Risiken für die Privatsphäre
Erwartungen an die Sicherheit in privaten 5G-Netzen, Teil 2
Um Sicherheitsbedenken in einem privaten 5G-Mobilfunknetz auszuräumen, müssen Unternehmen zuerst eine Risikobewertung vornehmen und in der PoC-Phase auch den Nachweis von „Sicherheits“-Konzepten erbringen, so das Ergebnis einer Trend Micro-Umfrage.
Save to Folio
Die Einführung privater 5G-Netze ist bereits Realität. Das zeigt eine Umfrage von Trend Micro in Zusammenarbeit mit 451 Research in vier Ländern (Deutschland, Großbritannien, Spanien und den USA). Fast ein Fünftel der teilnehmenden Unternehmen führen private 5G-Mobilfunknetze in ihren Produktionsstätten ein, während sechs Prozent in der Konzeptphase sind. Wie bereits im ersten Teil ausgeführt, sind Verbesserungen bei der Sicherheit der wichtigste Aspekt dabei. Am sicherheitskritischsten sehen die Anwender die Daten, die in den Netzen übertragen werden sowie Gefahren für das Netzwerk-Equipment.
Die Umfrage zeigt, dass die Offenlegung der im Netz übertragenen Daten (31 %) und die Kompromittierung der Netzausrüstung (28 %) die größten Sicherheitsbedenken in privaten Mobilfunknetzen darstellen.
Logischerweise nennen die Teilnehmer als die kritischsten Sicherheitsaspekte die Daten, die das Netz durchqueren (25 %), und die Geräte im Netzwerkkern (20 %), der Rest der Antworten ist gestreut. Die Einführung neuer Technologien kann ein Zeichen dafür sein, dass noch keine ausreichenden Sicherheitsbewertungen durchgeführt wurden.
Frage: Welches sind die kritischsten Aspekte für die Sicherheit eines privaten Funknetzwerks?
Basis: n = 408 Quelle: 451 Research
Risikobewertung
Der erste Schritt bei einer Sicherheitsbewertung stellt eine Risikobeurteilung des Zielsystems dar. In der Umfrage gaben nur 8 % der Befragten an, für die wichtigsten privaten 5G-Anwendungsfälle in ihrer Umgebung eine eigene Risikobewertung durchzuführen. Mehr als ein Drittel (37 %) will dies gemeinsam mit den Partnern tun, und 21 % verlassen sich bei der Risikobewertung ganz auf ihre Partner.
Natürlich können Partner und Dritte eine objektive Sicht auf potenzielle Risiken liefern, und ihr Fachwissen kann die Risikoerkennung und -kontrolle vertiefen. Auf der anderen Seite könnte die extrem niedrige Rate der eigenständigen Durchführung von Risikobewertungen ein Zeichen für mangelndes Vertrauen in die Risikoanalyse in einer privaten 5G-Umgebung sein.
Bei Sicherheitsbewertungen, auch bekannt als Informationssicherheitsbewertungen, wird ermittelt, wie effektiv eine zu bewertende Einheit (z. B. ein Host, ein System, ein Netzwerk, ein Verfahren oder eine Person - bekannt als Bewertungsobjekt) bestimmte Sicherheitsziele erfüllt (NIST SP800 115).
Unter diesem Gesichtspunkt benötigen Unternehmen den Nachweis von „Sicherheits“-Konzepten, die die Sicherheitsziele der Unternehmenssicherheit widerspiegeln, wenn private drahtlose Netzwerke in Unternehmen eingeführt werden.
Frage: Wie werden Sie für Ihre wichtigsten Anwendungsfälle das Risiko ermitteln?
Basis: n = 408 Quelle: 451 Research
Die Befragten scheinen der Meinung zu sein, dass die Risiken, die mit der Einführung privater Mobilfunknetze verbunden sind, von Schwachstellen herrühren. Vier der fünf wichtigsten Angriffsvektoren stehen im Zusammenhang mit Schwachstellen:
Frage: Welches sind für Ihr Mobilfunknetz die riskantesten Angriffsvektoren?
Basis: n = 408 Quelle: 451 Research
Leider sind die Bedenken nicht unbegründet.
2021 haben sich Bedrohungsakteure aus dem Untergrund als RaaS-Gruppe (Ransomware as a Service) mit einer wirkungsvollen Kombination aus Malware, Exploits und Tools zusammengetan und suchen Unternehmen im Gesundheitswesen, in der Versicherungsbranche, in der Fertigung, im Transportwesen sowie in der Öl- und Gasindustrie auf der ganzen Welt heim. Unsere Feldtests zur Sicherheit von privatem 5G zeigen auch die Möglichkeit von Eindringlingen aufgrund dieser Schwachstellen auf.
In der Umfrage gaben etwa 80 % der Befragten an, ihr bestehendes Unternehmensnetzwerk oder ICS-Netzwerk in irgendeiner Weise mit einem privaten drahtlosen Netzwerk verbinden zu wollen.
Frage: Inwieweit wird das private Mobilfunknetz mit Ihrem Unternehmensnetz oder dem ICS-Netz verbunden?
Basis: n = 408 Quelle: 451 Research
Fazit
In diesem Fall sollte die Risikobewertung und Sicherheitsbetrachtung des privaten Mobilfunknetzes nicht nur für das private Netzwerk, sondern auch für die Netzwerksicherheit des gesamten damit verbundenen Unternehmens erfolgen.
Unternehmen treiben die Nutzung privater Mobilfunknetze voran, aber bei der Einführung dieser neuen Technologien empfehlen wir, in der PoC-Phase nicht nur die Bestätigung funktionaler Anforderungen wie 5G-Leistung und Systembetrieb, sondern auch den Nachweis von „Sicherheits“-Konzepten des Unternehmens zu gewährleisten.
Die ganze Studie finden Sie unter https://resources.trendmicro.com/IoT-5G-Networks-Report.html.
Trend Micro bietet branchensprezifische Sicherheitslösungen für 5G-Netze in der IT, OT und CT.