Bundesamt für Sicherheit in der Informationstechnik

M 2.562 Regelung des Einsatzes von eingebetteten Systemen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an den Einsatz von eingebetteten Systemen gestellt werden. Diese Systeme müssen adäquat in das technische und organisatorische Umfeld eingebunden sein, in dem sie eingesetzt werden. Dafür müssen die folgenden organisatorischen Regelungen getroffen werden.

Es sind geeignete personelle Maßnahmen hinsichtlich Schulung, Benutzer-Support, Vertretungsregelungen, Verpflichtungen, Rollenzuteilungen festzulegen bzw. umzusetzen. Die Benutzer sollten im Umgang mit den von ihnen zu bedienenden eingebetteten Systemen bzw. Geräten mit eingebetteten Systemen regelmäßig geschult werden. Handbücher müssen im erforderlichen Umfang und in aktueller Version vorhanden sein.

Es müssen Verantwortliche für Firmware-Aktualisierungen, Wartungs- und Reparaturarbeiten, Protokollauswertung und für die Reaktion auf Sicherheitsverstöße und Fehlfunktionen benannt werden. Bei Ausfällen, Fehlfunktionen und bei Sicherheitsvorfällen muss klar definiert sein, was zu unternehmen ist. Alle Benutzer müssen über die entsprechenden Verhaltensregeln und Meldewege informiert sein.

Es sind Regelungen festzulegen, um die Integrität und Funktionsfähigkeit zu testen. Dabei sind Angaben z. B. zu den Intervallen, zur Vereinbarkeit mit dem Betrieb und zu den Verantwortlichen zu machen. Die Anforderungen an die physikalische Einsatzumgebung, wie z. B. der Luftfeuchtigkeits- und Temperaturbereich und die Energieversorgung, müssen festgelegt sein. Falls erforderlich sind dafür ergänzende Maßnahmen bei der Infrastruktur zu etablieren.

Für die Benutzer müssen die eingebetteten Systeme durch den Hersteller oder den Administrator so vorkonfiguriert sein, dass eine angemessene Sicherheit und Funktionalität erreicht werden kann. Die Konfiguration eingebetteter Systeme muss dokumentiert sein, damit sie nach einem Austausch, einer Aktualisierung oder um ein System wieder herzustellen entsprechend den Verfügbarkeitsanforderungen wieder eingerichtet werden kann.

Bei eingebetteten Systemen mit kryptografischen Anteilen sind weitergehende Regelungen in einem Kryptokonzept festzulegen.

Prüffragen:

  • Sind Verantwortliche für den Betrieb des eingebetteten Systems festgelegt?

  • Sind Benutzer und Administratoren ausreichend geschult im Umgang mit dem eingebetteten System bzw. dem Gerät, das ein eingebettetes System enthält?

  • Sind alle Benutzer und Administratoren über Verhaltensregeln und Meldewege bei Ausfällen, Fehlfunktionen oder bei Verdacht auf einen Sicherheitsvorfall informiert?

  • Sind Regelungen zum Test der Integrität und Funktionsfähigkeit festgelegt?

  • Sind Anforderungen an die physikalische Einsatzumgebung festgelegt?

  • Ist das eingebettete System sicher vorkonfiguriert und ist dies dokumentiert?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK