Sicherheitsmaßnahmen für 5G

Ein Gespräch mit Prof. Dr. Jörn Müller-Quade, Leiter des Instituts für Kryptographie und Sicherheit (IKS) am Karlsruher Institut für Technologie.

Sind die Sicherheitsdiskussionen um 5G gerechtfertigt?

Ich bin grundsätzlich ein Bedenkenträger und empfehle, genau hinzuschauen und eine technologische Prüfkompetenz aufzubauen. Alle beklagen sich hinsichtlich der technologischen Souveränität, aber was wir mindestens brauchen, ist die Fertigkeit, Sicherheit beurteilen zu können. Allerdings dürfen wir mit dem Aufbau von 5G auch nicht warten, bis wir alles verstanden haben. Dann wäre es zu spät.

Welche Sicherheitsmaßnahmen könnte man unkompliziert einführen?

Man sollte ein heterogenes 5G-Netzwerk bauen. Das heißt, man kann die Komponenten, die für das Mobilfunknetz relevant sind, von verschiedenen Herstellern miteinander kombinieren. Das würde das Ausbringen von Daten extrem erschweren. Gleichzeitig würden sich Komponenten der verschiedenen Hersteller gegenseitig überwachen. Voraussetzung dafür wäre allerdings, dass die Hersteller sehr viel offenlegen müssten. Ein weiterer Vorteil wäre, dass man bei einem heterogenen 5GNetzwerk nicht nur von einem Hersteller abhängig wäre.

Wie real sind sogenannte Hintertüren?

Hinter dem 5G-Netzwerk stecken enorme Softwarepakete. Sogenannte Hintertüren könnten sich theoretisch darin befinden. Aber das Absaugen von Daten durch den Hersteller ist dann immer noch schwierig. Der Provider, also der Netzwerkanbieter, könnte das prinzipiell feststellen. Der Netzwerkbetreiber dagegen hat direkten Zugang zu den Daten. Selbst mit einer Ende-zu-Ende-Verschlüsselung fallen Metadaten an, die auch sehr interessant sein können. Diese zu schützen ist leider schwierig und würde, wenn man beispielsweise Daten immer anders verschlüsselt auf komplizierten Wegen verschickt, zu einer merklichen Verlangsamung der Datenübertragung führen.

Welche Lösungsvorschläge hätten Sie?

Die Infrastrukturen müssten so gebaut sein, dass man diese inspizieren kann. Eine Hintertür muss nicht von Anfang an eingebaut sein, sondern sie kann durch ein Software-Update neu hinzugefügt werden. Von daher müssten auch bei jedem Update Checks vorgenommen werden können. Je transparenter die Technologien sind, desto weniger Misstrauen muss man haben.

Mit 5G kommen auch mehr und mehr KI-Systeme zum Einsatz. Wie sicher sind diese?

KI ist eine Technologie, die neue Chancen, aber auch Risiken birgt. KI-Systeme können dem Datenschutz schaden, etwa durch intelligentes de-anonymisieren, sind aber auch nützlich, etwa weil sie generalisieren und Regelmäßigkeit lernen. Das fertig gelernte System enthält also unter Umständen keine personenbezogenen Daten mehr. Die Trainingsdaten müssen aber gut geschützt werden.

Können Sie ein simples Angriffs-Szenario beschreiben?

KI-Systeme können selbst Angreifer sein. Mit KI könnten beispielsweise maßgeschneiderte Fishing Mails so erstellt werden, dass wir diese nicht als Fishing Mails erkennen würden. Bisher müssen das Menschen machen, mit KI wird das ganz anders skalieren.

Welche Sicherheitsmaßnahmen können ergriffen werden?

In der Forschung sehen wir zwei Lösungsansätze, einer beruht auf vertrauenswürdigen Rechenzentren und der andere arbeitet mit stark verteilter Berechnung. Ein bisschen darf man sich das vorstellen wie die Blockchain, bei der auch Vertrauen verteilt wird. Eine dritte Möglichkeit wäre, die KI-Systeme herumzuschicken, also die Algorithmen zu den Daten zu senden. Aber dieser Ansatz ist relativ neu und wird noch erforscht. Oberstes Gebot bei allen Maßnahmen ist die Einhaltung der Zweckbindung von Daten. So dürfen beispielsweise Daten von Krebspatienten ausschließlich für die Forschungsanalysen genutzt werden, für die sie ursprünglich auch vorgesehen waren.

Welche Empfehlung sprechen Sie aus?

Wir müssen verstehen, wie man Daten sicher verteilt, und wir müssen lernen, sichere Rechenzentren für riesige Datenmengen zu bauen. Ich stelle mir vor, dass man diese Rechenzentren besichtigen kann und ganz klar erkennbar ist, dass hier kein Betrug betrieben wird. Auf jeden Fall gehört immer ein gewisses Restvertrauen dazu, das wir explizit machen und verstehen müssen.