Bundesamt für Sicherheit in der Informationstechnik

M 4.487 Tamper-Schutz (Erkennung, Verhinderung, Abwehr) bei eingebetteten Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Administrator, Planer

Für eingebettete Systeme ist ab einem hohen Schutzbedarf für die Vertraulichkeit oder Integrität ein Tamper-Schutz-Konzept zu planen und umzusetzen.

Ein umfassender Tamper-Schutz besteht aus den drei Funktionsbereichen "Verhinderung", "Erkennung und Nachweis" und "Reaktion und Abwehr". In der Fachliteratur werden dafür meist die englischen Begriffe "tamper resistance", "tamper evidence" und "tamper response" verwendet. Tamper-Schutz kann Infrastrukturelemente, Hardware und Software betreffen. Bei letzterem kommen kryptografische Mechanismen zum Einsatz (siehe M 4.483 Einsatz kryptographischer Prozessoren bzw. Koprozessoren (Trusted Platform Module) bei eingebetteten Systemen , M 4.90 Einsatz von kryptographischen Verfahren auf den verschiedenen Schichten des ISO/OSI-Referenzmodells ).

Um Tamper-Angriffe auf Infrastrukturelemente und Hardware zu verhindern, ist es notwendig, ein einbruchssicheres ("tamper resistant") System herzustellen, das auf Grund seiner Konstruktion nicht unautorisiert verändert werden kann. Für den Fall, dass ein Angreifer frei über ein System verfügen kann, ist ein vollkommener Schutz nicht möglich. Allerdings können durch bauliche und technische Vorkehrungen die für ihn zu überwindenden Hürden sehr hoch gesetzt werden. Ein solches System zu realisieren kann aufwändig sein und das Resultat ist möglicherweise ein kompliziertes, wenig flexibles System. Bevor dieser Weg eingeschlagen wird, sollte daher analysiert und bewertet werden, welcher Aufwand aufgrund des Schutzbedarfs des Systems erforderlich und sinnvoll ist. Verschiedene Konstruktionselemente können dazu beitragen, die Einbruchsicherheit zu erhöhen. Beispiele sind spezielle Schrauben wie Torx-TR mit einem Stift in der Profilmitte, der verhindert, dass diese Schraube mit einem normalen Torx- oder Schlitz-Schraubendreher zu drehen ist, oder Ummantelungen, Schutzschichten und passive oder aktive Metallleitungen. Eingebettete Systeme können auch bautechnisch so mit einer Umgebung verbunden werden, dass sie nur sehr schwer herausgelöst werden können und zusammen mit der Umgebung nicht transportabel wären, z. B. durch Metall oder Beton.

Deutlich aufwändiger ist es Vorkehrungen zu treffen, die Einbrüche erkennen und dokumentieren ("tamper evidence"). Diese erlauben es, Modifikationen an einem System automatisiert zu erkennen oder durch externe Prüfer die Korrektheit eines Systems zu bestätigen. Beispiele für derartige Mechanismen sind Plomben und Siegel, aktiv getriebene Metallleitungen mit Sensoren, die auf Licht, Druck oder Widerstands- und Kapazitätsänderungen reagieren.

Als Reaktion auf einen Tamper-Angriff ("tamper response") kann ein Alarm an eine übergeordnete Managementeinheit abgesendet werden. Zudem sollten sensitive Daten des Systems möglichst automatisch gelöscht werden. Abhängig vom Schutzbedarf der Daten sollten verschiedene Optionen betrachtet werden. Einfach zu realisieren ist die Energieversorgung des RAM zu unterbrechen, allerdings könnte ein Angreifer mit entsprechender Ausrüstung und Expertise die Daten rekonstruieren. Außerdem betrifft dies nur einen Teil der Daten eines eingebetteten Systems. Eine verbreitete Methode besteht darin, das RAM mehrfach zu überschreiben. Häufig wird dabei zuerst mehrfach mit "0", dann mehrfach mit "1" überschrieben. Der Nachteil dieser Methode liegt darin, dass nicht garantiert werden kann, dass dieser Vorgang auch tatsächlich stattfindet, wenn das Gerät oder seine Energieversorgung beeinträchtigt ist. Am sichersten ist es, das Gerät physikalisch zu zerstören. Dies kann z. B. durch eine Thermitreaktion hervorgerufen werden.

Prüffragen:

  • Existiert ein Tamper-Schutz-Konzept?

  • Sind dem Schutzbedarf angemessene Mechanismen etabliert, die Tamper-Angriffe verhindern?

  • Sind dem Schutzbedarf angemessene Mechanismen zum Erkennen und Aufzeichnen eines Tamper-Angriffes etabliert?

  • Sind dem Schutzbedarf angemessene Mechanismen zur Reaktion auf einen Tamper-Angriff etabliert?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK