MENU

GSMA NESAS Lebenszyklus- und Produktprüfung

Cybersicherheit für Sektor-übergreifende Mobilfunknetze

Das Network Equipment Security Assurance Scheme, kurz NESAS, ist ein gemeinsam von der 3rd Generation Partnership Project (3GPP) und GSM Association (GSMA) definiertes, industrieübergreifendes Schema zur Stärkung des Vertrauens in die IT-Sicherheit verschiedenster Mobilfunkkomponenten. Die Prüfung dieser Netzwerkgeräte erfolgt durch unabhängige Prüfdienstleister auf Basis fest definierter Bewertungsrahmen und Sicherheitskataloge. Neben der Produktsicherheit wird in einem ergänzenden Verfahren auch die Sicherheit über den gesamten Produktlebenszyklus auditiert.

Lab und Auditor – zwei Seiten derselben Medaille

Mit über 25 Jahren Erfahrung in der IT Security ist TÜViT ein renommierter und starker Partner für Hersteller von Netzwerkkomponenten in Mobilfunknetzen der neuesten Generation.

Seit vielen Jahren betreiben wir ein leistungsfähiges Hard- und Softwarelabor in Essen. Dieses Know-how und unsere Prüfmethodik bilden heute die Grundlage für technische Produktprüfungen nach 3GPP-definierten Sicherheitstestfällen (SCAS). Bezüglich NESAS verfügt unser Labor über alle Anforderungen hinsichtlich einer erweiterte ISO 17025-Akkreditierung.

Und damit nicht genug. TÜViT führt nach dem NESAS-Standard Security Assessments entlang des gesamten Produkt Lebenszyklus Prozesses durch. Damit bieten wir Netzwerkausrüstern ein vollständiges Audit- und Prüfportfolio aus einer Hand.

GSMA NESAS Lebenszyklus- & Produktprüfung GSMA NESAS Lebenszyklus- & Produktprüfung GSMA NESAS Lebenszyklus- & Produktprüfung GSMA NESAS Lebenszyklus- & Produktprüfung
Pioniere gesucht!

Jetzt mit uns Kontakt aufnehmen für eine Pilot-Evaluierung gemäß
dem NESAS-Zertifizierungsschema in der deutschen Implementierung
  

Unsere Leistungen

NESAS Leistungen: IT-Security Consulting & Support für Prüfvorbereitende Leistungen NESAS Leistungen: IT-Security Consulting & Support für Prüfvorbereitende Leistungen NESAS Leistungen: IT-Security Consulting & Support für Prüfvorbereitende Leistungen NESAS Leistungen: IT-Security Consulting & Support für Prüfvorbereitende Leistungen

IT-Security Consulting und Support für Prüfvorbereitende Leistungen

NESAS Leistungen: Security Audits über den Produkt Life Cycle auf Basis der GSMA-Anforderungen NESAS Leistungen: Security Audits über den Produkt Life Cycle auf Basis der GSMA-Anforderungen NESAS Leistungen: Security Audits über den Produkt Life Cycle auf Basis der GSMA-Anforderungen NESAS Leistungen: Security Audits über den Produkt Life Cycle auf Basis der GSMA-Anforderungen

Security Audits über den Produkt Life Cycle auf Basis der GSMA-Anforderungen

NESAS Leistungen: Security Evaluation von Netzwerkkomponenten auf Basis 3GPP SCAS Testfällen NESAS Leistungen: Security Evaluation von Netzwerkkomponenten auf Basis 3GPP SCAS Testfällen NESAS Leistungen: Security Evaluation von Netzwerkkomponenten auf Basis 3GPP SCAS Testfällen NESAS Leistungen: Security Evaluation von Netzwerkkomponenten auf Basis 3GPP SCAS Testfällen

Security Evaluation von Netzwerkkomponenten auf Basis 3GPP SCAS Testfällen

Davon profitieren Netzwerkausrüster und Komponentenhersteller

  • Nachweis der IT-Security Compliance gegenüber relevanten Stakeholdern wie Netzintegratoren und Funknetzbetreibern
  • Hersteller dokumentieren sichtbar ihre Entwicklungs-, Wartungs- und Produktsicherheitsfunktionen  
  • International einheitliche Sicherheitsanforderungen ermöglichen das Benchmarking im weltweiten Vertrieb 
  • Die Vermeidung global inkonsistenter Sicherheitsanforderungen und Konformitätsfragmentierung erleichtert den Entwicklungsprozess sicherer Netzwerkprodukte

Der Auditprozess im Detail

Das Network Equipment Security Assurance Scheme (NESAS) ist ein Sicherheits-Framework aus zwei zusammenhängenden Prüfteilen. Prüffokus und ungefähre Abläufe, wie wir im jeweiligen Abschnitt prüfen, finden Interessenten auf folgenden Reitern.

Produkt Life Cycle Audits

Produkt Life Cycle Audits

Auditierung auf Basis der Anforderungen der GSM Association (GSMA)
 

Schritt 1  Die Dokumentenprüfung:
Im Rahmen des Life-Cycle Audits durch TÜViT als erfahrenes Audit-Unternehmen werden zunächst alle an der Entwicklung und Produktion beteiligten Standorte eines Produktherstellers auf Dokumentenbasis geprüft. Der Prüfumfang erstreckt sich über eine Vielzahl von Themengebieten und umfasst Entwurfs-, Entwicklungs-, Implementierungs-, Test- und Wartungsprozesse von Herstellern.

Schritt 2  Vor-Ort Audits:
Sobald die Dokumentenlage als hinreichend attestiert werden kann, erfolgen Vor-Ort Audits an allen Life Cycle beteiligten Standorten. Im Rahmen derer werden die Ergebnisse der Dokumentenprüfung in der Örtlichkeit verifiziert.

Der Prüfbericht: 
Der resultierende Auditbericht aus beiden Evaluationsschritten erbringt den Nachweis über die bestandene Life Cycle Prüfung auf Grundlage der Anforderungen der GSMA. Er gilt zugleich als Input für die folgende Security Evaluation von Netzwerkkomponenten auf Grundlage der Sicherheitskataloge der 3GPP. TÜViT bietet beide Prüfbausteine aus einer Hand - ein Effizienzgewinn für alle! Mehr zur Security Evaluation.

 

NESAS: Produkt Life Cycle Audits NESAS: Produkt Life Cycle Audits NESAS: Produkt Life Cycle Audits NESAS: Produkt Life Cycle Audits


Diese Themengebiete prüfen wir: CM System ++ Quellcode Prüfungen ++ Trainings von Mitarbeitenden ++ Software Integrität & -Sicherheit ++ Software Security Tests ++ Security By Design ++ Dokumenengenauigkeit ++

Security Evaluation von Netzwerkkomponenten

Security Evaluation von Netzwerkkomponenten

Produktprüfung gemäß den von der 3GPP-definierten Sicherheitstestfällen
 

Schritt 1  Der Basistestfall:
Der Teil der Produktprüfung richtet sich stark am eigentlichen Prüfgegenstand, demnach der jeweiligen Netzwerkkomponente, aus. Fester Prüfbestandteil ist in allen Fällen der Basistestfallkatalog TS 33.117. Wie auch die übrigen Testfallkataloge (SCAS-Kataloge) enthält er detaillierte Anweisungen, welche Testszenarien im Rahmen der Prüfung durchzuführen und wie diese zu dokumentieren sind. 

Schritt 2  Die Ergänzungskataloge:
Je nach Produkttyp erfolgt die Security Evaluation zudem auf Grundlage weiterer Ergänzungskataloge. Über alle Produkttypen hinweg umfasst NESAS 12 produktspezifische Ergänzungsfallkataloge.

Langjährige Erfahrung im Prüfgeschäft, eigenentwickelte Testtools und Kooperationen zu namhaften Partnerunternehmen im Umfeld von 5G ermöglichen es TÜViT, eine große Bandbreite von Netzwerkprodukten nach allen im NESAS Schema verankerten Testfallkatalogen zu prüfen. 

 






 



  

 


Diese Netzwerkprodukte prüfen wir: 5G RAN ++ gNodeB ++ 5G Core UDG ++ UDM ++ UNC ++ UPCF ++ LTE eNodeB ++ u. v. m.

Über NESAS

Das Network Equipment Security Assurance Scheme (NESAS) ist ein branchenübergreifendes, internationales Sicherheits-Framework aus der Feder der 3rd Generation Partnership Project (3GPP) und GSM Association (GSMA) unter Mitwirkung global operierender TK-Netzbetreiber, Hersteller, Anbieter und Industriepartner.

Als gemeinsame Basis soll NESAS zusammen mit anderen Mechanismen dazu beitragen den IT-Security-Level über die gesamte Mobilfunkbranche zu erhöhen, indem die Sicherheitsanforderungen von Netzwerkkomponenten durch unabhängige, akkreditierte Prüfdienstleister evaluiert werden.

Das Sicherheitsframework untergliedert sich in zwei aufeinander aufbauende Teilbereiche. Basierend auf den Sicherheitsanforderungen und einem Bewertungsrahmen der GSMA werden der gesamte Produktentwicklungs- und Produktlebenszyklusprozess einer Netzwerkkomponente sowie die daran beteiligten Herstellerstandorte auditiert. In einer 2. Stufen erfolgt die Sicherheitsbewertung von Netzwerkgeräten unter Verwendung von 3GPP-definierten Sicherheitstestfällen.

Die Integration des ersten Teilbereiches in die 2. Prüfstufe ermöglicht einen effizienten Prüfablauf. Messbare Ergebnisse fördern zudem die Transparenz in den Sicherheitsschutzniveaus der Branche.

Häufig gestellte Fragen:
 

Ist NESAS ein Zertifizierungsschema?

Nein, das NESAS Programm zertifiziert keine Netzwerkprodukte. Nach erfolgter Prüfung erhalten Hersteller einen transparenten Prüfbericht mit der Aussage, ob die Prüfung erfolgreich verlaufen ist. Unternehmen, die an einer Zertifizierung Interesse zeigen, unterstützt TÜViT durch seine Prüfstelle auf Wunsch im Zertifizierungsprozess auf Basis anderer Schemata (u. a. Common Criteria, Trusted Product).

Existieren Unterschiede zwischen Auditor und Sicherheitstestlabor?

Ja, die Auditierung des Produktlebenszyklus und die Sicherheitsprüfung des Produktes können durch unterschiedliche Labore durchgeführt werden. Die von der GSMA ernannten NESAS-Auditoren führen die Bewertung des Produktlebenszyklus durch. Die NESAS-Labore konzentrieren sich auf die Evaluation von Netzwerkprodukten auf Basis der SCAS-Testfallkataloge. TÜViT bietet beide Leistungen aus einer Hand. 

Wie hängen Reports von Life Cycle und Produkttests zusammen?

Der Audit-Report des Life Cycle Audits wird als Input für das Testlabor zur Produktprüfung benötigt. Während der Produktprüfung werden die im Audit-Report festgestellten Punkte verifiziert und das Ergebnis zusammen mit den Testergebnissen in einem Produkttestprüfbericht dokumentiert.

Warum wir ein starker Partner für Sie sind

Expertise auf allen Security Levels

Mit TÜViT steht Ihnen ein führender Experte im Bereich Cyber-Security zur Seite. Wir sind rund um den Globus als Labor und Auditor für eine große Bandbreite an Prüfleistungen auf Organisations-, System- und Komponentenebene akkreditiert.

In allen Branchen erfolgreich unterwegs

Seit 1995 sorgt unsere Security-Expertise für Vertrauen in die IT-Systeme vieler Branchen und Industriezweige. Das Positive daran: Von Jahr zu Jahr wächst unsere Erfahrung mit einer Vielzahl herausfordernder Projekte.

Auf Sie zugeschnitten

Wir setzen auf individuelle Prüflösungen, die optimal zur Unternehmenssituation und Ihren Zielen passen. Sie möchten IT-Sicherheit nachhaltig gestalten? Wir zeigen Ihnen Potentiale "On Top" zu den Mindestanforderungen der Kriterienwerke auf.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen unabhängig von der Kritikalität des Prüfobjektes, den Marktanforderungen und dem Einsatzgebiet des Evaluationsgegenstands in sämtlichen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.
Sie haben Fragen? Wir helfen gerne!

  

Eric Behrendt

Global Corporate Development Manager Asia-Pacific

+49 30 2007700 66
Fax : +49 30 2007700-99

e.behrendt@tuvit.de

Markus Wagner

Produkt Manager Software Evaluation

+49 201 8999-645
Fax : +49 201 8999-666

m.wagner@tuvit.de

Weitere Leistungen

Prüfstelle für IT-Sicherheit

Hard- und Software - geprüfte Sicherheit aus einer Hand: TÜViT gehört weltweit mit seiner Prüfstelle für IT-Sicherheit zu den führenden Prüfdienstleistern für IT-Produkte und -Systeme. Die Prüfstelle ist seit 1991 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt und von der Deutschen Akkreditierungsstelle (DAkkS) nach der DIN EN ISO/IEC 17025 akkreditiert.
Weiterlesen

Common Criteria

Weltweit anerkannte Sicherheitsprüfungen für IT-Produkte, -Komponenten und -Systemen: TÜViT ist mit mehr als 50 lizenzierten Prüfern und weit mehr als 600 erfolgreich durchgeführten Evaluationen eine der weltweit größten und erfahrensten Prüfstellen für Common Criteria.
Weiterlesen

Hardware

Hardware-Tests für mehr Sicherheit: Zum Schutz von sensiblen Daten werden Hardware-Sicherheitsmodule und Produkte basierend auf Chipkarten-Technologie eingesetzt. TÜViT prüft diese IT-Produkte gemäß anerkannten internationalen Sicherheitsstandards und führt im eigenen Hardware-Testlabor die erforderlichen Penetrationstests durch.
Weiterlesen

Software

Prüfung der IT-Sicherheit von Software: TÜViT evaluiert bereits im Erstellungsproezss und über den gesamten Lebenszyklus hinweg IT-Sicherheitseigenschaften von Softwareprodukten nach den Common Criteria.
Weiterlesen

Site Certification

Standortabnahmen für Produktions- und Entwicklungsumgebungen: Bei der Zertifizierung von IT-Produkten nach Common Criteria oder EMVCo, sind Audits von Entwicklungs- und Produktionsumgebungen ein fester Bestandteil des Evaluierungsprozesses. TÜViT führt wir die Audits durch, die als Grundlage für die Zertifizierung dienen.
Weiterlesen

Technische Richtlinien des BSI

Sicherheit für hoheitliche Anwendungen und Gesundheitsdaten: TÜViT ist als Prüfstelle für Technische Richtlinien (TR) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt.
Weiterlesen

FIPS 140-2

Testen von Kryptomodulen und Kryptoalgorithmen: Das Testlabor von TÜViT ist das einzige in Deutschland, das vom National Institute of Standards and Technology (NIST, USA) für die Prüfung und Validierung gemäß FIPS PUB 140-2 zugelassen ist.
Weiterlesen

Zahlungsverkehr EMVCo

Komponenten, die im elektronischen Zahlungsverkehr eingesetzt werden, müssen spezielle Sicherheitsstandards erfüllen und benötigen entsprechende Zulassungen. Für diese Aufgabe steht TÜViT als akkreditierter Sicherheitsgutachter zur Verfügung.
Weiterlesen

FIDO

Als von der FIDO-Allianz akkreditiertes Sicherheitslabor ist TÜViT dazu berechtigt, Authenticator-Prüfungen nach den FIDO-Sicherheitsstandards durchzuführen. Wir bieten Herstellern Prüfdienstleistungen im Hinblick auf unterschiedliche Sicherheits-Level an.
Weiterlesen