Anzeige

5G

Sicherheitsforscher von der Purdue University und der University of Iowa haben auf der Sicherheits-Konferenz der Association for Computing Machinery in London nahezu ein Dutzend von Schwachstellen in 5G-Protokollen thematisiert.

Nach Aussagen der Forscher können die Schwachstellen benutzt werden, um den Standort eines Benutzers in Echtzeit offenzulegen, Notfallalarme vorzutäuschen und so möglicherweise eine Panikreaktion auszulösen. Es sei daher möglich, ein 5G-vernetztes Telefon unbemerkt gänzlich vom Netzwerk abzukoppeln.

Dazu ein Kommentar von Sam Curry, CSO von Cybereason:

Ich persönlich bin über diese Entwicklungen bei 5G nicht wirklich überrascht. Forscher der Purdue University und der Iowa University sind ausgezeichnet. 5G ist eine sehr vielversprechende, aber auch eine sehr neue Technologie. Mit Fortschritt ist immer ein massiver Anstieg der Risiken verbunden. Nach und nach lernen wir, sie zu kompensieren und uns an die neuen Voraussetzungen anzupassen. Sicherheit sollte kein "Abteilung Nein" sein, sondern eine "Abteilung Ja". Und die sollte Wege beschreiten, um gleichzeitig vernetzt und widerstandsfähig zu sein.

Bremsen beim Auto sind nicht dazu da, ein Fahrzeug zu stoppen. Sie sind dazu da, dass wir auch bei hohen Geschwindigkeiten ein Gefühl der Sicherheit haben. Trotzdem. Wir lesen inzwischen bereits von quasi lebensbedrohlichen Services, die in autonomen Fahrzeugen zum Tragen kommen oder von Remote-Chirurgie über 5G. Szenarien, die uns durchaus bedenklich stimmen können in einer Welt, in der Vertraulichkeit, Integrität und Verfügbarkeit nicht länger gewährleistet zu sein scheinen. 

Grundsätzlich gibt es eine Reihe von Bedenken rund um die 5G-Ausstattung, und das (mangelnde) Vertrauen in die Hersteller steht ganz oben auf der Liste. 5G hat einiges an Risikopotential in sich. Etwa zu viel Rechnerleistung an den Endpunkten zu konzentrieren, um Mesh-Netzwerke zu unterstützen. Dieser Typ von Netzwerke wird bei Demonstranten und Dissidenten zusehends populärer.

Eine Reihe weiterer Szenarien ist hypothetisch denkbar. Die Geräte können beispielsweise über RF gestört werden (das ist ein Fakt), sie können von Hackivisten nur mit einem Schraubenzieher angegriffen oder von böswillig agierenden Lieferanten kontrolliert werden. Die eigentliche Frage ist jedoch, welche Dienste ausgesprochen kritisch sind und nicht über einen Single-Point-of-Failure wie ein Mobiltelefon betrieben werden sollten. 

5G verspricht Beschleunigung in einem dramatischen Ausmaß. Dementsprechend hat jede einzelne Schwachstelle massive Auswirkungen. Die Tatsache, dass sich viele 4G-Ressourcen problemlos aufrüsten lassen, macht den Handlungsbedarf um so dringender. Man sollte auch nicht unerwähnt lassen, dass einige Länder, darunter die Schweiz, beim 5G-Rollout einen Gang zurück geschaltet haben, bis man ein besseres Verständnis für die inhärenten Sicherheitsrisiken entwickelt habe. Insbesondere was kritische Infrastrukturen anbelangt. 

Jeder ist in der einen oder anderen Hinsicht einem Risiko ausgesetzt. Das darf aber nicht als Entschuldigung dienen, die Dinge schlimmer zu machen als sie sind. Sicherheit besteht nicht ausschließlich darin, Sicherheitsschwachstellen ausfindig zu machen. Wir haben kollektiv dazu beizutragen, die Dinge nicht weniger schlimm zu machen. Wenn Standorte auf so vielfältige Art und Weise nachvollzogen werden können, sollten wir das nicht noch einfacher und noch billiger machen. Vielmehr sind wir verantwortlich dafür, das Problem erst einmal in den Griff zu bekommen. 

Bei der Entwicklung und seitens der Telekommunikationsanbieter gibt es bereits Fortschritte beim Thema Sicherheit. Aber es gibt noch einiges zu tun, wenn wir gleichzeitig vernetzter und widerstandsfähiger sein wollen. Wir müssen Technologien verantwortlich einsetzen und für Redundanz sorgen. Wir müssen Hardware ‚Roots of Trust‘ in die Geräte integrieren und Authentifizierungs-Modelle verbessern. Und wir wollen ja beides: vernetzter und sicherer sein. Hier sind wir mehr als bisher gefordert. Denn sobald wir Technologien wie diese ausrollen, werden wir sie auch benutzen. Die Situation wird sich mit dem massiven Markteintritt von OT- und IoT-Geräten weiter verschärfen. Das mag in erster Linie für städtische Ballungsräume gelten, wo wir mehr IoT-Geräte nutzen als jede Generation vor uns. Aber die Technologie wird kommen. Telkos müssen sich angesichts neuer Services um ein grundlegendes Sicherheitsmodell bemühen. Sie sollten sich jetzt Gedanken machen, was sie über ihre Netze transportieren wollen und was nicht. Und nicht erst dann, wenn sich der Zug in voller Fahrt nicht mehr stoppen lässt. 

Ich habe es schon gesagt: Bremsen sind nicht ausschließlich dazu da, ein Fahrzeug zum Stehen zu bringen. Sie sind auch dazu da, uns das Sicherheitsgefühl zu geben, schnell zu fahren. Ganz ähnlich verhält es sich hier. Die Herausforderungen richten sich gleichermaßen an Sicherheitsexperten wie an uns als Kollektiv.

www.cybereason.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!