Private 5G-Netze für militärische Anlagen: Architektur und Sicherheit

Von Corvus Intelligence Engineering-Team · Über das Team →

23. Juni 2026 10 Min. Lesezeit

Private 5G-Netze haben sich von einer kommerziell-unternehmerischen Kuriosität zu einer ernsthaften Option für die Verteidigungskonnektivität entwickelt. Ein privates 5G-Netz gibt einer militärischen Organisation ein dediziertes, leistungsstarkes Mobilfunknetz, das sie durchgängig besitzt und kontrolliert — die Funkanlagen, den Core, das Spektrum und die Teilnehmerdatenbank. Dieser Artikel erklärt, wie man privates 5G für militärische Anlagen plant und absichert: die Core-Architektur, Network Slicing zur Missionstrennung, Spektrums- und Funkplanung, das 5G-Sicherheitsmodell, die Edge-Computing-Integration und den Air-Gapped-Betrieb.

Das relevante Einsatzmuster ist keine landesweite Mobilfunkabdeckung. Es ist begrenzte, dichte Konnektivität innerhalb einer Anlage — einer vorgeschobenen Operationsbasis, eines Hafens, eines Flugplatzes, eines Logistikknotens, eines Übungsplatzes — wo eine große Anzahl von Sensoren, Fahrzeugen, Handgeräten und IoT-Geräten zuverlässige, latenzarme, bandbreitenstarke Verbindungen benötigt, die kommerzielle Betreiber nicht sicher bereitstellen können. Privates 5G füllt diese Lücke als feste oder halbfeste Infrastrukturschicht, die sich mit der Zero-Trust-Architektur der Anlage und der Edge-Cloud integriert.

Warum privates 5G für die Verteidigung

Das Argument für privates 5G in der Verteidigung beruht auf Kontrolle und Determinismus. Ein kommerzielles Betreibernetz ist geteilte Infrastruktur: seine Kapazität konkurriert mit zivilen Teilnehmern, seine Abdeckung ist für Bevölkerungsdichte statt Missionsgeografie optimiert, und sein Core wird von einem Dritten betrieben, dessen Prioritäten, Überwachungsverpflichtungen und Resilienz außerhalb militärischer Kontrolle liegen. In einem Krisenfall können kommerzielle Netze überlastet, gestört, degradiert oder schlicht abgeschaltet sein. Ein privates Netz beseitigt diese Abhängigkeit vollständig.

Die Kontrolle über dediziertes Spektrum bedeutet, dass die Organisation genau weiß, was in ihrem Band sendet, und Störungen, Entkonfliktierung und Emissionskontrolle zu eigenen Bedingungen verwalten kann. Deterministische Latenz ist der zweite Treiber: hochzuverlässige latenzarme Konfigurationen liefern Umlaufzeiten unter 10 Millisekunden, was für C2-Signalisierung, Fernsteuerung von Plattformen und Sensor-to-Shooter-Schleifen entscheidend ist, wo Jitter und Tail-Latenz inakzeptabel sind.

Im Vergleich zum taktischen Funk bietet privates 5G weitaus höhere Bandbreite und Gerätedichte — Hunderte hochauflösende ISR-Feeds und Tausende IoT-Sensoren in einem Netz — aber es ist feste Infrastruktur, keine Manöver-Wellenform. Im Vergleich zu WLAN bietet 5G Mobilität in Betreiberqualität, geplanten (nicht umkämpften) Zugang zur Luftschnittstelle, natives QoS, SIM-basierte Authentifizierung und eine Abdeckung, die WLAN nicht erreichen kann. Für eine feste Anlage, die sowohl Kapazität als auch gesicherten Zugang benötigt, ist privates 5G das richtige Werkzeug.

5G-Core-Architektur für militärische Einsätze

Die erste Architekturentscheidung ist eigenständig (SA) versus nicht-eigenständig (NSA). NSA verwendet einen 4G-LTE-Core (das EPC) wieder und verankert das 5G-Funkmodul an einer bestehenden LTE-Steuerebene — schnell einsetzbar, aber es erbt die Sicherheitsbeschränkungen von LTE und kann nicht den vollen 5G-Funktionsumfang liefern. SA verwendet einen nativen 5G-Core (den 5GC) mit einer dienstbasierten Architektur. Für die Verteidigung ist SA das richtige Ziel: nur SA unterstützt Network Slicing, URLLC, das verbesserte 5G-Authentifizierungsmodell und die Verbergung der Teilnehmeridentität. NSA ist bestenfalls ein Übergangsschritt.

Der 5GC trennt die Steuerebene von der Benutzerebene (CUPS — Control and User Plane Separation). Die Steuerebenenfunktionen (AMF für Zugang und Mobilität, SMF für Sitzungen, AUSF für Authentifizierung, UDM für Teilnehmerdaten, NRF für Diensterkennung) entscheiden über Richtlinien; die User-Plane-Funktion (UPF) leitet den tatsächlichen Verkehr weiter. Diese Trennung erlaubt es dem Betreiber, das UPF nahe dort zu platzieren, wo Verkehr konsumiert wird — am Edge, neben den Funkanlagen — während die Steuerfunktionen zentralisiert bleiben, was genau das ist, was latenzarme Edge-Verarbeitung erfordert.

Ein privater Verteidigungs-5G-Core sollte containerisiert sein und lokal laufen. Open-Source-5G-Core-Projekte wie Open5GS und Magma zeigen, dass ein vollständiger 5GC als Container in einem Kubernetes-Cluster im Rechenzentrum der Anlage oder auf einem gehärteten Edge-Server im Feld laufen kann. Lokales Hosting hält den gesamten Core — und jedes Byte an Teilnehmer- und Verkehrsdaten — auf Infrastruktur, die die Organisation physisch kontrolliert, was die grundlegende Anforderung für klassifizierte Einsätze ist.

Network Slicing zur Missionstrennung

Network Slicing partitioniert ein physisches 5G-Netz in mehrere logische Netze, jedes mit unabhängiger Leistung und Isolation. Der 5G-Standard definiert drei Slice-Diensttypen. Enhanced Mobile Broadband (eMBB) maximiert den Durchsatz für bandbreitenintensiven Verkehr. Ultra-Reliable Low-Latency Communication (URLLC) garantiert niedrige Latenz und hohe Zuverlässigkeit für zeitkritische Steuerung. Massive Machine-Type Communication (mMTC) unterstützt sehr große Mengen von Geräten mit niedriger Datenrate. Diese bilden sich sauber auf Verteidigungsverkehrsklassen ab.

In einer militärischen Anlage isoliert Slicing den Verkehr nach Mission und Sensibilität. ISR-Video läuft auf einem dedizierten eMBB-Slice, der für anhaltend hohen Durchsatz dimensioniert ist. C2-Signalisierung läuft auf einem URLLC-Slice mit garantiertem Latenzbudget, sodass Kommandoverkehr niemals durch Massenvideo ausgehungert wird. Logistik- und Basis-Infrastruktur-IoT — Umweltsensoren, Asset-Tracker, Zutrittskontrolle — läuft auf einem mMTC-Slice, der eher auf Gerätedichte als auf Bandbreite pro Gerät abgestimmt ist.

Jeder Slice trägt sein eigenes QoS-Profil und, entscheidend, seine eigene Sicherheitsgrenze. Verschlüsselung pro Slice und Isolation bedeuten, dass eine Kompromittierung oder Sättigung in einem Slice nicht in die anderen überläuft: ein überlasteter ISR-Slice kann C2-Verkehr nicht verzögern, und ein kompromittiertes IoT-Gerät auf dem mMTC-Slice hat keinen Pfad zum C2-Slice. Die Slice-Isolation wird sowohl im RAN-Scheduler als auch im Core durchgesetzt, und die Slice-Auswahlrichtlinie ist an Teilnehmer-Anmeldedaten gebunden, sodass ein Gerät nur zu den Slices zugelassen wird, die seine Missionsrolle autorisiert.

Spektrums- und RAN-Überlegungen

Spektrum ist die begrenzende Bedingung. In den Vereinigten Staaten bietet der Citizens Broadband Radio Service (CBRS) bei 3,5 GHz geteilten Zugang, der von einem Spectrum Access System verwaltet wird, und wird weithin für private Netze genutzt. Global ist das 5G-n78-Band (3,3–3,8 GHz) das dominante Mittelband, das Abdeckung und Kapazität balanciert, und mehrere Nationen lizenzieren dediziertes lokales Spektrum für private Netze darin — Deutschlands lokales Lizenzierungsschema bei 3,7–3,8 GHz ist ein bekanntes Beispiel. Jeder Einsatz muss mit der nationalen Spektrumsbehörde koordinieren und mit bestehenden militärischen und zivilen Nutzern entkonfliktieren.

Das Funkzugangsnetz wird um den Abdeckungsbereich und den anspruchsvollsten Slice herum geplant. Die gNodeB-Platzierung wird durch HF-Ausbreitungsmodellierung bestimmt, die Gebäude, Gelände und das Link-Budget berücksichtigt, das benötigt wird, um das URLLC-Latenz- und -Zuverlässigkeitsziel am Zellrand zu erreichen. Innenräume und dichte Bereiche bevorzugen Small Cells; weite offene Flächen bevorzugen Macro Cells. Das Mittelband bietet einen praktischen Kompromiss zwischen der Reichweite des niedrigen Bands und der Kapazität von Millimeterwellen.

Für den Feld- und Expeditionseinsatz muss die Funkinfrastruktur verlegbar sein. Cell-on-Wheels und containerisierte Basisstationen ermöglichen es einer Anlage, Abdeckung an einem neuen Standort rasch aufzubauen. Eine private 5G-Basisstation ist auch ein HF-Emitter mit detektierbarer elektromagnetischer Signatur, sodass die RAN-Planung nicht nur um Abdeckung geht — sie muss zur Emissionskontrollhaltung (EMCON) der Anlage passen, mit der Fähigkeit, die Leistung zu reduzieren, die Abdeckung zu formen oder Emitter abzuschalten, wenn das Bedrohungsumfeld es erfordert.

Sicherheitsarchitektur

Das Sicherheitsmodell von 5G ist eine wesentliche Verbesserung gegenüber früheren Generationen, und ein privater Einsatz erlaubt es dem Betreiber, es vollständig zu besitzen. Die permanente Teilnehmeridentität (SUPI — Subscription Permanent Identifier) wird niemals im Klartext über die Luft gesendet. Stattdessen verschlüsselt das Gerät sie mit dem öffentlichen Schlüssel des Heimnetzes in eine SUCI (Subscription Concealed Identifier) und vereitelt so die IMSI-Catcher-Verfolgungsangriffe, die 2G/3G/4G plagten.

Die gegenseitige Authentifizierung verwendet 5G-AKA (Authentication and Key Agreement): Gerät und Netz authentifizieren sich gegenseitig, und die resultierende Schlüsselhierarchie schützt Signalisierung und Benutzerverkehr. Anmeldedaten leben auf einer SIM oder eSIM und in den Funktionen Unified Data Management (UDM) und Authentifizierung (AUSF) des Cores. In einem privaten Netz betreibt der Betreiber die gesamte Schlüsselbereitstellungskette — Generierung von Teilnehmerschlüsseln, Bereitstellung von SIMs und eSIMs und Betrieb des UDM — sodass keine Vertrauensabhängigkeit vom Schlüsselmanagement eines kommerziellen Betreibers besteht.

Die 5G-Authentifizierung ist der erste Faktor, nicht die ganze Geschichte. Sie sollte sich in die Zero-Trust-Architektur der Anlage integrieren, in der die 5G-AKA-Geräteauthentifizierung durch Identität auf Anwendungsebene, Gerätezustand und kontinuierliche Autorisierung ergänzt wird. Falls das Netz jemals mit einem anderen 5G-Netz verbunden werden muss, schützt der Security Edge Protection Proxy (SEPP) die netzübergreifende Signalisierung an der Roaming-Grenze; für eine vollständig isolierte Anlage wird überhaupt kein SEPP-Roaming-Pfad freigelegt.

Edge-Computing-Integration (MEC)

Multi-Access Edge Computing (MEC) ist der Bereich, in dem sich privates 5G für die Verteidigung auszahlt. MEC platziert Rechenleistung — Server, GPUs, Beschleuniger — am Netzrand, zusammen mit dem RAN, sodass Anwendungen neben den Funkanlagen laufen statt in einem entfernten Rechenzentrum. Da CUPS dem UPF erlaubt, am Edge zu sitzen, kann Verkehr aus einem Slice direkt in eine lokale MEC-Anwendung geleitet werden, ohne jemals eine Backhaul-Verbindung zu durchqueren.

Die wertvollste Arbeitslast ist KI-Inferenz am Edge. ISR-Video von Drohnen und Bodensensoren kann dort verarbeitet werden, wo es eintrifft — Objekterkennung, -verfolgung und -klassifizierung auf Edge-GPUs zusammen mit dem gNodeB — sodass nur Erkennungen und Alarme, nicht rohe Multi-Gigabit-Feeds, weiterbewegt werden müssen. Das verkürzt die Zeitachse vom Sensor zur Entscheidung und beseitigt die Abhängigkeit von Cloud-Konnektivität für zeitkritische Analytik.

Der Latenzvorteil ist entscheidend für Sensor-to-Shooter-Anwendungen. Die Umlaufzeit zu einer entfernten Cloud kann zehn bis hundert Millisekunden betragen; ein Edge-MEC-Knoten zusammen mit dem Funkmodul hält die volle Sensor-Verarbeiten-Entscheiden-Schleife innerhalb einstelliger Millisekunden auf dem URLLC-Slice. Das Hosten von Inferenz, Vorverarbeitung und Fusion am 5G-Edge ist das, was ein privates 5G-Netz von einer Transportleitung in ein taktisches Rechengewebe verwandelt. Dieses Muster passt direkt zur taktischen Edge-Cloud für getrennte Operationen.

Air-Gapped- und getrennter Betrieb

Ein eigenständiger 5G-Core benötigt kein Internet, um zu funktionieren. Jede erforderliche Netzfunktion — AMF, SMF, UPF, UDM, AUSF, NRF — kann auf lokaler Infrastruktur laufen, und die Teilnehmerauthentifizierung löst sich vollständig gegen die lokale UDM-Datenbank auf. Geräte authentifizieren sich, verbinden sich und tauschen Verkehr mit null externer Abhängigkeit aus. Genau das macht privates 5G für klassifizierte Enklaven und getrennte vorgeschobene Einsätze tragfähig, wo Internetzugang nicht verfügbar oder verboten ist.

Der Air-Gapped-Betrieb erfordert jedoch Disziplin. Die Teilnehmerdatenbank und eine lokale Zertifizierungsstelle müssen vor Ort gepflegt werden. Software-Updates für Core und RAN müssen über einen kontrollierten Offline-Prozess gehandhabt werden, statt aus einer Anbieter-Cloud gezogen zu werden. Die Zeitsynchronisation ist eine häufig übersehene Anforderung: 5G hängt von präzisem Timing ab, normalerweise von einem lokalen GPS-disziplinierten Oszillator oder einer Atomuhr statt von Internet-NTP, und diese Zeitquelle selbst muss gegen GPS-Störung resilient sein.

Resilienz und Failover runden das Design ab. Kernnetzfunktionen sollten mit Redundanz laufen, sodass der Ausfall eines Knotens das Netz nicht ausfallen lässt, und die Architektur sollte sich anmutig verschlechtern — ein ausfallender Slice oder MEC-Knoten sollte nicht Authentifizierung oder C2-Konnektivität zum Erliegen bringen. Durchgehend muss der Einsatz EMCON respektieren: die Fähigkeit, Emissionen zu drosseln, zu formen oder verstummen zu lassen, ist Teil des Betriebs eines Netzes, dessen eigene Funkanlagen eine detektierbare Signatur sind.

Zentrale Erkenntnis: Das häufigste Missverständnis über privates 5G in der Verteidigung ist, dass es taktischen Funk ersetzt. Tut es nicht. Privates 5G bietet bandbreitenstarke, latenzarme Konnektivität innerhalb eines begrenzten Abdeckungsbereichs — einer vorgeschobenen Operationsbasis, eines Hafens, eines Flugplatzes, eines Übungsplatzes. Es ist eine feste oder halbfeste Infrastrukturschicht, kein Manöver-Kommunikationssystem. Die richtige Architektur behandelt privates 5G als das hochkapazitive Rückgrat innerhalb von Anlagen und taktischen Funk (MANET) als die mobile Erweiterung jenseits der 5G-Abdeckung, mit nahtloser Datenübergabe zwischen den beiden Domänen an der Grenze.

Sichern Sie Ihre private 5G-Infrastruktur mit quantenresistenter Verschlüsselung

Corvus QUANTUM bietet post-quanten-verschlüsseltes Streaming und Zero-Trust-Datenschutz für private militärische 5G-Netze — und sichert Sensordaten, C2-Verkehr und Edge-Inferenz über Network Slices hinweg in Air-Gapped- und vernetzten Einsätzen.

Corvus QUANTUM entdecken → Briefing buchen

Diese Analyse wurde von Corvus-Intelligence-Ingenieuren erstellt, die geschäftskritische sichere Infrastruktur und Cloud-Systeme für Verteidigungs- und Regierungsorganisationen bauen. Mehr über unser Team →

Häufig gestellte Fragen

Was ist ein privates 5G-Netz und warum würde eine militärische Organisation eines einsetzen?

Ein privates 5G-Netz ist ein dediziertes Mobilfunknetz, das von und für eine einzelne Organisation betrieben wird, unter Nutzung von lizenziertem, geteiltem oder unlizenziertem Spektrum, wobei alle Kernnetzfunktionen unter der Kontrolle der Organisation stehen. Für militärische Organisationen ist die Motivation Kontrolle und Verlässlichkeit: ein privates 5G-Netz hängt nicht von kommerzieller Betreiberinfrastruktur ab, die in einem Krisenfall nicht verfügbar, überlastet oder kompromittiert sein kann; es bietet deterministische Konnektivität mit niedriger Latenz (unter 10 ms), die für Sensor-to-Shooter- und C2-Anwendungen erforderlich ist; und es hält den gesamten Netzverkehr und Teilnehmerdaten auf Infrastruktur, die die Organisation physisch kontrolliert. Typische Einsätze decken begrenzte Bereiche ab — vorgeschobene Operationsbasen, Häfen, Flugplätze, Logistikknoten, Übungsplätze — wo hohe Bandbreite benötigt wird, kommerzielle Abdeckung jedoch unzureichend oder nicht vertrauenswürdig ist.

Was ist 5G Network Slicing und wie wird es zur Missionstrennung eingesetzt?

Network Slicing partitioniert ein einzelnes physisches 5G-Netz in mehrere logische Netze, jedes mit eigenen Leistungsmerkmalen und Sicherheitsisolation. Der 5G-Standard definiert drei Slice-Kategorien: Enhanced Mobile Broadband (eMBB) für bandbreitenintensive Anwendungen wie ISR-Video, Ultra-Reliable Low-Latency Communication (URLLC) für zeitkritische C2- und Steuerungsanwendungen und Massive Machine-Type Communication (mMTC) für große Mengen von IoT-Sensoren mit niedriger Datenrate. In einem militärischen Einsatz isoliert Slicing den Verkehr nach Mission und Sensibilität: ISR-Video läuft auf einem dedizierten eMBB-Slice, C2-Signalisierung auf einem URLLC-Slice mit garantierter Latenz und Logistik-IoT auf einem mMTC-Slice — jeder mit unabhängigen QoS-Garantien und Verschlüsselung pro Slice, sodass eine Kompromittierung oder Überlastung in einem Slice die anderen nicht beeinträchtigt.

Welches Spektrum wird für private militärische 5G-Netze verwendet?

Die Spektrumsoptionen für privates 5G variieren je nach Land und Einsatz. In den Vereinigten Staaten bietet das Citizens Broadband Radio Service (CBRS) Band bei 3,5 GHz geteilten Spektrumszugang über ein Spectrum Access System und wird weithin für private Netze genutzt. Das 5G-n78-Band (3,3–3,8 GHz) ist global das häufigste Mittelband und balanciert Abdeckung und Kapazität. Viele Nationen haben dediziertes Spektrum für private Netze zugewiesen (z. B. die lokale Lizenzierung in Deutschland bei 3,7–3,8 GHz). Bei militärischen Einsätzen umfasst die Spektrumsentscheidung die Koordination mit nationalen Spektrumsbehörden, die Entkonfliktierung mit bestehenden militärischen und zivilen Nutzern sowie die Berücksichtigung der elektromagnetischen Signatur — eine private 5G-Basisstation ist ein HF-Emitter, der innerhalb der Emissionskontrollhaltung der Anlage verwaltet werden muss.

Wie funktionieren Authentifizierung und Teilnehmersicherheit in einem privaten 5G-Netz?

5G verwendet das 5G-AKA-Protokoll (Authentication and Key Agreement) für die gegenseitige Authentifizierung zwischen Teilnehmergerät und Netz. Jede Teilnehmeridentität (SUPI — Subscription Permanent Identifier) wird niemals im Klartext über die Luft übertragen; stattdessen wird sie mit dem öffentlichen Schlüssel des Netzes in eine SUCI (Subscription Concealed Identifier) verschlüsselt, was IMSI-Catcher-artige Verfolgungsangriffe verhindert, die frühere Mobilfunkgenerationen plagten. Teilnehmer-Anmeldedaten werden auf einer SIM oder eSIM und in der Unified-Data-Management-Funktion (UDM) des Netzes gespeichert. Für ein privates militärisches Netz kontrolliert der Betreiber die gesamte Schlüsselbereitstellungskette: das Generieren von Teilnehmerschlüsseln, das Bereitstellen von SIMs/eSIMs und die Verwaltung des UDM — wodurch die Vertrauensabhängigkeit vom Schlüsselmanagement eines kommerziellen Betreibers entfällt, die in öffentlichen Netzen besteht.

Kann ein privates 5G-Netz vollständig vom Internet getrennt betrieben werden?

Ja. Ein eigenständiger (SA) 5G-Core, der alle erforderlichen Netzfunktionen hostet — AMF (Zugangs- und Mobilitätsmanagement), SMF (Sitzungsmanagement), UPF (Benutzerebene), UDM (Teilnehmerdaten), AUSF (Authentifizierung) — kann vollständig auf lokaler Infrastruktur ohne Internetkonnektivität laufen. Die Teilnehmerauthentifizierung nutzt die lokale UDM-Datenbank, sodass Geräte sich ohne jegliche externe Abhängigkeit authentifizieren und verbinden. Die wichtigsten Überlegungen für den Air-Gapped-Betrieb sind: die lokale Pflege der Teilnehmerdatenbank und Zertifizierungsstelle, die Handhabung von Software-Updates über einen kontrollierten Offline-Prozess und die Zeitsynchronisation (5G erfordert präzises Timing, typischerweise von einer lokalen GPS-disziplinierten oder Atomuhr-Quelle statt von Internet-NTP). Das macht privates 5G geeignet für klassifizierte Enklaven und getrennte vorgeschobene Einsätze, wo Internetkonnektivität nicht verfügbar oder verboten ist.