Ein Sicherheitsvorfall kann den Verlust von Vertraulichkeit sowie die Beeinträchtigung der Datenintegrität und -verfügbarkeit zur Folge haben. Jede Organisation mit IP-vernetzten Geräten – einschließlich netzwerkfähiger Kameras – muss sich mit den Risiken auseinandersetzen, die eine Internetverbindung mit sich bringt. Cybersicherheit hat daher bei Axis höchste Priorität.
Da Cybersicherheit ständige Aufmerksamkeit und Pflege erfordert, liegt die Verantwortung nicht allein bei den Herstellern, sondern auch bei Partnern und Kunden, die aktiv zum Schutz beitragen müssen.
In diesem Artikel erläutern wir den Ansatz von Axis zur Cybersicherheit und warum eine gemeinsame, fortlaufende Verantwortung aller Beteiligten entscheidend für deren Erhalt ist.
Integrierte Cybersicherheit: wie Axis Sicherheitsrisiken minimiert
„Cybersicherheit ist ein grundlegender und natürlicher Bestandteil der Axis-DNA“, sagt Jonas Falk, Director Cybersecurity, Software Development bei Axis. „Sie ist integraler Bestandteil all unserer Aktivitäten – von der Technologieentwicklung bis zum täglichen Betrieb. Sicherheitsaspekte werden bei Axis bereits zu Beginn der Produktentwicklung berücksichtigt und begleiten den gesamten Produktlebenszyklus.“
Ein spezialisiertes Axis-Team, die Axis Software Security Group, hat das Axis Security Development Model (ASDM) definiert. Es dient als Leitfaden für Entwicklungsteams, um Sicherheitslücken bei Design und Implementierung zu minimieren. Dazu gehören auch Tests mit simulierten Cyberangriffen.
Die meisten Axis-Geräte basieren auf AXIS OS, dem Betriebssystem von Axis. Es steuert nicht nur die Funktionen, sondern ist auch darauf ausgelegt, Sicherheitsrisiken zu reduzieren – von der Inbetriebnahme bis zur Außerbetriebnahme. Neue Versionen mit aktuellen Sicherheitsupdates und Fehlerbehebungen werden regelmäßig bereitgestellt.
„Ein wichtiger Schritt war die Umstellung von individueller Softwareentwicklung auf eine gemeinsame Plattform – AXIS OS“, erklärt Andre Bastert, Global Product Manager AXIS OS Cybersecurity. „So können wir Sicherheitsverbesserungen effizient und zeitnah umsetzen.“
Ein weiterer Eckpfeiler ist die hardwarebasierte Sicherheitsplattform Axis Edge Vault. Sie schützt die Integrität der Geräte, ermöglicht kryptografische Operationen und sichert die Lieferkette. Funktionen wie signierte Videos – mit kryptografischem Prüfwert – bieten Nachweis, dass Aufnahmen nicht verändert wurden, was bei Ermittlungen entscheidend sein kann.
Transparenz als Sicherheitsprinzip
„Kunden müssen Risiken in der Lieferkette minimieren, und Transparenz seitens der Anbieter ist dafür unerlässlich“, sagt Andre. „Deshalb legen wir großen Wert auf Offenheit – etwa beim Umgang mit Software-Schwachstellen.“
Axis ist als CVE Numbering Authority (CNA) anerkannt. Das CVE-Programm (CVE steht für Common Vulnerabilities and Exposures) ermöglicht weltweit die verantwortungsvolle Offenlegung neu entdeckter Schwachstellen. Die Teilnahme am CVE-Programm zeugt vom Engagement einer Organisation, ethische Best Practices im Bereich Schwachstellenmanagement mit Fokus auf Kunden zu befolgen.
Im Rahmen seines Engagements für die Cybersicherheit seiner Produkte verfügt Axis über interne und externe Ressourcen, die die Produkte testen, um die Sicherheit zu verbessern. Axis bietet außerdem ein Bug-Bounty-Programm an, bei dem Sicherheitsforscher, die Schwachstellen im AXIS OS entdecken, eine Geldprämie erhalten können. Wenn neue Schwachstellen entdeckt werden, behebt Axis die Probleme und veröffentlicht sie, damit Kunden rechtzeitig geeignete Maßnahmen ergreifen können.
Dieser transparente Ansatz erstreckt sich auch auf die offene Bereitstellung einer Software-Stückliste (SBOM) für AXIS OS. Die SBOM enthält eine Liste aller Softwarekomponenten, aus denen die AXIS OS-Version besteht, und kann kostenlos eingesehen werden. Diese praktischen Maßnahmen werden auch durch die Einhaltung der Norm ISO 27001 untermauert.
Werkzeuge zur Optimierung der Cybersicherheit
Cyberbedrohungen entwickeln sich ständig weiter, da Cyberkriminelle neue Techniken erlernen und entwickeln, um Abwehrmaßnahmen zu durchbrechen. Aus diesem Grund müssen alle Beteiligten – Hersteller, Partner, Systemintegratoren und Endnutzer – nicht nur gemeinsam die Verantwortung für die Umsetzung von Cybersicherheitsmaßnahmen tragen, sondern diese auch kontinuierlich aufrechterhalten.
Axis unterstützt Partner und Kunden in diesem komplexen Bereich durch die Stärkung der Cybersicherheit in seinen Angeboten. Dazu gehört die Bereitstellung von Anleitungen und Tools, die es Kunden erleichtern, Axis-Produkte so sicher wie möglich zu verwalten und zu betreiben.
Tools wie AXIS Device Manager und das ergänzende AXIS Device Manager Extend helfen Kunden dabei, Axis-Produkte während ihres gesamten Lebenszyklus effizient einzurichten und zu verwalten. Endnutzer können die Tools nutzen, um Cybersicherheitsrichtlinien umzusetzen, Benachrichtigungen über neue AXIS OS-Updates zu erhalten und die Produkt-Firmware effizient zu aktualisieren.
„Axis kann die Technologien, Tools und Anleitungen zur Unterstützung unserer Produkte bereitstellen, aber sie helfen nichts, wenn die Kunden selbst mit Hilfe des Systemintegrators nicht die notwendigen Schritte unternehmen, um die Sicherheit ihrer Produkte aktiv und kontinuierlich aufrechtzuerhalten“, sagt Andre. „Jeder muss seinen Teil dazu beitragen.“
Cybersicherheit als Daueraufgabe
Da Cybersicherheit ein sich ständig veränderndes Ziel ist, verfolgt Axis einen Ansatz, der sich kontinuierlich auf Cybersicherheit konzentriert.
„Cybersicherheit ist ein wesentlicher Bestandteil der täglichen Aktivitäten bei Axis“, sagt Jonas. „Wir sind bestrebt, nicht nur Produkte mit integrierten Sicherheitsmaßnahmen anzubieten, sondern auch sicherzustellen, dass Sicherheitsprozesse vorhanden sind, die unsere eigenen Abläufe und Aktivitäten regeln, um die mit unseren Produkten verbundenen Risiken in der Lieferkette zu minimieren.“