Mit der 5G NR gNodeB des Mobilfunkausrüsters ZTE Corporation hat die TÜV Informationstechnik GmbH (TÜVIT) in einem Pilotverfahren erstmalig ein 5G-Produkt nach dem NESAS-Zertifizierungsschema (NESAS CCS-GI) geprüft. Mit der abschließenden offiziellen Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann der Telekommunikationsausrüster die IT-Sicherheitseigenschaften seiner 5G-Komponente ab sofort durch ein unabhängiges Zertifikat belegen.
Geringere Latenzzeiten, höhere Übertragungsgeschwindigkeiten, bessere Netzstabilität – 5G bringt viele Vorteile mit sich, birgt allerdings auch eine erhöhte Gefahr durch Cyberangriffe. Denn mit der Vielzahl vernetzter Geräte steigt gleichzeitig auch die Zahl potenzieller Angriffspunkte. Um das Vertrauen in die IT-Sicherheit verschiedenster 5G-Mobilfunkkomponenten zu stärken, haben das 3rd Generation Partnership Project (3GPP) und die GSM Association (GSMA) das gemeinsame Bewertungsschema Network Equipment Security Assurance Scheme, kurz NESAS, entwickelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dieses Schema wiederum in ein nationales Zertifizierungsschema zur Produktzertifizierung überführt: Das NESAS Cybersecurity Certification Scheme – German Implementation (NESAS CCS-GI).1
Mit ZTE Corporation hat nun der erste Mobilfunkausrüster im Rahmen eines Pilotprojektes das Prüf- und Zertifizierungsverfahren nach NESAS CCS-GI erfolgreich durchlaufen. Dies besteht grundsätzlich aus zwei Bereichen: Der Auditierung der Entwicklungs- und Lebenszyklusprozesse sowie der Evaluierung der betrachteten technischen Fähigkeiten eines Netzwerkproduktes. Die Bewertung des Produktes erfolgte im Fall von ZTE durch TÜVIT als anerkannte Prüfstelle für NESAS CCS-GI.
Im Rahmen des gemeinsamen Pilotprojektes wurde die entwickelte Prüfmethodik erstmalig in der Praxis angewendet. Dem ging ein komplexer Versuchsaufbau voraus, in dessen Rahmen unter anderem eine 5G-Funkbasisstation (gNodeB) des Herstellers installiert sowie ein komplettes 5G Kernnetz nachgebildet wurde. Um die Voraussetzungen für die erfolgreiche Durchführung der Prüfung zu schaffen, lieferten Schwertransporter mehrere Tonnen schweres Equipment in die TÜVIT-Räumlichkeiten auf dem TÜV NORD CAMPUS in Essen, das in enger Zusammenarbeit mit den Techniker:innen von ZTE aufgebaut wurde. Im Anschluss daran machten sich die IT-Sicherheitexpert:innen mit dem dahinterstehenden System vertraut und begannen mit dem Testen der 5G NR gNodeB gemäß der Prüfungsanforderungen von NESAS CCS-GI. Hierzu gehörten standardisierte Sicherheitstests sowie diverse Testfälle.
Während der gesamten Testzeit standen die Expert:innen von TÜVIT in kontinuierlichem Austausch mit dem BSI, um zu berichten, wie die Durchführung der festgelegten Tests in der Praxis funktioniert sowie Feedback in Bezug auf definierte Anforderungen zu geben. „Das Pilotprojekt mit ZTE und die damit einhergehenden Erfahrungen und Erkenntnisse haben entscheidend dazu beigetragen, die NESAS CCS-GI-Zertifizierung weiter voranzutreiben“, so Lisa Jäger, IT-Sicherheitsberaterin bei TÜVIT. „Damit hat das noch recht junge Zertifizierungsschema seine Bewährungsprobe offiziell bestanden. Entscheidend für den erfolgreichen Abschluss des Projektes war dabei das gute Zusammenspiel aus einem fachlich versierten Team bei TÜVIT und einem Hersteller, der sich den Anforderungen selbstbewusst gestellt hat."
1 Die Zertifizierung nach NESAS CCS-GI ersetzt nicht die Prüfung kritischer Komponenten nach §9b BSIG im Hinblick auf eine voraussichtliche Beeinträchtigung der öffentlichen Ordnung oder Sicherheit.
Geringere Latenzzeiten, höhere Übertragungsgeschwindigkeiten, bessere Netzstabilität – 5G bringt viele Vorteile mit sich, birgt allerdings auch eine erhöhte Gefahr durch Cyberangriffe. Denn mit der Vielzahl vernetzter Geräte steigt gleichzeitig auch die Zahl potenzieller Angriffspunkte. Um das Vertrauen in die IT-Sicherheit verschiedenster 5G-Mobilfunkkomponenten zu stärken, haben das 3rd Generation Partnership Project (3GPP) und die GSM Association (GSMA) das gemeinsame Bewertungsschema Network Equipment Security Assurance Scheme, kurz NESAS, entwickelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dieses Schema wiederum in ein nationales Zertifizierungsschema zur Produktzertifizierung überführt: Das NESAS Cybersecurity Certification Scheme – German Implementation (NESAS CCS-GI).1
Mit ZTE Corporation hat nun der erste Mobilfunkausrüster im Rahmen eines Pilotprojektes das Prüf- und Zertifizierungsverfahren nach NESAS CCS-GI erfolgreich durchlaufen. Dies besteht grundsätzlich aus zwei Bereichen: Der Auditierung der Entwicklungs- und Lebenszyklusprozesse sowie der Evaluierung der betrachteten technischen Fähigkeiten eines Netzwerkproduktes. Die Bewertung des Produktes erfolgte im Fall von ZTE durch TÜVIT als anerkannte Prüfstelle für NESAS CCS-GI.
Im Rahmen des gemeinsamen Pilotprojektes wurde die entwickelte Prüfmethodik erstmalig in der Praxis angewendet. Dem ging ein komplexer Versuchsaufbau voraus, in dessen Rahmen unter anderem eine 5G-Funkbasisstation (gNodeB) des Herstellers installiert sowie ein komplettes 5G Kernnetz nachgebildet wurde. Um die Voraussetzungen für die erfolgreiche Durchführung der Prüfung zu schaffen, lieferten Schwertransporter mehrere Tonnen schweres Equipment in die TÜVIT-Räumlichkeiten auf dem TÜV NORD CAMPUS in Essen, das in enger Zusammenarbeit mit den Techniker:innen von ZTE aufgebaut wurde. Im Anschluss daran machten sich die IT-Sicherheitexpert:innen mit dem dahinterstehenden System vertraut und begannen mit dem Testen der 5G NR gNodeB gemäß der Prüfungsanforderungen von NESAS CCS-GI. Hierzu gehörten standardisierte Sicherheitstests sowie diverse Testfälle.
Während der gesamten Testzeit standen die Expert:innen von TÜVIT in kontinuierlichem Austausch mit dem BSI, um zu berichten, wie die Durchführung der festgelegten Tests in der Praxis funktioniert sowie Feedback in Bezug auf definierte Anforderungen zu geben. „Das Pilotprojekt mit ZTE und die damit einhergehenden Erfahrungen und Erkenntnisse haben entscheidend dazu beigetragen, die NESAS CCS-GI-Zertifizierung weiter voranzutreiben“, so Lisa Jäger, IT-Sicherheitsberaterin bei TÜVIT. „Damit hat das noch recht junge Zertifizierungsschema seine Bewährungsprobe offiziell bestanden. Entscheidend für den erfolgreichen Abschluss des Projektes war dabei das gute Zusammenspiel aus einem fachlich versierten Team bei TÜVIT und einem Hersteller, der sich den Anforderungen selbstbewusst gestellt hat."
1 Die Zertifizierung nach NESAS CCS-GI ersetzt nicht die Prüfung kritischer Komponenten nach §9b BSIG im Hinblick auf eine voraussichtliche Beeinträchtigung der öffentlichen Ordnung oder Sicherheit.
