BSI: Vielzahl der O-RAN-Schnittstellen und -Komponenten unsicher
Open RAN beinhaltet deutliche Sicherheitsrisiken. Das ist das Ergebnis einer Risikoanalyse des Barkhausen Instituts im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI)(öffnet im neuen Fenster) , die am 22. November 2021 vorgestellt wurde (PDF)(öffnet im neuen Fenster) . Arne Schönbohm, Präsident des BSI, sagte: "Die Studie demonstriert dabei anhand einer Best-/Worst-Case-Betrachtung, dass das bisherige Open-RAN noch nicht ausreichend nach Security-by-Design spezifiziert wurde und teilweise Sicherheitsrisiken aufweist."
In der Risikoanalyse konnte festgestellt werden, dass von einer Vielzahl der in O-RAN spezifizierten Schnittstellen und Komponenten mittlere bis hohe Sicherheitsrisiken ausgehen, hieß es in der Studie, die in Zusammenarbeit mit Advancing Individual Networks aus Dresden und mit Unterstützung der Secunet Security Networks erstellt wurde. Dies sei "wenig überraschend, da sich der aktuelle Entwicklungsprozess der O-RAN-Spezifikationen nicht an dem Paradigma von Security/Privacy by Design/Default orientiert und auch die Prinzipien der mehrseitigen Sicherheit - also minimale Vertrauenswürdigkeitsannahmen bezogen auf alle Beteiligten - nicht berücksichtigt worden seien."
Open RAN: Sicherheitsmaßnahmen verpflichtend vorschreiben
Die Prozesse bei der Erstellung der O-RAN-Spezifikationen sollten entsprechend angepasst werden, indem Sicherheitsexperten bei der Erstellung der Standards hinzugezogen würden. "Die aktuell nur optional vorgesehenen Sicherheitsmaßnahmen sollten verpflichtend vorgeschrieben sein. Dabei sollte gleichzeitig eine Unterstützung veralteter Sicherheitsprotokolle oder als unsicher anzusehender kryptographischer Algorithmen explizit ausgeschlossen sein. So sollte statt der Verwendung von SSH besser TLS zur Transportabsicherung verwendet werden." Daten und Programme sollten nicht nur bei der Übertragung gesichert werden, sondern auch bei der persistenten Speicherung.
Besonderes Augenmerk sollte auf die Absicherung der zugrundeliegenden Cloud-Infrastruktur gelegt werden. Insbesondere sollte man von der Annahme vertrauenswürdiger Cloud-Betreiber Abstand nehmen.
Open RAN bedeutet Cloud, virtualisierte Netzwerkelemente, White-Box-Hardware und standardisierte Schnittstellen. Auf proprietäre, hochentwickelte Chips der Ausrüster muss damit verzichtet werden. Open RAN ist fast komplett von den USA dominiert. Aus Japan kommt Rakuten als Netzbetreiber und Generalunternehmer für das 1&1-Mobilfunknetz in Deutschland.