Uncategorized

Die Virtualisierung von Mobilfunknetzkomponenten mit Open RAN birgt nach der Einschätzung von Sicherheitsexperten “mittlere bis hohe Sicherheitsrisiken”. Zu diesem Schluss kommt eine Risikoanalyse des Dresdener Barkhausen-Instituts im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Autoren empfehlen, die Sicherheit der Systeme bei der Weiterentwicklung von Open RAN und dessen Referenzimplementierungen mit einzuplanen.

“Als Cyber-Sicherheitsbehörde des Bundes beobachtet und begleitet das BSI den Entwicklungsprozess von Open RAN”, erklärte BSI-Chef Arne Schönbohm. “Deshalb haben wir eine Risikoanalyse beauftragt.” Die Studie beschränkt sich auf die Open-RAN-Spezifikation der O-RAN Alliance, einer von den großen Netzbetreibern und zahlreichen Vertretern aus IT-Branche und Wissenschaft getragenen Industrieallianz. Die Autoren der Studie gehen dabei vom Einsatz der Open-RAN-Technologie in einem 5G-Netz mit einem 5G-Core aus.

“Mittlere bis hohe Sicherheitsrisiken”

“Im Ergebnis der Risikoanalyse konnte festgestellt werden, dass von einer Vielzahl der in O-RAN spezifizierten Schnittstellen und Komponenten mittlere bis hohe Sicherheitsrisiken ausgehen”, ziehen die Autoren der Studie Bilanz. “Dies ist wenig überraschend, da sich der aktuelle Entwicklungsprozess der O-RANSpezifikationen nicht an dem Paradigma von „security/privacy by design/default“ orientiert und auch die Prinzipien der mehrseitigen Sicherheit (minimale Vertrauenswürdigkeitsannahmen bezüglich aller Beteiligten) nicht berücksichtigt wurden.”

Bei Open RAN werden zahlreiche Funktionen des Funkzugangnetzes (RAN), die im herkömmlichen Mobilfunknetz auf proprietärer Hardware der Telco-Ausrüster laufen, als Software auf Standardhardware virtualisiert und zum Teil in die Cloud verlagert. Die Politik sieht in Open RAN eine Möglichkeit, die ungeliebten chinesischen Anbieter aus kritischer Infrastruktur herauszuhalten, und eine Chance für die europäische Industrie. Netzbetreiber hoffen auf mehr Unabhängigkeit von den Ausrüstern und langfristig niedrigere Kosten. Noch ist die Technik nicht reif für den Mischbetrieb in einem bestehenden Mobilfunknetz, doch plant 1&1 sein eigenes 5G-Netz mit Open RAN und hat dafür Rakuten als Generalunternehmen gewonnen.

Abgesehen von dem Risiko, dass nicht vertrauenswürdige oder unsichere Cloud-Anbieter ein RAN kompromittieren könnten, identifiziert die BSI-Studie auch mögliche Risiken unter anderem in der Architektur und den Schnittstellen. So bergen “unberechtigte Zugriffe” auf Management-Schnittstellen der Netzkomponenten “das Potential einer Kompromittierung”, warnen die Autoren. Sie ermöglichten “einem Angreifer eine vollständige Kontrolle über das gesamte RAN”. Ein weiteres Sicherheitsrisiko macht die Studie in der Konzeption des RAN-Controllers aus, der neben seinen Kernfunktionen auch eine Plattform stellt, auf der weitere Funktionen mit Anwendungen von Drittanbietern realisiert werden können.

Nachträgliche Fehlerkorrektur aufwendig

Die Autoren beziehen unter anderem auf eine Risikoanalyse, die von der O-RAN Alliance im Sommer veröffentlicht worden war. Darin und einem “ersten Versuch”, Sicherheitsmechanismen festzulegen, erkennen sie “Ansätze, dass die O-RAN Alliance sich zukünftig verstärkt dem Thema Sicherheit widmen könnte”. Sie empfehlen, die Sicherheit bei der Weiterentwicklung mitzudenken. Die Erfahrungen mit dem 3GPP-Standard hätten gezeigt, wie viel Aufwand betrieben werden muss, “Fehler in nachfolgenden Versionen des Standards zu korrigieren”.

Die Studie empfiehlt als “eine der wichtigsten Maßnahmen” die “ernsthafte Umsetzung des Paradigmas ‘security/privacy by design/default’ unter Berücksichtigung der Prinzipien der mehrseitigen Sicherheit”. Darüber hinaus sollten aktuell nur optional genannte Sicherheitsmaßnahmen verpflichtend werden. Nutzerdaten sollten auf dem Weg zum Kernnetz Ende-zu-Ende-gesichert werden, wobei veraltete Sicherheitsprotokolle oder Algorithmen explizit ausgeschlossen werden sollten. Für den Zugang zu den Schnittstellen und die auf dem RAN-Controller laufenden Apps sollte ein “klares Rechte- und Rollenkonzept umgesetzt werden”.

“Die Studie demonstriert, dass das bisherige Open RAN noch nicht ausreichend nach Security by Design spezifiziert wurde und teilweise Sicherheitsrisiken aufweist”, kommentiert Schönbohm. “Die Sicherheitsverbesserungen sollten deshalb aus der Studie in die Spezifikationen aufgenommen werden, um den rasanten Zuwachs von Open RAN im Markt von Beginn an mit ausreichend sicheren Produkten bedienen zu können.”

(vbr)

Der Deutsche Industrie- und Handelskammertag (DIHK) schlägt Alarm: Mit 51 Prozent können mehr als die Hälfte der hiesigen Unternehmen derzeit offene Stellen zumindest vorübergehend nicht besetzen, geht aus dem neuen Fachkräftereport der Wirtschaftslobby hervor. Sie fänden keine passenden Arbeitskräfte. Die fehlenden Fachkräfte seien “spürbar mehr als ohnehin schon vor Ausbruch” der Coronavirus-Pandemie. Lockdowns und Kurzarbeit hätten den Fachkräftemangel nur zeitweise in den Hintergrund gedrängt.

Für die am Montag veröffentlichte Studie befragten die Industrie- und Handelskammern (IHKs) rund 23.000 Firmen. Die Ergebnisse verweisen gegenüber Herbst 2020 auf einen starken Anstieg des Problems: Damals hatten lediglich 32 Prozent der Unternehmen von Fachkräfteengpässen berichtet. Auch gegenüber der Zeit vor der Corona-Krise hat sich die Lage nicht entspannt: Im Herbst 2019 hatten 47 Prozent der Betriebe Schwierigkeiten bei der Akquise neuer Mitarbeitender gemeldet.

Engpässe in fast allen Bereichen und Berufsbildern

Nach Wirtschaftsbereichen stammen die Antworten zu 44 Prozent aus dem Dienstleistungssektor, zu 28 Prozent aus der Industrie und zu 22 Prozent aus dem Handel. Die Bauwirtschaft macht sechs Prozent aus. Die Untergliederung nach Firmengröße weist 50 Prozent kleine, 40 Prozent mittlere sowie acht Prozent mittelgroße Unternehmen aus. Zwei Prozent der Antworten entfallen auf Konzerne mit mehr als 1000 Mitarbeitern. Die IHKs gestalten ihre Stichprobe nach eigenen Angaben so, dass ein repräsentatives Stimmungsbild der gewerblichen Wirtschaft vor Ort abgebildet ist.

Die größten Engpässe bestehen laut dem Bericht in der Bauwirtschaft (66 Prozent), die von der Krise nicht so stark getroffen wurde. Den stärksten Anstieg der Stellenbesetzungsprobleme von 29 auf 53 Prozent gegenüber dem Vorjahr melden die Industrieunternehmen. 57 Prozent der Firmen, die Stellen nicht besetzen können, suchen erfolglos Personen mit dualer Berufsausbildung. Hier haben die Engpässe merklich zugenommen. Hochschulabsolventen werden besonders in Branchen mit IT-Bezug gesucht, was die Knappheit der Experten in diesem Bereich dokumentiert.

Fehlende Spezialisten für Zukunftsprojekte

Der Fachkräftemangel stellt laut der Analyse nicht nur die direkt betroffenen Unternehmen vor Herausforderungen, sondern die Volkswirtschaft insgesamt. Zukunftsprojekte wie Digitalisierung, Klimaschutz, E-Mobilität oder Infrastruktur- und Wohnungsbau seien auf ausreichend Spezialisten angewiesen. Zur Knappheit bei Rohstoffen und Vorprodukten wie Halbleitern sowie Lieferkettenproblemen kämen immer häufiger Engpässe bei Spezialisten hinzu.

Der Fachkräftemangel sei “schneller und in größerem Umfang als von vielen erwartet” zurück, zeigt sich der Vize-DIHK-Geschäftsführer Achim Dercks besorgt. “Fehlen beispielsweise IT-Experten, betrifft dies auch Mittelständler, die Geschäftsprozesse digitalisieren oder sich um eine bessere Cybersicherheit kümmern möchten.” Mangelten Fachkräfte etwa zur Verlegung von Glasfaserkabeln, verlangsame sich der dringend erforderliche Ausbau der Breitbandinfrastruktur. Zuvor hatte sich das Problem auch im EU-Digitalisierungsindex niedergeschlagen.

Ausbildung, bessere Arbeitsbedingungen, Fachkräftezuzug

Das Fachkräfteproblem in der Wertschöpfungskette schmälert Dercks zufolge die Innovations- und Wettbewerbsfähigkeit der deutschen Wirtschaft. Davon sind vorwiegend innovationsaktive Zweige wie etwa Kfz-Hersteller und ihre Ausrüster (35 Prozent), Programmierer und die Medizintechnik (je 37 Prozent) betroffen. Insgesamt liege die Zahl der aktuell nicht besetzten Stellen dadurch wohl eher bei 1,7 bis 1,8 Millionen. Das bremse die Wertschöpfung grob geschätzt um rund 90 Milliarden Euro – also circa 2,5 Prozent des Bruttoinlandsproduktes.

Auf den Fachkräftemangel reagieren 53 Prozent der Unternehmen mit dem Versuch, ihre Arbeitgeberattraktivität generell zu steigern. 46 Prozent wollen die eigene Ausbildung intensivieren, um perspektivisch die Fachkräftebasis zu sichern. Platz drei der möglichen Maßnahmen teilen sich mit je 34 Prozent eine verbesserte Vereinbarkeit von Familie und Beruf sowie die Zuwanderung von Fachkräften aus dem Ausland.

Etwa jede dritte Firma mit Stellenbesetzungsproblemen will in Weiterbildung allgemein, 29 Prozent der Betriebe wollen speziell in Mitarbeiterkompetenzen zur Bewältigung von Digitalisierung beziehungsweise Strukturwandel investieren. Mehr als jedes vierte Unternehmen sieht einen Ansatz in der verstärkten Beschäftigung älterer Mitarbeiter. Der DIHK empfiehlt, die Allianz für Aus- und Weiterbildung fortzusetzen, damit dem Arbeitsmarkt kein Jugendlicher verlorengehe. Die technische Ausstattung sowie die Arbeits- und Lernbedingungen in den Berufsschulen sollten verbessert werden.

(jk)

Das kürzlich durch den Bundestag geänderte Infektionsschutzgesetz sieht einige Neuerungen zur Eindämmung der Coronavirus-Epidemie vor, die am Mittwoch dieser Woche (24.11.) in Kraft treten. Dazu gehören eine 3G-Regelung für den Zutritt zum Arbeitsplatz und eine Verpflichtung der Arbeitgeber, Homeoffice für alle Beschäftigten zu ermöglichen.

Es gilt “3G” am Arbeitsplatz

An Arbeitsplätzen soll durch 3G-Regeln sichergestellt sein, dass nur geimpfte, genesene oder getestete Personen Zutritt zur Arbeitsstätte erhalten. Das gilt generell für alle Arbeitnehmer in der Privatwirtschaft sowie für Angestellte im öffentlichen Dienst oder in staatlichen Institutionen (wie Behörden, Gerichte, Bundeswehr). Eingeschlossen sind Produktionsstätten und Büros, Arbeitsplätze unter freiem Himmel auf einem Werksgelände sowie dem Arbeitsplatz angegliederte Ort wie Kantinen, Unterkünfte oder Lagerräume. Im Homeoffice sowie für Arbeitsplätze in Fahrzeugen gilt die Regelung nicht.

Alle Arbeitnehmer und auch die Arbeitgeber dürfen eine Betriebsstätte nur betreten, wenn sie einen Nachweis über ihren 3G-Status mit sich führen. Eine Ausnahme davon gibt es lediglich für das Vorhaben, sich zwecks Zutritt zum Arbeitsplatz in der Arbeitsstätte selbst testen oder impfen zu lassen, sofern das dort angeboten wird. Laut Bundesarbeitsministerium gilt die 3G-Nachweispflicht auch für Personen, die sich aufgrund einer medizinischen Kontraindikation nicht impfen lassen können (etwa bei akutem Fieber oder einer medikamentösen Behandlung, bei der eine Impfung derzeit nicht angeraten wird); diese Personen müssen also einen gültigen, negativen Test vorlegen.

Kontrollen und Tests

Dem Arbeitgeber obliegt die Pflicht, den 3G-Nachweis zu kontrollieren. Er darf das aber auch an Beschäftigte oder Dritte delegieren, sofern die Datenschutzvorgaben beachtet werden. Beim Kontrollieren soll der Schwerpunkt auf der Gültigkeit des Nachweises liegen. Hat der Arbeitgeber den Status von geimpften oder genesenen Mitarbeitern einmal kontrolliert und dokumentiert (bei Genesenen mit dem Enddatum ihres Status), können diese Personen von der täglichen Zugangskontrolle ausgenommen werden.

Alle anderen Personen müssen täglich einen gültigen, negativen Coronavirus-Test vorlegen. Dieser darf kein selbst durchgeführter Schnelltest sein, sondern muss von einem “Leistungserbringer” gemäß der Coronavirus-Testverordnung stammen (etwa die vielerorts angebotenen “Bürgertests”). Ein Schnelltest darf höchstens 24 Stunden zurückliegen, ein PCR-Test höchstens 48 Stunden.

Weitergehende Verpflichtungen außer der Einlasskontrolle des 3G-Nachweises gibt es für Arbeitgeber nicht. Das Ermöglichen von Coronavirus-Impfungen in der Betriebsstätte ist ebenso freiwillig wie das Anbieten kostenloser Tests. Den Aufwand (Zeit und Kosten) für das Erbringen eines zertifizierten Testnachweises müssen also die Mitarbeiter selbst tragen, wenn kein entsprechendes Angebot vom Arbeitgeber vorliegt.

Homeoffice-Angebot der Arbeitgeber

Arbeitgeber müssen bei Büroarbeiten oder vergleichbaren Tätigkeiten grundsätzlich die Möglichkeit zum Arbeiten im Homeoffice anbieten. Dies gilt, sofern nicht zwingende betriebliche Gründe dagegen sprechen, etwa weil eine bestimmte Tätigkeit bei Abwesenheit einer Person die betrieblichen Abläufe unterbrechen würde.

Bundesarbeitsminister Heil hatte einen entsprechenden Entwurf erst kürzlich den drei verhandelnden Koalitions-Parteien vorgelegt. Der Bundestag hatte später eine entsprechende Änderung des Infektionsschutzgesetzes beschlossen.

Datenschutz und Sanktionsmaßnahmen

Den Impfstatus der Beschäftigten darf ein Arbeitgeber auch weiterhin nicht abfragen – wer also seinen Status nicht preisgeben will, muss täglich einen gültigen Test vorlegen. Beim Erfassen der Daten für die 3G-Kontrolle soll der Grundsatz der Datenminimierung gelten: Beim Erbringen des Nachweises sollen lediglich Vor- und Nachname eines Beschäftigten auf einer Liste abgehakt werden. Der Arbeitgeber muss sicherstellen, dass diese Daten vertraulich vorgehalten und nach spätestens sechs Monaten gelöscht werden.

Das geänderte Infektionsschutzgesetz sieht bei Verstößen gegen die Kontroll- und Mitführungspflichten von 3G-Nachweisen am Arbeitsplatz ein mögliches Bußgeld von bis zu 25.000 Euro vor. Wenn ein Arbeitnehmer keinen 3G-Nachweis vorlegen kann oder will und aus diesem Grund auch keine Arbeitsleistung erbringt, muss dieser “grundsätzlich kündigungsrechtliche Konsequenzen befürchten”, erklärt das Bundesarbeitsministerium. Wer eine vertraglich vereinbarte Arbeitsleistung nicht erbringt, dürfte zudem auch keinen Vergütungsanspruch haben.

(tiw)

Nicht weniger als die “zukünftige Sicherheit der Erde” stehe auf dem Spiel, sagt Clayton Kachele. Der Manager ist bei der NASA verantwortlich für die Mission Dart (Double Asteroid Redirection Test), mit der erstmals eine Sonde absichtlich in einen Asteroiden gesteuert werden soll, um dessen Flugbahn zu verändern. Die Sonde soll am Mittwoch vom US-Bundesstaat Kalifornien aus starten und kommenden Oktober in den Asteroiden Dimorphos krachen.

Ein erster, vorsichtiger Versuch

Das erinnert an Hollywood-Filme wie “Armageddon – Das jüngste Gericht”, in dem 1998 Stars wie Bruce Willis und Ben Affleck in kürzester Zeit mit einem komplizierten und gefährlichen Manöver einen direkt auf die Erde zurasenden Asteroiden zerstörten. Dart sei allerdings “wahrscheinlich keinen Asteroiden-Film wert”, sagt NASA-Manager Kachele. Die rund 330 Millionen US-Dollar (rund 290 Millionen Euro) teure Mission ist unbemannt und Dimorphos rast auch nicht auf die Erde zu, sondern es handelt sich um einen ersten vorsichtigen Versuch, ob es möglich sein könnte, die Flugbahn eines Asteroiden auf diese Weise abzuändern. “Aber es ist großartig, dabei helfen zu können, unseren Planeten und kommende Generationen zu schützen.”

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

Seit vielen Jahren schon überlegt die NASA, auch in Zusammenarbeit mit der Europäischen Raumfahrtagentur ESA, wie die Erde vor herannahenden Asteroiden geschützt werden könnte. Ein Asteroideneinschlag vor rund 70 Millionen Jahren gilt unter Wissenschaftlern beispielsweise als führende Theorie dazu, warum die Dinosaurier ausstarben. Derzeit wissen Wissenschaftler von keinem Asteroiden, der in absehbarer Zeit direkt auf die Erde zurasen könnte – aber Forscher haben rund 27.000 Asteroiden in der Nähe unseres Planeten identifiziert, davon rund 10.000 mit einem Durchmesser von mehr als 140 Metern.

“Asteroiden sind kompliziert”, sagte die an der Dart-Mission beteiligte Astronomin Nancy Chabot. “Sie sehen unterschiedlich aus, sie haben große Steine, sie haben felsige Stellen, sie haben glatte Stellen, sie haben merkwürdige Formen – all diese Sachen. Diesen echten Test an einem echten Asteroiden zu machen, dafür brauchen wir Dart.”

Die Sonde, die mit Hilfe einer Falcon 9 des privaten Raumfahrtunternehmens SpaceX von Elon Musk von der Vandenberg-Luftwaffenbasis starten soll, sei vergleichsweise “simpel”, sagt NASA-Manager Kachele. Nur eine Kamera hat sie an Bord. Rund ein Jahr lang soll die Sonde zu Dimorphos unterwegs sein, eine Art Mond des Asteroiden Didymos, mit einem Durchmesser von rund 160 Metern. Nach dem Aufprall der 24.000 Kilometer pro Stunde schnellen Sonde soll die rund zwölfstündige Umlaufbahn von Dimorphos um mindestens 73 Sekunden und möglicherweise bis zu zehn Minuten kürzer dauern.

Auch nach Aufprall keine Gefahr für die Erde

Didymos ist nah genug an der Erde, um all das mit wissenschaftlichen Instrumenten von unserem Planeten und vom Weltraum aus zu beobachten und zu messen. Der Asteroid stellt derzeit den Berechnungen der NASA zufolge keine Gefahr für die Erde dar – und die Mission ist so angelegt, dass der Asteroid auch nach dem Aufprall der Sonde keine Gefahr darstellen sollte. 2024 soll die ESA-Mission Hera starten, um die Auswirkungen des Aufpralls genauer zu untersuchen.

All das sei ein erster Versuch, sagt Astronomin Chabot – denn für die möglicherweise eines Tages wirklich notwendige Verteidigung der Erde auf diese Weise brauche man viel Zeit und Vorlauf. “Wenn ein Asteroid die Erde bedrohen würde, würde man diese Technik viele Jahre im Voraus anwenden wollen, Jahrzehnte im Voraus. Man würde diesem Asteroiden einen kleinen Schubser geben, der zu einer großen Veränderung hinsichtlich seiner zukünftigen Position führen würde, und dann wären der Asteroid und die Erde nicht mehr auf Kollisionskurs.”

(mho)