IT-Notfall

ISO 27001-Zertifizierung auf Basis IT-Grundschutz

Das Network Equipment Security Assurance Scheme (NESAS) ist ein Sicherheitsbewertungsrahmen, der von der GSMA (GSM Association) und 3GPP (3rd Generation Partnership Project) entwickelt wurde. Es dient der Sicherheitsüberprüfung von Netzwerkausrüstung, insbesondere für 4G- und 5G-Mobilfunknetze. NESAS definiert standardisierte Sicherheitsanforderungen für Telekommunikationsausrüster fest und bietet eine unabhängige Bewertung ihrer Entwicklungs- und Lebenszyklusprozesse. Damit erhalten Mobilfunkbetreiber eine verlässliche Grundlage, um die Sicherheit ihrer Netzinfrastruktur zu beurteilen.

Ziel der NESAS-Zertifizierung ist es, eine einheitliche und vertrauenswürdige Sicherheitsbewertung für Netzwerkausrüstung zu schaffen. Die Prüfung erfolgt in zwei Schritten: Zunächst werden die Entwicklungsprozesse und das Lifecycle-Management der Hersteller überprüft, anschließend werden die technischen Sicherheitsanforderungen der Netzwerkprodukte durch unabhängige Prüflabore getestet. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt NESAS, indem es Anforderungen an sichere Netzwerkinfrastrukturen definiert und NESAS als Sicherheitsstandard in seine Bewertungen einbezieht.

Anwendungsbereich

Die NESAS-Zertifizierung findet Anwendung bei Herstellern von Telekommunikationsausrüstung, darunter Unternehmen wie Ericsson, Nokia und Huawei. Sie betrifft insbesondere sicherheitskritische Komponenten von Mobilfunknetzen, wie Kernnetz-, Zugangsnetz- und Transportnetzsysteme. Dabei werden unter anderem die Software-Sicherheit, der Schutz gegen Cyberangriffe sowie die Prozesse zur Erkennung und Behebung von Sicherheitslücken geprüft. NESAS trägt somit zur Stärkung der Netzsicherheit bei und bietet Netzbetreibern eine verlässliche Grundlage für die Auswahl sicherer Infrastrukturen.

Die NESAS-Zertifizierung wird international anerkannt, insbesondere in Ländern und Regionen, die hohe Sicherheitsanforderungen an 4G- und 5G-Netzinfrastrukturen stellen. Dazu gehören unter anderem die Europäische Union, die USA und verschiedene asiatische Staaten. Mobilfunkbetreiber und Regulierungsbehörden nutzen NESAS als eine der Bewertungsgrundlagen, um die Sicherheitskonformität von Netzwerkausrüstung zu prüfen. Allerdings ist NESAS kein gesetzlich vorgeschriebenes Zertifikat, sondern eine freiwillige Zertifizierung, die von den Herstellern selbst initiiert wird, um ihre Produkte und Prozesse als sicher nachweisen zu können.

Obwohl die Teilnahme an NESAS grundsätzlich freiwillig ist, gibt es Länder und Mobilfunkbetreiber, die die Zertifizierung faktisch voraussetzen. In einigen Regionen wird NESAS als Teil nationaler Sicherheitsrichtlinien oder als Mindestanforderung für den Einsatz von Mobilfunktechnologien genutzt. Beispielsweise können Mobilfunkanbieter oder staatliche Behörden von Ausrüstern verlangen, dass sie NESAS oder eine gleichwertige Zertifizierung vorweisen, bevor ihre Produkte in kritischen Netzwerkinfrastrukturen eingesetzt werden dürfen.

Prüfspezifika und Gültigkeit

Das NESAS-Schema definiert ein strukturiertes Prüfverfahren zur Sicherheitsbewertung von Netzwerkausrüstung:

1. Definition der Sicherheitsanforderungen

  • Basierend auf dem 3GPP / GSMA NESAS Security Framework
  • Festlegung von Sicherheitsrichtlinien für 4G- und 5G-Netzwerkinfrastrukturen
  • Fokus auf Software-Sicherheit, Entwicklungsprozesse und Netzwerkintegrität

2. Sicherheitsbewertung durch eine anerkannte Prüfstelle

  • Prüfung erfolgt durch anerkannte Prüfstelle
  • Evaluierung erfolgt nach standardisierten NESAS-Anforderungen
  • Zusammenarbeit mit Netzbetreibern, Herstellern und Behörden

3. Prüfung von Entwicklungs- und Sicherheitsprozessen

  • Analyse des Softwareentwicklungs- und Lebenszyklusmanagements
  • Bewertung von Sicherheitsmaßnahmen, Patch-Management und Incident Response
  • Überprüfung der Dokumentation und internen Sicherheitskontrollen

4. Durchführung technischer Sicherheitsanalysen

  • Prüfung auf Sicherheitslücken und potenzielle Schwachstellen
  • Test der Implementierung von Sicherheitsmechanismen
  • Identifikation von Risiken im Zusammenhang mit Cyberangriffen

5. Erstellung des Bewertungsberichts und Ausstellung des Zertifikats

  • Dokumentation der Sicherheitsanalyse und Prüfergebnisse
  • Erstellung eines detaillierten Sicherheitsberichts
  • Ausstellung einer Zertifizierungsbescheinigung für konforme Produkte

Vor Beginn des eigentlichen Audits müssen die Unternehmen die relevanten Sicherheitsanforderungen aus dem NESAS-Schema identifizieren und entsprechende Dokumentationen zu den Entwicklungs- und Sicherheitsprozessen bereitstellen. Viele Hersteller führen zudem interne Vorbereitungstests durch, um potenzielle Sicherheitslücken frühzeitig zu erkennen und zu schließen. Dies erleichtert den Zertifizierungsprozess und erhöht die Wahrscheinlichkeit, dass die Produkte die Sicherheitskriterien erfüllen. Die abschließende Bewertung umfasst eine detaillierte Sicherheitsanalyse, in der die Stärken und Schwächen des Produkts dokumentiert werden.

Die Gültigkeit der NESAS-Zertifizierung beträgt in der Regel drei bis fünf Jahre, wobei regelmäßige Sicherheitsupdates erforderlich sind. Bei sicherheitsrelevanten Änderungen, z.B. durch neue Bedrohungsszenarien oder wesentliche Modifikationen der zertifizierten Produkte, ist eine erneute Sicherheitsbewertung (Re-Evaluierung) erforderlich. Zur Aufrechterhaltung der Zertifizierung müssen die Hersteller nachweisen, dass ihre Produkte weiterhin den aktuellen Sicherheitsanforderungen entsprechen. Dies geschieht durch kontinuierliche Sicherheitsüberprüfungen und Aktualisierungen in enger Zusammenarbeit mit den Prüfstellen, um die dauerhafte Einhaltung der Sicherheitsstandards zu gewährleisten.

Hier geht es zur Liste der Produktzertifikate

Marktplatz IT-Sicherheit: weitere Angebote

Beiträge IT-Sicherheit
newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
ITS-Couch
ITS-Couch-Sofa-Icon
Markplatz Formate
Experten sehen & hören
its-couch-podcast-icon
IT-Sicherheit-Podcast
IT-Sicherheit zum hören
its-couch-video-icon
Livestream IT-Sicherheit
Events & Material
Ratgeber IT-Sicherheit
Glühbirne - Ratgeber - Icon
Cyber-Risyk-Check
Hilfestellungen IT-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Buch - Icon
Vorlesung Cyber-Sicherheit
Lehrbuch “Cyber-Sicherheit”
IT-Gesetze Icon
IT-Sicherheitsgesetze
Aktueller Gesetzesrahmen
Forum IT-Sicherheit
Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
markplatz_illustration_firstidea_standdertechnik
Stand der Technik
Diskussionsforum
IT Supply-Chain-Security Icon
IT-Supply Chain Security
Diskussionsforum
IT-Sicherheitstools
secaware_lightbulb
Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Zahnräder - Tools - Icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten
Interaktive Listen
IT-Notfall
IT-Notfall
Kontaktdaten von IT-Sicherheitsanbietern
Penetrationstests - Icon
Penetrationstests
Kontaktdaten von IT-Sicherheitsanbietern
markplatz_illustration_beauftragtertest
Informationssicherheitsbeauftragter (ISB)
Kontaktdaten von IT-Sicherheitsanbietern
SOC - Icon
Security Operations Center (SOC)
Kontaktdaten von IT-Sicherheitsanbietern
Datenschutzbeauftragter-Icon
Der Datenschutzbeauftragte
Kontaktdaten von IT-Sicherheitsanbietern
it-sicherherheitsrecht waage
IT-Sicherheitsrecht
Juristische Beratung
Zertifikate IT-Sicherheit
Personenzertifikate - Icon
Personenzertifikate
Interaktive Liste
Unternehmenszertifikate - Icon
Unternehmenszertifikate
Interaktive Liste
Veranstaltungen
Anbieterverzeichnis
Skip to content