Over the past few years, I have witnessed a growing focus in Europe on telecom and 5G security. Many service providers in the region are evolving cybersecurity practices and postures, both for existing 4G networks and also for planned 5G deployments, many of which are launching now. This increased focus is in reaction to the growing number of cyberthreats on mobile networks, as well as the realisation that security can be a service differentiator. It also comes in response to growing expectations by government policymakers.

As the world’s leading cybersecurity company, Palo Alto Networks works with service providers and enterprises globally that rely on mobile networks. We have completed numerous deployments around the world enabling our customers to detect and prevent mobile protocol-specific threats, malware and other vulnerabilities within mobile networks. We’re seeing cyberattacks on these networks continue to grow in volume and sophistication, attacking network infrastructure, applications, services and the customers’ own end-users (both enterprises and consumers). In the future, cyberattackers can potentially leverage 5G speeds-- as well as the expanding attack surface resulting from the sheer volume of IoT devices that will attach to 5G networks-- to accelerate the pace of attacks or breaches. All of this makes securing networks, data, IoT devices and enterprise services essential. To meet these challenges, Palo Alto Networks recently introduced the industry’s first 5G-native security solution, which includes containerized 5G security, real-time correlation of threats to 5G identifiers and 5G network slice security.

European governments understand what is at stake, issuing legislation and guidance encouraging organisations to secure and stop cyberthreats on mobile networks. In April 2020, Germany’s telecommunications regulator, Bundesnetzagentur, issued a draft “Catalogue of Security Requirements for Operating Telecommunications and Data Processing Systems, and for Processing Personal Data, Version 2.0”. Annex I, Section 2.2 of Germany’s catalogue requires “telecommunications service providers with an IP infrastructure” to regularly monitor traffic data for any abnormalities “in order to detect attacks or faults” and to implement a suitable monitoring infrastructure that “should be able to continuously identify and prevent threats”. Germany’s guidance is laudable because it recognises that monitoring for threats and preventing attacks in realtime is essential to reducing the volume and impact of cyberattacks on national infrastructure, government networks, businesses and citizens. The security requirements will reportedly be officially announced in a federal gazette before the end of 2020.

It is worth noting that Germany’s effort is in the context of government activity throughout Europe. In January 2020, the European Commission published the Toolbox on 5G Cybersecurity for EU member states. The Toolbox recommends 19 strategic and technical measures member states can implement to strengthen the security of their 5G networks, based on domestic risk assessments. These measures include strict access controls, the “least privileged” principle, segmentation of duties and authentication, authorisation, logging and auditing. While voluntary, implementation of the Toolbox is happening at national levels, as indicated in a July 2020 report. In some cases, this is aligned with transposition into domestic law of the European Electronic Communications Code (EECC), a vast new EU telecom law that member states are supposed to implement by December 2020. The EECC’s security requirements, Articles 40 and 41, call on providers of public electronic communications networks or publicly available electronic communications services to “take appropriate and proportionate technical and organisational measures to appropriately manage the risks posed to the security of networks and services”. These measures should have “regard to the state of the art”, “ensure a level of security appropriate to the risk presented”, and “prevent and minimise the impact of security incidents on users and on other networks and services”. The European Cybersecurity Agency, ENISA, issued two documents on December 10 for member states’ national regulatory agencies to help them implement these provisions: the Guideline on Security Measures Under the EECC and a 5G Supplement to this Guideline.

Legislation and guidance notwithstanding, many European service providers have already begun to invest in proven, state-of-the-art security tools and capabilities to secure networks, driven in part by ongoing news about vulnerabilities in 4G and 5G mobile technologies. These investments are in solutions for realtime mitigation, authentication and access control, network segmentation and container security. Service providers also are prioritising “Zero Trust Architectures”, prevention and automation. Importantly, there is a growing understanding of the need to maintain constant monitoring and enforcement to be able to detect and stop cybersecurity threats within mobile traffic in realtime. In fact, GSMA, the industry association representing the interests of mobile operators worldwide, including more than 200 European operators, issued a reference document in March 2020 that outlines recommendations for communications service providers to detect and prevent attacks on the mobile data layer against networks, services and applications.

European enterprises also are ready to adopt private 5G networks, like many of their peers globally. Germany’s Bundesnetzagentur recently awarded more than 80 licenses for spectrum in the 3700–3800MHz band to firms including Audi, Bosch and Lufthansa to use in local 5G networks. Regulators need to consider security ramifications brought by the introduction of private 5G networks.

Finally, regional groups are providing guidance on mobile security. For instance, the Switzerland-based World Economic Forum runs a cross-sector initiative aimed at accelerating a sustainable and secure transition to the next generation of mobile networks. The initiative identifies and communicates to senior leaders the emergent security risks and systemic challenges of mobile networks and provides key recommendations for actions that could address them.

All in all, we cannot forgo investing in cybersecurity when it comes to the future of mobile networks. This guidance and regulation of 5G security will be helpful in raising baseline security and reducing critical cyber risks. Guidance will especially help small mobile operators or operators of private 5G networks, such as enterprises, which often cannot afford cybersecurity expertise on this topic. Similar to the financial sector, regulation of mobile network security can help to increase trust in the infrastructure and technology and enable new business models. It is not surprising that some mobile network operators started to invest in mobile security a while ago, going beyond minimum requirements as a market differentiator. However, now it is the time for everybody to act. Cybersecurity must be embraced not just post-mortem, but now, in the design phase of future mobile architectures by all relevant stakeholders: mobile network providers, governments and enterprises running their own private networks. This is possible by taking a comprehensive approach to securing 5G networks and by leveraging best practices and state-of-the-art, scalable security tools and capabilities that can help secure today’s complex network infrastructures, communications and data.

In den letzten Jahren hat in Europa eine lebhafte Diskussion über die Telekommunikations- und 5G-Sicherheit stattgefunden. Viele Telekommunikationsanbieter sind aktuell mit der Entwicklung der Cybersicherheitsarchitekturen sowohl für bestehende 4G-Netze als auch für geplante 5G-Technologien beschäftigt. Viele von diesen stehen nun vor der Einführung. Dieser verstärkte Fokus ist eine Reaktion auf die wachsende Zahl von Cyberbedrohungen in mobilen Netzwerken sowie auf die Erkenntnis, dass der Aspekt “Sicherheit” ein wichtiges Unterscheidungsmerkmal für künftige Dienstleistungen wird. Es ist aber auch eine Reaktion auf die wachsenden Erwartungen der politischen Entscheidungsträger von Regierungen, wenn es um das Thema “Vertrauen in 5G Netzwerke” geht.

Als weltweit führendes Unternehmen für Cybersicherheit arbeitet Palo Alto Networks mit zahlreichen Telekommunikationsanbietern und Unternehmen auf der ganzen Welt zusammen, die auf mobile Netzwerke angewiesen sind. Wir haben weltweit zahlreiche Lösungen realisiert, die es den Kunden ermöglichen, mobile protokoll-spezifische Bedrohungen, Malware und andere Schwachstellen in Mobilfunknetzen zu mitigieren und somit mögliche Cyber-Risiken zu reduzieren. Seit einigen Jahren beobachten wir, dass die Gefahren und Cyberangriffe auf diese Netzwerke in Umfang und Ausgereiftheit weiter stark zugenommen haben. Dabei stehen nicht nur die Netzwerkinfrastrukturen und Protokolle im Fokus der Angreifer, sondern auch die angeschlossenen und zunehmend kritischen Geräte, Dienste und Anwendungen (z.B. Roboter, Drohnen, etc). Die Wirkung der möglichen Angriffe steigt also. In Zukunft wird sich das Tempo der Angriffe beschleunigen, nicht zuletzt aufgrund der höheren Geschwindigkeit, mit der 5G- Netze einhergehen, sowie durch die wachsende Angriffsfläche, die sich aus dem schieren Volumen der IoT-Geräte ergibt. All dies macht die Cybersicherheit von Netzwerken, Daten, IoT-Geräten und Unternehmensdiensten unerlässlich. Um diesen Herausforderungen zu begegnen, hat Palo Alto Networks vor kurzem die branchenweit erste 5G-native Sicherheitslösung eingeführt, die containerisierte 5G-Sicherheit, Echtzeit-Korrelation von Bedrohungen mit 5G-Identifikatoren und 5G-Network-Slice-Sicherheit umfasst.

Die europäischen Regierungen wissen sehr genau , was beim Aufbau von 5G Netzwerken auf dem Spiel steht, und erlassen daher Gesetze und Richtlinien, die Unternehmen dazu ermutigen, Cyber-Risiken in Telekommunikationsnetzwerken zu mitigieren. Im April 2020 veröffentlichte zum Beispiel die deutsche Bundesnetzagentur den Entwurf für einen „Katalog der Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen, sowie für die Verarbeitung personenbezogener Daten, Version 2.0“. Anhang I, Abschnitt 2.2 des Katalogs fordert von Anbietern von Telekommunikationsdiensten mit einer IP-Infrastruktur“, die Verkehrsdaten regelmäßig auf Auffälligkeiten zu überwachen, „um Angriffe oder Fehler zu erkennen“ und eine geeignete Monitoring-Infrastruktur zu implementieren, die in der Lage sein sollte, Bedrohungen kontinuierlich zu erkennen und zu verhindern.  Als geeignete Datenquellen für die Sicherheitsüberwachung können zum Beispiel BGP-Router, DNS-Server, E-Mail und IPSec dienen, so der Katalog. Der deutsche Leitfaden ist lobenswert, weil er verdeutlicht, dass die Überwachung von Netzwerken auf Bedrohungen und die Verhinderung von Angriffen in Echtzeit von wesentlicher Bedeutung sind, um das Volumen und die Auswirkungen von Cyberattacken auf die nationale Infrastruktur, Regierungsnetze, Unternehmen und Bürger zu verringern. Die Sicherheitsanforderungen werden Berichten zufolge noch vor Ende 2020 offiziell in einem Bundesanzeiger bekannt gegeben.

Die Bemühungen Deutschlands um die Sicherheit von 5G Netzwerkinfrastrukturen sind im  Kontext weitreichender politischer Aktivitäten in ganz Europa zu sehen. Im Januar 2020 veröffentlichte die Europäische Kommission die Toolbox zur 5G-Cybersicherheit, die den  EU-Mitgliedsstaaten dabei helfen soll, sowohl strategische wie auch technische Maßnahmen für die Sicherung von 5G Technologien umzusetzen. Zu diesen Maßnahmen gehören strenge Zugangskontrollen, das Prinzip der „geringsten Berechtigung”“ (“Geringste Berechtigung” ist das Konzept und die Praxis der Einschränkung von Zugriffsrechten für Benutzer), die Segmentierung der Netzwerke und effektive Authentifizierung, Autorisierung, Protokollierung und Prüfung. Die Umsetzung der Toolbox ist zwar freiwillig, erfolgt jedoch auf nationaler Ebene. Die Toolbox ist in gewissem Masse der empfohlene “Werkzeugkasten” für die Mitgliedstaaten, um den europäischen Kodex für elektronische Kommunikation (EECC) als ein umfangreiches neues EU-Telekommunikationsrecht, in nationales Recht, bis Dezember 2020 umzusetzen. 

Die Sicherheitsanforderungen des EECC in Artikel 40 und 41 fordern die Anbieter von öffentlichen elektronischen Kommunikationsnetzen oder öffentlich zugänglichen elektronischen Kommunikationsdiensten auf, „angemessene und verhältnismäßige technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit von Netzen und Diensten angemessen zu handhaben“. Diese Maßnahmen sollten „den Stand der Technik berücksichtigen“, „ein dem vorhandenen Risiko angemessenes Sicherheitsniveau gewährleisten“ und „die Auswirkungen von Sicherheitsvorfällen auf Nutzer und andere Netze und Dienste verhindern und auf ein Mindestmaß beschränken“.

Dazu hat die Europäische Agentur für Cybersicherheit (ENISA) am 10. Dezember 2020 zwei Dokumente für die nationalen Regulierungsbehörden der Mitgliedstaaten herausgegeben, um sie bei der Umsetzung dieser Bestimmungen zu unterstützen: die Leitlinie für Sicherheitsmaßnahmen im Rahmen des EECC und eine 5G-Ergänzung zu dieser Leitlinie. 

Ungeachtet der Gesetzgebung und Richtlinien haben viele europäische Dienstanbieter bereits begonnen, in bewährte, hochmoderne Sicherheitstools und -fähigkeiten zur Sicherung von Netzwerken zu investieren. Dies gilt insbesondere seit dem Aufkommen von Sicherheitslücken in 4G und 5G Protokollen. Bei diesen Investitionen handelt es sich vor allem um Lösungen für Echtzeitabwehr, Authentifizierung und Zugangskontrolle, Netzwerksegmentierung und Containersicherheit. Die Telekommunikationsdiensteanbieter folgen damit den bewährten Prinzipien wie Zero-Trust-Architekturen, Prävention und Automatisierung. Wichtig ist, dass sich Netzbetreiber zunehmend der Notwendigkeit bewusst werden, eine ständige Echtzeit-Überwachung und -Regeldurchsetzung aufrechtzuerhalten, um jederzeit in der Lage zu sein, Cyber-Sicherheitsbedrohungen im mobilen Verkehr fortlaufend zu erkennen und zu stoppen. In diesem Zusammenhang hat die GSMA, der Branchenverband, der die Interessen von Mobilfunkbetreibern weltweit vertritt, darunter mehr als 200 europäische Betreiber, im März 2020 ein Referenzdokument herausgegeben, das Empfehlungen für Telekommunikationsdiensteanbieter zur Erkennung und Verhinderung von Angriffen auf die GPRS-Tunnelprotokoll-Nutzerebene (GTP-U) gegen Mobilfunknetze, -dienste und -anwendungen enthält.

Neben den Telekommunikationsanbietern, bereiten sich aber auch die Unternehmen darauf vor, private 5G-Netze zu nutzen. Zum Beispiel hat die deutsche Bundesnetzagentur kürzlich mehr als 80 Lizenzen für Frequenzen im Frequenzband von 3.700 bis 3.800 MHz an Firmen wie Audi, Bosch und Lufthansa zur Nutzung von lokalen 5G-Netzen vergeben. Dabei ist es dringend notwendig, dass die Regulierungsbehörden auch diese privaten 5G Netzwerke nicht außer acht lassen. Vielen kritische Anwendungsfälle wie Industrieroboter oder selbstfahrende Fahrzeuge werden nämlich vor allem in privaten und nicht in den öffentlichen 5G-Netzwerken umgesetzt.  

Auch viele internationale Verbände beschäftigen sich aktuell mit dem Thema 5G Sicherheit. So führt beispielsweise das in der Schweiz ansässige Weltwirtschaftsforum eine branchenübergreifende Initiative durch, die einen nachhaltigen und sicheren Übergang zur nächsten Generation von Mobilfunknetzen beschleunigen soll. Das Ziel der Initiative ist es, hochrangigen Führungskräften die aufkommenden Sicherheitsrisiken und systemischen Herausforderungen von Mobilfunknetzen zu vermitteln. Dabei erarbeiten sie wichtige Empfehlungen für Maßnahmen, mit deren Hilfe diese Risiken besser verstanden und bescherrschbar gemacht werden können.

Eins steht fest: Investitionen in die Cybersicherheit werden unverzichtbar sein, wenn es um die Zukunft der Mobilfunknetze geht. Gleichzeitig wird weitere Regulierung der 5G-Sicherheit dazu beitragen, die Grundsicherheit dieser kritischen Netzwerke zu erhöhen und Cyber-Risiken zu reduzieren.  Leitlinien helfen vor allem kleinen Mobilfunkbetreibern oder Betreibern privater 5G-Netzwerke, wie z.B. Unternehmen, die sich oft keine Cybersicherheitsexpertise zu diesem Thema leisten können. 

Ähnlich wie im Finanzsektor kann die Regulierung der Sicherheit mobiler Netzwerke dazu beitragen, zum einen das Vertrauen in die Infrastruktur und Technologie zu stärken, aber auch neue Geschäftsmodelle zu ermöglichen. Es ist nicht überraschend, dass einige Telekommunikationsanbieter dieses bereits erkannt haben und Investitionen in die Cybersicherheit getätigt haben, um damit einer stärkeren Marktdifferenzierung Vorschub zu leisten und neue Geschäftsmöglichkeiten zu ermöglichen.

Jetzt ist es jedoch an der Zeit, dass alle handeln müssen. Die Cybersicherheit muss bereits in der Entwurfsphase (Stichwort: Security by Design) künftiger Telekommunikationsnetzwerke von allen relevanten Akteuren berücksichtigt werden: Mobilfunknetzbetreiber, Regierungen und Unternehmen, die ihre eigenen privaten Netzwerke betreiben. Möglich wird das nur durch einen umfassenden Ansatz, der die Risiken der angeschlossenen Geräte, der Netzwerkinfrastruktur und der eigentlichen Netzwerke berücksichtigt, und je nach Anwendungsfall entsprechend umsetzt.