Bundesamt für Sicherheit in der Informationstechnik

M 4.89 Abstrahlsicherheit

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Jedes elektronische Gerät strahlt mehr oder weniger starke elektromagnetische Wellen ab. Diese Abstrahlung ist als Störstrahlung bekannt und ihre maximal zulässige Stärke ist im Allgemeinen gesetzlich geregelt, in Deutschland ist dies das Gesetz über die elektromagnetische Verträglichkeit von Geräten ( EMVG ). Bei Geräten, die Informationen verarbeiten (PC, Drucker, Faxgerät, Modem, usw.) kann diese Störstrahlung auch die gerade verarbeiteten Informationen mit sich führen. Derartige informationstragende Abstrahlung wird bloßstellende Abstrahlung genannt. Wird die bloßstellende Abstrahlung in einiger Entfernung, z. B. in einem Nachbarhaus oder auch in einem in der Nähe abgestellten Fahrzeug empfangen, kann daraus die Information rekonstruiert werden. Die Vertraulichkeit der Daten ist damit in Frage gestellt. Die Grenzwerte des EMVG reichen im allgemeinen nicht aus, um das Abhören der bloßstellenden Abstrahlung zu verhindern. Hierzu müssen in aller Regel zusätzliche Maßnahmen getroffen werden.

Bloßstellende Abstrahlung kann einen Raum auf unterschiedliche Weise verlassen:

  • In Form von elektromagnetischen Wellen, die sich wie Rundfunkwellen durch den freien Raum ausbreiten.
  • Als leitungsgebundene Abstrahlung entlang metallischer Leiter (Kabel, Klimakanäle, Heizungsrohre).
  • Durch Überkoppeln von einem Datenkabel in parallel hierzu verlegte Kabel. Auf dem Parallelkabel breitet sich die Abstrahlung aus und kann von diesem noch in großer Entfernung abgegriffen werden.
  • Als akustische Abstrahlung, z. B. bei Druckern. Die Detailinformationen des Druckvorgangs breiten sich über Schall beziehungsweise Ultraschall aus und können mit Mikrofonen aufgenommen werden.
  • In Form von akustischer Überkopplung auf andere Geräte. Die Schallwandlung in elektrische Signale erfolgt dabei durch schallempfindliche Geräteteile, die unter bestimmten Voraussetzungen ähnlich wie ein "Mikrofon" arbeiten können. Die weitere Ausbreitung erfolgt dann entlang metallischer Leiter oder auch in Form elektromagnetischer Raumstrahlung.
  • Bloßstellende Abstrahlung kann auch durch eine äußere Manipulation von Geräten verursacht werden. Wird z. B. ein Gerät mit Hochfrequenzenergie bestrahlt, können die im Gerät ablaufenden elektrischen Vorgänge die eingestrahlten Wellen so beeinflussen, dass diese nun die verarbeitete Information mit sich tragen.

In allen Fällen hat die Installation, also die Verkabelung der Geräte untereinander und mit dem Stromversorgungsnetz, einen wesentlichen Einfluss auf die Ausbreitung und damit auch auf die Reichweite der Abstrahlung.

Vom BSI werden Schutzmaßnahmen entwickelt, welche die Gefährdung ohne wesentliche Kostensteigerung wirksam reduzieren. Dazu gehören:

  • Zonenmodell
    Das Zonenmodell berücksichtigt die Ausbreitungsbedingungen für bloßstellende Abstrahlung bei den jeweiligen Gebäude- und Geländeverhältnissen. Dabei wird die Abschwächung der Abstrahlung auf ihrem Weg vom verursachenden IT-Gerät zum potentiellen Empfänger messtechnisch erfasst. Abhängig von den Gegebenheiten am Einsatzort können gegebenenfalls Geräte eingesetzt werden, an denen nur geringfügige oder gar keine Sonderentstörmaßnahmen durchgeführt wurden.
  • Quellenentstörung
    Die Quellenentstörung bewährt sich besonders bei der Neuentwicklung von IT-Produkten. Hier wird die bloßstellende Abstrahlung bereits am Entstehungsort innerhalb des Gerätes unterdrückt oder so verändert, dass sie nicht mehr auswertbar ist. Durch diese Methode kann z. B. auch der Einsatz kostengünstiger Kunststoffgehäuse möglich werden, mit vernachlässigbar geringen Auswirkungen auf den Serienpreis.
  • Kurzmessverfahren
    Die Erarbeitung von Kurzmessverfahren und Manipulationsprüfverfahren erlaubt, auch nach Wartung, Reparatur oder möglichen unberechtigten Zugriffen die Abstrahlsicherheit mit geringem Aufwand sicherzustellen.
  • Einsatz abstrahlarmer bzw. abstrahlgeschützter Geräte
    Hersteller von PC-Bildschirmen werben häufig mit dem Begriff "abstrahlarm" nach MPR II, TCO oder SSI. Diese Richtlinien berücksichtigen jedoch ausschließlich mögliche gesundheitsschädliche Auswirkungen der Gerätestrahlung. Die Messverfahren und Grenzwerte für die Strahlung sind daher für den Nachweis bloßstellender Abstrahlung ungeeignet und ermöglichen wie auch Messungen zur elektromagnetischen Verträglichkeit (EMV) keine Bewertung der Sicherheit gegen unberechtigtes Mitlesen der Daten.
    Daneben werden aber auch speziell abstrahlgeschützte IT-Systeme angeboten. Ein detailliertes Prüfkonzept des BSI dient zur abgestuften Prüfung von IT-Geräten bzw. -Systemen. Grundgedanke dieses Konzeptes ist es, den Umfang der Schutzmaßnahmen so gut wie möglich an die vom Anwender angenommene Bedrohungslage anzupassen, um so bei minimiertem Kostenaufwand ein Optimum an Abstrahlsicherheit zu erzielen. Ursprünglich wurde das Prüfkonzept des BSI zum Schutz staatlicher Verschlusssachen entwickelt, der Einsatz kann aber auch in der Privatwirtschaft sinnvoll sein, wenn Daten mit hohem Schutzbedarf bezüglich Vertraulichkeit geschützt werden sollen. So kann z. B. in vielen Fällen ein nach dem Zonenmodell geprüftes und für den Einsatz in den Zonen 1-3 zugelassenes Gerät (sog. "Zone 1-Gerät") bereits einen hinreichenden Schutz gegen unberechtigtes Abhören vertraulicher Daten infolge bloßstellender Abstrahlung bieten. Bei hohem oder sehr hohem Schutzbedarf in Bezug auf die Vertraulichkeit sollte deshalb geprüft werden, ob der Einsatz abstrahlarmer bzw. abstrahlgeschützter Geräte zweckmäßig oder sogar erforderlich ist. Ob ein Hersteller abstrahlgeschützte Geräte gemäß dieser sog. "TEMPEST"-Kriterien in seinem Lieferprogramm anbietet, sollte durch eine Rückfrage beim Hersteller, beim BSI bzw. durch Einsicht in die offizielle Produktübersicht BSI TL 03305, welche auf der Internetseite des BSI unter dem Stichwort Publikationen verfügbar ist, geklärt werden. Dabei gehört zu der Aussage, dass für ein Gerät eine TEMPEST-Zulassung vorliegt, immer auch die Aussage des Zulassungsgrades (z. B. zugelassen für den Einsatz in den Zonen 1-3 gemäß Zonenmodell).

Prüffragen:

  • Wurde überlegt, ob zusätzliche Maßnahmen zur Abstrahlsicherheit erforderlich sind?

Stand: 13. EL Stand 2013