den folgenden Bereichen:

  • Verständnis der Angriffsfläche von In-Scope Systemen
  • Minimierung der Auswirkungen eines Angriffs durch Reduzierung der Konnektivität — und damit der seitlichen Bewegung
  • Starke Segmentierung der Management- und Kernbereiche

Schließlich haben wir gesehen, dass die damit verbundenen Anforderungen in ein neu erlassenes Gesetz übergegangen sind: das Gesetz zur Telekommunikationssicherheit.

Es gibt viel zu erzählen! Wie in diesem Beitrag bereits erwähnt, geht die Entwicklung dieser neuen Leitlinien, Gesetze und Überprüfungen sehr schnell voran: von grundlegenden Überprüfungen bis hin zu tatsächlichen Gesetzen innerhalb von zwei Jahren im Vereinigten Königreich.

In der gesamten Europäischen Union arbeiten wir von den viel älteren Menschen aus Artikel 13a der Richtlinie 2009/140/EG, Teil des breiteren ENISA-Telekommunikationspaket. Das 2009 verfasste Dokument berücksichtigt noch nicht die vielen zusätzlichen Anwendungsfälle und Szenarien rund um 4G und 5G, obwohl es immer noch (relativ vage) Punkte enthält wie:

„Die Mitgliedstaaten stellen sicher, dass Unternehmen, die öffentliche Kommunikationsnetze oder öffentlich zugängliche elektronische Kommunikationsdienste bereitstellen, geeignete technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit von Netzen und Diensten angemessen zu bewältigen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik ein dem jeweiligen Risiko angemessenes Sicherheitsniveau gewährleisten. Insbesondere sind Maßnahmen zu ergreifen, um die Auswirkungen von Sicherheitsvorfällen auf Nutzer und miteinander verbundene Netze zu verhindern und so gering wie möglich zu halten.“

Wir können erwarten, dass diesbezüglich wichtige Aktualisierungen vorgenommen werden, um sie mit den Richtlinien, wie denen des NCSC, in Einklang zu bringen.

Abschließend

Die rasche Eskalation von Analysen, Leitlinien und nachfolgenden Gesetzen, die der NCSC-Prozess im Vereinigten Königreich vorsieht, zeigt die enorme potenzielle Angriffsfläche und die Auswirkungen, die eine Umstellung auf 5G-gestützte Telekommunikation mit sich bringt, zusammen mit den klaren Vorteilen in vielen Lebensbereichen. Aufgrund der sich rasch verbessernden und spezifischen Leitlinien haben wir in der Branche eine zunehmende Anzahl verwandter Projekte gesehen.

Bei Illumio waren wir an einer Reihe von Telekommunikationsprojekten beteiligt und haben bei den Anforderungen an Transparenz und Segmentierung geholfen, die diese komplexen, kritischen Infrastrukturumgebungen erfordern.

Um mehr über den Ansatz von Illumio zur Mikrosegmentierung zu erfahren, schauen Sie sich Folgendes an:

Verwandte Themen

Einhaltung
Mikrosegmentierung

In Verbindung stehende Artikel

Grundlegendes zu den EU-Compliance-Mandaten
Cyber-Resilienz

Grundlegendes zu den EU-Compliance-Mandaten

Ein Compliance-Mandat bietet ein grundlegendes Sicherheitsniveau oder eine allgemeine Verbesserung der Sicherheitslage und die Möglichkeit, dies zuverlässig zu bewerten.

Lesen Sie mehr
Was Sie über den Umsetzungsplan für die neue nationale Cybersicherheitsstrategie wissen müssen
Cyber-Resilienz

Was Sie über den Umsetzungsplan für die neue nationale Cybersicherheitsstrategie wissen müssen

Informieren Sie sich über die Erkenntnisse von Gary Barlet, CTO von Illumio Federal, zum neuen Umsetzungsplan der US-Regierung.

Lesen Sie mehr
Wie 4 Cybersicherheitsführer 2024 über KI nachdenken
Cyber-Resilienz

Wie 4 Cybersicherheitsführer 2024 über KI nachdenken

Erfahren Sie, wie Führungskräfte und Experten für Cybersicherheit im Jahr 2024 angesichts der rasanten Innovationen der KI Prioritäten setzen.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr