Open-RAN Risikoanalyse – 5GRANR

Diese Studie beschäftigt sich mit der Frage, welche Sicherheitsrisiken sich aus der durch die O-RAN Alliance spezifizierten O-RAN-Umsetzung eines 3GPP-RANs ergeben. Dabei erfolgt zunächst eine funktionale Beschreibung eines 3GPP-RANs sowie der O-RAN-Architektur. Basierend darauf wurde eine Risikoanalyse vorgenommen, wobei die Schutzziele Vertraulichkeit, Integrität, Zurechenbarkeit, Verfügbarkeit und Privacy berücksichtigt werden. Zur Einschätzung der Risiken, die mit einer Schutzzielverletzung einhergehen werden dabei drei Stakeholder berücksichtig, nämlich ein Nutzer eines 5G-Netzes, der Betreiber eines 5GNetzes sowie der Staat als Persona für eine gesellschaftliche Perspektive. Da die aktuell vorliegenden O-RAN-Spezifikationen an vielen Stellen noch recht unspezifisch sind und gerade im Bereich Sicherheit wenig Vorgaben machen, wurden bei der Risikoanalyse zwei Perspektiven berücksichtigt. Zum einen eine worst-case Perspektive, in der keine der optionalen Sicherheitsmaßnahmen umgesetzt ist und eine best-case Betrachtung, bei der unterstellt wurde, dass alle (optionalen) Sicherheitsmaßnahmen auch tatsächlich umgesetzt wurden.

Bei der Risikoanalyse wurden ferner verschieden mächtige Angreifer berücksichtigt: ein außenstehender Angreifer, ein 5G-Nutzer, ein Insider, der Cloud-Betreiber sowie der RAN-Betreiber.

Im Ergebnis der Risikoanalyse konnte festgestellt werden, dass von einer Vielzahl der in ORAN spezifizierten Schnittstellen und Komponenten mittlere bis hohe Sicherheitsrisiken ausgehen. Dies ist wenig überraschend, da sich der aktuelle Entwicklungsprozess der O-RANSpezifikationen nicht an dem Paradigma von „security/privacy by design/default“ orientiert und auch die Prinzipien der mehrseitigen Sicherheit (minimale Vertrauenswürdigkeitsannahmen bezüglich aller Beteiligten) nicht berücksichtigt wurden. Im Zuge der Durchführung der Risikoanalyse konnten einige Verbesserungsmöglichkeiten zur Risikominimierung identifiziert werden. Diese finden sich als Empfehlungen am Ende der Studie. Wichtig ist, dass Sicherheitsverbesserung jetzt in die Spezifikation aufgenommen werden, um ein Sicherheitsdebakel, wie es bei der Entwicklung der 3GPP-Standards erfolgte, diesmal zu vermeiden.

Quelle / Link: Open-RAN Risikoanalyse – 5GRANR (Studie) 

Beitrag teilen
Dieser Beitrag wurde unter Datenaustausch, Datenintegrität, Forschung, IT-Sicherheit abgelegt und mit , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.