Fünf Thesen für ein sicheres 5G-Netz

Mit 5G werden wir ein noch nie dagewesenes Ausmass an Vernetzung erleben. Die bis 2025 zu erwartenden 75 Mil­liarden verbundenen Geräte werden eine unvorstellbare Datenmenge generieren, die sicher und störungsfrei übertragen werden muss, wenn autonomes Fahren oder Telemedizin endgültig in unserem Alltag angekommen sind. Auch dass kritische Infrastrukturen wie das Gesundheitswesen oder die Energieversorgung an diesem neuen Mobilnetz hängen werden, schürt Sorgen um dessen Sicherheit. Wer in 5G die Chancen sieht, kommt nicht umhin, umfassende Antworten auf die Cybersecurity-Risiken zu finden. In den folgenden fünf Thesen werden die vielversprechendsten Ansätze skizziert.

1. Ganzheitliche Ende-zu-Ende-Betrachtung der Risiken

Ein Risiko ist die Komplexität der Systeme. An jeder Schnittstelle im komplexen System steckt hypothetisch eine Risikoquelle. Sicherheit kann es daher nur Ende zu Ende in der gesamten Wertschöpfungskette geben. Dies gilt von der Forschung und Entwicklung über die Produktion von Komponenten und deren Einsatz, für die darauf beruhenden Telekomprodukte und -lösungen bis hin zu deren Betrieb und Wartung. Auf allen Ebenen gilt es, Confidentiality, Information Integrity & Availability (CIA) zu gewährleisten, wie auch sicherzustellen, dass die Lieferkettensicherheit an keiner Stelle kompromittiert werden kann.

2. Normenbasierte Standardisierung

Für 5G muss Sicherheit nicht komplett neu erfunden werden. Es existieren bewährte Industriestandards und -Normen, die auch für 5G anwendbar sind. Dazu gehören in erster Linie die ISO-Standards nach ISO 27001 oder 28000. Zu erwähnen sind das NESAS-Schema (Network Equipment Security Assurance Scheme) oder C-TPAT (Customs-Trade Partnership against Terrorism) – eine Public-Private-Partnership, von deren Know-how die Unternehmen profitieren können und die objektivierbare Sicherheitsstandards aus der Industrie heraus bieten, was fachnäher und konstruktiver ist, als staatliche Regulierungen es je sein könnten.

3. Qualitätssicherung

Standards und Normen sind wichtig und nützlich. Ebenso wichtig ist es, deren Einhaltung objektiv, neutral und jenseits jeglicher politischer Einflussnahme prüfen zu können. Der sachlichen Prüfung und einer unabhängigen Verifizierung unterworfen müssten sowohl der Standard/die Norm als auch deren konkrete Umsetzung werden.

4. Gleichbehandlung

Mit dem "Zero Trust"-Ansatz (es gibt per se kein vertrauenswürdiges Glied in der Wertschöpfungs- und Lieferkette, da jedes ein potenzielles Angriffsziel ist) ist geboten, alle Technologien aller Anbieter einem objektivierten Prüf- und Verifizierungssystem zu unterziehen. Und zwar unter gleichen Rahmenbedingungen für alle. Anhand definierter Anforderungskataloge kann Anbietern faktenbasiert und diskriminierungsfrei Zugang zum Markt gewährt werden.

5. Eigenverantwortung der Branche und jedes Anbieters

Gerade bei einer Technologie mit so viel Potenzial wie 5G ist davon auszugehen, dass die Branche und jeder einzelne Anbieter ein sehr ausgeprägtes Interesse daran hat, an diesem Zukunftsmarkt teilzuhaben. Es liegt unter marktwirtschaftlicher Betrachtungsweise in der Eigenverantwortung von Branche und Anbieter, hohe Transparenz und Vertrauen zu schaffen. Prüfbarkeit und Auditierbarkeit sind das eine. Das andere ist die engagierte Mitwirkung an Standardisierung und Normierung. Doch nicht vergessen gehen darf, dass nach wie vor der Mensch und nicht die Technologie das grösste Risiko darstellt. Sensibilisierung für Security ist also auch bei 5G der wesentlichste Hebel.