Sicherheitsforscher von der Purdue University und der University of Iowa haben auf der Sicherheits-Konferenz der Association for Computing Machinery in London nahezu ein Dutzend von Schwachstellen in 5G-Protokollen thematisiert.
Nach Aussagen der Forscher können die Schwachstellen benutzt werden, um den Standort eines Benutzers in Echtzeit offenzulegen, Notfallalarme vorzutäuschen und so möglicherweise eine Panikreaktion auszulösen. Es sei daher möglich, ein 5G-vernetztes Telefon unbemerkt gänzlich vom Netzwerk abzukoppeln.
Dazu ein Kommentar von Sam Curry, CSO von Cybereason:
Ich persönlich bin über diese Entwicklungen bei 5G nicht wirklich überrascht. Forscher der Purdue University und der Iowa University sind ausgezeichnet. 5G ist eine sehr vielversprechende, aber auch eine sehr neue Technologie. Mit Fortschritt ist immer ein massiver Anstieg der Risiken verbunden. Nach und nach lernen wir, sie zu kompensieren und uns an die neuen Voraussetzungen anzupassen. Sicherheit sollte kein “Abteilung Nein” sein, sondern eine “Abteilung Ja”. Und die sollte Wege beschreiten, um gleichzeitig vernetzt und widerstandsfähig zu sein.
Bremsen beim Auto sind nicht dazu da, ein Fahrzeug zu stoppen. Sie sind dazu da, dass wir auch bei hohen Geschwindigkeiten ein Gefühl der Sicherheit haben. Trotzdem. Wir lesen inzwischen bereits von quasi lebensbedrohlichen Services, die in autonomen Fahrzeugen zum Tragen kommen oder von Remote-Chirurgie über 5G. Szenarien, die uns durchaus bedenklich stimmen können in einer Welt, in der Vertraulichkeit, Integrität und Verfügbarkeit nicht länger gewährleistet zu sein scheinen.
Grundsätzlich gibt es eine Reihe von Bedenken rund um die 5G-Ausstattung, und das (mangelnde) Vertrauen in die Hersteller steht ganz oben auf der Liste. 5G hat einiges an Risikopotential in sich. Etwa zu viel Rechnerleistung an den Endpunkten zu konzentrieren, um Mesh-Netzwerke zu unterstützen. Dieser Typ von Netzwerke wird bei Demonstranten und Dissidenten zusehends populärer.
Eine Reihe weiterer Szenarien ist hypothetisch denkbar. Die Geräte können beispielsweise über RF gestört werden (das ist ein Fakt), sie können von Hackivisten nur mit einem Schraubenzieher angegriffen oder von böswillig agierenden Lieferanten kontrolliert werden. Die eigentliche Frage ist jedoch, welche Dienste ausgesprochen kritisch sind und nicht über einen Single-Point-of-Failure wie ein Mobiltelefon betrieben werden sollten.
5G verspricht Beschleunigung in einem dramatischen Ausmaß. Dementsprechend hat jede einzelne Schwachstelle massive Auswirkungen. Die Tatsache, dass sich viele 4G-Ressourcen problemlos aufrüsten lassen, macht den Handlungsbedarf um so dringender. Man sollte auch nicht unerwähnt lassen, dass einige Länder, darunter die Schweiz, beim 5G-Rollout einen Gang zurück geschaltet haben, bis man ein besseres Verständnis für die inhärenten Sicherheitsrisiken entwickelt habe. Insbesondere was kritische Infrastrukturen anbelangt.
Jeder ist in der einen oder anderen Hinsicht einem Risiko ausgesetzt. Das darf aber nicht als Entschuldigung dienen, die Dinge schlimmer zu machen als sie sind. Sicherheit besteht nicht ausschließlich darin, Sicherheitsschwachstellen ausfindig zu machen. Wir haben kollektiv dazu beizutragen, die Dinge nicht weniger schlimm zu machen. Wenn Standorte auf so vielfältige Art und Weise nachvollzogen werden können, sollten wir das nicht noch einfacher und noch billiger machen. Vielmehr sind wir verantwortlich dafür, das Problem erst einmal in den Griff zu bekommen.
Bei der Entwicklung und seitens der Telekommunikationsanbieter gibt es bereits Fortschritte beim Thema Sicherheit. Aber es gibt noch einiges zu tun, wenn wir gleichzeitig vernetzter und widerstandsfähiger sein wollen. Wir müssen Technologien verantwortlich einsetzen und für Redundanz sorgen. Wir müssen Hardware ‚Roots of Trust‘ in die Geräte integrieren und Authentifizierungs-Modelle verbessern. Und wir wollen ja beides: vernetzter und sicherer sein. Hier sind wir mehr als bisher gefordert. Denn sobald wir Technologien wie diese ausrollen, werden wir sie auch benutzen. Die Situation wird sich mit dem massiven Markteintritt von OT- und IoT-Geräten weiter verschärfen. Das mag in erster Linie für städtische Ballungsräume gelten, wo wir mehr IoT-Geräte nutzen als jede Generation vor uns. Aber die Technologie wird kommen. Telkos müssen sich angesichts neuer Services um ein grundlegendes Sicherheitsmodell bemühen. Sie sollten sich jetzt Gedanken machen, was sie über ihre Netze transportieren wollen und was nicht. Und nicht erst dann, wenn sich der Zug in voller Fahrt nicht mehr stoppen lässt.
Ich habe es schon gesagt: Bremsen sind nicht ausschließlich dazu da, ein Fahrzeug zum Stehen zu bringen. Sie sind auch dazu da, uns das Sicherheitsgefühl zu geben, schnell zu fahren. Ganz ähnlich verhält es sich hier. Die Herausforderungen richten sich gleichermaßen an Sicherheitsexperten wie an uns als Kollektiv.
www.cybereason.com