SICHERHEITSZERTIFIZIERUNG FÜR OBW DER STUFE 2

1. Die Sicherheitszertifizierung der MVU und der TU erfolgt nach dem Common-Criteria-Zertifizierungsverfahren. In dieser Anlage werden MVU und TU im Folgenden als „OBW-VU” bezeichnet.

2. Die von den OBW-VU mindestens zu erfüllenden Sicherheitsanforderungen werden in einer Sicherheitsvorgabe (Security Target, ST) gemäß dem Common-Criteria-Zertifizierungsverfahren festgelegt.

3. Die ST wird vom Hersteller der zu zertifizierenden Ausrüstung entworfen und von einer staatlichen IT-Sicherheitszertifizierungsstelle genehmigt, welche in der Joint Interpretation Working Group (JIWG) zur Unterstützung der gegenseitigen Anerkennung von Zertifikaten im Rahmen des europäischen Abkommens zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten (Agreement on Mutual Recognition of Information Technology Security Evaluation Certificates, SOGIS-MRA) organisiert ist.

4. Die Sicherheitszertifizierung des V2X-Gateways und des Hardware-Sicherheitsmoduls der K-IVS-Stationen erfolgt anhand der vom Car2Car Communication Consortium entwickelten Schutzprofile für den V2X-Gateway bzw. das Hardware-Sicherheitsmodul.

5. Für die Sicherheitszertifizierung der OBW-VU gilt die Vertrauenswürdigkeitsstufe EAL2. Wird jedoch der Fahrtenschreiber als MVU verwendet, ist dieser gemäß Anlage 10 zu Anhang IC der Verordnung (EU) 2016/799 auf der Vertrauenswürdigkeitsstufe EAL4, erweitert um die Vertrauenswürdigkeitskomponenten ATE_DPT.2 und AVA_VAN.5, zu zertifizieren.

6.

Durch die ST zu schützende Objekte

Folgende Objekte sind zu schützen:

a)

OBW-VU-Nachricht: jede von einem relevanten OBW-VU-Modul gesendete oder empfangene Nachricht, die für die Berechnung des Gewichts notwendige Informationen enthält.

Die relevanten OBW-Module sind jene Hardware- und Softwareeinheiten der OBW-VU, die Informationen verarbeiten, die im Fall eines Angriffs zu einer Fehlberechnung des Gesamtgewichts oder der Achslast durch das OBW führen können.

Eine OBW-VU kann aus einem einzigen relevanten Modul bestehen oder sich gemäß Anhang I Nummer 1.5 aus verschiedenen relevanten Modulen zusammensetzen; im letzteren Fall sind diese durch die ST zu identifizieren.

b)

Gewichtsnachricht: Nachricht, die den von der OBW-VU berechneten Wert des Gesamtgewichts oder der Achslast enthält.

c)

Kalibrierungsdaten: Informationen, die in den Speicher der OBW-VU eingegeben werden, um das OBW zu kalibrieren.

d)

Auditinformationen: Informationen über Versuche von Sicherheitsverletzungen, die den in dieser Anlage behandelten Gefährdungen entsprechen.

e)

OBW-VU-Software: Software, die innerhalb der OBW-VU verwendet wird, um OBW-Funktionen zu implementieren und zu unterstützen, und die von Bedeutung ist, um das Gewicht zu berechnen und Versuche von Sicherheitsverletzungen zu entdecken.

Abbildung 4

7.

Gefährdungen, die in der ST zu berücksichtigen sind

In der ST sind folgende Gefährdungen zu berücksichtigen:

a)

T.OBW-VU_message_spoof: Ein Angreifer könnte OBW-VU-Nachrichten fälschen, sodass das Gesamtgewicht oder die Achslast von der OBW-VU falsch berechnet wird.

b)

T.OBW-VU_message_tamper: Ein Angreifer könnte OBW-VU-Nachrichten manipulieren, sodass das Gesamtgewicht oder die Achslast von der OBW-VU falsch berechnet wird.

c)

T.Weight_message_spoof: Ein Angreifer könnte Gewichtsnachrichten fälschen, sodass das von der OBW-VU berechnete Gewicht verändert wird.

d)

T.Weight_message_tamper: Ein Angreifer könnte Gewichtsnachrichten manipulieren, sodass das von der OBW-VU berechnete Gewicht verändert wird.

e)

T.Audit_spoof: Ein Angreifer könnte Nachrichten mit Auditinformationen fälschen.

f)

T.Audit_tamper: Ein Angreifer könnte Nachrichten mit Auditinformationen manipulieren.

g)

T.Calibration_tamper: Ein Angreifer könnte falsche Werte als Kalibrierungsdaten eingeben, um eine Falschberechnung des Gewichts durch die OBW-VU herbeizuführen.

h)

T.Software_tamper: Ein Angreifer könnte die OBW-VU-Software verändern oder austauschen, um die normale Berechnung des Gewichts zu verändern.

i)

T.Stored_Data_tamper: Ein Angreifer könnte versuchen, die in der OBW-VU gespeicherten relevanten Informationen einschließlich Auditinformationen zu verändern oder zu löschen.

8. Für die OBW-VU gelten folgende Sicherheitsvorgaben:

a)

O.Plausibility_validation: Die OBW-VU muss bei einer entweder von den Sensoren oder von einem anderen Modul eingehenden Nachricht an ein relevantes Modul die Plausibilität der Informationen überprüfen, um festzustellen, ob die Nachricht vertrauenswürdig ist.

b)

O.OBW-VU_stored_information_protection: Die OBW-VU muss in der Lage sein, gespeicherte Software und Daten vor Manipulationen zu schützen.

c)

O.Notification: Die OBW-VU muss in der Lage sein, den Versuch einer Sicherheitsverletzung zu melden.

9.

Begründung

a)

T.OBW-VU_message_spoof wird von O.Plausibility_validation und O.Notification abgedeckt.

b)

T.OBW-VU_message_tamper wird von O.Plausibility_validation und O.Notification abgedeckt.

c)

T.Weight_message_spoof wird von O.Plausibility_validation und O.Notification abgedeckt.

d)

T.Weight_message_tamper wird von O.Plausibility_validation und O.Notification abgedeckt.

e)

T.Audit_spoof wird von O.Plausibility_validation und O.Notification abgedeckt.

f)

T.Calibration_tamper wird von O.Plausibility_validation und O.Notification abgedeckt.

g)

T.Software_tamper wird von O.OBW-VU_stored_information_protection und O.Notification abgedeckt.

h)

T.Stored_data_tamper wird von O.OBW-VU_stored_information_protection und O.Notification abgedeckt.

Tabelle 1

Begründung der Sicherheitsvorgaben

	O.Plausibility_validation	O.OBW-VU_stored_information_protection	O.Notification
T.OBW_message_spoof	X		X
T.OBW_message_tamper	X		X
T.Weight_message_spoof	X		X
T.Weight_message_tamper	X		X
T.Audit_spoof	X		X
T.Audit_tamper	X		X
T.Calibration_tamper	X		X
T.Software_tamper		X	X
T.Stored_data_tamper		X	X