Axis unterzeichnet CISAs „Secure by Design“-Verpflichtung für Cybersicherheit

Die freiwillige „Secure by Design“-Verpflichtung der US‑Behörde CISA fordert Hersteller dazu auf, die Sicherheit ihrer Kunden zu einem zentralen geschäftlichen Anliegen zu machen, indem sie sieben wesentliche Sicherheitsaspekte adressieren:

• Verwendung von Multi‑Faktor‑Authentifizierung
• Reduzierung von Standardpasswörtern
• Verringerung von Klassen von Schwachstellen
• Ermöglichung einer einfachen Installation von Sicherheitspatches
• Veröffentlichung einer Richtlinie zur Offenlegung von Schwachstellen
• Transparenz bei der Meldung von Schwachstellen
• Nachweisbare Verbesserung der Fähigkeit von Kunden, Hinweise auf Cyberangriffe zu sammeln, die Produkte des Herstellers betreffen

„CISAs Secure by Design‑Verpflichtung passt sehr gut zu unserem Ziel, Cybersicherheit zu einem zentralen Bestandteil unseres Angebots zu machen“, sagt Johan Paulsson, Chief Technology Officer bei Axis. „Mit dieser Verpflichtung bekräftigen wir unser kontinuierliches Engagement, Kunden bei der Einhaltung von Best Practices der Cybersicherheit zu unterstützen und mehr Verantwortlichkeit in der physischen Sicherheitsbranche zu fördern.“

Nachfolgend wird beschrieben, wie Axis die Secure by Design‑Verpflichtung in seinem Produktportfolio umsetzt – von AXIS‑OS‑basierten Netzwerkprodukten über Video‑ und Gerätemanagementsoftware bis hin zu Serviceangeboten wie Axis Cloud Connect.

Implementierung von Sicherheit im Axis‑Produktportfolio 

Die Reduzierung des Risikos von Software‑Schwachstellen ist ein integraler Bestandteil der Softwareentwicklung bei Axis. Entwickler folgen dem Axis Security Development Model (ASDM), um Sicherheitsrisiken während des gesamten Produktlebenszyklus zu minimieren. Das Sicherheitsframework, bestehend aus Prozessen und Tools, umfasst auch die Stärkung der Produktsicherheit durch externe Ressourcen, insbesondere durch Bug‑Bounty‑Programme und die Möglichkeit für Personen, an das Axis Product Security Team Fehler und Schwachstellen zu melden.

Axis veröffentlicht und behebt Schwachstellen als CVE Numbering Authority (CNA). Die veröffentlichte Richtlinie zum Schwachstellenmanagement beschreibt, was, wann und wie Axis mit Offenlegungen von Schwachstellen umgeht. Das Axis Trust Center bietet Cybersicherheits‑ und Compliance‑Informationen für das Unternehmen und für AXIS‑OS‑basierte Netzwerkprodukte und wird künftig auch andere Axis‑Produkte und ‑Dienste abdecken.

AXIS‑OS‑basierte Netzwerkprodukte

Die umfangreichen IP‑basierten Netzwerkgeräte von Axis – darunter Kameras, Intercoms, Lautsprecher und Zutrittskontrollprodukte – werden vom Betriebssystem AXIS OS betrieben. AXIS OS ist ohne Standardpasswörter konzipiert. Es unterstützt Multi‑Faktor‑Authentifizierung, wenn Kunden über zentrale Identity‑ und Access‑Management‑Systeme (IAM) auf die Geräte zugreifen.

AXIS OS ermöglicht standardmäßig Zero‑Trust‑Netzwerke ab Werk für sichere Geräteverifizierung und ‑bereitstellung. Es erlaubt Axis‑Geräten, sich automatisch über IEEE 802.1X mit ihren IEEE‑802.1AR‑konformen sicheren Geräteidentitäten zu authentifizieren. AXIS OS unterstützt zudem starke Verschlüsselung über IEEE 802.1AE MACsec, wodurch grundlegende Netzwerkprotokolle wie NTP und DHCP geschützt werden, die keine native Sicherheit bieten, und sichere Protokolle wie HTTPS und andere TLS‑basierte Protokolle doppelt verschlüsselt werden.

Darüber hinaus verfügen AXIS‑OS‑basierte Geräte über hardwarebasierte sichere Schlüsselspeicherung, zertifiziert nach FIPS 140‑3 Level 3 sowie Common Criteria EAL6+.

AXIS Camera Station 

Die Videoverwaltungssoftware AXIS Camera Station Pro und AXIS Camera Station Edge gewährleistet sichere externe Kommunikation zwischen Smartphone, Tablet, Browser oder PC‑Client und Axis‑Netzwerkkameras durch 256‑Bit‑AES‑Verschlüsselung mittels Axis Secure Remote Access v2. Die Kommunikation zwischen Client‑Servern und Axis‑Geräten ist ebenfalls durch 256‑Bit‑AES‑Verschlüsselung und TLS 1.2 oder höher geschützt. Die Software unterstützt mehrere Benutzerzugriffsebenen und granulare Kontrolle verschiedener Funktionen. AXIS Camera Station Pro ermöglicht den Passwortschutz von Geräten über lokale Benutzer oder Windows Active Directory‑Domänenbenutzer, während AXIS Camera Station Edge Zwei‑Faktor‑Authentifizierung unterstützt. AXIS Camera Station Pro bietet Alarm‑, Ereignis‑ und Audit‑Logs, unterstützt Echtzeit‑Benachrichtigungen und die Nachverfolgung von Systemaktivitäten und stellt so Verantwortlichkeit sicher.

Axis‑Gerätemanagementsoftware 

Axis bietet mehrere benutzerfreundliche Softwarelösungen zur Verwaltung von Edge‑Geräten wie Kameras, Audioprodukten und Zutrittskontrollsystemen. Die Anwendungen AXIS Device Manager, AXIS Device Manager Edge und AXIS Device Manager Extend helfen Kunden dabei, Softwareupdates und Sicherheitsmaßnahmen für Tausende von Axis‑Geräten kosteneffizient durchzuführen. Weitere Funktionen umfassen die Automatisierung des Lebenszyklus der TLS‑Zertifikatsbereitstellung, einfache Backup‑ und Wiederherstellungsfunktionen für Gerätekonfigurationen zur Minimierung menschlicher Fehler sowie die Verwaltung von Passwortänderungen, HTTPS, IEEE 802.1X und anderen Diensten auf Axis‑Geräten.

Axis Cloud Connect  

Axis Cloud Connect ist eine offene Hybrid‑Cloud‑Plattform, die Endkunden und Integrationspartnern die Verwaltung von Axis‑Geräten ermöglicht. Sie unterstützt unter anderem das automatische Anwenden neuer Softwareupdates, einschließlich Sicherheitspatches für Axis‑Netzwerkprodukte. Die Verbindung zwischen Gerät und Cloud erfolgt ausschließlich über sichere Kommunikationskanäle wie HTTPS und WebRTC mit TLS 1.2/1.3. Die Plattform unterstützt Single Sign‑On (SSO) und Multi‑Faktor‑Authentifizierung für My‑Axis‑Konten, die den Zugang zu Axis‑Diensten ermöglichen. Cloud Connect unterstützt außerdem die Beweissammlung und automatische Erkennung sensibler Cybersicherheitsaktivitäten durch automatisierte Tools und Audit‑Log‑Monitoring.

Als Teil der CISA‑Verpflichtung verpflichtet sich Axis dazu, regelmäßig Einblicke und Fortschritte in Bezug auf die Cybersicherheitslage seiner Produkte zu teilen. Dies ermöglicht es Kunden, die Sicherheit zu überprüfen, das Unternehmen zur Verantwortung zu ziehen und das Vertrauen in Axis‑Produkte zu stärken.