Axis Communications hat eine Zertifizierung für die Einhaltung des Cybersicherheitsstandards ETSI EN 303 645 erhalten. Die Zertifizierung gilt für ein breites Spektrum an Axis Produkten, die mit AXIS OS 11 oder höher laufen, und gilt bereits heute für über 150 Axis Geräte, in Zukunft werden weitere hinzukommen.
AXIS OS ist das Linux-basierte Betriebssystem der meisten Axis Netzwerk-Produkte. Die Zertifizierung wurde von Underwriters Laboratories (UL TS B.V.) an einer UL-Testanlage in den USA vergeben. In Zukunft wird Axis seine Produkte regelmäßig testen und diese Zertifizierung erneuern, um sie auch für zukünftige Produkte zu erhalten.
Der Standard ETSI EN 303 645 schreibt 68 technische Anforderungen vor, die den Basisstandard für die Cybersicherheit vernetzter Geräte sicherstellen. Diese Anforderungen beziehen sich auf die Geräte selbst, einschließlich Unterstützung für Hardware-basierte Sicherheitsfunktionen wie sichere Schlüsselspeicher, ebenso wie auf Standard-Sicherheitsfunktionen wie aktiviertes HTTPS und keine Verwendung von Standardpasswörtern. Ein weiterer Aspekt betrifft das Lebenszyklus-Management, wie etwa einen festgelegten Support-Zeitraum für Sicherheits-Updates für die Geräte. Weitere Anforderungen sind beispielsweise ein Verfahren zur Reduzierung der Gefahr von Schwachstellen, eine transparente Schwachstellenmanagement-Richtlinie sowie die Unterstützung bewährter Verfahren für die Verarbeitung personenbezogener Daten. Diese Anforderungen berücksichtigen bewährte Branchenverfahren, die sicherstellen, dass zertifizierte Produkte während ihrer gesamten Nutzungsdauer einen Mindest-Sicherheitsstandard erfüllen.
Der Standard wird vom Europäischen Institut für Telekommunikationsnormen (ETSI) entwickelt, einer unabhängigen, gemeinnützigen Normungsorganisation für Daten und Kommunikation. ETSI EN 303 645 wurde in Europa entwickelt, ist aber weltweit relevant und hat einen breiten Anwendungsbereich. Der Standard ist an andere Cybersicherheitsstandards, Zertifizierungen und Gesetze in verschiedenen Branchen angelehnt und gilt in folgenden Ländern/Regionen:
- Europäische Union (EU Cybersecurity Resilience Act, EU Radio Equipment Directive)
- Finnland (Finnish Cybersecurity Label)
- Deutschland (BSI – IT Security Label)
- Großbritannien (UK Product Security and Telecommunications Infrastructure Act & Code of Practice for Consumer IoT Security)
- USA (NIST IR 8425, Cyber Trust Mark)
- Indien (TEC Code of Practice for Securing Consumer Internet of Things)
- Vietnam (Cyber Information Security Requirements for Internet of things)
- Singapur (Cybersecurity Labelling Scheme)
- Australien (Code of Practice – Securing the Internet of Things for Consumers)
Der Standard kann kostenlos auf der ETSI-Website abgerufen werden.
Zertifizierungen von Drittparteien, die auf relevanten offenen Standards basieren, können als Nachweis der Erfüllung aktueller oder vorgreifend auf kommende Gesetze verwendet werden. Doch die Cybersicherheit geht weit über Zertifizierungen hinaus. Um einen hohen Grad der Cybersicherheit zu erreichen, sind Standards nicht ausreichend. Dies zeigt sich unter anderem in unserer Unterstützung von Zero-Trust-Netzwerken, unserem Bug-Bounty-Programm und der Axis Geräte-Lebenszyklusstrategie für die Cybersicherheit.
Die IT-Branche mit ihren schnell veränderlichen geschäftlichen und sicherheitsbezogenen Innovationen entwickelt sich meist viel schneller, als Normen und Zertifizierungen nachziehen können. Daher müssen Normen und Zertifizierungen als nur eines von vielen Elementen angesehen werden, die in bestimmten Situationen hilfreich sein können. Konzentriert man sich allein auf das Abhaken von Zertifizierungen, erzielt man nicht unbedingt den gewünschten Kundennutzen und zudem besteht die Gefahr, dass die Hersteller technologischen Innovationen und dem Fortschritt hinterherhinken.
