Bundesamt für Sicherheit in der Informationstechnik

M 4.488 Deaktivieren nicht benutzter Schnittstellen und Dienste bei eingebetteten Systemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Entwickler, Administrator

Eingebettete Systeme sind häufig mit einer Vielzahl unterschiedlicher Schnittstellen ausgerüstet. Neben einfachen Ein-/Ausgängen zur Sensorik- und Aktuatorikanbindung finden sich Netzkommunikations-, Bedien- und Anzeigeschnittstellen unterschiedlicher Komplexität.

Physikalische Schnittstellen

Grundsätzlich sollten nur die benötigten physikalischen Schnittstellen vorhanden sein. Ist die Hardware vorgegeben und sind nicht benötigte Schnittstellen vorhanden, ist der Zugriff darauf durch bauliche Vorkehrungen zu unterbinden.

Logische Schnittstelle Netzprotokolle

Grundsätzlich dürfen nur benötigte Dienste aktiviert sein. Nicht benötigte Protokolle, die in manchen Konfigurationen standardmäßig vorhanden sind, sind zu deaktivieren, wie z. B. Appletalk, IPX oder NetBios. Die Dienste für Protokolle, die Daten im Klartext übertragen wie z. B. telnet , http oder ftp müssen bei erhöhtem Schutzbedarf deaktiviert sein. Falls notwendig, sind für den entsprechenden Zweck sichere Protokollvarianten bzw. Alternativen einzusetzen. SNMP v1 und v2 Dienste sollten deaktiviert sein.

Logische Schnittstellen Anwendungsebene

Alle in der Applikation nicht genutzten Schnittstellen müssen so konfiguriert werden, dass ein Zugang über diese Schnittstellen auf das eingebettete System nicht möglich ist. Es dürfen nur die Dienste freigeschaltet sein, die für die Aufgabenerfüllung benötigt werden. Bei komplexen Anwendungen mit erforderlicher Authentisierung beim Zugang ist zu überprüfen, für welche Bereiche der Anwendung die Authentisierung gültig ist. Sind z. B. bei einem Webserver die HTML -Seiten über ein Login geschützt, ist noch nicht sicher gestellt, dass auch der Zugriff auf Konfigurationsdaten per XML oder JSON darüber abgesichert ist. Um derartige Lücken zu finden, können Webseiten analysiert und Objekte mittels eines HTTP -Clients überprüft werden.

Wird auf dem eingebetteten System ein Betriebssystem genutzt, für das es darauf zugeschnittene automatische Schwachstellenscanner gibt, wie z. B. bei Linux-Systemen, sollten damit Verwundbarkeiten entdeckt und wenn möglich anschließend beseitigt werden. Bei allen Systemen ist mit universellen Portscannern oder Programmen zur Generierung von zufälligen oder spezifizierten Paketen, sogenannten packet buildern, nach Schwachstellen zu suchen.

Prüffragen:

  • Sind nur benötigte physikalische Schnittstellen vorhanden?

  • Sind nur benötigte Dienste aktiviert?

  • Ist der Zugang zu Anwendungsschnittstellen durch sichere Authentisierung geschützt?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK