Bundesamt für Sicherheit in der Informationstechnik

M 2.564 Beschaffungskriterien für eingebettete Systeme

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Beschaffer

Eingebettete Systeme werden im Zuge der Entwicklung übergeordneter Systeme beschafft oder sie sind Teil von zu beschaffenden übergeordneten Systemen. Zusammen mit der reinen Hardware und Firmware können auch noch zusätzliche Komponenten und Leistungen beschafft werden.

Werden bei der Beschaffung eines eingebetteten Systems Fehler gemacht, so kann dies negative Folgen auf den sicheren Betrieb des übergeordneten Systems bzw. die sichere Durchführung einer Anwendung oder Fachaufgabe haben. Bevor ein eingebettetes System beschafft wird, muss daher eine Anforderungsliste erstellt werden, anhand derer die in Frage kommenden Systeme oder Komponenten bewertet werden. Aufgrund der Bewertung kann dann eine fundierte Kaufentscheidung erfolgen, die sicherstellt, dass das eingebettete System im praktischen Betrieb den Sicherheitsanforderungen genügt. Die Anforderungsliste sollte im Wesentlichen die im Folgenden dargestellten sicherheitsrelevanten Bereiche und Kriterien umfassen.

Organisatorische Randbedingungen

Die folgenden Aspekte sollten bei der Beschaffung berücksichtigt werden:

  • Kann ein effektiver Prozess zur Versorgung mit sicherheitsrelevanten Firmwareupdates etabliert werden?
  • Informiert der Hersteller die betroffenen Stellen, wenn Sicherheitslücken bekannt werden?
  • Bietet der Hersteller einen technischen Kundendienst an, der in der Lage ist, in einer vertretbaren Zeit Auskunft zu geben bzw. Fehlfunktionen zu beheben?
  • Bietet der Hersteller Schulungen oder Handbücher zur Sicherheit des eingebetteten Systems an?

Vorgaben aus dem Anwendungsgebiet

Das eingebettete System muss im jeweiligen Anwendungsgebiet geltenden Standards und Normen entsprechen, sowie, falls zutreffend, die Kriterien für eine produktspezifische Zulassung erfüllen. Derartige Zulassungen sind z. B. in den Bereichen Luftverkehr, Straßenverkehr und Medizintechnik üblich.

Materielle Sicherheit

Wird das eingebettete System bei rauen Umweltbedingungen wie Feuchtigkeit, extremen Temperaturen, mechanischen Belastungen und Staub eingesetzt, muss es physikalisch robust sein. Es sollten keine oder nur wenige zuverlässige Steckverbindungen vorhanden sein. Empfindliche Komponenten sollten speziell gekapselt und mit Dämpfungsvorrichtungen versehen sein. Auf Bauteile mit beweglichen Komponenten sollte soweit wie möglich verzichtet werden.

Ausfall- und Betriebssicherheit

Abhängig von der geforderten Verfügbarkeit sind an das eingebettete System Anforderungen zur Ausfallsicherheit, zur elektromagnetischen Verträglichkeit, zu internen Überwachungs- und Selbsttestmechanismen und zum Wiederanlauf zu stellen.

Prozessorarchitektur

Die Bandbreite für Prozessorarchitekturen ist sehr groß. Neben Neuentwicklungen kommen, anders als im PC - oder Serverbereich, auch oftmals ältere Architekturen zum Einsatz. Gründe dafür sind die niedrigeren Kosten für den Prozessor selbst und die Möglichkeit das Anwendungsdesign, Programmcode und Entwicklungswerkzeuge sowie Debugtools wiederverwenden zu können. Es ist darauf zu achten, dass die gewählte Prozessorarchitektur geeignet ist, die notwendigen Sicherheitsfunktionen zu realisieren.

Firmware-Speicher

Die Firmware kann sich auf einem ROM, EPROM , EEPROM oder einem Flash-Speicher befinden. Beim Flash-Speicher kann ein Firmware-Update erfolgen, ohne dass der Chip ausgewechselt werden muss. Bei einem ROM muss meistens der gesamte Chip ausgewechselt werden, manchmal auch die gesamte Schaltung. Der Firmware-Speicher soll so realisiert sein, dass zusammen mit dem geplanten Wartungsprozess ein sicheres Update möglich ist.

Betriebssystem und Anwendungssoftware

Wird das eingebettete System zusammen mit einem Betriebssystemen und/oder Anwendungssoftware beschafft, muss festgelegt werden, welche sicherheitsrelevanten Merkmale diese aufweisen sollen, z. B. hinsichtlich

  • Sicherem Bootprozess
  • Nutzung sicherer Kommunikationsprotokolle
  • Sicherer Installation und Aktualisierung
  • Absicherung von Zugang und Zugriff
  • Benutzer- und Rechteverwaltung
  • Protokollierung
  • Alarmierung
  • Integritätsschutz

Entwicklungsumgebung

Falls mit dem eingebetteten System auch eine Entwicklungsumgebung mit beschafft wird, ist darauf zu achten, dass diese neben der erforderlichen Funktionalität auch die nötigen Sicherheitseigenschaften aufweist. Beispielsweise dürfen bei den Schritten zur Codeerzeugung keine ungewollten Funktionen oder Hintertüren entstehen und die Entwicklungsumgebung sollte über Mechanismen verfügen, um selbst gegen Manipulationen geschützt werden zu können. Wenn möglich sollten zertifizierte Werkzeuge beschafft werden.

Kriterien ohne direkten Sicherheitsbezug

Kriterien wie z. B.

  • Stromverbrauch,
  • Grad der Integration,
  • Signallaufzeiten,
  • Erfüllung von Echtzeitanforderungen,
  • Platzbedarf und
  • Kosten

haben keine direkte Auswirkung auf die Informationssicherheit. Allerdings muss beachtet werden, dass die sicherheitsrelevanten Kriterien unter Umständen anders bewertet werden, wenn die oben genannten Kriterien optimiert werden.

Prüfsiegel und Zertifizierungen

Für eingebettete Systeme bzw. generell für elektronische Komponenten existieren zahlreiche Prüfsiegel und Zertifizierungen. Wenn Anforderungen hierzu in die Beschaffungskriterien mit einfließen, muss beachtet werden, dass es auch gefälschte, qualitativ minderwertige und irreführende Ausprägungen davon gibt.

Prüffragen:

  • Werden bei der Beschaffung eines eingebetteten Systems Aspekte der materiellen Sicherheit ausreichend berücksichtigt?

  • Werden bei der Beschaffung eines eingebetteten Systems Anforderungen an die Sicherheitseigenschaften der Hardware ausreichend berücksichtigt?

  • Werden bei der Beschaffung eines eingebetteten Systems Anforderungen an die Sicherheitseigenschaften der Software ausreichend berücksichtigt?

  • Werden bei der Beschaffung eines eingebetteten Systems Sicherheitsaspekte der Entwicklungsumgebung ausreichend berücksichtigt?

  • Werden bei der Beschaffung eines eingebetteten Systems organisatorische Sicherheitsaspekte ausreichend berücksichtigt?

Stand: 15. EL Stand 2016