GSMA NESAS – entdeckt, erklärt
Das Network Equipment Security Assurance Scheme, kurz NESAS, ist ein gemeinsam von 3rd Generation Partnership Project (3GPP) und GSM Association (GSMA) definiertes, industrieübergreifendes Schema zur Stärkung des Vertrauens in die IT-Sicherheit von Mobilfunkkomponenten. Die Prüfung der Netzwerkgeräte erfolgt durch unabhängige Prüfdienstleister wie TÜVIT.
Das Network Equipment Security Assurance Scheme (NESAS) ist ein branchenübergreifendes, internationales Sicherheits-Framework aus der Feder der 3rd Generation Partnership Project (3GPP) und GSM Association (GSMA) unter Mitwirkung global operierender TK-Netzbetreiber, Hersteller, Anbieter und Industriepartner.
Als gemeinsame Basis soll NESAS zusammen mit anderen Mechanismen dazu beitragen den IT-Security-Level über die gesamte Mobilfunkbranche zu erhöhen, indem die Sicherheitsanforderungen von Netzwerkkomponenten durch unabhängige, akkreditierte Prüfdienstleister evaluiert werden.
Das Sicherheitsframework untergliedert sich in zwei aufeinander aufbauende Teilbereiche. Basierend auf den Sicherheitsanforderungen und einem Bewertungsrahmen der GSMA werden der gesamte Produktentwicklungs- und Produktlebenszyklusprozess einer Netzwerkkomponente sowie die daran beteiligten Herstellerstandorte auditiert. In einer 2. Stufen erfolgt die Sicherheitsbewertung von Netzwerkgeräten unter Verwendung von 3GPP-definierten Sicherheitstestfällen.
Nein, das NESAS Programm zertifiziert keine Netzwerkprodukte. Nach erfolgter Prüfung erhalten Hersteller einen transparenten Prüfbericht mit der Aussage, ob die Prüfung erfolgreich verlaufen ist. Unternehmen, die an einer Zertifizierung Interesse zeigen, unterstützt TÜVIT durch seine Prüfstelle auf Wunsch im Zertifizierungsprozess auf Basis anderer Schemata (u. a. Common Criteria, Trusted Product).
Ja, die Auditierung des Produktlebenszyklus und die Sicherheitsprüfung des Produktes können durch unterschiedliche Labore durchgeführt werden. Die von der GSMA ernannten NESAS-Auditoren führen die Bewertung des Produktlebenszyklus durch. Die NESAS-Labore konzentrieren sich auf die Evaluation von Netzwerkprodukten auf Basis der SCAS-Testfallkataloge. TÜVIT bietet beide Leistungen aus einer Hand.
Der Audit-Report des Life Cycle Audits wird als Input für das Testlabor zur Produktprüfung benötigt. Während der Produktprüfung werden die im Audit-Report festgestellten Punkte verifiziert und das Ergebnis zusammen mit den Testergebnissen in einem Produkttestprüfbericht dokumentiert.