Private 5G-Netze gegen Cyberangriffe schützen 5G-Campusnetze: Falsches Sicherheitsgefühl birgt Gefahren 

Anbieter zum Thema

Fortinet Deutschland GmbH

Vitel GmbH

Private 5G-Campusnetze eröffnen neue Chancen für die Industrie, bringen aber auch Sicherheitsrisiken mit sich. Oft werden sie fälschlich als geschlossene Systeme betrachtet – dabei ist jede Verbindung ein potenzielles Einfallstor für Angreifer.

Der Mobilfunkstandard 5G wurde von Anfang an sowohl mit Blick auf die Bedürfnisse privater Nutzer als auch auf die Anforderungen industrieller Anwendungen entwickelt. Besonders für produzierende Unternehmen eröffnet das sogenannte 5G-Campusnetz neue Möglichkeiten: Es ermöglicht eine schnelle, drahtlose Kommunikation mit hoher Zuverlässigkeit und niedriger Latenz in einem lokal begrenzten Raum. Die Stärke privater 5G-Netze liegt dabei weniger in der Geschwindigkeit – diese kann auch WLAN bieten –, sondern vielmehr in der Skalierbarkeit, Zuverlässigkeit, Mobilität und der hohen Servicequalität.

Diese technische Innovation bringt zahlreiche Vorteile mit sich, erfordert aber auch eine kritische Auseinandersetzung mit neuen Herausforderungen, und gerade im Mittelstand fehlt es häufig an Bewusstsein, Fachwissen und Ressourcen, um sie angemessen zu begegnen. Ein weit verbreitete Fehlannahme ist, dass die physische Geschlossenheit von Campusnetzen automatisch für Security sorgt. Tatsächlich stellt jede Verbindung – sei es zum Internet, zum Unternehmensnetzwerk oder zu Edge-Computing-Systemen – ein potenzielles Einfallstor für Angreifer dar. In der Realität verfügen viele Basisinstallationen lediglich über minimale Security-Funktionen – es sei denn, spezifische Schutzmechanismen werden aktiv eingefordert.

Die vermeintliche Security durch physische Abgeschlossenheit ist also trügerisch: Sobald mehrere Standorte vernetzt, externe Systeme eingebunden oder cloudbasierte Anwendungen genutzt werden, steigen Komplexität und Risiko. Hinzu kommt: Während öffentliche 5G-Mobilfunknetze klaren regulatorischen Anforderungen unterliegen, etwa durch das BSI, gelten für private Campusnetze keine verbindlichen Security-Standards. Das überträgt die Verantwortung vollständig auf die Unternehmen selbst.

Gerade in kritischen Infrastrukturen ist deshalb ein Umdenken erforderlich: Wer die Potenziale von 5G wirklich ausschöpfen will, muss Sicherheitsrisiken frühzeitig erkennen, Verantwortung übernehmen und Cybersecurity von Anfang an strategisch verankern.

Erweiterte Security-Anforderungen in hybriden Industrieumgebungen

Die Einführung von privatem 5G in Industrieumgebungen erfordert einen Paradigmenwechsel – insbesondere für die Security. Während Betriebstechnologie (OT) früher weitgehend isoliert von IT-Systemen betrieben wurde, führt die zunehmende Digitalisierung zur Konvergenz beider Welten. SCADA-Systeme, Steuerungsanlagen und IIoT-Plattformen sind heute oft in Echtzeit mit internen und externen IT-Systemen vernetzt. Das steigert zwar Effizienz und Agilität, erhöht aber auch massiv die Angriffsfläche.

Bisher wurde die Security klassisch entlang der Purdue-Referenzarchitektur umgesetzt – ein Modell, das hierarchische Kommunikationsflüsse und klar definierte Segmentgrenzen zwischen den OT- und IT-Ebenen vorsieht. Private 5G ohne zusätzliche Sicherheitsmaßnahmen durchbricht diese Struktur: Vernetzte Geräte, Maschinen und Plattformen kommunizieren über horizontale Datenströme hinweg – unabhängig von den ursprünglich vorgesehenen Kontrollgrenzen. Damit reicht der Schutz entlang traditioneller Layer-Grenzen nicht mehr aus.

Ein erweitertes Sicherheitsmodell ist notwendig, das neue Durchsetzungspunkte für den Daten- und Kontrollfluss definiert – insbesondere entlang des 5G-Netzes selbst. Dafür braucht es:

• Transparente Security- und Kontrollmechanismen für OT- und IIoT-Umgebungen,

• Schutzfunktionen für industrielle 5G-Anwendungen und Dienste,

• Eine durchgängige Ende-zu-Ende-Security-Strategie für hybride Infrastrukturen.

Hauptangriffspunkte und Schwachstellen in 5G-Umgebungen

Um die Security eines 5G-Campusnetzes wirksam bewerten und sie gezielt schützen zu können, müssen Unternehmen zunächst ihr individuelles Risiko einschätzen. Hierzu gehört die Frage, welche Systeme kritisch sind, wie stark die Netzarchitektur nach außen geöffnet ist – etwa durch Cloud-Anbindung oder Partnerzugriffe – und welche Anwendungen über das Netz betrieben werden. Gerade bei Multi-Access Edge Computing (MEC) oder hybriden Betriebsmodellen steigt die Komplexität – und mit ihr das Angriffspotenzial.

Die Angriffsfläche in 5G-Umgebungen ist besonders groß auf drei zentralen Ebenen:

• 1. Die Management-Ebene (Management Plane) umfasst zentrale Steuerungs- und Überwachungstools wie Netzwerkmanagementsysteme (NMS), Orchestrierungsplattformen und Element Manager, die den Betrieb privater Mobilfunknetze ermöglichen. Flache Architekturen auf dieser Ebene erleichtern zwar den Zugriff auf viele Systeme, begünstigen jedoch gleichzeitig die ungehinderte Ausbreitung von Bedrohungen. Zudem erweitern komplexe Applikationslandschaften in 5G-Campusnetzen sowie eine Vielzahl offener Programmierschnittstellen (APIs) die Angriffsfläche erheblich – insbesondere durch anwendungsspezifische Angriffe und API-Missbrauch.

• 2. Auf der Kontrollebene (Control Plane), in der die Netzsignalisierung verwaltet wird, drohen gezielte Angriffe auf Steuerfunktionen oder sogenannte Signaling Storms, etwa durch kompromittierte XIoT-Geräte (Extended Internet of Things), die den Betrieb durch massenhafte Anfragen stören oder lahmlegen können.

• 3. Die User Plane und MEC-Infrastruktur sind besonders kritisch, sobald Verbindungen zum öffentlichen Internet bestehen oder mehrere Anwendungen an der Edge betrieben werden. Internetbasierte Angriffe, Schwachstellen in Anwendungen und APIs, Fernzugriffe durch Partner oder Angriffe zwischen verschiedenen Mandanten innerhalb einer geteilten Edge-Umgebung zählen zu den größten Risiken.

Unternehmen sollten diese Angriffspunkte systematisch bewerten und frühzeitig in ihre Cybersecurity-Strategie integrieren – bevor sie zum Einfallstor werden.

Effektive Cybersecurity-Maßnahmen für 5G-Campusnetze

Um die Angriffsfläche in 5G-Umgebungen wirksam zu reduzieren, braucht es mehr als klassische IT-Security-Mechanismen. Unternehmen müssen gezielt in Cybersecurity-Maßnahmen investieren, die auf die besonderen Herausforderungen von 5G zugeschnitten sind – von der Daten- bis zur Kontrollebene. Dabei sollten sie schrittweise vorgehen und mit den kritischsten Bereichen beginnen.

1. Absicherung der Datenebene

5G bietet keinen automatischen Schutz für die Datenebene – im Gegenteil, sie ist oft das primäre Angriffsziel. Daher muss die Datensicherheit oberste Priorität haben. Unternehmen benötigen vollständige Sichtbarkeit und Kontrolle über alle Datenflüsse, vom Radio Access Network (RAN) bis zu Anwendungen in der Edge- oder Cloud-Umgebung.

• Session-Korrelation zwischen Kontroll- und Datenebene ermöglicht eine feinere Sichtbarkeit und bessere Kontrolle über autorisierte Sitzungen verbundener Geräte.

• Sicherheitszonen nach dem PERA-Modell (Purdue Enterprise Reference Architecture) helfen dabei, besonders kritische Schnittstellen, wie die N6-Schnittstelle, abzugrenzen. Solche Zonen sollten auch konsequent in 5G-Netzen und MEC-Umgebungen durchgesetzt werden, um eine klare Trennung und Absicherung sensibler Bereiche zu gewährleisten.

• In MEC-Umgebungen sind eine granulare Micro-Segmentierung, der Einsatz robuster Zugriffskontrollen wie Zwei-Faktor-Authentifizierung (2FA), rollenbasierte Zugriffskontrolle (RBAC) sowie Zero Trust Network Access (ZTNA) sowie ein Fokus auf Anwendungs- und API-Security essenziell.

2. Absicherung der Management- und Kontrollebene

Auch das Netzwerkmanagement selbst ist häufig ein unterschätzter Angriffspunkt. Wer Zugriff auf zentrale Steuerungssysteme erlangt, kann ganze Produktionsprozesse kompromittieren.

• Auf der Management-Ebene sollten Perimeter-Firewalling, Micro-Segmentierung sowie starke Zugriffskontrollen (etwa durch 2FA, RBAC und ZTNA) Standard sein. Zudem sollte Privileged Access Management (PAM) eingesetzt werden, um privilegierte Zugriffe gezielt zu überwachen.

• Auf der Kontrollebene (Control Plane) wiederum ist der Schutz vor Signaling Storms entscheidend, insbesondere bei Angriffen, die durch kompromittierte Geräte oder Fehlverhalten im Bereich des XIoT verursacht werden. Hier sollten zusätzliche Maßnahmen ergriffen werden, wie die Erkennung und Blockierung von Rogue Base Stations – etwa durch Fake-APs oder IMSI-Catcher.

5G-Campusnetze sicher gestalten

5G eröffnet der Industrie enorme Potenziale – von mehr Effizienz über flexible Produktionsprozesse bis hin zu neuen Geschäftsmodellen. Doch diese Chancen lassen sich nur nutzen, wenn Security-Fragen von Beginn an systematisch und ganzheitlich adressiert werden. Entscheidend ist dabei: Private 4G/5G-Netze bieten keinen automatischen Schutz. Ihre vielfältigen Schnittstellen zu internen IT-Systemen, Partnerunternehmen, Hyperscalern oder Public-Cloud-Diensten schaffen neue, teils schwer kontrollierbare Angriffsflächen.

Deshalb ist ein neues Sicherheitsverständnis gefragt: 5G muss als integraler Bestandteil einer vernetzten, aber kontrolliert abgesicherten industriellen Infrastruktur verstanden werden. Security in 5G-fähigen Industrieumgebungen ist längst kein reines IT-Thema mehr – sie ist eine gemeinsame Verantwortung aller Beteiligten: von Unternehmen über Mobilfunkanbieter bis hin zu ICS-Herstellern, IIoT-Plattformen und Systemintegratoren. Wer 5G strategisch sicher gestaltet, schafft die Grundlage für eine resiliente und zukunftsfähige Industrie.

Über den Autor

Ronen Shpirer leitet das Solutions Marketing bei Fortinet für den Bereich Mobilfunknetzbetreiber (MNOs). Sein Schwerpunkt liegt auf der Rolle der IT-Security und entsprechenden Lösungen für innovative öffentliche und private Mobilfunknetz-Infrastrukturen und -Dienste. Er verfügt über mehr als 30 Jahre internationale Erfahrung in den Bereichen Pre-Sales und Marketing für Netzwerk- und Sicherheitslösungen – sowohl im Service-Provider- als auch im Enterprise-Umfeld.

(ID:50478757)