Mit Unterstützung der Kommission und der EU-Cybersicherheitsagentur haben die Mitgliedstaaten am Mittwoch einen Bericht über die EU-weit koordinierte Risikobewertung in Bezug auf die Cybersicherheit in den Netzen der 5. Generation (5G) veröffentlicht.

5G-Netze sind das künftige Rückgrat der zunehmend digitalisierten Volkswirtschaften und Gesellschaften. Sie werden Milliarden von Objekten und Systemen miteinander verbinden, auch in kritischen Sektoren wie Energie, Verkehr, Bank- und Gesundheitswesen, aber auch in industriellen Steuerungssystemen, die sensible Informationen verarbeiten und Sicherheitssysteme unterstützen. Die Gewährleistung der Sicherheit und Widerstandsfähigkeit der 5G-Netze ist daher von grösster Bedeutung.

Der Bericht beruht auf den Ergebnissen der nationalen Risikobewertungen, die alle EU-Mitgliedstaaten in Bezug auf ihre Cybersicherheit durchgeführt haben. Darin werden die Hauptbedrohungen und deren Verursacher, die anfälligsten Anlagen und Einrichtungen, die wichtigsten Schwachstellen (technischer und anderer Art) und eine Reihe strategischer Risiken aufgezeigt.

Diese Bewertung bildet die Grundlage für die Ermittlung von Risikominderungsmassnahmen, die auf nationaler und europäischer Ebene ergriffen werden können.

Wichtigste Erkenntnisse

In dem Bericht werden mehrere grosse Sicherheitsprobleme genannt, die in 5G-Netzen auftreten oder – im Vergleich zu den bestehenden Netzen – dort stärker ins Gewicht fallen dürften.

Diese Sicherheitsprobleme stehen hauptsächlich im Zusammenhang mit

• grossen Innovationen der 5G-Technik (die zugleich eine Reihe spezifischer Sicherheitsverbesserungen mit sich bringen), insbesondere im wichtigen Softwarebereich und im breiten Spektrum der Dienste und Anwendungen, die durch 5G-Technik ermöglicht werden;
• der Rolle der Lieferanten beim Aufbau und Betrieb von 5G-Netzen und dem Grad der Abhängigkeit von einzelnen Lieferanten.

Konkret ist davon auszugehen, dass der Aufbau der 5G-Netze folgende Auswirkungen haben wird:

• Eine erhöhte Angriffsgefahr und mehr potenzielle Ansatzpunkte für Angreifer: Da 5G-Netze zunehmend auf Software basieren, steigen die Risiken im Zusammenhang mit grösseren Sicherheitslücken, z. B. wegen mangelhafter Softwareentwicklungsprozesse bei Lieferanten. Dadurch könnte es auch für Angreifer leichter werden, Hintertüren in die Produkte einzubauen und deren Erkennung zu erschweren.
• Aufgrund der neuen Merkmale der 5G-Netzarchitektur und neuer 5G-Funktionen werden bestimmte Netzausrüstungen oder Netzfunktionen leichter verwundbar, z.B. Basisstationen oder wichtige technische Verwaltungsfunktionen der Netze.
• Erhöhte Risiken durch die Abhängigkeit der Mobilfunknetzbetreiber von ihren Lieferanten. Dadurch wird sich auch die Zahl der Angriffspunkte, die von Angreifern ausgenutzt werden könnten‚ und die potenzielle Schwere der Folgen solcher Angriffe erhöhen. Unter den verschiedenen potenziellen Akteuren gehen die grössten Gefahren von Nicht-EU-Staaten oder von staatlich unterstützten Organisationen aus, die zudem höchstwahrscheinlich 5G-Netze ins Visier nehmen werden.
• Vor diesem Hintergrund einer erhöhten, von Lieferanten begünstigten Angriffsgefahr wird das Risikoprofil der einzelnen Lieferanteneine besondere Bedeutung haben, denn es besagt, wie wahrscheinlich ist es, dass der Lieferant dem Einfluss eines Nicht-EU-Landes erliegt.
• Erhöhte Risiken durch grössere Abhängigkeiten von Lieferanten: Eine grosse Abhängigkeit von einem einzigen Lieferanten erhöht die Gefahr möglicher Lieferunterbrechungen, was beispielsweise zu geschäftlichen Ausfällen mit allen ihren Folgen führen kann. So verschärft sie auch die möglichen Folgen von Schwachstellen und Anfälligkeiten und deren möglicher Ausnutzung durch Angreifer, insbesondere bei einer Abhängigkeit von einem Lieferanten, der ein hohes Risiko aufweist.
• Bedrohungen der Verfügbarkeit und Integrität der Netze werden grosse Sicherheitsbedenken hervorrufen: Da 5G-Netze voraussichtlich das Rückgrat vieler unverzichtbarer IT-Anwendungen bilden werden, wird neben der Vertraulichkeit und dem Schutz der Privatsphäre auch die Integrität und Verfügbarkeit dieser Netze zu einer wichtigen Frage nationaler Sicherheitsinteressen und zu einer grossen sicherheitspolitischen Herausforderung für die EU.

Zusammengenommen entsteht durch alle diese Herausforderungen ein neues Sicherheitsparadigma, das es erforderlich macht, den derzeit für diesen Sektor und sein Ökosystem geltenden politischen und sicherheitspolitischen Rahmen zu überprüfen, damit die Mitgliedstaaten die erforderlichen Risikominderungsmassnahmen ergreifen können.

Die Bedrohungslage aus Sicht der EU-Cybersicherheitsagentur: Ergänzend zu dem Bericht der Mitgliedstaaten stellt die EU-Cybersicherheitsagentur gerade ihren Überblick über die spezifische Bedrohungslage im Zusammenhang mit 5G-Netzen fertig, in dem sie ausführlicher auf bestimmte technische Aspekte des Berichts eingeht.

Nächste Schritte

Bis zum 31. Dezember 2019 sollte sich die Kooperationsgruppe auf ein Instrumentarium von Risikominderungsmassnahmen einigen, mit dem auf die festgestellten Cybersicherheitsrisiken auf nationaler und Unionsebene reagiert werden soll.

Bis zum 1. Oktober 2020 sollten die Mitgliedstaaten – in Zusammenarbeit mit der Kommission – die Auswirkungen der Empfehlung bewerten, um zu ermitteln, ob weitere Massnahmen erforderlich sind. Bei dieser Bewertung sollten die Ergebnisse der koordinierten europäischen Risikobewertung und die Wirksamkeit der Massnahmen berücksichtigt werden

Quelle: Europäische Kommission, Vertretung in Deutschland