umwelt-online: Archivdatei - VO (EWG) Nr. 3821/85 über das Kontrollgerät im Straßenverkehr (10)
| |
zurück | |
8. Grundlegendes Prinzip
Mit der folgenden Matrix wird das Prinzip der SEF begründet. Hierzu wird verdeutlicht:
| Sicherheitsgefährdungen | IT-Zielsetzungen | |||||||||||||||||
| Zugriff | Fehler/ Störungen |
Prüf- ungen |
Kon- struk- tion |
Um- feld |
Hard- ware |
Mecha- nischer Ur- sprung |
Daten Weg und Ge- schwin- digkeit |
Strom- versor- gung |
Sicher- heits- daten |
Soft- ware |
Speicher- daten |
Zu- griff |
Audit | Authen- tisierung |
Daten- verar- beitung |
Ge- währ- leistung |
Ge- sicherter Datent- ausch |
|
| Physische, personelle, verfahrenstechnische Mittel | ||||||||||||||||||
| Entwicklung | x | x | x | |||||||||||||||
| Herstellung | x | x | ||||||||||||||||
| Auslieferung | x | x | x | |||||||||||||||
| Generierung von Sicherheitsdaten | x | |||||||||||||||||
| Transport von Sicherheitsdaten | x | |||||||||||||||||
| Zugelassene Werkstätten | x | |||||||||||||||||
| Mechanische Schnittstelle | x | |||||||||||||||||
| Regelmäßige Nachprüfung | x | x | x | x | ||||||||||||||
| Durchsetzung gesetzl. Vorschriften | x | x | x | x | x | x | ||||||||||||
| Software-Upgrades | x | |||||||||||||||||
| Sicherheitserzwingende Funktionen | ||||||||||||||||||
| Kennung und Authentisierung | ||||||||||||||||||
| UIA_101 Geräteidentifizierung | x | x | x | x | x | |||||||||||||
| UIA_102 Gerätekenndaten | x | x | x | |||||||||||||||
| UIA_103 FE-Kenndaten | x | |||||||||||||||||
| UIA_104 Geräteauthentisierung | x | x | x | x | x | |||||||||||||
| UIA_105 Neuauthentisierung | x | x | x | x | x | |||||||||||||
| UIA_106 Fälschungssichere Authentisierung | x | x | x | x | ||||||||||||||
| UIA_107 Authentisierungsfehler | x | x | x | |||||||||||||||
| Zugriffskontrolle | ||||||||||||||||||
| ACC_101 Zugriffskontrollregeln | x | x | x | x | ||||||||||||||
| ACC_102 Weg- und/oder Geschwindigkeitsgeber- Kennung | x | x | ||||||||||||||||
| ACC_103 Benutzerdaten | x | x | ||||||||||||||||
| ACC_104 Sicherheitsdaten | x | x | x | |||||||||||||||
| ACC_105 Datenstruktur und Zugriffsbedingungen | x | x | x | x | ||||||||||||||
| Zuordnungsmöglichkeit | ||||||||||||||||||
| ACT_101 Weg- und/oder Geschwindigkeitsgeber- kenndaten | x | |||||||||||||||||
| ACT_102 Koppelungsdaten | x | |||||||||||||||||
| ACT_103 Zuordnungsdaten | x | |||||||||||||||||
| Auditoría | ||||||||||||||||||
| AUD_101 Auditprotokolle | x | |||||||||||||||||
| AUD_102 Auditereignislisten | x | x | x | x | x | |||||||||||||
| AUD_103 Auditdaten | x | |||||||||||||||||
| AUD_104 Auditwerkzeuge | x | |||||||||||||||||
| AUD_105 Auditprotokollspeicherung | x | |||||||||||||||||
| Genauigkeit | ||||||||||||||||||
| ACR_101 Informationsflusskontrolle | x | x | x | |||||||||||||||
| ACR_102 Interne Datenübertragung | x | x | ||||||||||||||||
| ACR_103 Interne Datenübertragung | x | |||||||||||||||||
| ACR_104 Speicherdatenintegrität | x | x | ||||||||||||||||
| ACR_105 Speicherdatenintegrität | x | x | ||||||||||||||||
| Zuverlässigkeit | ||||||||||||||||||
| RLB_101 Herstellungsprüfungen | x | x | x | |||||||||||||||
| RLB_102 Selbsttests | x | x | x | x | x | |||||||||||||
| RLB_103 Selbsttests | x | x | x | x | ||||||||||||||
| RLB_104 Softwareanalyse | x | x | x | |||||||||||||||
| RLB_105 Softwareeingabe | x | x | x | |||||||||||||||
| RLB_106 Öffnen des Gehäuses | x | x | x | x | x | x | x | |||||||||||
| RLB_107 Hardwaremanipulation | x | x | ||||||||||||||||
| RLB_108 Hardwaremanipulation | x | x | ||||||||||||||||
| RLB_109 Unterbrechungen der Stromversorgung | x | x | ||||||||||||||||
| RLB_110 Rücksetzen | x | x | ||||||||||||||||
| RLB_111 Datenbereitstellung | x | x | ||||||||||||||||
| RLB_112 Multifunktionsgeräte | x | |||||||||||||||||
| Datenaustausch | ||||||||||||||||||
| DEX_101 Gesicherter Export von Weg- und Geschwindigkeitsdaten | x | x | ||||||||||||||||
| Kryptografische Unterstützung | ||||||||||||||||||
| CSP_101 Algorithmen | x | x | ||||||||||||||||
| CSP_102 Schlüsselgenerierung | x | x | ||||||||||||||||
| CSP_103 Schlüsselvergabe | x | x | ||||||||||||||||
| CSP_104 Schlüsselzugriff | x | x | ||||||||||||||||
| CSP_105 Schlüsselvernichtung | x | x | ||||||||||||||||
Allgemeine Sicherheitsanforderungen für die Fahrzeugeinheit (FE)
1. Einführung
In diesem Abschnitt werden die Fahrzeugeinheit, mögliche Sicherheitsgefährdungen sowie die zu erfüllenden Sicherheitsziele beschrieben. Außerdem enthält er Erläuterungen zu den zur Durchsetzung der Sicherheitsanforderungen erforderlichen Funktionen, und es erfolgt eine Auflistung der Mindestanforderungen an die Sicherheitsmechanismen und die erforderliche Gewährleistungsebene für Entwicklung und Evaluierung.
Die hier aufgeführten Anforderungen entsprechen den Anforderungen im Hauptteil von Anhang I B. Im Interesse einer besseren Verständlichkeit können sich Doppelungen zwischen den Anforderungen im Hauptteil von Anhang I B und den Sicherheitsanforderungen ergeben. Bei Diskrepanzen zwischen einer Sicherheitsanforderung und der Anforderung im Hauptteil von Anhang I B, auf die sich diese Sicherheitsanforderung bezieht, geht die Anforderung im Hauptteil von Anhang I B vor.
Anforderungen im Hauptteil von Anhang I B, auf die sich diese Sicherheitsanforderungen nicht beziehen, sind nicht Gegenstand der Funktionen zur Durchsetzung von Sicherheitsanforderungen.
Zwecks besserer Zuordnung zu den in der Dokumentation über Entwicklung und Evaluierung verwendeten Begriffen wurden für die Sicherheitsgefährdungen, die Ziele, Verfahrensmöglichkeiten und SEF-Spezifikationen eindeutige Bezeichnungen gewählt.
2. Abkürzungen, Begriffsbestimmungen und Referenzdokumente
2.1. Abkürzungen
| PIN | Persönliche Geheimzahl |
| ROM | Festspeicher (Read Only Memory) |
| SEF | Sicherheitserzwingende Funktion |
| PO | Prüfobjekt |
| FE | Fahrzeugeinheit (Vehicle Unit) |
2.2. Begriffsbestimmungen
| Digitaler Fahrtenschreiber | Kontrollgerät |
| Weg- und Geschwindigkeitsdaten | Die mit dem Weg- und/oder Geschwindigkeitsgeber ausgetauschten Daten über Fahrgeschwindigkeit und zurückgelegte Wegstrecke |
| Physisch getrennte Teile | Komponenten der FE, die sich im Gegensatz zu den im Gehäuse der FE untergebrachten Bauteilen an anderer Stelle im Fahrzeug befinden |
| Sicherheitsdaten | Spezielle Daten, die zur Unterstützung der sicherheitserzwingenden Funktionen erforderlich sind (z.B. kryptografische Schlüssel) |
| System | Gerätetechnik, Menschen bzw. Organisationen, die in welcher Weise auch immer mit den Kontrollgeräten in Beziehung stehen |
| Benutzer | Als Benutzer sind die Personen zu verstehen, die das Gerät anwenden. Die Benutzer einer FE sind in der Regel Fahrer, Kontrolleure, Werkstätten und Unternehmen |
| Benutzerdaten | Mit Ausnahme der Weg- und Geschwindigkeits- sowie und Sicherheitsdaten, alle sonstigen nach Kapitel III.12 erforderlichen Daten, die von der FE aufgezeichnet bzw. gespeichert werden |
2.3. Referenzdokumente
| ITSEC | ITSEC Information Technology Security Evaluation Criteria 1991 (Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik) |
3. Grundprinzip des Produkts
3.1. Beschreibung und Verwendung der Fahrzeugeinheit
Die FE ist zum Einbau in Straßentransportfahrzeuge vorgesehen. Ihre Aufgabe
ist es, Daten über die Tätigkeit der Fahrer aufzuzeichnen, zu speichern, anzuzeigen, auszudrucken und auszugeben.
Sie ist an einen Weg- und/oder Geschwindigkeitsgeber angeschlossen, mit dem sie Daten über die Fahrzeugbewegung austauscht.
Die Benutzer identifizieren sich gegenüber der FE durch Kontrollgerätkarten.
Die FE zeichnet die Tätigkeitsdaten der Benutzer auf und legt sie in seinem Massenspeicher ab. Die Benutzerdaten werden außerdem auf Kontrollgerätkarten aufgezeichnet.
Die FE gibt die Daten an Anzeigegerät, Drucker und externe Geräte aus.
Die Betriebsumgebung einer im Fahrzeug installierten Fahrzeugeinheit wird in der folgenden Abbildung beschrieben:
Abbildung 2 Betriebsumgebung der FE
Allgemeine Merkmale, Funktionen und Betriebsarten der FE werden in Anhang I B, Kapitel II, beschrieben.
Die Funktionsanforderungen an die FE werden in Anhang I B, Kapitel III, beschrieben.
Eine typische FE ist in der folgenden Abbildung dargestellt:
Abbildung 3 Typische Fahrzeugeinheit (FE) (...) optional
Zu beachten ist, dass zwar der Druckermechanismus ein Teil des PO ist, das einmal ausgedruckte Dokument jedoch nicht mehr.
3.2. Lebenszyklus der Fahrzeugeinheit
Der typische Lebenszyklus der FE ist in der folgenden Abbildung dargestellt:
Abbildung 4 Typischer Lebenszyklus der FE
3.3. Sicherheitsgefährdungen
In diesem Abschnitt werden mögliche Sicherheitsgefährdungen für die FE beschrieben.
3.3.1. Sicherheitsgefährdungen im Zusammenhang mit Identifizierung und Zugangskontrolle
| T.Access | Versuch seitens der Benutzer, Zugriff auf ihnen nicht erlaubte Funktionen zu erlangen (z.B. wenn Fahrer Zugriff auf die Kalibrierfunktion erlangen) |
| T.Identification | Versuch seitens der Benutzer, sich mehrfach oder gar nicht zu identifizieren |
3.3.2. Konstruktionsbedingte Sicherheitsgefährdungen
| T.Faults | Fehler bei Hardware, Software oder Kommunikationsverfahren können die FE in einen unvorhergesehenen Zustand versetzen, der ihre Sicherheit beeinträchtigt |
| T.Tests | Die Nutzung nicht validierter Prüfmodi bzw. vorhandener "Hintertüren" kann die Sicherheit der FE beeinträchtigen |
| T.Design | Versuch seitens der Benutzer, auf illegale Weise Kenntnis über Konstruktionsdaten zu erlangen, sei es aus Unterlagen des Herstellers (durch Diebstahl, Bestechung usw.) oder durch Methoden des Reverse Engineering |
3.3.3. Betriebsbedingte Sicherheitsgefährdungen
| T.Calibration_Parameters | Versuch seitens der Benutzer, falsch kalibrierte Geräte zu verwenden (durch Änderung der Kalibrierungsdaten bzw. aufgrund organisatorischer Schwachpunkte) |
| T.Card_Data_Exchange | Versuch seitens der Benutzer, Daten während deren Austauschs zwischen FE und Kontrollgerätkarten zu verfälschen (durch Signaladdition, -modifizierung, -löschung, -wiederholung) |
| T.Clock | Versuch seitens der Benutzer, die Systemuhr zuverstellen |
| T.Environment | Versuch seitens der Benutzer, die Sicherheit der FE durch äußere (thermische, elektromagnetische, optische, chemische, mechanische usw.) Einwirkungen zu durchbrechen |
| T.Fake_Devices | Versuch seitens der Benutzer, nachgebaute Geräte (Weg- und/oder Geschwindigkeitsgeber, Smartcards) an die FE anzuschließen |
| T.Hardware | Versuch seitens der Benutzer, Änderungen an der FE-Hardware vorzunehmen |
| T.Motion_Data | Versuch seitens der Benutzer, die Weg- und Geschwindigkeitsdaten des Fahrzeugs zu verfälschen (durch Signaladdition, -modifizierung, -löschung, -wiederholung) |
| T.Non_Activated | Verwendung nichtaktivierter Geräte durch Benutzer |
| T.Output_Data | Versuch seitens der Benutzer, die Datenausgabe zu manipulieren (Ausdruck, Anzeige bzw. Übertragung) |
| T.Power_Supply | Versuch seitens der Benutzer, Sicherheitsziele der FE durch Manipulation der Stromversorgung (Leitungstrennung, Spannungserhöhung bzw. -reduzierung) zu untergraben |
| T.Saturation | Versuch seitens der Benutzer, den Massenspeicher so zu erschöpfen (selbst durch legalen Gebrauch), dass bereits gespeicherte Daten gelöscht werden |
| T.Security_Data | Versuch seitens der Benutzer, auf illegale Weise Kenntnis über Sicherheitsdaten während deren Generierung, Übertragung bzw. Speicherung im Gerät zu erlangen |
| T.Software | Versuch seitens der Benutzer, Änderungen an der FE-Software vorzunehmen |
| T.Stored_Data | Versuch seitens der Benutzer, gespeicherte Daten (Sicherheits- bzw. Benutzerdaten) zu verfälschen |
3.4. Sicherheitsziele
Das wichtigste Sicherheitsziel des digitalen Fahrtenschreibersystems ist Folgendes:
| O.Main | Die von den Kontrollbehörden zu prüfenden Daten müssen verfügbar sein und die Handlungen der kontrollierten Fahrer und Fahrzeuge hinsichtlich Lenk-, Arbeits-, Bereitschafts- und Ruhezeiten sowie Fahrzeuggeschwindigkeit vollständig und genau widerspiegeln |
| Das zum globalen Sicherheitsziel beitragende Sicherheitsziel der FE ist somit Folgendes: | |
| O.VU_Main | Die zu messenden und aufzuzeichnenden sowie daraufhin von den Kontrollbehörden zu prüfenden Daten müssen verfügbar sein und die Tätigkeiten der kontrollierten Fahrer und Fahrzeuge hinsichtlich Lenk-, Arbeits-, Bereitschafts- und Ruhezeiten sowie Fahrzeuggeschwindigkeit genau widerspiegeln |
| O.VU_Export | Mit der FE muss es möglich sein, Daten an externe Datenträger so zu exportieren, dass sich die Integrität und Authentizität dieser Daten verifizieren lässt |
3.5. Informationstechnische Sicherheitsziele
Die speziellen, zum Hauptsicherheitsziel beitragenden IT-Sicherheitsziele der FE sind Folgende:
| O.Access | Die FE muss den Zugriff der Benutzer auf Funktionen und Daten steuern |
| O.Accountability | Die FE muss exakte Zuordnungsdaten erfassen |
| O.Audit | Die FE muss Versuche zur Umgehung ihrer Sicherheitsfunktionen prüfen und zu den betreffenden Benutzern zurückverfolgen |
| O.Authentication | Die FE sollte Benutzer und angeschlossene Geräteeinheiten authentisieren (wenn ein vertrauenswürdiger Weg zwischen Geräteeinheiten eingerichtet werden muss) |
| O.Integrity | Die FE muss die Integrität der Speicherdaten wahren |
| O.Output | Die FE stellt sicher, dass die Datenausgabe die gemessenen bzw. gespeicherten Daten genau widerspiegelt |
| O.Processing | Die FE stellt sicher, dass die Eingabedaten, aus denen sich die Benutzerdaten ableiten, exakt verarbeitet werden |
| O.Reliability | Die FE muss zuverlässig arbeiten |
| O.Secured_Data_Exchange | Die FE muss den sicheren Datenaustausch mit dem Weg- und/oder Geschwindigkeitsgeber und mit Kontrollgerätkarten gewährleisten |
3.6. Physische, personelle bzw. verfahrenstechnische Mittel
In diesem Abschnitt werden die physischen, personellen bzw. verfahrenstechnischen Anforderungen, die zur Sicherheit der FE beitragen, beschrieben.
3.6.1. Gerätekonstruktion
| M.Development | Die Entwickler der FE müssen sicherstellen, dass die Zuweisung von Verantwortlichkeiten während des Entwicklungszeitraums in einer die IT-Sicherheit wahrenden Weise erfolgt |
| M.Manufacturing | Die Hersteller der FE müssen sicherstellen, dass die Zuweisung von Verantwortlichkeiten während des Herstellungsprozesses in einer die IT-Sicherheit wahrenden Weise erfolgt und dass die FE in diesem Prozess vor physischen Angriffen, die die IT-Sicherheit beeinträchtigen könnten, geschützt wird |
3.6.2. Auslieferung und Aktivierung der Geräte
| M.Delivery | Die Hersteller der FE, die Fahrzeughersteller und die Installateure bzw. Werkstätten müssen beim Umgang mit noch nicht aktivierten FE sicherstellen, dass die Sicherheit der FE gewahrt bleibt |
| M.Activation | Die Fahrzeughersteller und die Installateure bzw. Werkstätten müssen die FE nach erfolgtem Einbau aktivieren, und zwar noch bevor das Fahrzeug den Einbauort verlässt |
3.6.3. Generierung und Lieferung der Sicherheitsdaten
| M.Sec_Data_Generation | Die Algorithmen zur Generierung von Sicherheitsdaten dürfen nur berechtigten und vertrauenswürdigen Personen zugänglich sein |
| M.Sec_Data_Transport | Die Sicherheitsdaten müssen in einer Weise generiert, transportiert und in die FE eingebracht werden, die Vertraulichkeit und Integrität der Daten angemessen gewährleistet |
3.6.4. Kartenübergabe
| M.Card_Availability | Kontrollgerätkarten dürfen nur berechtigten Personen zugänglich gemacht und übergeben werden |
| M.Driver_Card_Uniqueness | Ein Fahrer darf immer nur eine gültige Fahrerkarte besitzen |
| M.Card_Traceability | Die Übergabe der Karten muss rückverfolgbar sein (weiße und schwarze Listen), und für die Sicherheitsaudits müssen schwarze Listen herangezogen werden |
3.6.5. Einbau, Kalibrierung und Nachprüfung des Kontrollgeräts
| M.Approved_Workshops | Einbau, Kalibrierung und Reparatur des Kontrollgeräts dürfen nur durch vertrauenswürdige und zugelassene Installateure bzw. Werkstätten erfolgen |
| M.Regular_Inpections | Die Kontrollgeräte müssen einer regelmäßigen Nachprüfung und Kalibrierung unterzogen werden |
| M.Faithful_Calibration | Zugelassene Installateure und Werkstätten müssen bei der Kalibrierung die richtigen Fahrzeugparameter in die Kontrollgeräte eingegeben |
3.6.6. Betrieb der Geräte
| M.Faithful_Drivers | Die Fahrer müssen sich an die Vorschriften halten und verantwortungsvoll handeln (z.B. ihre Fahrerkarten benutzen, manuell auszuwählende Tätigkeiten korrekt anwählen usw.) |
3.6.7. Kontrolle der Einhaltung von Vorschriften
| M.Controls | Die Einhaltung der gesetzlichen Vorschriften ist regelmäßig und stichprobenartig zu kontrollieren, unter anderem durch Sicherheitsaudits |
| M.Software_Upgrade | Neue Softwareversionen dürfen erst nach Erhalt der Sicherheitszertifizierung in der FE implementiert werden |
3.6.8. Software-Upgrades
4. Sicherheitserzwingende Funktionen
4.1. Identifizierung und Authentisierung
4.1.1. Identifizierung und Authentisierung des Weg- und/oder Geschwindigkeitsgebers
UIA_201 Die FE ist in der Lage, für jede Interaktion die Identität des angeschlossenen Weg- und/oder Geschwindigkeitsgebers festzustellen.
UIA_202 Die Kennung des Weg- und/oder Geschwindigkeitsgebers setzt sich zusammen aus der Bauartgenehmigungsnummer und der Seriennummer des Weg- und/ oder Geschwindigkeitsgebers.
UIA_203 Die FE authentisiert den angeschlossenen Weg- und/oder Geschwindigkeitsgeber:
Die Authentisierung erfolgt gegenseitig und wird durch die FE ausgelöst.
UIA_204 Die FE identifiziert und authentisiert in regelmäßigen Intervallen (Intervalldauer vom Hersteller noch festzulegen, jedoch häufiger als einmal pro Stunde) den angeschlossenen Weg- und/oder Geschwindigkeitsgeber erneut und stellt dabei sicher, dass der bei der zuletzt erfolgten Kalibrierung des Kontrollgeräts erkannte Weg- und/oder Geschwindigkeitsgeber nicht ausgetauscht wurde.
UIA_205 Die FE erkennt und verhindert den Gebrauch kopierter und wieder eingespielter Authentisierungsdaten.
UIA_206 Nach Erkennen einer (vom Hersteller noch festzulegenden, jedoch 20 nicht übersteigenden) Zahl von aufeinander folgenden erfolglosen Authentisierungsversuchen und/oder nach Erkennen, dass der Weg- und/oder Geschwindigkeitsgeber ohne Berechtigung (d. h. nicht während einer Kalibrierung des Kontrollgeräts) ausgewechselt wurde, wird die SEF:
4.1.2. Identifizierung und Authentisierung des Benutzers
UIA_207 Die FE wird die Identität von zwei Benutzern durch Überwachung der in den Kartensteckplatz des Fahrers bzw. in den Kartensteckplatz des zweiten Fahrers eingesteckten Kontrollgerätkarten ständig und ausgewählt nachprüfen.
UIA_208 Die Benutzeridentität setzt sich zusammen aus:
UNBEKANNTE Identitäten können implizit oder explizit bekannt sein.
UIA_209 Die FE authentisiert ihre Benutzer bei Einstecken der Karte.
UIA_210 Die FE authentisiert ihre Benutzer erneut:
UIA_211 Die Authentisierung besteht in der Nachweisführung, dass die eingesteckte Karte eine gültige Kontrollgerätkarte ist, die über Sicherheitsdaten verfügt, die nur aus dem System selbst stammen können. Die Authentisierung erfolgt gegenseitig und wird durch die FE ausgelöst.
UIA_212 Zusätzlich ist auch eine erfolgreiche Authentisierung der Werkstätten mittels PIN-Prüfung erforderlich. Eine PIN umfasst mindestens 4 Zeichen.
Anmerkung: Falls die PIN durch ein in der Nähe der FE angeordnetes externes Gerät an die FE übertragen wird, ist ein Schutz der PIN während der Übertragung nicht erforderlich.
UIA_213 Die FE erkennt und verhindert den Gebrauch kopierter und wieder eingespielter Authentisierungsdaten.
UIA_214 Nach 5 aufeinander folgenden erfolglosen Authentisierungsversuchen wird die SEF:
4.1.3. Identifizierung und Authentisierung eines entfernt angeschlossenen Unternehmens
Die Fähigkeit zum entfernten Anschluss von Unternehmen ist optional. Dieser Absatz gilt daher nur, wenn dieses Merkmal implementiert ist.
UIA_215 Bei jeder Interaktion mit einem entfernt angeschlossenen Unternehmen muss die FE zur Feststellung der Identität des Unternehmens in der Lage sein.
UIA_216 Die Identität des entfernt angeschlossenen Unternehmens setzt sich aus dem Code des die Unternehmenskarte ausstellenden Mitgliedstaats und der Nummer seiner Unternehmenskarte zusammen.
UIA_217 Die FE muss das entfernt angeschlossene Unternehmen erst erfolgreich authentisieren, bevor sie jeglichen Datenexport an das Unternehmen zulässt.
UIA_218 Die Authentisierung besteht in der Nachweisführung, dass das Unternehmen im Besitz einer gültigen Unternehmenskarte ist, die über Sicherheitsdaten verfügt, die nur aus dem System selbst stammen können.
UIA_219 Die FE erkennt und verhindert den Gebrauch kopierter und wieder eingespielter Authentisierungsdaten.
UIA_220 Nach 5 aufeinander folgenden erfolglosen Authentisierungsversuchen sendet die FE:
4.1.4. Identifizierung und Authentisierung des Verwaltungsgeräts
Die Hersteller der FE können spezielle Geräte für zusätzliche FE-Verwaltungsfunktionen vorsehen (z.B. für Software-Upgrade, Neuladen von Sicherheitsdaten, ...). Dieser Absatz gilt daher nur, wenn dieses Merkmal implementiert ist.
UIA_221 Bei jeder Interaktion mit einem Verwaltungsgerät muss die FE zur Feststellung der Identität des Geräts in der Lage sein.
UIA_222 Die FE muss das Verwaltungsgerät erst erfolgreich authentisieren, bevor sie jegliche weitere Interaktion zulässt.
UIA_223 Die FE erkennt und verhindert den Gebrauch kopierter und wieder eingespielter Authentisierungsdaten.
4.2. Zugriffskontrolle
Die Zugriffskontrolle gewährleistet, dass nur speziell dazu berechtigte Personen Informationen aus dem PO auslesen sowie im PO anlegen bzw. nach Änderung in das PO einlesen.
Zu beachten ist, dass die von der FE aufgezeichneten Benutzerdaten zwar private bzw. kommerziell sensible Aspekte beinhalten, ihrem Wesen nach jedoch nicht vertraulich sind. Aus diesem Grund ist die auf das Zugriffsrecht zum Lesen von Daten bezogene funktionelle Anforderung (Anforderung 011) nicht Gegenstand einer sicherheitserzwingenden Funktion.
4.2.1. Zugriffsberechtigung
ACC_201 Die FE verwaltet und prüft die Zugriffsberechtigung auf Funktionen und Daten.
4.2.2. Funktionszugriffrechte
ACC_202 Die FE dient der Durchsetzung der Vorschriften zur Betriebsartauswahl (Anforderungen 006 bis 009).
ACC_203 Mit der FE werden ausgehend von der Betriebsart die Vorschriften für die Funktionszugriffskontrolle durchgesetzt (Anforderung 010).
4.2.3. Datenzugriffsrechte
ACC_204 Die FE dient der Durchsetzung der Vorschriften für den Schreibzugriff auf die FE-Kenndaten (Anforderung 076)
ACC_205 Die FE dient der Durchsetzung der Vorschriften für den Schreibzugriff auf die gekoppelten Weg- und/oder Geschwindigkeitsgeberkenndaten (Anforderungen 079 und 155)
ACC_206 Nach der FE-Aktivierung stellt die FE sicher, dass Kalibrierungsdaten einzig in der Betriebsart Kalibrierung in die FE eingegeben und in ihrem Massenspeicher abgelegt werden können (Anforderungen 154 und 156).
ACC_207 Nach der FE-Aktivierung sorgt die FE für die Durchsetzung der Vorschriften für den Schreib- und Löschzugriff auf die Kalibrierungsdaten (Anforderung 097).
ACC_208 Nach der FE-Aktivierung stellt die FE sicher, dass Zeiteinstellungsdaten einzig in der Betriebsart Kalibrierung in die FE eingegeben und in ihrem Massenspeicher abgelegt werden können. (Diese Anforderung trifft nicht auf geringfügige Zeiteinstellungen zu, wie sie im Rahmen der Anforderungen 157 und 158 gestattet sind.)
ACC_209 Nach der FE-Aktivierung sorgt die FE für die Durchsetzung der Vorschriften für den Schreib- und Löschzugriff auf die Zeiteinstellungsdaten (Anforderung 100).
ACC_210 Die FE gewährleistet angemessene Zugriffsrechte zum Lesen und Schreiben von Sicherheitsdaten (Anforderung 080).
4.2.4. Dateistruktur und -zugriffsbedingungen
ACC_211 Die Strukturen der Anwendungs- und Datendateien und die Zugriffsbedingungen auf diese Dateien werden bereits im Herstellungsprozess angelegt und gegen jegliche spätere Verfälschung bzw. Löschung gesperrt.
4.3. Zuordnungsmöglichkeit
ACT_201 Die FE stellt sicher, dass den Fahrern ihre Tätigkeiten zugeordnet werden können (Anforderungen 081, 084, 087, 105a, 105b, 109 und 109a).
ACT_202 Die FE speichert Kenndaten dauerhaft (Anforderung 075).
ACT_203 Die FE stellt sicher, dass den Werkstätten ihre Tätigkeiten zugeordnet werden können (Anforderungen 098, 101 und 109).
ACT_204 Die FE stellt sicher, dass den Kontrolleuren ihre Tätigkeiten zugeordnet werden können (Anforderungen 102, 103 und 109).
ACT_205 Die FE zeichnet Kilometerstände (Anforderung 090) und Geschwindigkeitsdaten mit Detailangaben auf (Anforderung 093).
ACT_206 Die FE stellt sicher, dass die Anforderungen 081 bis 093 und 102 bis einschließlich 105b betreffende Benutzerdaten nach Aufzeichnung nicht mehr geändert werden, außer wenn diese zu den ältesten Daten werden, die bei erschöpftem Speicher durch neue Daten überschrieben werden.
ACT_207 Die FE darf bereits auf einer Kontrollgerätekarte gespeicherte Daten nicht ändern (Anforderungen 109 und 109a), außer beim Überschreiben der ältesten Daten durch neue Daten (Anforderung 110) bzw. im in der Anmerkung zu Absatz 2.1 in Anlage 1 beschriebenen Fall.
4.4. Audit
Die Möglichkeit der Durchführung von Audits ist nur für Ereignisse erforderlich, die auf einen Versuch der Manipulation bzw. Sicherheitsverletzung hindeuten. Für die übliche Ausübung von Rechten sind Auditfähigkeiten auch dann, wenn dies sicherheitserzwingend ist, nicht gefordert.
AUD_201 Die FE muss Ereignisse, die ihre Sicherheit beeinträchtigen, mit den dazugehörigen Daten aufzeichnen (Anforderungen 094, 096 und 109).
AUD_202 Folgende Ereignisse beeinträchtigen die Sicherheit der FE:
AUD_203 Mit der FE werden die Speicherungsvorschriften für Auditprotokolle durchgesetzt (Anforderung 094 und 096).
AUD_204 Die FE legt die vom Weg- und/oder Geschwindigkeitsgeber generierten Auditprotokolls in ihrem Massenspeicher ab.
AUD_205 Es muss möglich sein, Auditprotokolle auszudrucken, anzuzeigen und zu übertragen.
4.5. Wiederverwendung von Speichermedien
REU_201 Die FE stellt sicher, dass Zwischenspeichermedien wiederverwendet werden können, ohne einen unzulässigen Informationsfluss zu beinhalten.
4.6. Genauigkeit
4.6.1. Maßnahmen zur Kontrolle des Informationsflusses
ACR_201 Die FE stellt sicher, dass die Anforderungen 081, 084, 087, 090, 093, 102, 104, 105, 105a und 109 betreffende Benutzerdaten nur verarbeitet werden, wenn sie von den richtigen Eingabequellen stammen:
ACR_201a Die FE stellt sicher, dass die Anforderung 109a betreffende Benutzerdaten nur für den Zeitraum von der letzten Kartenentnahme bis zum derzeitigen Einstecken der Karte eingegeben werden können (Anforderung 050a).
4.6.2. Interne Datenübertragung
Die Anforderungen dieses Absatzes gelten nur, wenn die FE physisch getrennte Teile nutzt.
ACR_202 Werden Daten zwischen physisch getrennten Teilen der FE übertragen, müssen diese Daten gegen Verfälschungen geschützt werden.
ACR_203 Bei Erkennen eines Datenübertragungsfehlers im Verlauf einer internen Datenübertragung wird die Übertragung wiederholt und über das Ereignis ein Auditprotokoll durch die SEF angelegt.
4.6.3. Integrität der Speicherdaten
ACR_204 Die FE prüft die in ihrem Speicher abgelegten Benutzerdaten auf Integritätsfehler.
ACR_205 Bei Erkennen eines Integritätsfehlers der Benutzerdaten generiert die SEF ein Auditprotokoll.
4.7. Zuverlässigkeit während des Betriebs
4.7.1. Prüfungen
RLB_201 Sämtliche speziell für den Prüfbedarf während der Herstellungsphase der FE erforderlichen Befehle, Handlungen bzw. Prüfpunkte werden vor Aktivierung der FE deaktiviert oder entfernt. Es darf nicht möglich sein, sie zum späteren Gebrauch wiederherzustellen.
RLB_202 Die FE führt zur Funktionsprüfung beim ersten Einschalten sowie während des normalen Betriebs Selbsttests durch. Die Selbsttests der FE beinhalten eine Integritätsprüfung der Sicherheitsdaten sowie eine Integritätsprüfung des gespeicherten Ausführungscodes (sofern dieser nicht im ROM gespeichert ist).
RLB_203 Bei Erkennen einer internen Fehlfunktion während der Selbstprüfung wird die SEF:
4.7.2. Software
RLB_204 Es darf keine Möglichkeit gegeben sein, die Software nach Aktivierung der FE bei der Praxisanwendung zu analysieren bzw. auszutesten.
RLB_205 Eingaben aus externen Quellen dürfen als Ausführungscode nicht akzeptiert werden.
4.7.3. Physischer Schutz
RLB_206 Falls die Konstruktionsweise der FE ein Öffnen des Gehäuses erlaubt, muss die FE jedes Öffnen des Gehäuses feststellen, selbst wenn die externe Stromversorgung bis zu 6 Monate unterbrochen ist. Die SEF legt in diesem Fall ein Auditprotokoll an (hierbei ist zulässig, dass das Auditprotokoll erst nach Wiederzuschalten der Stromversorgung erstellt und gespeichert wird).
Ist die FE so konstruiert, dass sie nicht geöffnet werden kann, muss ihre Bauweise dennoch jeden Versuch der physischen Manipulation leicht erkennen lassen (z.B. durch Sichtprüfung).
RLB_207 Die FE muss nach ihrer Aktivierung bestimmte (vom Hersteller noch festzulegende) Formen der Hardwaremanipulation erkennen.
RLB_208 In vorgenannten Fall erstellt die SEF ein Auditprotokoll und wird die FE ... (vom Hersteller noch festzulegen).
4.7.4. Unterbrechung der Stromversorgung
RLB_209 Die FE erkennt Abweichungen von den festgelegten Stromwerten einschließlich einer Unterbrechung der Stromversorgung.
RLB_210 Im vorgenannten Fall wird die SEF:
4.7.5. Rücksetzbedingungen
RLB_211 Bei einer Unterbrechung der Stromversorgung, beim Abbruch einer Transaktion vor deren Vollendung bzw. bei Vorliegen jeder sonstigen Rücksetzbedingung muss die FE sauber zurückgesetzt werden
4.7.6. Datenbereitstellung
RLB_212 Die FE stellt sicher, dass auf den Datenbestand bei Bedarf zugegriffen werden kann und dass die Daten weder unnötig abgerufen noch zurückgehalten werden.
RLB_213 Die FE muss gewährleisten, dass die Kartenfreigabe erst erfolgt, nachdem die relevanten Daten auf die Karten gespeichert wurden (Anforderungen 015 und 016).
RLB_214 Im vorgenannten Fall wird die SEF ein Auditprotokoll über das Ereignis anlegen.
4.7.7. Multifunktionsgeräte
RLB_215 Falls die FE neben der Kontrollgerätfunktion noch weitere Anwendungen bietet, müssen alle diese Anwendungen physisch und/oder logisch voneinander getrennt sein. Jede dieser Anwendungen muss auf eigene Sicherheitsdaten zurückgreifen, und es darf immer nur eine Funktion aktiv sein.
4.8. Datenaustausch
Dieser Absatz betrifft den Datenaustausch zwischen der FE und angeschlossenen Geräten.
4.8.1. Datenaustausch mit dem Weg- und/oder Geschwindigkeitsgeber
DEX_201 Die FE prüft die Integrität und Authentizität der vom Weg- und/oder Geschwindigkeitsgeber importierten Daten.
DEX_202 Bei Erkennen eines Integritäts- bzw. Authentizitätsfehlers der Weg- und Geschwindigkeitsdaten wird die SEF:
4.8.2. Datenaustausch mit Kontrollgerätkarten
DEX_203 Die FE prüft die Integrität und Authentizität der von den Kontrollgerätkarten importierten Daten.
DEX_204 Bei Erkennen eines Integritäts- bzw. Authentizitätsfehlers der Weg- und Geschwindigkeitsdaten wird die FE:
DEX_205 Die FE exportiert die Daten mit den zugehörigen Sicherheitsattributen an die Kontrollgerätkarten, so dass die Karte die Integrität und Authentizität der Daten prüfen kann.
4.8.3. Datenaustausch mit externen Datenträgern (Übertragungsfunktion)
DEX_206 Die FE generiert für an externe Datenträger übertragene Daten einen Herkunftsnachweis.
DEX_207 Die FE stellt dem Empfänger der übertragenen Daten eine Fähigkeit zur Prüfung des Herkunftsnachweises bereit.
DEX_208 Die FE exportiert die Daten mit den zugehörigen Sicherheitsattributen an den externen Datenträger, so dass sich Integrität und Authentizität der Daten prüfen lassen.
4.9. Kryptografische Unterstützung
Je nach Sicherheitsmechanismus und vom Hersteller gewählten Lösungen gelten die Anforderungen dieses Absatzes nur soweit erforderlich.
CSP_201 Jede von der FE durchgeführte kryptografische Operation entspricht einem genau festgelegten Algorithmus und einer genau festgelegten Schlüsselgröße.
CSP_202 Falls die FE kryptografische Schlüssel generiert, müssen diese genau festgelegten Schlüsselgenerierungsalgorithmen und genau festgelegten Schlüsselgrößen entsprechen.
CSP_203 Falls die FE kryptografische Schlüssel vergibt, muss dies nach genau festgelegten Schlüsselvergabemethoden erfolgen.
CSP_204 Falls die FE auf kryptografische Schlüssel zugreift, muss dies nach genau festgelegten Schlüsselzugriffsmethoden erfolgen.
CSP_205 Falls die FE kryptografische Schlüssel vernichtet, muss dies nach genau festgelegten Schlüsselvernichtungsmethoden erfolgen.
5. Beschreibung der Sicherheitsmechanismen
Die geforderten Sicherheitsmechanismen werden in Anlage 11 beschrieben. Alle sonstigen Sicherheitsmechanismen werden durch die Hersteller festgelegt.
6. Mindestrobustheit der Sicherheitsmechanismen
Die Mindestrobustheit der Sicherheitsmechanismen der Fahrzeugeinheit ist Hoch, gemäß Definition in ITSEC.
7. Gewährleistungsebene
Die für die Fahrzeugeinheit vorgegebene Gewährleistungsebene ist die ITSECEbene E3, gemäß Definition in ITSEC.
| |
weiter . | |
(Stand: 15.07.2022)
Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: 90.- € netto (Grundlizenz)
(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)
Die Zugangskennung wird kurzfristig übermittelt
? Fragen ?
Abonnentenzugang/Volltextversion