Menu

Mitgliedstaaten veröffentlichen Bericht über EU-koordinierte Risikobewertung zur Sicherheit von 5G-Netzen

EU2019FI 9.10.2019 15.30 | Auf Deutsch veröffentlicht am 10.10.2019 um 15.20 Uhr
Presseaussendung
Foto: Elena Uskola, Staatkanzlei

Mit Unterstützung der Europäischen Kommission und der Agentur der Europäischen Union für Cybersicherheit veröffentlichten die Mitgliedsstaaten heute einen Bericht über eine EU-koordinierte Risikobewertung der Cybersicherheit von Netzen der fünften Generation (5G). Dieser bedeutende Schritt ist ein Teil der Umsetzung einer von der Europäischen Kommission im März 2019 verabschiedeten Empfehlung zur Gewährleistung eines hohen Cybersicherheitsniveaus der 5G-Netze in der gesamten EU.

5G-Netze werden künftig das Rückgrat unserer zunehmend digitalisierten Volkswirtschaften und Gesellschaften bilden. Betroffen sind Milliarden von miteinander verbundenen Objekten und Systemen, auch in kritischen Sektoren wie Energie, Verkehr, Bank- und Gesundheitswesen sowie industrielle Steuerungssysteme, die sensible Informationen verarbeiten und Sicherheitssysteme unterstützen. Die Erhaltung von Sicherheit und Resilienz der 5G-Netze ist daher unentbehrlich.

Der Bericht basiert auf den Ergebnissen der in allen EU-Mitgliedsstaaten erstellten nationalen Risikobewertungen zur Cybersicherheit. Er zeigt die wichtigsten Bedrohungen und deren Urheber auf, ferner die empfindlichsten Objekte, die Hauptschwachstellen (sowohl technischer als auch anderer Art) und eine Anzahl strategischer Risiken.

Anhand dieser Beurteilung können auf nationaler und europäischer Ebene einsetzbare Risikominderungsmaßnahmen bestimmt werden.

Wichtigste Erkenntnisse der EU-koordinierten Risikobewertung

Der Bericht führt eine Anzahl wichtiger Sicherheitsbedrohungen auf, die in 5G-Netzen auftauchen oder im Vergleich zu existierenden Netzen auffälliger werden können.

Die vorrangigen Ansatzstellen dieser Sicherheitsbedrohungen sind:

  • in der 5G-Technologie enthaltene (auch mit verbesserten Sicherheitsmerkmalen verbundene) Schlüsselinnovationen, speziell der wichtige Software-Teil und die breite Palette 5G-spezifischer Dienste und Anwendungen;
  • die Rolle der Lieferanten beim Aufbau und Betrieb der 5G-Netze und das Ausmaß der Abhängigkeit von einzelnen Lieferanten.

Konkret wird die Einführung der 5G-Netze voraussichtlich folgende Auswirkungen haben:

  • Eine erhöhte Anfälligkeit für Angriffe und mehr potenzielle Einfallstore für Angreifer: Angesichts der immer stärker softwarebasierten Struktur der 5G-Netze gewinnen auf größeren Sicherheitsmängeln (etwa wegen mangelhafter Software-Entwicklungsprozesse bei den Lieferanten) beruhende Risiken an Bedeutung. Sie könnten es böswilligen Akteuren auch leichter machen, in die Produkte schwierig entdeckbare Hintertüren einzuschleusen.
  • Aufgrund der neuen Leistungsmerkmale und Funktionen der 5G-Netzarchitektur werden bestimmte Teile oder Funktionen der Netzwerkausstattung, etwa Basisstationen oder zentrale technische Verwaltungsfunktionen, immer anfälliger.
  • Eine erhöhte Anfälligkeit für Risiken aus der Abhängigkeit der Mobilnetzbetreiber von den Lieferanten. Dies wird auch zu einer höheren Anzahl für böswillige Akteure nutzbarer Angriffswege führen und den potenziellen Schweregrad der Auswirkungen solcher Angriffe steigern. Unter den verschiedenen potenziellen Akteuren gelten Nicht-EU-Länder oder staatlich unterstützte Täter als die gefährlichsten; bei ihnen gilt die Wahrscheinlichkeit, dass sie 5G-Netze zum Angriffsziel wählen, als am höchsten.
  • Angesichts der erhöhten Anfälligkeit für lieferantengeförderte Angriffe erlangt das Risikoprofil einzelner Lieferanten, u.a. die Wahrscheinlichkeit ihrer Beeinflussbarkeit durch ein Nicht-EU-Land, besondere Bedeutung.
  • Erhöhte Risiken infolge stärkerer Abhängigkeiten von Lieferanten: Die bedeutende Abhängigkeit von einem einzelnen Lieferanten erhöht die Anfälligkeit für eventuelle Lieferausfälle – zum Beispiel infolge geschäftlicher Fehlschläge und ihrer Folgen. Sie verschlimmert auch die potenzielle Auswirkung von Schwachstellen oder Verwundbarkeiten und ihrer eventuellen Ausnutzung durch böswillige Akteure, speziell im Falle von Lieferanten mit einem hochgradigen Risiko.
  • Erhebliche Sicherheitsbedenken infolge von Bedrohungen für die Verfügbarkeit und Integrität der Netze: Angesichts der voraussichtlichen Funktion der 5G-Netze als Rückgrat vieler kritischer IT-Anwendungen werden – zusätzlich zu Bedrohungen für die Vertraulichkeit und den Datenschutz – die Integrität und die Verfügbarkeit dieser Netze zu schwerwiegenden Themen der nationalen Sicherheit und aus EU-Sicht zu einer bedeutenden Herausforderung für die Sicherheit.

Insgesamt schaffen diese Herausforderungen ein neues Sicherheitsparadigma, das es erforderlich macht, die derzeitige Politik und den Sicherheitsrahmen für den Sektor und sein Ökosystem neu zu beurteilen; für die Mitgliedsstaaten gilt es, die notwendigen Risikominderungsmaßnahmen zu ergreifen.

Bedrohungsszenarien – Bestandsaufnahme der Agentur der Europäischen Union für Cybersicherheit: In Ergänzung der Berichte der Mitgliedsstaaten erstellt die Agentur der Europäischen Union für Cybersicherheit eine spezielle Bestandsaufnahme der Bedrohungsszenarien für die 5G-Netze, die bestimmte, im Bericht abgedeckte technische Aspekte detaillierter erfasst.

Nächste Schritte

Bis zum 31. Dezember 2019 sollte sich die Kooperationsgruppe auf ein Instrumentarium zu Risikominderungsmaßnahmen einigen, mit denen auf die festgestellten Cybersicherheitsrisiken auf nationaler und EU-Ebene reagiert werden soll.

Bis zum 1. Oktober 2020 sollten die Mitgliedstaaten – in Zusammenarbeit mit der Kommission – die Auswirkungen dieser Empfehlung bewerten, um zu ermitteln, ob weitere Maßnahmen erforderlich sind. Bei dieser Bewertung sollten die Ergebnisse der koordinierten europäischen Risikobewertung und die Wirksamkeit der Risikominderungsmaßnahmen berücksichtigt werden.

Hintergrund

Mit Unterstützung des Europäischen Rats hatte die Kommission am 26. März 2019 eine Empfehlung zur Cybersicherheit von 5G-Netzen verabschiedet, in der die Mitgliedsstaaten aufgefordert werden, die nationalen Risikobewertungen fertigzustellen, die nationalen Maßnahmen zu überprüfen und auf EU-Ebene bei einer koordinierten Risikobewertung und einem gemeinsamen Instrumentarium zu Risikominderungsmaßnahmen zu kooperieren.

Auf nationaler Ebene hat jeder Mitgliedsstaat eine nationale Risikobewertung zu den Infrastrukturen der 5G-Netze erstellt und die Ergebnisse an die Kommission und die Agentur der Europäischen Union für Cybersicherheit ENISA übermittelt. In Übereinstimmung mit der Empfehlung der Kommission befassten sich die nationalen Risikobewertungen insbesondere mit den wichtigsten Bedrohungen und deren Urhebern, die die 5G-Netze und ihre sensiblen Komponenten sowie die einschlägigen technischen und sonstigen, auch im Rahmen der 5G-Lieferketten denkbaren Verwundbarkeiten betreffen.