BSI: Vielzahl der O-RAN-Schnittstellen und -Komponenten unsicher

Insbesondere sollte von der Annahme vertrauensunwürdiger Cloud-Betreiber Abstand genommen werden, ergab eine Studie des BSI über O-RAN.

Artikel veröffentlicht am ,
Eine Antenne von Rakuten in Japan: bald auch in Deutschland
Eine Antenne von Rakuten in Japan: bald auch in Deutschland (Bild: Rakuten)

Open RAN beinhaltet deutliche Sicherheitsrisiken. Das ist das Ergebnis einer Risikoanalyse des Barkhausen Instituts im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die am 22. November 2021 vorgestellt wurde (PDF). Arne Schönbohm, Präsident des BSI, sagte: "Die Studie demonstriert dabei anhand einer Best-/Worst-Case-Betrachtung, dass das bisherige Open-RAN noch nicht ausreichend nach Security-by-Design spezifiziert wurde und teilweise Sicherheitsrisiken aufweist."

In der Risikoanalyse konnte festgestellt werden, dass von einer Vielzahl der in O-RAN spezifizierten Schnittstellen und Komponenten mittlere bis hohe Sicherheitsrisiken ausgehen, hieß es in der Studie, die in Zusammenarbeit mit Advancing Individual Networks aus Dresden und mit Unterstützung der Secunet Security Networks erstellt wurde. Dies sei "wenig überraschend, da sich der aktuelle Entwicklungsprozess der O-RAN-Spezifikationen nicht an dem Paradigma von Security/Privacy by Design/Default orientiert und auch die Prinzipien der mehrseitigen Sicherheit - also minimale Vertrauenswürdigkeitsannahmen bezogen auf alle Beteiligten - nicht berücksichtigt worden seien."

Open RAN: Sicherheitsmaßnahmen verpflichtend vorschreiben

Die Prozesse bei der Erstellung der O-RAN-Spezifikationen sollten entsprechend angepasst werden, indem Sicherheitsexperten bei der Erstellung der Standards hinzugezogen würden. "Die aktuell nur optional vorgesehenen Sicherheitsmaßnahmen sollten verpflichtend vorgeschrieben sein. Dabei sollte gleichzeitig eine Unterstützung veralteter Sicherheitsprotokolle oder als unsicher anzusehender kryptographischer Algorithmen explizit ausgeschlossen sein. So sollte statt der Verwendung von SSH besser TLS zur Transportabsicherung verwendet werden." Daten und Programme sollten nicht nur bei der Übertragung gesichert werden, sondern auch bei der persistenten Speicherung.

Besonderes Augenmerk sollte auf die Absicherung der zugrundeliegenden Cloud-Infrastruktur gelegt werden. Insbesondere sollte man von der Annahme vertrauenswürdiger Cloud-Betreiber Abstand nehmen.

Open RAN bedeutet Cloud, virtualisierte Netzwerkelemente, White-Box-Hardware und standardisierte Schnittstellen. Auf proprietäre, hochentwickelte Chips der Ausrüster muss damit verzichtet werden. Open RAN ist fast komplett von den USA dominiert. Aus Japan kommt Rakuten als Netzbetreiber und Generalunternehmer für das 1&1-Mobilfunknetz in Deutschland.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Politische Ansichten auf Google Drive
Letzte Generation mit Datenschutz-Super-GAU

Die Aktivisten der Letzten Generation haben Daten von Unterstützern mitsamt politischer Meinung und Gefängnisbereitschaft ungeschützt auf Google Drive gelagert.

Politische Ansichten auf Google Drive: Letzte Generation mit Datenschutz-Super-GAU
Artikel
  1. Entlassungswelle in den USA: Es könnte eine Chance für Deutschland sein
    Entlassungswelle in den USA
    Es könnte eine Chance für Deutschland sein

    In den USA entlassen IT-Firmen Zehntausende Beschäftigte. Ist das der Anfang einer Krise in der Technologiebranche, die auch deutsche Firmen trifft?
    Ein Bericht von Peter Ilg

  2. Suchmaschine: Bing mit ChatGPT war für kurze Zeit online
    Suchmaschine
    Bing mit ChatGPT war für kurze Zeit online

    Microsoft will ChatGPT in die Suchmaschine Bing einbauen. Was uns erwartet, konnten einige Nutzer kurzfristig sehen.

  3. Nach Prämiensenkung: Weniger Marktanteil für Elektroautos 2023 erwartet
    Nach Prämiensenkung
    Weniger Marktanteil für Elektroautos 2023 erwartet

    Die Förderprämien für Elektroautos wurden gesenkt, was nach Ansicht der Autohersteller zu einem Rückgang des Marktanteils führen wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Roccat Magma + Burst Pro 59€ • Roccat Vulcan 121 89,99€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate: Toshiba MG10 20 TB 299€ • Alternate Weekend Sale • MindStar: Fastro MS200 SSD 2TB 95€ • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • RAM-Tiefstpreise • PCGH Cyber Week [Werbung]
    •  /