Cyberbedrohungen
Private 5G-Netzwerke: Sicherheit bleibt kritisch
Private 5G-Netzwerke bieten mehr Sicherheit, Flexibilität und Zuverlässigkeit. Wer aber ein solches Netzwerk einrichtet, muss eine geeignete Sicherheitsarchitektur aufsetzen, die auf das private Netzwerk und die davon abhängige ICS-Umgebung erweitert werden kann.
Save to Folio
Immer mehr Betreiber von vernetzten Produktionsanlagen, Krankenhäusern oder anderen „smarten“ Infrastrukturen sind auf der Suche nach Alternativen zu öffentlichen 5G-Netzwerken und erhoffen sich durch private 5G-Netze eine bessere Abdeckung sowie Kontrolle, niedrige Latenzzeiten und ein höheres Sicherheitsniveau. Die Umstellung auf private 5G-Netzwerke bietet für Unternehmen mehr Sicherheit, Flexibilität und Zuverlässigkeit als frühere mobilfunkbasierte, drahtlose oder kabelgebundene Verbindungen. Trend Micro und 451 Research, als Teil von S&P Global Market Intelligence, befragten kürzlich in weltweit verteilten Unternehmen über 400 Personen, die für die Einrichtung privater drahtloser Netzwerke in gemischten IT- und ICS-Umgebungen verantwortlich sind.
Zwar sind die zugrundeliegenden Sicherheitsfunktionen von 5G NPN den früheren Kommunikationsmitteln überlegen, doch sind sie nicht fehlerfrei. Neuere Forschungen haben vier Angriffswege in ein privates 5G-Netzwerk aufgezeigt, drei Bereiche, in denen die Topologie des Kommunikationsnetzes Möglichkeiten zum Abfangen des Signalverkehrs eröffnet, sowie sechs Methoden zum Angriff auf die physische Prozessinfrastruktur über diese Schwachstellen. (Details dazu haben wir bereits in „Sicherheit für Private 5G: Die drei größten Risken, Teil 3“ vorgestellt).
Die Studie ergab, dass die größte Sorge der Unternehmen der Sicherheit gilt: 39 Prozent nannten sie als wichtigsten Aspekt. Der private Mobilfunk und insbesondere der 5G-Betrieb bringt eine Reihe anderer Sicherheitsprobleme als traditionelle IT/ICS-Umgebungen mit sich, und die Betreiber müssen Sicherheitsfähigkeiten entwickeln, um diese zu lösen.
Die meisten Befragten erwarten, dass sie diese Sicherheitsmechanismen in ihr bestehendes IT-Netzwerk sowie in ihre OT-Umgebung integrieren können. Nur 20 Prozent beabsichtigen, ihre bestehenden Sicherheitssysteme zu erweitern, um das neue private Netzwerk zu schützen, während 43 Prozent vorhaben, zusätzliche Funktionen von ihren derzeitigen IT-Sicherheitsanbietern einzusetzen. Die verbleibenden 37 Prozent verlassen sich auf Sicherheitsfunktionen, die in das neue Angebot integriert sind, entweder durch den Anbieter oder durch ihren Integrator.
Diese Ergebnisse unterstreichen die Bedeutung einer robusten Informationssicherheitsarchitektur, die auf das private Netzwerk und die davon abhängige ICS-Umgebung erweitert werden kann. Ohne solide Kenntnis der Zielumgebung sind die meisten Unternehmen nicht in der Lage, das Risiko und die Schwachstellen zu bewerten, die diese neue Plattform mit sich bringen. Nur acht Prozent dieser Unternehmen werden das Risiko selbst bewerten. Der Rest verlässt sich auf einen Partner oder arbeitet mit einem Drittanbieter zusammen. Fehlt eine gut nachvollziehbare Sicherheitsarchitektur, sind diese Unternehmen nicht in der Lage, das relative Risiko ihrer neuen Betriebsumgebung kritisch zu bewerten.
Eine Architektur besteht aus einem Regelwerk, das beschreibt, welche Fähigkeiten und Prozesse eine IT-Konfiguration beinhalten muss. Systeme ohne Architektur werden chaotisch und unberechenbar. Die Standards, die die Produktauswahl und die Verwendung von Funktionen regeln, ergeben sich aus den jeweiligen Vorgaben und erlauben aber auch formale Abweichungen von den Standards unter genau definierten Umständen. Dieser Mechanismus ermöglicht eine zuverlässige Problemdiagnose und Schwachstellenbewertung. Betriebliche Abläufe hängen von einer Reihe vorhersehbarer Verhaltensweisen ab, und je weniger klar die Umgebung definiert ist, desto schwieriger wird es, Probleme zu lösen und Fehler zu beseitigen.
Frage: Wie werden Sie das Risikomanagement für Ihren wichtigsten Anwendungsfall gestalten?
Basis: n = 408 Quelle: 451 Research Studie
Es hat den Anschein, dass sich das Risikomanagement in dem Maße weiterentwickelt, wie die Organisation Erfahrungen im Umgang mit der Umgebung sammelt. Dieser Ansatz des aus Erfahrung lernen ist gefährlich. Wir ermutigen Unternehmen, die sich auf den Weg machen, neue private Netzwerke einzurichten, sich zunächst die Zeit zu nehmen, ihre Informationssicherheitsarchitektur klar zu definieren. Es ist sehr viel schwieriger, Qualität in ein bereits gefertigtes Produkt einzubringen, als sie von Anfang an zu entwickeln. Mit der Informationssicherheit verhält es sich genauso.
Zusammenfassung
- Die meisten Befragten erwarten die Integration von Unternehmensnetzen. Das erhöht das erforderliche Sicherheitsniveau, das für den Schutz der Integrationspunkte erforderlich ist.
- Private 5G-Netze sind cloudbasiert. Unternehmen wollen in erster Linie ihre privaten Netzwerke in einer cloudbasierten Infrastruktur aufsetzen.
- Die Sicherheit in privaten 5G-Netzwerken liegt in der geteilten Verantwortung in der Cloud.
- Unternehmen erwarten Unterstützung von branchenerfahrenen Partnern. Sie wissen, dass sie Unterstützung benötigen und schätzen branchenspezifische Kenntnisse bei ihren Partnern.
- Sicherheitsexpertise ist der Schlüssel zum Wert eines Partners. Unternehmen erwarten, dass sie ihre privaten Netzwerke um Sicherheitsfunktionen erweitern müssen und sie erwarten, dass sie diese von bestehenden Sicherheitspartnern erhalten.