GSMA NESAS Lebenszyklus- und Produktprüfung

Haben Sie Fragen oder Anmerkungen? Kontaktieren Sie uns!

Cybersicherheit für Sektor-übergreifende Mobilfunknetze

Das Network Equipment Security Assurance Scheme, kurz NESAS, ist ein gemeinsam von der 3rd Generation Partnership Project (3GPP) und GSM Association (GSMA) definiertes, industrieübergreifendes Schema zur Stärkung des Vertrauens in die IT-Sicherheit verschiedenster Mobilfunkkomponenten. Die Prüfung dieser Netzwerkgeräte erfolgt durch unabhängige Prüfdienstleister auf Basis fest definierter Bewertungsrahmen und Sicherheitskataloge. Neben der Produktsicherheit wird in einem ergänzenden Verfahren auch die Sicherheit über den gesamten Produktlebenszyklus auditiert.

Lab und Auditor – zwei Seiten derselben Medaille

Mit über 25 Jahren Erfahrung in der IT Security ist TÜVIT ein renommierter und starker Partner für Hersteller von Netzwerkkomponenten in Mobilfunknetzen der neuesten Generation.

Seit vielen Jahren betreiben wir ein leistungsfähiges Hard- und Softwarelabor in Essen. Dieses Know-how und unsere Prüfmethodik bilden heute die Grundlage für technische Produktprüfungen nach 3GPP-definierten Sicherheitstestfällen (SCAS). Bezüglich NESAS verfügt unser Labor über alle Anforderungen hinsichtlich einer erweiterte ISO 17025-Akkreditierung.

Und damit nicht genug. TÜViT führt nach dem NESAS-Standard Security Assessments entlang des gesamten Produkt Lebenszyklus Prozesses durch. Damit bieten wir Netzwerkausrüstern ein vollständiges Audit- und Prüfportfolio aus einer Hand.

GSMA NESAS Lebenszyklus- & Produktprüfung GSMA NESAS Lebenszyklus- & Produktprüfung GSMA NESAS Lebenszyklus- & Produktprüfung GSMA NESAS Lebenszyklus- & Produktprüfung
Pioniere gesucht!

Jetzt mit uns Kontakt aufnehmen für eine Pilot-Evaluierung gemäß
dem NESAS-Zertifizierungsschema in der deutschen Implementierung
  

Unsere Leistungen

NESAS Leistungen: IT-Security Consulting & Support für Prüfvorbereitende Leistungen NESAS Leistungen: IT-Security Consulting & Support für Prüfvorbereitende Leistungen NESAS Leistungen: IT-Security Consulting & Support für Prüfvorbereitende Leistungen NESAS Leistungen: IT-Security Consulting & Support für Prüfvorbereitende Leistungen

IT-Security Consulting und Support für Prüfvorbereitende Leistungen

NESAS Leistungen: Security Audits über den Produkt Life Cycle auf Basis der GSMA-Anforderungen NESAS Leistungen: Security Audits über den Produkt Life Cycle auf Basis der GSMA-Anforderungen NESAS Leistungen: Security Audits über den Produkt Life Cycle auf Basis der GSMA-Anforderungen NESAS Leistungen: Security Audits über den Produkt Life Cycle auf Basis der GSMA-Anforderungen

Security Audits über den Produkt Life Cycle auf Basis der GSMA-Anforderungen

NESAS Leistungen: Security Evaluation von Netzwerkkomponenten auf Basis 3GPP SCAS Testfällen NESAS Leistungen: Security Evaluation von Netzwerkkomponenten auf Basis 3GPP SCAS Testfällen NESAS Leistungen: Security Evaluation von Netzwerkkomponenten auf Basis 3GPP SCAS Testfällen NESAS Leistungen: Security Evaluation von Netzwerkkomponenten auf Basis 3GPP SCAS Testfällen

Security Evaluation von Netzwerkkomponenten auf Basis 3GPP SCAS Testfällen

Davon profitieren Netzwerkausrüster und Komponentenhersteller

  • Nachweis der IT-Security Compliance gegenüber relevanten Stakeholdern wie Netzintegratoren und Funknetzbetreibern
  • Hersteller dokumentieren sichtbar ihre Entwicklungs-, Wartungs- und Produktsicherheitsfunktionen  
  • International einheitliche Sicherheitsanforderungen ermöglichen das Benchmarking im weltweiten Vertrieb 
  • Die Vermeidung global inkonsistenter Sicherheitsanforderungen und Konformitätsfragmentierung erleichtert den Entwicklungsprozess sicherer Netzwerkprodukte

Der Auditprozess im Detail

Das Network Equipment Security Assurance Scheme (NESAS) ist ein Sicherheits-Framework aus zwei zusammenhängenden Prüfteilen. Prüffokus und ungefähre Abläufe, wie wir im jeweiligen Abschnitt prüfen, finden Interessenten auf folgenden Reitern.

Security Evaluation von Netzwerkkomponenten

Security Evaluation von Netzwerkkomponenten

Produktprüfung gemäß den von der 3GPP-definierten Sicherheitstestfällen
 

Schritt 1  Der Basistestfall:
Der Teil der Produktprüfung richtet sich stark am eigentlichen Prüfgegenstand, demnach der jeweiligen Netzwerkkomponente, aus. Fester Prüfbestandteil ist in allen Fällen der Basistestfallkatalog TS 33.117. Wie auch die übrigen Testfallkataloge (SCAS-Kataloge) enthält er detaillierte Anweisungen, welche Testszenarien im Rahmen der Prüfung durchzuführen und wie diese zu dokumentieren sind. 

Schritt 2  Die Ergänzungskataloge:
Je nach Produkttyp erfolgt die Security Evaluation zudem auf Grundlage weiterer Ergänzungskataloge. Über alle Produkttypen hinweg umfasst NESAS 12 produktspezifische Ergänzungsfallkataloge.

Langjährige Erfahrung im Prüfgeschäft, eigenentwickelte Testtools und Kooperationen zu namhaften Partnerunternehmen im Umfeld von 5G ermöglichen es TÜViT, eine große Bandbreite von Netzwerkprodukten nach allen im NESAS Schema verankerten Testfallkatalogen zu prüfen. 

 






 



  

 


Diese Netzwerkprodukte prüfen wir: 5G RAN ++ gNodeB ++ 5G Core UDG ++ UDM ++ UNC ++ UPCF ++ LTE eNodeB ++ u. v. m.

Produkt Life Cycle Audits

Produkt Life Cycle Audits

Auditierung auf Basis der Anforderungen der GSM Association (GSMA)
 

Schritt 1  Die Dokumentenprüfung:
Im Rahmen des Life-Cycle Audits durch TÜViT als erfahrenes Audit-Unternehmen werden zunächst alle an der Entwicklung und Produktion beteiligten Standorte eines Produktherstellers auf Dokumentenbasis geprüft. Der Prüfumfang erstreckt sich über eine Vielzahl von Themengebieten und umfasst Entwurfs-, Entwicklungs-, Implementierungs-, Test- und Wartungsprozesse von Herstellern.

Schritt 2  Vor-Ort Audits:
Sobald die Dokumentenlage als hinreichend attestiert werden kann, erfolgen Vor-Ort Audits an allen Life Cycle beteiligten Standorten. Im Rahmen derer werden die Ergebnisse der Dokumentenprüfung in der Örtlichkeit verifiziert.

Der Prüfbericht: 
Der resultierende Auditbericht aus beiden Evaluationsschritten erbringt den Nachweis über die bestandene Life Cycle Prüfung auf Grundlage der Anforderungen der GSMA. Er gilt zugleich als Input für die folgende Security Evaluation von Netzwerkkomponenten auf Grundlage der Sicherheitskataloge der 3GPP. TÜViT bietet beide Prüfbausteine aus einer Hand - ein Effizienzgewinn für alle! Mehr zur Security Evaluation.

 

NESAS: Produkt Life Cycle Audits NESAS: Produkt Life Cycle Audits NESAS: Produkt Life Cycle Audits NESAS: Produkt Life Cycle Audits


Diese Themengebiete prüfen wir: CM System ++ Quellcode Prüfungen ++ Trainings von Mitarbeitenden ++ Software Integrität & -Sicherheit ++ Software Security Tests ++ Security By Design ++ Dokumenengenauigkeit ++

Über NESAS

Das Network Equipment Security Assurance Scheme (NESAS) ist ein branchenübergreifendes, internationales Sicherheits-Framework aus der Feder der 3rd Generation Partnership Project (3GPP) und GSM Association (GSMA) unter Mitwirkung global operierender TK-Netzbetreiber, Hersteller, Anbieter und Industriepartner.

Als gemeinsame Basis soll NESAS zusammen mit anderen Mechanismen dazu beitragen den IT-Security-Level über die gesamte Mobilfunkbranche zu erhöhen, indem die Sicherheitsanforderungen von Netzwerkkomponenten durch unabhängige, akkreditierte Prüfdienstleister evaluiert werden.

Das Sicherheitsframework untergliedert sich in zwei aufeinander aufbauende Teilbereiche. Basierend auf den Sicherheitsanforderungen und einem Bewertungsrahmen der GSMA werden der gesamte Produktentwicklungs- und Produktlebenszyklusprozess einer Netzwerkkomponente sowie die daran beteiligten Herstellerstandorte auditiert. In einer 2. Stufen erfolgt die Sicherheitsbewertung von Netzwerkgeräten unter Verwendung von 3GPP-definierten Sicherheitstestfällen.

Die Integration des ersten Teilbereiches in die 2. Prüfstufe ermöglicht einen effizienten Prüfablauf. Messbare Ergebnisse fördern zudem die Transparenz in den Sicherheitsschutzniveaus der Branche.

Häufig gestellte Fragen:
 

Ist NESAS ein Zertifizierungsschema?

Nein, das NESAS Programm zertifiziert keine Netzwerkprodukte. Nach erfolgter Prüfung erhalten Hersteller einen transparenten Prüfbericht mit der Aussage, ob die Prüfung erfolgreich verlaufen ist. Unternehmen, die an einer Zertifizierung Interesse zeigen, unterstützt TÜVIT durch seine Prüfstelle auf Wunsch im Zertifizierungsprozess auf Basis anderer Schemata (u. a. Common Criteria, Trusted Product).

Existieren Unterschiede zwischen Auditor und Sicherheitstestlabor?

Ja, die Auditierung des Produktlebenszyklus und die Sicherheitsprüfung des Produktes können durch unterschiedliche Labore durchgeführt werden. Die von der GSMA ernannten NESAS-Auditoren führen die Bewertung des Produktlebenszyklus durch. Die NESAS-Labore konzentrieren sich auf die Evaluation von Netzwerkprodukten auf Basis der SCAS-Testfallkataloge. TÜVIT bietet beide Leistungen aus einer Hand. 

Wie hängen Reports von Life Cycle und Produkttests zusammen?

Der Audit-Report des Life Cycle Audits wird als Input für das Testlabor zur Produktprüfung benötigt. Während der Produktprüfung werden die im Audit-Report festgestellten Punkte verifiziert und das Ergebnis zusammen mit den Testergebnissen in einem Produkttestprüfbericht dokumentiert.

Warum wir ein starker Partner für Sie sind

Expertise auf allen Security Levels

Mit TÜVIT steht Ihnen ein führender Experte im Bereich Cyber-Security zur Seite. Wir sind rund um den Globus als Labor und Auditor für eine große Bandbreite an Prüfleistungen auf Organisations-, System- und Komponentenebene akkreditiert.

In allen Branchen erfolgreich unterwegs

Seit 1995 sorgt unsere Security-Expertise für Vertrauen in die IT-Systeme vieler Branchen und Industriezweige. Das Positive daran: Von Jahr zu Jahr wächst unsere Erfahrung mit einer Vielzahl herausfordernder Projekte.

Auf Sie zugeschnitten

Wir setzen auf individuelle Prüflösungen, die optimal zur Unternehmenssituation und Ihren Zielen passen. Sie möchten IT-Sicherheit nachhaltig gestalten? Wir zeigen Ihnen Potentiale "On Top" zu den Mindestanforderungen der Kriterienwerke auf.

Internationales Expertennetzwerk

Rund um den Globus: Wir beraten und unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen unabhängig von der Kritikalität des Prüfobjektes, den Marktanforderungen und dem Einsatzgebiet des Evaluationsgegenstands in sämtlichen IT-Sicherheitsfragen mit Rat & Tat zur Seite.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.
Sie haben Fragen? Wir helfen gerne!

  


Eric Behrendt Global Corporate Development Manager Asia-Pacific


Markus Wagner Produkt Manager Software Evaluation

Weitere Leistungen