Bundesamt für Sicherheit in der Informationstechnik

M 2.563 Auswahl einer vertrauenswürdigen Lieferanten- und Logistikkette sowie eines qualifizierten Herstellers für eingebettete Systeme

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Beschaffer

Schaltungen und Chips werden häufig von unterschiedlichen Institutionen funktional beschrieben und physisch produziert. Sowohl viele bekannte Chiphersteller als auch hochspezialisierte Kleinunternehmen sind sogenannte "fabless companies". Sie entwickeln Schaltungen und Chips, produzieren diese aber nicht selbst. Die Fertigung erfolgt durch darauf spezialisierte Firmen, sogenannte "silicon foundries", in der ganzen Welt, zumeist außerhalb von Europa. Die gefertigten Chips werden von dort direkt an die Kunden oder den Großhändler ausgeliefert. Auch die bekannten Distributoren sind weltweit verstreut.

Der Systemhersteller muss deshalb sicherstellen, dass die hergestellten Bauteile absolut genau der Spezifikation entsprechen, keine verdeckten Zusatzfunktionen enthalten und alle Qualitätsanforderungen einhalten. Bei der Lagerung, beim Zwischenhandel und während des Transports darf es nicht möglich sein, die programmierbaren Logikbausteine zu manipulieren oder Komponenten zu tauschen. In der Logistikkette sind dahingehend wirksame Kontrollen durchzuführen. Die Hersteller und Logistikunternehmen sollten nach anerkannten Standards zertifiziert sein.

Bei erhöhtem Schutzbedarf sind Hersteller und deren Subunternehmer zu qualifizieren, ob sie vertrauenswürdig sind Hard- und Software herzustellen. Der Nachweis ist zu dokumentieren. Eine Hersteller-Qualifizierung muss regelmäßig erneuert werden.

Bei allen mit der Entwicklung und Instandsetzung betrauten Fremdfirmen dürfen keine zu schützenden Informationen über das eingebettete System und die sich darauf befindlichen Daten nach außen gelangen. Hierzu ist ein IT -Sicherheitskonzept zu planen und umzusetzen. Die Mitarbeiter sind geeignet zu schulen und zu sensibilisieren. Es sind Regelungen zur Weitergabe von Informationen zu treffen. Vorfälle sind zu melden und zu kategorisieren. Nach einem Vorfall sind die Regelungen zu überprüfen und im Falle von Lücken oder zu weichen Forderungen entsprechend anzupassen. Seitens des Auftraggebers ist sicherzustellen, dass Fremdfirmen die Anforderungen des Sicherheitskonzeptes umsetzen.

Prüffragen:

  • Ist sichergestellt, dass das eingebettete System keine manipulierten, gefälschten oder getauschten Komponenten enthält?

  • Ist sichergestellt, dass das eingebettete System der Spezifikation entspricht und keine verdeckten Funktionen bei der Herstellung implementiert wurden?

  • Ist sichergestellt, dass Unbefugte nicht an vertrauliche Informationen über das eingebettete System gelangen?

  • Sind die beteiligten Unternehmen nachweisbar qualifiziert?

Stand: 15. EL Stand 2016