Mobile Sicherheit bei Roaming
Mobiles Roaming treibt Sicherheitsentwicklung voran
Schwachstelle „Roam Like at Home“
Wer früher international gereist ist, hat im Ausland oft verzweifelt nach einem Café mit WLAN gesucht oder eine SIM-Karte im jeweiligen Land gekauft. Dieses „stille Roaming“ war weit verbreitet. Heute, da die Roaming-Gebühren deutlich gesenkt wurden, müssen die Mobilfunkteilnehmer keinen Schock mehr infolge hoher Gebührenrechnungen befürchten. Sie müssen auch nicht mehr ihr Nutzungsverhalten einschränken. Kostengünstiges internationales Roaming ist weitgehend verfügbar geworden, verbunden mit Folgen für die Cyber Security, denn: Für die Mobilfunkbetreiber hat dieser Schritt im Roaming erhebliche Veränderungen mit sich gebracht – und neue Sicherheitslücken, wie Palo Alto Networks berichtet.
Viele Netzbetreiber stellen nun die Security im Roaming-Netzwerk auf den Prüfstand. Dazu haben sie guten Grund: Das Roaming-Verkehrsaufkommen, die Anzahl der Geräte und Partner hat zugenommen, was eine breitere Angriffsfläche für Kriminelle bietet und die Wahrscheinlichkeit erhöht, dass unbeabsichtigte Ereignisse die Netzwerkfähigkeit beeinträchtigen.
Anstieg des Roaming-Verkehrs
Durch das Urteil der EU-Kommission zu „Roam Like at Home“ sowie weitere Tarifänderungen ist das Verkehrsaufkommen in den Mobilfunknetzen in die Höhe geschnellt – und die Einnahmen sind gesunken. Der Roaming-Verkehr ist im letzten Jahr exponentiell gewachsen. Die früheren „stillen Roamer“ haben keine Angst mehr vor den Kosten und nehmen die gleichen Nutzungsmuster an, die sie haben, wenn sie nicht roamen. Ein lückenloser, transparenter mobiler Zugang war Gegenstand der Initiative „Roam Like at Home“. Das bedeutet auch, dass der Roaming-Verkehr und die Teilnehmer für die gleichen Bedrohungen anfällig sind wie an anderer Stelle im Netz.
Früher war das mobile Roaming relativ einfach. Ein Netzbetreiber hatte einige wichtige Roaming-Vereinbarungen, und das Volumen des überwiegen aus Sprachübermittlung bestehenden Verkehrs war aufgrund des hohen Preises gering. Jetzt bieten Tier-1-Betreiber Hunderte von Zielen an und können bis zu 100 Roaming-Vereinbarungen pro Land und pro Netzwerktechnologie haben, einschließlich Sprache, Daten, Video und Text/SMS. Die Art und das Volumen des Geräte-Roamings sind identisch mit dem Rest des Netzwerks und umfassen mittlerweile zahlreiche IoT-Geräte.
Auch weitere MVNO-Modelle (Mobile Virtual Network Operator) zeichnen sich ab. Traditionelle mobile virtuelle Netzbetreiber bieten Verbrauchern und Unternehmen niedrigere Preise und beinhalten oft billiges internationales Roaming als Teil dieses Pakets. Mit dem Ausbau des Internets der Dinge haben sich einige MVNOs auf den IoT-Markt spezialisiert. Mit vLTE- oder EPC-in-a-box ist es für IoT-Lösungsanbieter oder große Unternehmen viel kostengünstiger, mehr mobile Kernnetzelemente selbst bereitzustellen und Teilnehmer über ihr eigenes Netzwerk zu steuern. Unternehmen wie Rakuten, eine japanische Online-Marktplattform, können zu MVNOs werden. Stromversorger mit SIM-fähigen Smart-Metern können jetzt ebenfalls als MVNOs fungieren und eine bessere Kontrolle und Sicherheit über ihre IoT-Geräte erhalten.
Auswirkungen auf die Betreiber
Für die Betreiber bedeutet dies, dass ein einst relativ einfach zu verwaltender Teil ihres Netzes plötzlich viel komplexer und schwieriger zu sichern geworden ist. Dieser Anstieg des Roaming-Verkehrs wird die Bedrohungslandschaft verändern. Wer dem Ruf des Betreibers schaden will, hat jetzt einen neuen Angriffspunkt. Dienstunterbrechungen im Roaming-Netzwerk könnten nun viel mehr Kunden betreffen und größere Auswirkungen haben.
Infolgedessen überprüfen immer mehr Betreiber ihren Sicherheitsansatz beim Roaming. In Gesprächen mit den Betreibern und in eigens durchgeführten Versuchen hat Palo Alto Networks festgestellt, dass die auf der SGi-Schnittstelle gefundenen Bedrohungen auch im Roaming zu finden sind. Die Forscher haben Ransomware wie Locky und Crypto-Miner wie Coinhive und CoinMiner beobachtet, die jeweils erhebliche Auswirkungen auf die Geräte der Abonnenten hatten. In fast jeder Studie, die Palo Alto Networks hierzu durchgeführt hat, wurde C2-Verkehr zwischen Geräten und bösartigen Websites beobachtet, von denen bekannt ist, dass sie mit Botnet-Aktivitäten in Verbindung gebracht werden.
Roaming ist nach Angaben von Palo Alto Networks auch anfällig für Angriffe, die nur den GPRS-Tunneling-Protokollen (GTP) gelten, die beim Roaming verwendet werden. Die GSM Association (GSMA) der Mobilfunkindustrie hat Roaming-Richtlinien für Betreiber veröffentlicht. Die Dokumente identifizieren Schwachstellen, die im GTP-Protokoll, dem für das Roaming verwendeten Protokoll, enthalten sind. Die GSMA beschreibt, wie diese Schwachstellen für Angriffe manipuliert werden können oder die Folge eines unbeabsichtigten Ereignisses sein können. Dies wären etwa eine Fehlfunktion von Netzwerkelementen, eine Naturkatastrophe oder ein Netzwerkausfall. Alle dies könnte zu Nachrichtenüberflutungen führen oder dazu, dass Netzwerkelemente versagen oder nicht funktionieren.
Viele Betreiber haben bisher die GSMA-Richtlinien nicht eingehalten oder es jahrelang versäumt, ihre Sicherheitsinfrastruktur in diesem Bereich des Netzwerks zu aktualisieren, wenn überhaupt. In den meisten Fällen sind die Betreiber blind für das, was jetzt auf ihre Roaming-Schnittstelle trifft. Wenn sie die Bedrohungen nicht sehen können, bedeutet dies auch, dass sie ihr Netzwerk nicht davor schützen können. Sie können auch keine Sicherheitslösung für ihre wichtigen Kunden anbieten oder das Vertrauen aufrechterhalten, das für den Aufbau ihres Unternehmens bislang so wichtig war.
Mehr Sicherheit ist möglich – und ratsam
Mehr Sicherheit ist aber nach Angaben von Palo Alto Networks durchaus möglich. Eine zeitgemäße Security Operating-Plattform bietet konsistente, anwendungsbezogene Transparenz und Durchsetzung für die Roaming-Schnittstelle und alle anderen Peering Points des Mobilfunknetzes. Eine solche Plattform umfasst auch eine Reihe von Funktionen für die mobile Netzwerkinfrastruktur, die Schutz vor einer Reihe von Schwachstellen im Bereich der Signalisierung enthält und es den Betreibern ermöglichen, leicht zu erkennen, wer und was das Netzwerk beeinträchtigt. Mit einer derartigen starken Sichtbarkeit und mobilen Infrastrukturfunktionalität können Mobilfunkbetreiber dann sicher sein, dass ihr Netzwerk vor allen durch Roaming verursachten Bedrohungen bestmöglich geschützt ist.