Die Zertifizierung von Produkten, Diensten und Prozessen ist grundsätzlich ein probates Mittel die Sicherheit zu erhöhen. Gleichzeitig ist darauf Bedacht zu nehmen, in einer Industrie mit häufigen Produkt- und Update-Zyklen nicht Dynamik und Innovationskraft zu reduzieren. Die RTR wirkt in den europäischen Arbeitsgruppen zum Thema einer 5G-Cybersicherheitszertifizierung mit. Nachfolgend ein kurzes Update zur Entwicklung eines EU-5G-Schemas.
Die Agentur der Europäischen Union für Cybersicherheit (ENISA), hat sich der Erreichung eines hohen gemeinsamen Niveaus an Cybersicherheit verschrieben. Die 2004 gegründete und durch den Rechtsakt zur Cybersicherheit ("Cybersecurity Act" CSA) gestärkte Agentur leistet einen Beitrag zur EU-Cybersicherheitspolitik, stärkt die Vertrauenswürdigkeit von IKT-Produkten, -Diensten und -Prozessen mit Cybersicherheits-Zertifizierungssystemen, arbeitet mit Mitgliedstaaten und EU-Einrichtungen zusammen und hilft Europa, sich auf die Cyber-Herausforderungen von morgen vorzubereiten. Um die Cybersicherheit im Bereich 5G zu unterstützen und zu verbessern, hat die EU-Kommission die Agentur – im Einklang mit dem Mandat der ENISA gemäß Artikel 8 (1) (b) des CSA – aufgefordert, diesen Kandidaten für ein europäisches Cybersicherheitszertifizierungsschema für 5G-Netze vorzubereiten ("EU 5G Scheme"). In diesem Rahmen hat die ENISA im Juni 2021 einen Aufruf zur Interessenbekundung an der 5G-Ad-hoc-Arbeitsgruppe ("Ad Hoc Working Group" AHWG) gemäß Artikel 49 (4) des CSA und des entsprechenden Beschlusses des ENISA-Vorstands veröffentlicht.
In Bezug auf den Kontext, in dem die Zertifizierung angewendet werden soll, konzentriert sich das 5G-Schema der EU auf zertifizierte Sicherheit für teilnehmerbezogene Anwendungsfälle des 5G-Ökosystems, wie z.B. die Lieferung und Bereitstellung von 5G-Netzausrüstung, Verwaltung von Teilnehmeridentitäten, ferngesteuerte SIM-Bereitstellung, 5G-Authentifizierung (inkl. Roaming) und Konnektivitätsdienste für Teilnehmer.
Das Programm zur Vorbereitung des EU-5G-Schemas besteht aus zwei Phasen. Die erste Phase umfasst die "Ist"-Übersetzung von Elementen bestehender Schemata in ihre EU-Äquivalente, die Identifizierung von Sicherheits- und Zertifizierungsanforderungen für die relevanten Anwendungsfälle, Komponenten und Prozesse auf der Grundlage der Risikobewertung ihrer beabsichtigten Verwendung und die Identifizierung von Lücken sowie ein erster Aufriss über die notwendigen Erweiterungen und/oder Verbesserungen der "Ist"-Versionen der Zertifizierungsmittel. Hier ist die Arbeit der AHWG in drei Work Streams (WS) unterteilt: WS1: "Ist"-Übersetzung bestehender Systemelemente in ein EU-Äquivalent auf Basis von GSMA NESAS; WS2: "Ist"-Übersetzung bestehender Systemelemente in ein EU-Äquivalent auf Basis von GSMA SAS-SM und SAS-UP und eUICC (eSIM) Zertifizierungssystem; WS3: Risikobasierte Definition von Sicherheits- und Zertifizierungsanforderungen für Komponenten, die die oben genannten Anwendungsfälle unterstützen und dazugehörige Gap-Analyse.
In der zweiten Phase ist die Implementierung von Erweiterungen und Verbesserungen und die Vorbereitung und Ausarbeitung des EU 5G-Schemas vorgesehen, die maßgeblich durch die Ergebnisse der Gap-Analyse am Ende der Phase 1 festgelegt wird.
Die in die AHWG berufenen Mitglieder vertreten verschiedene 5G-Interessenvertreter mit unterschiedlichen Fachgebieten wie Verbraucherinteressengruppen, Standardentwicklungsorganisationen, Mobilfunknetzbetreiber und -diensteanbieter, Netzwerkausrüstungslieferanten, eUICC/eSIM-Lieferanten, Anbieter von Teilnehmerverwaltungsplattformen und -diensten (SM-DP+, SM-DS), Anbieter von Mobilfunkendgeräten sowie Konformitätsbewertungsstellen und Prüflabors. Darüber hinaus sind in der AHWG auch ernannte Beobachter aus den Mitgliedstaaten vertreten, die ein Interesse daran haben, die Entwicklungen des 5G-Cybersicherheitszertifizierungsschema zu verfolgen.
Wie lange dauert es nun noch, bis 5G tatsächlich zertifiziert werden kann? Die Arbeiten am 5G-Cybersicherheitszertifizierungschema sind derzeit am Anfang und bis zum Abschluss wird es realistisch betrachtet wohl noch das eine oder andere Jahr dauern. Die seitens ENISA Anfang Juni 2022 veranstaltete "Cybersecurity Certification Conference 2022" konnte einige Einblicke in das spannende aber auch hochkomplexe Thema der Entwicklung und Zukunft der EU-weiten Zertifizierungsschemata preisgeben.