EU Toolbox of risk mitigating measures Schärfere Sicherheitsanforderungen für 5G-Netze in der EU

Redakteur: Jürgen Schreier

Mehr Netzsicherheit und Beschränkungen für riskante Anbieter: Die Kommission hat am 29. Januar 2020 das gemeinsame Instrumentarium für mehr Sicherheit im 5G-Mobilfunknetz gebilligt, auf das sich die EU-Mitgliedstaaten geeinigt hatten. Die EU-Kommission fordert die Staaten auf, die wichtigsten Maßnahmen bis zum 30. April 2020 auf den Weg zu bringen.

Die EU-Staaten haben sich verpflichtet, in Sachen 5G-Security gemeinsam zu handeln, auf der Grundlage einer objektiven Bewertung der festgestellten Risiken und angemessener Risikominderungsmaßnahmen.
Die EU-Staaten haben sich verpflichtet, in Sachen 5G-Security gemeinsam zu handeln, auf der Grundlage einer objektiven Bewertung der festgestellten Risiken und angemessener Risikominderungsmaßnahmen.
(Bild: gemeinfrei / Pixabay )

„Mit 5G können wir Großes vollbringen. Die Technologie unterstützt personalisierte medizinische Behandlungen, die Präzisionslandwirtschaft und Energienetze, die alle Arten erneuerbarer Energien aufnehmen können. Dies wird sich positiv auswirken. Aber nur, wenn wir unsere Netze sichern können. Nur dann werden die digitalen Neuerungen allen Bürgerinnen und Bürgern zugutekommen“, so Margrethe Vestager, die für das Ressort „Ein Europa für das digitale Zeitalter“ zuständige Exekutiv-Vizepräsidentin.

Detaillierte Richtlinien zur Minderung spezifischer 5G-Risiken

Mit dem Instrumentarium setzen die EU-Mitgliedstaaten die Forderung des Europäischen Rates nach einem abgestimmten Konzept für die Sicherheit von 5G und die anschließende Empfehlung der Kommission vom März 2019 um. Die Mitgliedstaaten haben inzwischen die Risiken und Schwachstellen auf der nationalen Ebene ermittelt und eine gemeinsame EU-weite Risikobewertung veröffentlicht. Durch das Instrumentarium verpflichten sich die Mitgliedstaaten, gemeinsam zu handeln, auf der Grundlage einer objektiven Bewertung der festgestellten Risiken und angemessener Risikominderungsmaßnahmen.

Das EU-Dokument enthält auch detaillierte Richtlinien zur Minderung spezifischer Risiken im Bereich 5G und gibt einen Überblick über die wichtigsten strategischen und technischen Maßnahmen, die von den Mitgliedsstaaten genutzt werden können.

In den Schlussfolgerungen zum Instrumentarium einigten sich die Mitgliedstaaten unter anderem darauf

  • die Sicherheitsanforderungen für Mobilfunknetzbetreiber zu verschärfen (z.B. strenge Zugangskontrollen, Vorschriften für sicheren Betrieb und sichere Überwachung, Beschränkungen für die Auslagerung bestimmter Funktionen usw.);
  • die Risikoprofile der Anbieter zu bewerten und in der Folge auf Anbieter, die als mit einem hohen Risiko behaftet gelten, einschlägige Beschränkungen anzuwenden, darunter den Ausschluss von Anbietern zur wirksamen Minderung der Risiken für wichtige Anlagen und Einrichtungen, die in der EU-weit koordinierten Risikobewertung als kritisch und anfällig eingestuft wurden (z.B. Kernnetzfunktionen, Netzverwaltungs- und -koordinierungsfunktionen sowie Zugangsnetzfunktionen);
  • sicherzustellen, dass jeder Betreiber über eine angemessene herstellerneutrale Strategie verfügt, um eine größere Abhängigkeit von einem einzigen Anbieter (oder Anbietern mit ähnlichem Risikoprofil) zu vermeiden oder zu begrenzen‚ für ein angemessenes Gleichgewicht zwischen den Anbietern auf nationaler Ebene sorgen und eine Abhängigkeit von Anbietern vermeiden, die als mit einem hohen Risiko behaftet gelten; dazu muss auch die Bindung („lock-in“) an einen einzigen Anbieter vermieden werden, unter anderem durch die Förderung einer größeren Interoperabilität der Ausrüstungen.

Über spezifische Sicherheitsmaßnahmen zu entscheiden, bleibt jedoch weiterhin den EU-Mitgliedstaaten vorbehalten. Es wird erwartet, dass die Mitgliedsstaaten die Schlüsselmaßnahmen der Toolbox bis zum 30. April umsetzen und bis Juni über die Umsetzung berichten. Es wird auch erwartet, dass die Mitgliedstaaten bis Oktober mit der Kommission bei der Bewertung der Wirksamkeit der Maßnahmen zusammenarbeiten werden.

Bitkom-Präsident Achim Berg, kommentiert die Bemühungen der EU-Kommission wie folgt: „Unsere Netze sind die Grundlage einer funktionierenden digitalen Wirtschaft, Gesellschaft und Verwaltung. Sie müssen so sicher wie möglich sein, europaweit und weltweit. Ein funktionierender digitaler Binnenmarkt braucht europaweit einheitliche Sicherheitskriterien für die Infrastruktur. Nationale Alleingänge schwächen die Entwicklung und bremsen den Netzausbau. Die EU-Kommission hat erkannt, dass für den weiteren Netzausbau einheitliche Regeln notwendig sind."

GSMA-Initiativen sollen 5G-Sicherheits-Toolbox ergänzen

In Ergänzung der heute von der Europäischen Kommission vorgestellten 5G-Sicherheits-Toolbox hat der internationalen Mobilfunkorganisation GSMA ein System zur Sicherstellung der Sicherheit von Netzwerkausrüstung (Network Equipment Security Assurance Scheme, NESAS) entwickelt, einen Sicherheitsrahmen skizziert und einen Cyber-Informationshub für die Telekommunikationsindustrie eingerichtet. Die GSMA-Initiativen unterstützen die Bemühungen der ENISA, der Agentur der Europäischen Union für Cybersicherheit, um einen gemeinsamen EU-Ansatz für die Sicherheit von 5G-Netzen.

Das Network Equipment Security Assurance Scheme (NESAS) bewertet die Produktdesigns von Telekommunikationsanbietern und testet die Komponenten unabhängig auf ihre Sicherheit. Das kürzlich eingeführte Programm wurde in Zusammenarbeit mit 3GPP, Betreibern und Anbietern entwickelt und soll zu einer Erhöhung der Sicherheit, des Vertrauens in die Netzwerkausrüstung und zu einer Verringerung der Marktfragmentierung und der Einführungskosten führen.

Darüber hinaus wurde das Telecommunication Information Sharing and Analysis Centre (T-ISAC) als weltweit führende Koordinationsstelle für das mobile Ökosystem eingerichtet. Das T-ISAC sammelt und verbreitet Informationen und Ratschläge zu Sicherheitsvorfällen innerhalb der mobilen Gemeinschaft - in einer vertrauenswürdigen und anonymisierten Weise.

"Wir arbeiten mit der ENISA und nationalen Regulierungsbehörden zusammen, um Cyber-Bedrohungen zu bekämpfen", sagt Alex Sinclair, GSMA Chief Technology Officer. "Wir ermutigen auch Unternehmen aus dem gesamten mobilen Ökosystem, sich dem T-ISAC anzuschließen, um gemeinsam die kritischen Sicherheitsprobleme anzugehen, mit denen wir konfrontiert sind".

(ID:46338134)