In einem Pilotverfahren hat die TÜV Informationstechnik (TÜVIT) erstmalig ein 5G-Produkt nach dem NESAS-Zertifizierungsschema (NESAS CCS-GI) geprüft. Nach der offiziellen Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann der Mobilfunkausrüster ZTE nun die IT-Sicherheitseigenschaften seiner 5G-Komponente durch ein unabhängiges Zertifikat belegen.
Geringere Latenzzeiten, höhere Übertragungsgeschwindigkeiten, bessere Netzstabilität – 5G bringt viele Vorteile mit sich, birgt allerdings auch eine erhöhte Gefahr durch Cyberangriffe. Denn mit der Vielzahl vernetzter Geräte steigt gleichzeitig auch die Zahl potenzieller Angriffspunkte. Um das Vertrauen in die IT-Sicherheit verschiedenster 5G-Mobilfunkkomponenten zu stärken, haben das 3rd Generation Partnership Project (3GPP) und die GSM Association (GSMA) das gemeinsame Bewertungsschema Network Equipment Security Assurance Scheme, kurz NESAS, entwickelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dieses Schema wiederum in ein nationales Zertifizierungsschema zur Produktzertifizierung überführt: Das NESAS Cybersecurity Certification Scheme – German Implementation (NESAS CCS-GI).
Mit ZTE Corporation hat nun der erste Mobilfunkausrüster im Rahmen eines Pilotprojektes das Prüf- und Zertifizierungsverfahren nach NESAS CCS-GI erfolgreich durchlaufen. Dies besteht grundsätzlich aus zwei Bereichen: Der Auditierung der Entwicklungs- und Lebenszyklusprozesse sowie der Evaluierung der betrachteten technischen Fähigkeiten eines Netzwerkproduktes. Die Bewertung des Produktes erfolgte im Fall von ZTE durch TÜVIT als anerkannte Prüfstelle für NESAS CCS-GI.
Entscheidender Beitrag für die NESAS CCS-GI-Zertifizierung
Im Rahmen des gemeinsamen Pilotprojektes wurde die entwickelte Prüfmethodik erstmalig in der Praxis angewendet. Dem ging ein komplexer Versuchsaufbau voraus, in dessen Rahmen unter anderem eine 5G-Funkbasisstation (gNodeB) des Herstellers installiert sowie ein komplettes 5G-Kernnetz nachgebildet wurde. Um die Voraussetzungen für die erfolgreiche Durchführung der Prüfung zu schaffen, lieferten Schwertransporter mehrere Tonnen schweres Equipment in die TÜVIT-Räumlichkeiten auf dem TÜV NORD CAMPUS in Essen. Dieses wurde in enger Zusammenarbeit mit den Techniker von ZTE aufgebaut. Im Anschluss daran machten sich die IT-Sicherheitexperten mit dem dahinterstehenden System vertraut und begannen mit dem Testen der 5G NR gNodeB gemäß der Prüfungsanforderungen von NESAS CCS-GI. Hierzu gehörten standardisierte Sicherheitstests sowie diverse Testfälle.
Während der gesamten Testzeit standen die Experten von TÜVIT in kontinuierlichem Austausch mit dem BSI, um zu berichten, wie die Durchführung der festgelegten Tests in der Praxis funktioniert sowie Feedback in Bezug auf definierte Anforderungen zu geben. „Das Pilotprojekt mit ZTE und die damit einhergehenden Erfahrungen und Erkenntnisse haben entscheidend dazu beigetragen, die NESAS CCS-GI-Zertifizierung weiter voranzutreiben“, sagt Lisa Jäger, IT-Sicherheitsberaterin bei TÜVIT. Damit habe das noch recht junge Zertifizierungsschema seine Bewährungsprobe offiziell bestanden. Entscheidend für den erfolgreichen Abschluss des Projektes sei dabei das gute Zusammenspiel aus einem fachlich versierten Team bei TÜVIT und einem Hersteller, der sich den Anforderungen selbstbewusst gestellt habe, so Jäger weiter. (ah)