Allgemeine Sicherheitsanforderungen für die Kontrollgerätkarte VO (EWG) 85/3821
ALLGEMEINE SICHERHEITSANFORDERUNGEN
ALLGEMEINE SICHERHEITSANFORDERUNGEN FÜR WEG- UND/ODER GESCHWINDIGKEITSGEBER
-
1.
-
Einleitung
In diesem Abschnitt werden der Weg- und/oder Geschwindigkeitsgeber, mögliche Sicherheitsgefährdungen sowie die zu erfüllenden Sicherheitsziele beschrieben. Außerdem enthält er Erläuterungen zu den zur Durchsetzung der Sicherheitsanforderungen erforderlichen Funktionen, und es erfolgt eine Auflistung der Mindestanforderungen an die Sicherheitsmechanismen und die erforderliche Gewährleistungsebene für Entwicklung und Evaluierung. Die hier aufgeführten Anforderungen entsprechen den Anforderungen im Hauptteil von Anhang I B. Im Interesse einer besseren Verständlichkeit können sich zwischen den Anforderungen im Hauptteil von Anhang I B und den Sicherheitsanforderungen Doppelungen ergeben. Bei Diskrepanzen zwischen einer Sicherheitsanforderung und der Anforderung im Hauptteil von Anhang I B, auf die sich diese Sicherheitsanforderung bezieht, geht die Anforderung im Hauptteil von Anhang I B vor. Anforderungen im Hauptteil von Anhang I B, auf die sich diese Sicherheitsanforderungen nicht beziehen, sind nicht Gegenstand der Funktionen zur Durchsetzung von Sicherheitsanforderungen. Zwecks besserer Zuordnung zu den in der Dokumentation über Entwicklung und Evaluierung verwendeten Begriffen wurden für die möglichen Sicherheitsgefährdungen sowie die zu erfüllenden Ziele, Verfahrensmöglichkeiten und SEF-Spezifikationen eindeutige Bezeichnungen gewählt.- 2.
- Abkürzungen, Begriffsbestimmungen und Referenzdokumente
- 2.1.
- Abkürzungen
- ROM
- Festspeicher ()
- SEF
- Sicherheitserzwingende Funktion
- PO
- Prüfobjekt
- FE
- Fahrzeugeinheit ()
- 2.2.
- Begriffsbestimmungen
- Digitaler Fahrtenschreiber
- Kontrollgerät
- Geräteeinheit
- Ein an den Weg- und/oder Geschwindigkeitsgeber angeschlossenes Gerät
- Weg- und Geschwindigkeitsdaten
- Die mit der FE ausgetauschten Daten über Fahrgeschwindigkeit und zurückgelegte Wegstrecke
- Physisch getrennte Teile
- Komponenten des Weg- und/oder Geschwindigkeitsgebers, die sich im Gegensatz zu den im Gehäuse des Weg- und/oder Geschwindigkeitsgebers untergebrachten Bauteilen an anderer Stelle im Fahrzeug befinden
- Sicherheitsdaten
- Spezielle Daten, die zur Unterstützung der sicherheitserzwingenden Funktionen erforderlich sind (z. B. kryptografische Schlüssel)
- System
- Gerätetechnik, Menschen bzw. Organisationen, die in welcher Weise auch immer mit den Kontrollgeräten in Beziehung stehen
- Benutzer
- Den Weg- und/oder Geschwindigkeitsgeber anwendende Person
- Benutzerdaten
- Abgesehen von den Weg- und Geschwindigkeits- sowie den Sicherheitsdaten alle sonstigen Daten, die vom Weg- und/oder Geschwindigkeitsgeber aufgezeichnet bzw. gespeichert werden
- 2.3.
- Referenzdokumente
- ITSEC
- ITSEC Information Technology Security Evaluation Criteria 1991 (Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik)
- 3.
- Grundprinzip des Produkts
- 3.1.
- Beschreibung und Verwendung des Weg- und/oder Geschwindigkeitsgebers
Der Weg- und/oder Geschwindigkeitsgeber ist zum Einbau in Straßentransportfahrzeuge vorgesehen. Seine Aufgabe ist es, der FE gesicherte Daten im Hinblick auf die Fahrzeuggeschwindigkeit und die zurückgelegte Wegstrecke zur Verfügung zu stellen. Der Weg- und/oder Geschwindigkeitsgeber ist mit einem bewegten Fahrzeugteil, dessen Bewegung für die Fahrtgeschwindigkeit bzw. die zurückgelegte Wegstrecke stellvertretend ist, mechanisch verbunden. Er kann im Getriebe oder in einem anderen Teil des Fahrzeugs installiert werden. Im Betriebszustand ist der Weg- und/oder Geschwindigkeitsgeber an eine FE angeschlossen. Ebenso ließe er sich zu Verwaltungszwecken an spezielle Geräte anschließen (durch den Hersteller festzulegen). Der typische Weg- und/oder Geschwindigkeitsgeber ist in der folgenden Abbildung dargestellt: 
- 3.2.
- Lebenszyklus des Weg- und/oder Geschwindigkeitsgebers
Der typische Lebenszyklus des Weg- und/oder Geschwindigkeitsgebers ist in der folgenden Abbildung dargestellt: 
- 3.3.
- Sicherheitsgefährdungen
In diesem Abschnitt werden mögliche Sicherheitsgefährdungen des Weg- und/oder Geschwindigkeitsgebers beschrieben.- 3.3.1.
- Sicherheitsgefährdungen im Zusammenhang mit der Zugriffskontrolle
- T.Access
- Versuch seitens der Benutzer, Zugriff auf ihnen nicht erlaubte Funktionen zu erlangen
- 3.3.2.
- Konstruktionsbedingte Sicherheitsgefährdungen
- T.Faults
- Fehler bei Hardware, Software oder Kommunikationsverfahren können den Weg- und/oder Geschwindigkeitsgeber in einen unvorhergesehenen Zustand versetzen, der seine Sicherheit beeinträchtigt
- T.Tests
- Die Nutzung nicht validierter Prüfmodi bzw. vorhandener „Hintertüren” kann die Sicherheit des Weg- und/oder Geschwindigkeitsgebers beeinträchtigen
- T.Design
- Versuch seitens der Benutzer, auf illegale Weise Kenntnis über Konstruktionsdaten zu erlangen, sei es aus Unterlagen des Herstellers (durch Diebstahl, Bestechung usw.) oder durch Methoden des Reverse Engineering
- 3.3.3.
- Betriebsbedingte Sicherheitsgefährdungen
- T.Environment
- Gefährdung der Sicherheit des Weg- und/oder Geschwindigkeitsgebers durch (thermische, elektromagnetische, optische, chemische, mechanische usw.) Einwirkung von außen
- T.Hardware
- Versuch seitens der Benutzer, Änderungen an der Weg- und/oder Geschwindigkeitsgeberhardware vorzunehmen
- T.Mechanical_Origin
- Versuch seitens der Benutzer, die Eingabe des Weg- und/oder Geschwindigkeitsgebers zu manipulieren (z. B. durch Abschrauben vom Getriebe usw.)
- T.Motion_Data
- Versuch seitens der Benutzer, die Weg- und Geschwindigkeitsdaten des Fahrzeugs zu verfälschen (durch Signaladdition, -modifizierung, -löschung, -wiederholung)
- T.Power_Supply
- Versuch seitens der Benutzer, Sicherheitsziele des Weg- und/oder Geschwindigkeitsgebers durch Manipulation der Stromversorgung (Leitungstrennung, Spannungserhöhung bzw. -reduzierung) zu untergraben
- T.Security_Data
- Versuch seitens der Benutzer, auf illegale Weise Kenntnis über Sicherheitsdaten während deren Generierung, Übertragung bzw. Speicherung im Gerät zu erlangen
- T.Software
- Versuch seitens der Benutzer, Änderungen an der Software des Weg- und/oder Geschwindigkeitsgebers vorzunehmen
- T.Stored_Data
- Versuch seitens der Benutzer, gespeicherte Daten (Sicherheits- bzw. Benutzerdaten) zu verfälschen
- 3.4.
- Sicherheitsziele
Das wichtigste Sicherheitsziel des digitalen Fahrtenschreibersystems ist folgendes:- O.Main
- Die von den Kontrollbehörden zu prüfenden Daten müssen verfügbar sein und die Handlungen der kontrollierten Fahrer und Fahrzeuge hinsichtlich Lenk-, Arbeits-, Bereitschafts- und Ruhezeiten sowie Fahrzeuggeschwindigkeit vollständig und genau widerspiegeln
- O.Sensor_Main
- Die vom Weg- und/oder Geschwindigkeitsgeber übermittelten Daten müssen der FE so bereitgestellt werden, dass die FE die Bewegung des Fahrzeugs in Bezug auf Geschwindigkeit und zurückgelegte Wegstrecke vollständig und genau feststellen kann
- 3.5.
- Informationstechnische Sicherheitsziele
Die speziellen, zum Hauptsicherheitsziel beitragenden IT-Sicherheitsziele des Weg- und/oder Geschwindigkeitsgebers sind folgende:- O.Access
- Der Weg- und/oder Geschwindigkeitsgeber muss den Zugriff der angeschlossenen Geräteeinheiten auf Funktionen und Daten steuern
- O.Audit
- Der Weg- und/oder Geschwindigkeitsgeber muss Versuche zur Umgehung seiner Sicherheitsfunktionen prüfen und zu den angeschlossenen Geräteeinheiten zurückverfolgen
- O.Authentication
- Der Weg- und/oder Geschwindigkeitsgeber muss angeschlossene Geräteeinheiten authentisieren
- O.Processing
- Der Weg- und/oder Geschwindigkeitsgeber stellt sicher, dass die Eingabedaten, aus denen sich die Weg- und Geschwindigkeitsdaten ableiten, exakt verarbeitet werden
- O.Reliability
- Der Weg- und/oder Geschwindigkeitsgeber muss zuverlässig arbeiten
- O.Secured_Data_Exchange
- Der Weg- und/oder Geschwindigkeitsgeber muss den sicheren Datenaustausch mit der FE gewährleisten
- 3.6.
- Physische, personelle bzw. verfahrenstechnische Mittel
In diesem Abschnitt werden die physischen, personellen bzw. verfahrenstechnischen Anforderungen, die zur Sicherheit des Weg- und/oder Geschwindigkeitsgebers beitragen, beschrieben.- 3.6.1.
- Gerätekonstruktion
- M.Development
- Die Entwickler des Weg- und/oder Geschwindigkeitsgebers müssen sicherstellen, dass die Zuweisung von Verantwortlichkeiten während des Entwicklungszeitraums in einer die IT-Sicherheit wahrenden Weise erfolgt
- M.Manufacturing
- Die Hersteller des Weg- und/oder Geschwindigkeitsgebers müssen sicherstellen, dass die Zuweisung von Verantwortlichkeiten während des Herstellungsprozesses in einer die IT-Sicherheit wahrenden Weise erfolgt und dass der Weg- und/oder Geschwindigkeitsgeber in diesem Prozess vor physischen Angriffen, die die IT-Sicherheit beeinträchtigen könnten, geschützt wird
- 3.6.2.
- Auslieferung der Geräte
- M.Delivery
- Die Hersteller des Weg- und/oder Geschwindigkeitsgebers, die Fahrzeughersteller und die Installateure bzw. Werkstätten müssen beim Umgang mit dem Weg- und/oder Geschwindigkeitsgeber sicherstellen, dass die IT-Sicherheit gewahrt bleibt
- 3.6.3.
- Generierung und Lieferung der Sicherheitsdaten
- M.Sec_Data_Generation
- Die Algorithmen zur Generierung von Sicherheitsdaten dürfen nur berechtigten und vertrauenswürdigen Personen zugänglich sein
- M.Sec_Data_Transport
- Die Sicherheitsdaten müssen in einer Weise generiert, transportiert und in den Weg- und/oder Geschwindigkeitsgeber eingebracht werden, die Vertraulichkeit und Integrität der Daten angemessen gewährleistet
- 3.6.4.
- Einbau, Kalibrierung und Nachprüfung des Kontrollgeräts
- M.Approved_Workshops
- Einbau, Kalibrierung und Reparatur des Kontrollgeräts dürfen nur durch vertrauenswürdige und zugelassene Installateure bzw. Werkstätten erfolgen
- M.Mechanical_Interface
- Es müssen Möglichkeiten geschaffen werden (z. B. durch Plombierung), um physische Manipulationen an der mechanischen Schnittstelle zu erkennen
- M.Regular_Inpections
- Die Kontrollgeräte müssen einer regelmäßigen Nachprüfung und Kalibrierung unterzogen werden
- 3.6.5.
- Kontrolle der Einhaltung von Vorschriften
- M.Controls
- Die Einhaltung der gesetzlichen Vorschriften ist regelmäßig und stichprobenartig zu kontrollieren, unter anderem durch Sicherheitsaudits
- 3.6.6.
- Software-Upgrades
- M.Software_Upgrade
- Neue Softwareversionen dürfen erst nach Erhalt der Sicherheitszertifizierung im Weg- und/oder Geschwindigkeitsgeber implementiert werden
- 4.
- Sicherheitserzwingende Funktionen
- 4.1.
- Identifizierung und Authentisierung
- —
einer Geräteeinheitsgruppe:
- —
Fahrzeugeinheit (FE),
- —
Verwaltungsgerät,
- —
sonstige Einheit,
- —
einer Geräteeinheitskennung (nur FE).
- —
bei Anschließen der Geräteeinheit,
- —
bei Wiederzuschalten der Stromversorgung
- —
ein Auditprotokoll über das Ereignis anlegen,
- —
eine Warnung an die Geräteeinheit ausgeben,
- —
die Ausgabe von Weg- und Geschwindigkeitsdaten im ungesicherten Modus fortsetzen.
- 4.2.
- Zugriffskontrolle
Die Zugriffskontrolle gewährleistet, dass nur speziell dazu berechtigte Personen Informationen aus dem PO auslesen sowie im PO anlegen bzw. nach Änderung in das PO einlesen.- 4.2.1.
- Zugriffsberechtigung
- 4.2.2.
- Datenzugriffsrechte
- 4.2.3.
- Dateistruktur und -zugriffsbedingungen
- 4.3.
- Zuordnungsmöglichkeit
- 4.4.
- Audit
- —
Sicherheitsverletzende Versuche:
- —
fehlgeschlagene Authentisierung,
- —
Integritätsfehler der Speicherdaten,
- —
interner Datenübertragungsfehler,
- —
unberechtigtes Öffnen des Gehäuses,
- —
Hardwaremanipulation.
- —
Störung des Gebers.
- —
Datum und Uhrzeit des Ereignisses,
- —
Art des Ereignisses,
- —
Identität der angeschlossenen Geräteeinheit.
- 4.5.
- Genauigkeit
- 4.5.1.
- Maßnahmen zur Kontrolle des Informationsflusses
- 4.5.2.
- Interne Datenübertragung
Die Anforderungen dieses Absatzes gelten nur, wenn der Weg- und/oder Geschwindigkeitsgeber physisch getrennte Teile nutzt. - 4.5.3.
- Integrität der Speicherdaten
- 4.6.
- Zuverlässigkeit während des Betriebs
- 4.6.1.
- Prüfungen
- 4.6.2.
- Software
- 4.6.3.
- Physischer Schutz
- 4.6.4.
- Unterbrechung der Stromversorgung
- 4.6.5.
- Rücksetzbedingungen
- 4.6.6.
- Datenbereitstellung
- 4.6.7.
- Multifunktionsgeräte
- 4.7.
- Datenaustausch
- 4.8.
- Kryptographische Unterstützung
Je nach Sicherheitsmechanismus und vom Hersteller gewählten Lösungen gelten die Anforderungen dieses Absatzes nur soweit erforderlich. - 5.
- Beschreibung der Sicherheitsmechanismen
Die der Erfüllung der sicherheitserzwingenden Funktionen des Weg- und/oder Geschwindigkeitsgebers dienenden Sicherheitsmechanismen werden durch die Hersteller des Weg- und/oder Geschwindigkeitsgebers bestimmt.- 6.
- Mindestrobustheit der Sicherheitsmechanismen
Die Mindestrobustheit der Sicherheitsmechanismen des Weg- und/oder Geschwindigkeitsgebers ist Hoch, gemäß Definition in ITSEC.- 7.
- Gewährleistungsebene
Die für den Weg- und/oder Geschwindigkeitsgeber vorgegebene Gewährleistungsebene ist die ITSEC-Ebene E3, gemäß Definition in ITSEC.- 8.
- Grundlegendes Prinzip
Mit der folgenden Matrix wird das Prinzip der SEF begründet. Hierzu wird verdeutlicht:- —
welche SEF bzw. Mittel welchen Sicherheitsgefährdungen entgegenwirken,
- —
welche SEF welche IT-Sicherheitsziele erfüllen.
| Sicherheitsgefährdungen | IT-Zielsetzungen | |||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Zugriff | Fehler/Störungen | Prüfungen | Konstruktion | Umfeld | Hardware | Mechanischer Ursprung | Daten Weg und Geschwindigkeit | Stromversorgung | Sicherheitsdaten | Software | Speicherdaten | Zugriff | Audit | Authentisierung | Datenverarbeitung | Gewährleistung | Gesicherter Datenaustausch | |
| Physische, personelle, verfahrenstechnische Mittel | ||||||||||||||||||
| Entwicklung | x | x | x | |||||||||||||||
| Herstellung | x | x | ||||||||||||||||
| Auslieferung | x | x | x | |||||||||||||||
| Generierung von Sicherheitsdaten | x | |||||||||||||||||
| Transport von Sicherheitsdaten | x | |||||||||||||||||
| Zugelassene Werkstätten | x | |||||||||||||||||
| Mechanische Schnittstelle | x | |||||||||||||||||
| Regelmäßige Nachprüfung | x | x | x | x | ||||||||||||||
| Durchsetzung gesetzl. Vorschriften | x | x | x | x | x | x | ||||||||||||
| Software-Upgrades | x | |||||||||||||||||
| Sicherheitserzwingende Funktionen | ||||||||||||||||||
| Kennung und Authentisierung | ||||||||||||||||||
| UIA_101 Geräteidentifizierung | x | x | x | x | x | |||||||||||||
| UIA_102 Gerätekenndaten | x | x | x | |||||||||||||||
| UIA_103 FE-Kenndaten | x | |||||||||||||||||
| UIA_104 Geräteauthentisierung | x | x | x | x | x | |||||||||||||
| UIA_105 Neuauthentisierung | x | x | x | x | x | |||||||||||||
| UIA_106 Fälschungssichere Authentisierung | x | x | x | x | ||||||||||||||
| UIA_107 Authentisierungsfehler | x | x | x | |||||||||||||||
| Zugriffskontrolle | ||||||||||||||||||
| ACC_101 Zugriffskontrollregeln | x | x | x | x | ||||||||||||||
| ACC_102 Weg- und/oder Geschwindigkeitsgeber-Kennung | x | x | ||||||||||||||||
| ACC_103 Benutzerdaten | x | x | ||||||||||||||||
| ACC_104 Sicherheitsdaten | x | x | x | |||||||||||||||
| ACC_105 Datenstruktur und Zugriffsbedingungen | x | x | x | x | ||||||||||||||
| Zuordnungsmöglichkeit | ||||||||||||||||||
| ACT_101 Weg- und/oder Geschwindigkeitsgeberkenndaten | x | |||||||||||||||||
| ACT_102 Koppelungsdaten | x | |||||||||||||||||
| ACT_103 Zuordnungsdaten | x | |||||||||||||||||
| Auditoría | ||||||||||||||||||
| AUD_101 Auditprotokolle | x | |||||||||||||||||
| AUD_102 Auditereignislisten | x | x | x | x | x | |||||||||||||
| AUD_103 Auditdaten | x | |||||||||||||||||
| AUD_104 Auditwerkzeuge | x | |||||||||||||||||
| AUD_105 Auditprotokollspeicherung | x | |||||||||||||||||
| Genauigkeit | ||||||||||||||||||
| ACR_101 Informationsflusskontrolle | x | x | x | |||||||||||||||
| ACR_102 Interne Datenübertragung | x | x | ||||||||||||||||
| ACR_103 Interne Datenübertragung | x | |||||||||||||||||
| ACR_104 Speicherdatenintegrität | x | x | ||||||||||||||||
| ACR_105 Speicherdatenintegrität | x | x | ||||||||||||||||
| Zuverlässigkeit | ||||||||||||||||||
| RLB_101 Herstellungsprüfungen | x | x | x | |||||||||||||||
| RLB_102 Selbsttests | x | x | x | x | x | |||||||||||||
| RLB_103 Selbsttests | x | x | x | x | ||||||||||||||
| RLB_104 Softwareanalyse | x | x | x | |||||||||||||||
| RLB_105 Softwareeingabe | x | x | x | |||||||||||||||
| RLB_106 Öffnen des Gehäuses | x | x | x | x | x | x | x | |||||||||||
| RLB_107 Hardwaremanipulation | x | x | ||||||||||||||||
| RLB_108 Hardwaremanipulation | x | x | ||||||||||||||||
| RLB_109 Unterbrechungen der Stromversorgung | x | x | ||||||||||||||||
| RLB_110 Rücksetzen | x | x | ||||||||||||||||
| RLB_111 Datenbereitstellung | x | x | ||||||||||||||||
| RLB_112 Multifunktionsgeräte | x | |||||||||||||||||
| Datenaustausch | ||||||||||||||||||
| DEX_101 Gesicherter Export von Weg- und Geschwindigkeitsdaten | x | x | ||||||||||||||||
| Kryptografische Unterstützung | ||||||||||||||||||
| CSP_101 Algorithmen | x | x | ||||||||||||||||
| CSP_102 Schlüsselgenerierung | x | x | ||||||||||||||||
| CSP_103 Schlüsselvergabe | x | x | ||||||||||||||||
| CSP_104 Schlüsselzugriff | x | x | ||||||||||||||||
| CSP_105 Schlüsselvernichtung | x | x | ||||||||||||||||
ALLGEMEINE SICHERHEITSANFORDERUNGEN FÜR DIE FAHRZEUGEINHEIT (FE)
- 1.
- Einführung
In diesem Abschnitt werden die Fahrzeugeinheit, mögliche Sicherheitsgefährdungen sowie die zu erfüllenden Sicherheitsziele beschrieben. Außerdem enthält er Erläuterungen zu den zur Durchsetzung der Sicherheitsanforderungen erforderlichen Funktionen, und es erfolgt eine Auflistung der Mindestanforderungen an die Sicherheitsmechanismen und die erforderliche Gewährleistungsebene für Entwicklung und Evaluierung. Die hier aufgeführten Anforderungen entsprechen den Anforderungen im Hauptteil von Anhang I B. Im Interesse einer besseren Verständlichkeit können sich Doppelungen zwischen den Anforderungen im Hauptteil von Anhang I B und den Sicherheitsanforderungen ergeben. Bei Diskrepanzen zwischen einer Sicherheitsanforderung und der Anforderung im Hauptteil von Anhang I B, auf die sich diese Sicherheitsanforderung bezieht, geht die Anforderung im Hauptteil von Anhang I B vor. Anforderungen im Hauptteil von Anhang I B, auf die sich diese Sicherheitsanforderungen nicht beziehen, sind nicht Gegenstand der Funktionen zur Durchsetzung von Sicherheitsanforderungen. Zwecks besserer Zuordnung zu den in der Dokumentation über Entwicklung und Evaluierung verwendeten Begriffen wurden für die Sicherheitsgefährdungen, die Ziele, Verfahrensmöglichkeiten und SEF-Spezifikationen eindeutige Bezeichnungen gewählt.- 2.
- Abkürzungen, Begriffsbestimmungen und Referenzdokumente
- 2.1.
- Abkürzungen
- PIN
- Persönliche Geheimzahl
- ROM
- Festspeicher ()
- SEF
- Sicherheitserzwingende Funktion
- PO
- Prüfobjekt
- FE
- Fahrzeugeinheit ()
- 2.2.
- Begriffsbestimmungen
- Digitaler Fahrtenschreiber
- Kontrollgerät
- Weg- und Geschwindigkeitsdaten
- Die mit dem Weg- und/oder Geschwindigkeitsgeber ausgetauschten Daten über Fahrgeschwindigkeit und zurückgelegte Wegstrecke
- Physisch getrennte Teile
- Komponenten der FE, die sich im Gegensatz zu den im Gehäuse der FE untergebrachten Bauteilen an anderer Stelle im Fahrzeug befinden
- Sicherheitsdaten
- Spezielle Daten, die zur Unterstützung der sicherheitserzwingenden Funktionen erforderlich sind (z. B. kryptografische Schlüssel)
- System
- Gerätetechnik, Menschen bzw. Organisationen, die in welcher Weise auch immer mit den Kontrollgeräten in Beziehung stehen
- Benutzer
- Als Benutzer sind die Personen zu verstehen, die das Gerät anwenden. Die Benutzer einer FE sind in der Regel Fahrer, Kontrolleure, Werkstätten und Unternehmen
- Benutzerdaten
- Mit Ausnahme der Weg- und Geschwindigkeits- sowie und Sicherheitsdaten, alle sonstigen nach Kapitel III.12 erforderlichen Daten, die von der FE aufgezeichnet bzw. gespeichert werden
- 2.3.
- Referenzdokumente
- ITSEC
- ITSEC Information Technology Security Evaluation Criteria 1991 (Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik)
- 3.
- Grundprinzip des Produkts
- 3.1.
- Beschreibung und Verwendung der Fahrzeugeinheit
Die FE ist zum Einbau in Straßentransportfahrzeuge vorgesehen. Ihre Aufgabe ist es, Daten über die Tätigkeit der Fahrer aufzuzeichnen, zu speichern, anzuzeigen, auszudrucken und auszugeben. Sie ist an einen Weg- und/oder Geschwindigkeitsgeber angeschlossen, mit dem sie Daten über die Fahrzeugbewegung austauscht. Die Benutzer identifizieren sich gegenüber der FE durch Kontrollgerätkarten. Die FE zeichnet die Tätigkeitsdaten der Benutzer auf und legt sie in seinem Massenspeicher ab. Die Benutzerdaten werden außerdem auf Kontrollgerätkarten aufgezeichnet. Die FE gibt die Daten an Anzeigegerät, Drucker und externe Geräte aus. Die Betriebsumgebung einer im Fahrzeug installierten Fahrzeugeinheit wird in der folgenden Abbildung beschrieben: 
Allgemeine Merkmale, Funktionen und Betriebsarten der FE werden in Anhang I B, Kapitel II, beschrieben. Die Funktionsanforderungen an die FE werden in Anhang I B, Kapitel III, beschrieben. Eine typische FE ist in der folgenden Abbildung dargestellt: 
Zu beachten ist, dass zwar der Druckermechanismus ein Teil des PO ist, das einmal ausgedruckte Dokument jedoch nicht mehr.- 3.2.
- Lebenszyklus der Fahrzeugeinheit
Der typische Lebenszyklus der FE ist in der folgenden Abbildung dargestellt: 
- 3.3.
- Sicherheitsgefährdungen
In diesem Abschnitt werden mögliche Sicherheitsgefährdungen für die FE beschrieben.- 3.3.1.
- Sicherheitsgefährdungen im Zusammenhang mit Identifizierung und Zugangskontrolle
- T.Access
- Versuch seitens der Benutzer, Zugriff auf ihnen nicht erlaubte Funktionen zu erlangen (z. B. wenn Fahrer Zugriff auf die Kalibrierfunktion erlangen)
- T.Identification
- Versuch seitens der Benutzer, sich mehrfach oder gar nicht zu identifizieren
- 3.3.2.
- Konstruktionsbedingte Sicherheitsgefährdungen
- T.Faults
- Fehler bei Hardware, Software oder Kommunikationsverfahren können die FE in einen unvorhergesehenen Zustand versetzen, der ihre Sicherheit beeinträchtigt
- T.Tests
- Die Nutzung nicht validierter Prüfmodi bzw. vorhandener „Hintertüren” kann die Sicherheit der FE beeinträchtigen
- T.Design
- Versuch seitens der Benutzer, auf illegale Weise Kenntnis über Konstruktionsdaten zu erlangen, sei es aus Unterlagen des Herstellers (durch Diebstahl, Bestechung usw.) oder durch Methoden des Reverse Engineering
- 3.3.3.
- Betriebsbedingte Sicherheitsgefährdungen
- T.Calibration_Parameters
- Versuch seitens der Benutzer, falsch kalibrierte Geräte zu verwenden (durch Änderung der Kalibrierungsdaten bzw. aufgrund organisatorischer Schwachpunkte)
- T.Card_Data_Exchange
- Versuch seitens der Benutzer, Daten während deren Austauschs zwischen FE und Kontrollgerätkarten zu verfälschen (durch Signaladdition, -modifizierung, -löschung, -wiederholung)
- T.Clock
- Versuch seitens der Benutzer, die Systemuhr zu verstellen
- T.Environment
- Versuch seitens der Benutzer, die Sicherheit der FE durch äußere (thermische, elektromagnetische, optische, chemische, mechanische usw.) Einwirkungen zu durchbrechen
- T.Fake_Devices
- Versuch seitens der Benutzer, nachgebaute Geräte (Weg- und/oder Geschwindigkeitsgeber, Smartcards) an die FE anzuschließen
- T.Hardware
- Versuch seitens der Benutzer, Änderungen an der FE-Hardware vorzunehmen
- T.Motion_Data
- Versuch seitens der Benutzer, die Weg- und Geschwindigkeitsdaten des Fahrzeugs zu verfälschen (durch Signaladdition, -modifizierung, -löschung, -wiederholung)
- T.Non_Activated
- Verwendung nichtaktivierter Geräte durch Benutzer
- T.Output_Data
- Versuch seitens der Benutzer, die Datenausgabe zu manipulieren (Ausdruck, Anzeige bzw. Übertragung)
- T.Power_Supply
- Versuch seitens der Benutzer, Sicherheitsziele der FE durch Manipulation der Stromversorgung (Leitungstrennung, Spannungserhöhung bzw. -reduzierung) zu untergraben
- T.Saturation
- Versuch seitens der Benutzer, den Massenspeicher so zu erschöpfen (selbst durch legalen Gebrauch), dass bereits gespeicherte Daten gelöscht werden
- T.Security_Data
- Versuch seitens der Benutzer, auf illegale Weise Kenntnis über Sicherheitsdaten während deren Generierung, Übertragung bzw. Speicherung im Gerät zu erlangen
- T.Software
- Versuch seitens der Benutzer, Änderungen an der FE-Software vorzunehmen
- T.Stored_Data
- Versuch seitens der Benutzer, gespeicherte Daten (Sicherheits- bzw. Benutzerdaten) zu verfälschen
- 3.4.
- Sicherheitsziele
Das wichtigste Sicherheitsziel des digitalen Fahrtenschreibersystems ist Folgendes:- O.Main
- Die von den Kontrollbehörden zu prüfenden Daten müssen verfügbar sein und die Handlungen der kontrollierten Fahrer und Fahrzeuge hinsichtlich Lenk-, Arbeits-, Bereitschafts- und Ruhezeiten sowie Fahrzeuggeschwindigkeit vollständig und genau widerspiegeln
- O.VU_Main
- Die zu messenden und aufzuzeichnenden sowie daraufhin von den Kontrollbehörden zu prüfenden Daten müssen verfügbar sein und die Tätigkeiten der kontrollierten Fahrer und Fahrzeuge hinsichtlich Lenk-, Arbeits-, Bereitschafts- und Ruhezeiten sowie Fahrzeuggeschwindigkeit genau widerspiegeln
- O.VU_Export
- Mit der FE muss es möglich sein, Daten an externe Datenträger so zu exportieren, dass sich die Integrität und Authentizität dieser Daten verifizieren lässt
- 3.5.
- Informationstechnische Sicherheitsziele
Die speziellen, zum Hauptsicherheitsziel beitragenden IT-Sicherheitsziele der FE sind Folgende:- O.Access
- Die FE muss den Zugriff der Benutzer auf Funktionen und Daten steuern
- O.Accountability
- Die FE muss exakte Zuordnungsdaten erfassen
- O.Audit
- Die FE muss Versuche zur Umgehung ihrer Sicherheitsfunktionen prüfen und zu den betreffenden Benutzern zurückverfolgen
- O.Authentication
- Die FE sollte Benutzer und angeschlossene Geräteeinheiten authentisieren (wenn ein vertrauenswürdiger Weg zwischen Geräteeinheiten eingerichtet werden muss)
- O.Integrity
- Die FE muss die Integrität der Speicherdaten wahren
- O.Output
- Die FE stellt sicher, dass die Datenausgabe die gemessenen bzw. gespeicherten Daten genau widerspiegelt
- O.Processing
- Die FE stellt sicher, dass die Eingabedaten, aus denen sich die Benutzerdaten ableiten, exakt verarbeitet werden
- O.Reliability
- Die FE muss zuverlässig arbeiten
- O.Secured_Data_Exchange
- Die FE muss den sicheren Datenaustausch mit dem Weg- und/oder Geschwindigkeitsgeber und mit Kontrollgerätkarten gewährleisten
- 3.6.
- Physische, personelle bzw. verfahrenstechnische Mittel
In diesem Abschnitt werden die physischen, personellen bzw. verfahrenstechnischen Anforderungen, die zur Sicherheit der FE beitragen, beschrieben.- 3.6.1.
- Gerätekonstruktion
- M.Development
- Die Entwickler der FE müssen sicherstellen, dass die Zuweisung von Verantwortlichkeiten während des Entwicklungszeitraums in einer die IT-Sicherheit wahrenden Weise erfolgt
- M.Manufacturing
- Die Hersteller der FE müssen sicherstellen, dass die Zuweisung von Verantwortlichkeiten während des Herstellungsprozesses in einer die IT-Sicherheit wahrenden Weise erfolgt und dass die FE in diesem Prozess vor physischen Angriffen, die die IT-Sicherheit beeinträchtigen könnten, geschützt wird
- 3.6.2.
- Auslieferung und Aktivierung der Geräte
- M.Delivery
- Die Hersteller der FE, die Fahrzeughersteller und die Installateure bzw. Werkstätten müssen beim Umgang mit noch nicht aktivierten FE sicherstellen, dass die Sicherheit der FE gewahrt bleibt
- M.Activation
- Die Fahrzeughersteller und die Installateure bzw. Werkstätten müssen die FE nach erfolgtem Einbau aktivieren, und zwar noch bevor das Fahrzeug den Einbauort verlässt
- 3.6.3.
- Generierung und Lieferung der Sicherheitsdaten
- M.Sec_Data_Generation
- Die Algorithmen zur Generierung von Sicherheitsdaten dürfen nur berechtigten und vertrauenswürdigen Personen zugänglich sein
- M.Sec_Data_Transport
- Die Sicherheitsdaten müssen in einer Weise generiert, transportiert und in die FE eingebracht werden, die Vertraulichkeit und Integrität der Daten angemessen gewährleistet
- 3.6.4.
- Kartenübergabe
- M.Card_Availability
- Kontrollgerätkarten dürfen nur berechtigten Personen zugänglich gemacht und übergeben werden
- M.Driver_Card_Uniqueness
- Ein Fahrer darf immer nur eine gültige Fahrerkarte besitzen
- M.Card_Traceability
- Die Übergabe der Karten muss rückverfolgbar sein (weiße und schwarze Listen), und für die Sicherheitsaudits müssen schwarze Listen herangezogen werden
- 3.6.5.
- Einbau, Kalibrierung und Nachprüfung des Kontrollgeräts
- M.Approved_Workshops
- Einbau, Kalibrierung und Reparatur des Kontrollgeräts dürfen nur durch vertrauenswürdige und zugelassene Installateure bzw. Werkstätten erfolgen
- M.Regular_Inpections
- Die Kontrollgeräte müssen einer regelmäßigen Nachprüfung und Kalibrierung unterzogen werden
- M.Faithful_Calibration
- Zugelassene Installateure und Werkstätten müssen bei der Kalibrierung die richtigen Fahrzeugparameter in die Kontrollgeräte eingegeben
- 3.6.6.
- Betrieb der Geräte
- M.Faithful_Drivers
- Die Fahrer müssen sich an die Vorschriften halten und verantwortungsvoll handeln (z. B. ihre Fahrerkarten benutzen, manuell auszuwählende Tätigkeiten korrekt anwählen usw.)
- 3.6.7.
- Kontrolle der Einhaltung von Vorschriften
- M.Controls
- Die Einhaltung der gesetzlichen Vorschriften ist regelmäßig und stichprobenartig zu kontrollieren, unter anderem durch Sicherheitsaudits
- 3.6.8.
- Software-Upgrades
- M.Software_Upgrade
- Neue Softwareversionen dürfen erst nach Erhalt der Sicherheitszertifizierung in der FE implementiert werden
- 4.
- Sicherheitserzwingende Funktionen
- 4.1.
- Identifizierung und Authentisierung
- 4.1.1.
- Identifizierung und Authentisierung des Weg- und/oder Geschwindigkeitsgebers
- —
bei Anschließen des Weg- und/oder Geschwindigkeitsgebers,
- —
bei jeder Kalibrierung des Kontrollgeräts,
- —
bei Wiederzuschalten der Stromversorgung.
- —
ein Auditprotokoll über das Ereignis anlegen,
- —
den Benutzer warnen,
- —
die vom Weg- und/oder Geschwindigkeitsgeber gesendeten ungesicherten Weg- und Geschwindigkeitsdaten weiterhin annehmen und nutzen.
- 4.1.2.
- Identifizierung und Authentisierung des Benutzers
- —
einer Benutzergruppe:
- —
FAHRER (Fahrerkarte),
- —
KONTROLLEUR (Kontrollkarte),
- —
WERKSTATT (Werkstattkarte),
- —
UNTERNEHMEN (Unternehmenskarte),
- —
UNBEKANNT (keine Karte eingesteckt),
- —
einer Benutzerkennung, bestehend aus:
- —
dem Code des die Karte ausstellenden Mitgliedstaats und der Kartennummer,
- —
UNBEKANNT, falls die Benutzergruppe UNBEKANNT ist.
- —
bei Wiederzuschalten der Stromversorgung,
- —
regelmäßig nach bestimmten Ereignissen (vom Hersteller noch festzulegen, jedoch öfter als einmal am Tag).
Anmerkung: Falls die PIN durch ein in der Nähe der FE angeordnetes externes Gerät an die FE übertragen wird, ist ein Schutz der PIN während der Übertragung nicht erforderlich.
- —
ein Auditprotokoll über das Ereignis anlegen,
- —
eine Warnung an den Benutzer ausgeben,
- —
davon ausgehen, dass der Benutzer UNBEKANNT und die Karte ungültig ist (Begriffsbestimmung z) und Anforderung 007).
- 4.1.3.
- Identifizierung und Authentisierung eines entfernt angeschlossenen Unternehmens
Die Fähigkeit zum entfernten Anschluss von Unternehmen ist optional. Dieser Absatz gilt daher nur, wenn dieses Merkmal implementiert ist. - —
An das entfernt angeschlossene Unternehmen eine Warnung aus.
- 4.1.4.
- Identifizierung und Authentisierung des Verwaltungsgeräts
Die Hersteller der FE können spezielle Geräte für zusätzliche FE-Verwaltungsfunktionen vorsehen (z. B. für Software-Upgrade, Neuladen von Sicherheitsdaten, …). Dieser Absatz gilt daher nur, wenn dieses Merkmal implementiert ist. - 4.2.
- Zugriffskontrolle
Die Zugriffskontrolle gewährleistet, dass nur speziell dazu berechtigte Personen Informationen aus dem PO auslesen sowie im PO anlegen bzw. nach Änderung in das PO einlesen. Zu beachten ist, dass die von der FE aufgezeichneten Benutzerdaten zwar private bzw. kommerziell sensible Aspekte beinhalten, ihrem Wesen nach jedoch nicht vertraulich sind. Aus diesem Grund ist die auf das Zugriffsrecht zum Lesen von Daten bezogene funktionelle Anforderung (Anforderung 011) nicht Gegenstand einer sicherheitserzwingenden Funktion.- 4.2.1.
- Zugriffsberechtigung
- 4.2.2.
- Funktionszugriffrechte
- 4.2.3.
- Datenzugriffsrechte
- 4.2.4.
- Dateistruktur und -zugriffsbedingungen
- 4.3.
- Zuordnungsmöglichkeit
- 4.4.
- Audit
Die Möglichkeit der Durchführung von Audits ist nur für Ereignisse erforderlich, die auf einen Versuch der Manipulation bzw. Sicherheitsverletzung hindeuten. Für die übliche Ausübung von Rechten sind Auditfähigkeiten auch dann, wenn dies sicherheitserzwingend ist, nicht gefordert. - —
Sicherheitsverletzende Versuche:
- —
fehlgeschlagene Authentisierung des Weg- und/oder Geschwindigkeitsgebers,
- —
fehlgeschlagene Authentisierung der Kontrollgerätkarte,
- —
unberechtigtes Auswechseln des Weg- und/oder Geschwindigkeitsgebers,
- —
Integritätsfehler der Karteneingabedaten,
- —
Integritätsfehler der gespeicherten Benutzerdaten,
- —
interner Datenübertragungsfehler,
- —
unberechtigtes Öffnen des Gehäuses,
- —
Hardwaremanipulation,
- —
Letzte Kartentransaktion nicht ordnungsgemäß abgeschlossen,
- —
Weg- und Geschwindigkeitsdatenfehlerereignis,
- —
Unterbrechung der Stromversorgung,
- —
FE-interne Störung.
- 4.5.
- Wiederverwendung von Speichermedien
- 4.6.
- Genauigkeit
- 4.6.1.
- Maßnahmen zur Kontrolle des Informationsflusses
- —
Weg- und Geschwindigkeitsdaten des Fahrzeugs,
- —
Echtzeituhr der FE,
- —
Kalibrierungsparameter des Kontrollgeräts,
- —
Kontrollgerätkarten,
- —
Eingaben durch Benutzer.
- 4.6.2.
- Interne Datenübertragung
Die Anforderungen dieses Absatzes gelten nur, wenn die FE physisch getrennte Teile nutzt. - 4.6.3.
- Integrität der Speicherdaten
- 4.7.
- Zuverlässigkeit während des Betriebs
- 4.7.1.
- Prüfungen
- —
ein Auditprotokoll erstellen (außer in der Betriebsart Kalibrierung) (FE-interne Störung),
- —
die Speicherdatenintegrität wahren.
- 4.7.2.
- Software
- 4.7.3.
- Physischer Schutz
- 4.7.4.
- Unterbrechung der Stromversorgung
- —
ein Auditprotokoll erstellen (außer in der Betriebsart Kalibrierung),
- —
den Sicherheitsstatus der FE wahren,
- —
die Sicherheitsfunktionen für die noch in Betrieb befindlichen Komponenten bzw. noch laufenden Prozesse aufrechterhalten,
- —
die Speicherdatenintegrität wahren.
- 4.7.5.
- Rücksetzbedingungen
- 4.7.6.
- Datenbereitstellung
- 4.7.7.
- Multifunktionsgeräte
- 4.8.
- Datenaustausch
Dieser Absatz betrifft den Datenaustausch zwischen der FE und angeschlossenen Geräten.- 4.8.1.
- Datenaustausch mit dem Weg- und/oder Geschwindigkeitsgeber
- —
ein Auditprotokoll generieren,
- —
die importierten Daten weiterhin verwenden.
- 4.8.2.
- Datenaustausch mit Kontrollgerätkarten
- —
ein Auditprotokoll generieren,
- —
die Daten nicht verwenden.
- 4.8.3.
- Datenaustausch mit externen Datenträgern (Übertragungsfunktion)
- 4.9.
- Kryptografische Unterstützung
Je nach Sicherheitsmechanismus und vom Hersteller gewählten Lösungen gelten die Anforderungen dieses Absatzes nur soweit erforderlich. - 5.
- Beschreibung der Sicherheitsmechanismen
Die geforderten Sicherheitsmechanismen werden in Anlage 11 beschrieben. Alle sonstigen Sicherheitsmechanismen werden durch die Hersteller festgelegt.- 6.
- Mindestrobustheit der Sicherheitsmechanismen
Die Mindestrobustheit der Sicherheitsmechanismen der Fahrzeugeinheit ist Hoch, gemäß Definition in ITSEC.- 7.
- Gewährleistungsebene
Die für die Fahrzeugeinheit vorgegebene Gewährleistungsebene ist die ITSEC-Ebene E3, gemäß Definition in ITSEC.- 8.
- Grundlegendes Prinzip
Die folgenden Kreuzgitter sollen das Prinzip der SEF begründen, indem sie verdeutlichen:- —
welche SEF bzw. Mittel welchen Sicherheitsgefährdungen entgegenwirken,
- —
welche SEF welche IT-Sicherheitsziele erfüllen.
ALLGEMEINE SICHERHEITSANFORDERUNGEN FÜR DIE KONTROLLGERÄTKARTE
- 1.
- Einführung
In diesem Abschnitt werden die Kontrollgerätkarte, mögliche Sicherheitsgefährdungen sowie die zu erfüllenden Sicherheitsziele beschrieben. Außerdem enthält er Erläuterungen zu den zur Durchsetzung der Sicherheitsanforderungen erforderlichen Funktionen, und es erfolgt eine Auflistung der Mindestanforderungen an die Sicherheitsmechanismen und die erforderliche Gewährleistungsebene für Entwicklung und Evaluierung. Die hier aufgeführten Anforderungen entsprechen den Anforderungen im Hauptteil von Anhang I B. Im Interesse einer besseren Verständlichkeit können sich Doppelungen zwischen den Anforderungen im Hauptteil von Anhang I B und den Sicherheitsanforderungen ergeben. Bei Diskrepanzen zwischen einer Sicherheitsanforderung und der Anforderung im Hauptteil von Anhang I B, auf die sich diese Sicherheitsanforderung bezieht, geht die Anforderung im Hauptteil von Anhang I B vor. Anforderungen im Hauptteil von Anhang I B, auf die sich diese Sicherheitsanforderungen nicht beziehen, sind nicht Gegenstand der Funktionen zur Durchsetzung von Sicherheitsanforderungen. Eine Kontrollgerätkarte ist eine serienmäßige Chipkarte mit einer speziellen Kontrollgerätanwendung. Sie muss den aktuellen Funktions- und Sicherheitsanforderungen an Chipkarten genügen. Die im Folgenden dargelegten Sicherheitsanforderungen beinhalten daher nur die zusätzlichen Sicherheitsanforderungen in Bezug auf die Kontrollgerätanwendung. Zwecks besserer Zuordnung zu den in der Dokumentation über Entwicklung und Evaluierung verwendeten Begriffen wurden für die möglichen Sicherheitsgefährdungen sowie die zu erfüllenden Ziele, Verfahrensmöglichkeiten und SEF-Spezifikationen eindeutige Bezeichnungen gewählt.- 2.
- Abkürzungen, Begriffsbestimmungen und Referenzdokumente
- 2.1.
- Abkürzungen
- IC
- Integrierter Schaltkreis (Elektronisches Bauelement zum Ausführen von Datenverarbeitungs- und/oder Speicherfunktionen)
- OS
- Betriebssystem
- PIN
- Persönliche Geheimzahl ()
- ROM
- Festspeicher ()
- SFP
- Sicherheitsfunktionsregeln
- PO
- Prüfobjekt
- TSF
- Sicherheitsfunktion des Prüfobjekts
- FE
- Fahrzeugeinheit ()
- 2.2.
- Begriffsbestimmungen
- Digitaler Fahrtenschreiber
- Kontrollgerät
- Sensible Daten
- Von der Kontrollgerätkarte gespeicherte Daten, deren Schutz hinsichtlich Integrität, unberechtigten Zugriff und Vertraulichkeit (sofern auf Sicherheitsdaten zutreffend) erforderlich ist. Zu sensiblen Daten zählen Sicherheitsdaten und Benutzerdaten
- Sicherheitsdaten
- Spezielle Daten, die zur Unterstützung der sicherheitserzwingenden Funktionen erforderlich sind (z. B. kryptografische Schlüssel)
- System
- Gerätetechnik, Menschen bzw. Organisationen, die in welcher Weise auch immer mit den Kontrollgeräten in Beziehung stehen
- Benutzer
- Jede Person oder externe IT-Geräteeinheit, die nicht Teil des PO ist, jedoch mit dem PO in Interaktion tritt
- Benutzerdaten
- Auf der Kontrollgerätekarte gespeicherte sensible Daten, mit Ausnahme der Sicherheitsdaten. Zu den Benutzerdaten zählen Kenndaten und Tätigkeitsdaten
- Kenndaten
- Die Kenndaten beinhalten die Kenndaten der Karte und die Kenndaten des Karteninhabers
- Kartenkenndaten
- Benutzerdaten zur Kartenidentifizierung entsprechend den Anforderungen 190, 191, 192, 194, 215, 231 und 235
- Karteninhaberkenndaten
- Benutzerdaten zur Identifizierung des Karteninhabers entsprechend den Anforderungen 195, 196, 216, 232 und 236
- Tätigkeitsdaten
- Zu den Tätigkeitsdaten zählen die Karteninhabertätigkeitsdaten, die Ereignis- und Störungsdaten sowie die Kontrolltätigkeitsdaten
- Karteninhabertätigkeitsdaten
- Die Tätigkeiten des Karteninhabers betreffende Benutzerdaten entsprechend den Anforderungen 197, 199, 202, 212, 212a, 217, 219, 221, 226, 227, 229, 230a, 233 und 237
- Ereignis- und Störungsdaten
- Ereignisse bzw. Störungen und Fehlfunktionen betreffende Benutzerdaten entsprechend den Anforderungen 204, 205, 207, 208 und 223
- Kontrolltätigkeitsdaten
- Die Kontrollen der Durchsetzung gesetzlicher Vorschriften betreffende Benutzerdaten entsprechend den Anforderungen 210 und 225
- 2.3.
- Referenzdokumente
- ITSEC
- ITSEC Information Technology Security Evaluation Criteria 1991 (Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik)
- IC PP
- Smartcard Integrated Circuit Protection Profile (Profil für den Schutz von Chipkarten-ICs) — Version 2.0 — Ausgabe September 1998. Eingetragen bei der französischen Zertifizierungsstelle unter Nummer PP/9806
- ES PP
- Smart Card Integrated Circuit With Embedded Software Protection Profile (Profil für den Schutz von Chipkarten-ICs mit eingebetteter Software) — Version 2.0 — Ausgabe Juni 1999. Eingetragen bei der französischen Zertifizierungsstelle unter Nummer PP/9911
- 3.
- Grundprinzip des Produkts
- 3.1.
- Beschreibung und Verwendung der Kontrollgerätekarte
Eine Kontrollgerätekarte ist eine Chipkarte wie in IC PP und ES PP beschrieben, die eine Anwendung zur Verwendung der Karte mit dem Kontrollgerät beherbergt. Die grundlegenden Funktionen der Kontrollgerätekarte sind:- —
das Speichern der Karten- und der Karteninhaberkenndaten. Diese Daten werden von der Fahrzeugeinheit verwendet, um den Karteninhaber zu identifizieren, dementsprechende Funktionen und Datenzugriffsrechte zu gewähren und sicherzustellen, dass dem Karteninhaber seine Tätigkeiten zugerechnet werden können,
- —
das Speichern von Karteninhabertätigkeitsdaten, von Ereignis- und Störungsdaten sowie von Kontrolltätigkeitsdaten, die auf den Karteninhaber bezogen sind.
- 3.2.
- Lebenszyklus der Kontrollgerätekarte
Der Lebenszyklus der Kontrollgerätekarte entspricht dem in ES PP beschriebenen Lebenszyklus einer Chipkarte.- 3.3.
- Sicherheitsgefährdungen
Neben den in ES PP und IC PP aufgelisteten allgemeinen Sicherheitsgefährdungen für eine Chipkarte kann es bei Kontrollgerätekarten zu folgenden Sicherheitsgefährdungen kommen.- 3.3.1.
- Letztliche Ziele
Das Ziel von Manipulationen wird letztendlich darin bestehen, die im PO gespeicherten Benutzerdaten zu verfälschen.- T.Ident_Data
- Eine erfolgreiche Änderung der im PO abgelegten Kenndaten (z. B. des Kartentyps, des Kartenablaufdatums oder der Karteninhaberkenndaten) würde eine betrügerische Verwendung des PO ermöglichen und eine erhebliche Gefährdung des globalen Sicherheitsziels des Systems bedeuten.
- T.Activity_Data
- Eine erfolgreiche Änderung der im PO abgelegten Tätigkeitsdaten würde die Sicherheit des PO gefährden.
- T.Data_Exchange
- Eine erfolgreiche Änderung der Tätigkeitsdaten (Hinzufügung, Löschung, Verfälschung) während des Datenimports bzw. -exports würde die Sicherheit des PO gefährden.
- 3.3.2.
- Angriffswege
Angriffe auf die Ressourcen des PO sind möglich durch:- —
den Versuch, unrechtmäßige Kenntnis über Hardware- und Softwareentwurf des PO zu erlangen, insbesondere über dessen Sicherheitsfunktionen bzw. Sicherheitsdaten. Unrechtmäßige Kenntnis kann durch Angriffe auf Material der Konstrukteure bzw. Hersteller (Diebstahl, Bestechung) oder durch unmittelbare Untersuchung des PO (physische Erkundung, Interferenzanalyse) erworben werden.
- —
Ausnutzung von Schwächen im konstruktiven Entwurf bzw. in der Ausführung des PO (Hardware- bzw. Softwarefehler, Übertragungsfehlfunktionen, im PO durch äußere Einwirkungen hervorgerufene Fehler, Ausnutzen von Schwächen der Sicherheitsfunktionen, wie z. B. der Authentisierungsverfahren, Datenzugriffskontrolle, kryptografischen Operationen usw.).
- —
Manipulation des PO bzw. der Sicherheitsfunktionen des PO durch physische, elektrische oder logische Angriffe bzw. durch eine Kombination derselben.
- 3.4.
- Sicherheitsziele
Das wichtigste Sicherheitsziel des gesamten digitalen Fahrtenschreibersystems ist Folgendes:- O.Main
- Die von den Kontrollbehörden zu prüfenden Daten müssen verfügbar sein und die Handlungen der kontrollierten Fahrer und Fahrzeuge hinsichtlich Lenk-, Arbeits-, Bereitschafts- und Ruhezeiten sowie Fahrzeuggeschwindigkeit vollständig und genau widerspiegeln.
- O.Card_Identification_Data
- Das PO muss die während des Prozesses der Kartenpersonalisierung gespeicherten Kartenkenndaten und Karteninhaberkenndaten bewahren.
- O.Card_Activity_Storage
- Das PO muss die von Fahrzeugeinheiten auf der Karte gespeicherten Benutzerdaten bewahren.
- 3.5.
- Informationstechnische Sicherheitsziele
Neben den in ES PP und IC PP aufgelisteten allgemeinen Sicherheitszielen für eine Chipkarte tragen folgende spezielle IT-Sicherheitsziele des PO zu dessen Hauptsicherheitsziel während der Endnutzungsphase des Lebenszyklus bei:- O.Data_Access
- Das PO muss die Zugriffsrechte für das Schreiben von Benutzerdaten auf authentisierte Fahrzeugeinheiten beschränken.
- O.Secure_Communications
- Das PO muss sichere Kommunikationsprotokolle und -verfahren zwischen der Karte und dem Kartenschnittstellengerät unterstützen, wenn die jeweilige Anwendung dies erfordert.
- 3.6.
- Physische, personelle bzw. verfahrenstechnische Mittel
Die physischen, personellen bzw. verfahrenstechnischen Anforderungen, die zur Sicherheit des PO beitragen, sind in ES PP und IC PP aufgeführt (Kapitel zu Sicherheitszielen für das Umfeld).- 4.
- Sicherheitserzwingende Funktionen
In diesem Abschnitt werden einige der zulässigen Operationen wie Zuweisung bzw. Auswahl von ES PP näher spezifiziert und zusätzliche funktionelle Anforderungen an die SEF gestellt.- 4.1.
- Einhaltung von Schutzprofilen
- 4.2.
- Identifizierung und Authentisierung des Benutzers
Die Karte muss die Geräteeinheit, in die sie eingesteckt wird, identifizieren und erkennen, ob es sich um ein authentisiertes Fahrzeug handelt oder nicht. Die Karte darf ungeachtet der Geräteeinheit, an die sie angeschlossen ist, jegliche Benutzerdaten exportieren. Eine Ausnahme bilden die Kontrollkarte und die Unternehmenskarte, die die Karteninhaberkenndaten nur an authentisierte Fahrzeugeinheiten exportieren dürfen (damit sich ein Kontrolleur durch Lesen seines Namens auf der Anzeige bzw. dem Ausdruck vergewissern kann, dass es sich bei der Fahrzeugeinheit nicht um einen Nachbau handelt).- 4.2.1.
- Identifizierung des Benutzers
Zuweisung (FIA_UID.1.1) Liste von TSF-vermittelten Handlungen: keine. Zuweisung (FIA_ATD.1.1) Liste von Sicherheitsattributen:- — USER_GROUP:
- VEHICLE_UNIT, NON_VEHICLE_UNIT,
- — USER_ID:
- amtl. Kennzeichen (VRN) und Code des registrierenden Mitgliedstaats (USER_ID ist nur bei USER_GROUP = VEHICLE_UNIT bekannt).
- 4.2.2.
- Authentisierung des Benutzers
Zuweisung (FIA_UAU.1.1) Liste von TSF-vermittelten Handlungen:- —
Fahrer- und Werkstattkarten: Export von Benutzerdaten mit Sicherheitsattributen (Kartendaten-Übertragungsfunktion),
- —
Kontrollkarte: Export von Benutzerdaten ohne Sicherheitsattribute, mit Ausnahme der Karteninhaberkenndaten.
- 4.2.3.
- Fehlgeschlagene Authentisierungen
Zusätzlich beschreiben die folgenden Zuweisungen die Reaktion der Karte auf jede einzelne fehlgeschlagene Authentisierung. Zuweisung (FIA_AFL.1.1) Nummer: 1, Liste der Authentisierungsereignisse: Authentisierung eines Kartenschnittstellengeräts. Zuweisung (FIA_AFL.1.2) Handlungsliste:- —
Warnung der angeschlossenen Geräteeinheit,
- —
Behandlung des Benutzers als NON_VEHICLE_UNIT.
- —
Warnung der angeschlossenen Geräteeinheit,
- —
Sperren des PIN-Prüfverfahrens, so dass jeder nachfolgende Versuch der PIN-Prüfung fehlschlägt,
- —
Möglichkeit der Anzeige der Sperrung an nachfolgende Benutzer.
- 4.3.
- Zugriffskontrolle
- 4.3.1.
- Zugriffskontrollregeln
Während der Endnutzungsphase ihres Lebenszyklus ist die Kontrollgerätkarte Gegenstand der Sicherheitsfunktionsregeln (SFP) für einfache Zugriffskontrolle mit der Bezeichnung AC_SFP. Zuweisung (FDP_ACC.2.1) Zugriffskontroll-SFP: AC_SFP.- 4.3.2.
- Zugriffskontrollfunktionen
Zuweisung (FDP_ACF.1.1) Zugriffskontroll-SFP: AC_SFP. Zuweisung (FDP_ACF.1.1) Benannte Gruppe von Sicherheitsattributen: USER_GROUP. Zuweisung (FDP_ACF.1.2) Vorschriften für den Zugriff durch/auf kontrollierte Subjekte und kontrollierte Objekte unter Anwendung von kontrollierten Operationen auf kontrollierte Objekte:- GENERAL_READ:
- Die Benutzerdaten darf jeder beliebige Benutzer aus dem PO lesen, mit Ausnahme der Karteninhaberkenndaten, die nur durch VEHICLE_UNIT aus Kontrollkarten und Unternehmenskarten gelesen werden dürfen.
- IDENTIF_WRITE:
- Kenndaten dürfen nur einmal und vor Ende der Phase 6 des Lebenszyklus der Karte geschrieben werden. Während der Endphase des Lebenszyklus der Karte darf kein Benutzer die Kenndaten schreiben oder ändern.
- ACTIVITY_WRITE:
- Tätigkeitsdaten dürfen nur durch die VEHICLE_UNIT in das PO geschrieben werden.
- SOFT_UPGRADE:
- Ein Upgrading der PO-Software durch Benutzer ist nicht gestattet.
- FILE_STRUCTURE:
- Dateistruktur und -zugriffsbedingungen werden vor dem Ende der Phase 6 des Lebenszyklus des PO geschaffen und anschließend gegen jegliche spätere Änderung oder Löschung durch Benutzer gesperrt.
- 4.4.
- Zuordnungsmöglichkeit
- 4.5.
- Audit
Die PO muss Ereignisse, die auf eine potentielle Sicherheitsverletzung des PO hindeuten, überwachen. Zuweisung (FAU_SAA.1.2) Teilmenge von beschriebenen auditierbaren Ereignissen:- —
fehlgeschlagene Karteninhaberauthentisierung (5 aufeinander folgende erfolglose PIN-Prüfungen),
- —
Fehler beim Selbsttest,
- —
Speicherdatenintegritätsfehler,
- —
Integritätsfehler bei der Eingabe von Tätigkeitsdaten.
- 4.6.
- Genauigkeit
- 4.6.1.
- Speicherdatenintegrität
Zuweisung (FDP_SDI.2.2) Vorzunehmende Handlungen: Warnung der angeschlossenen Geräteeinheit.- 4.6.2.
- Basisdatenauthentisierung
Zuweisung (FDP_DAU.1.1) Liste von Objekten bzw. Informationsarten: Tätigkeitsdaten. Zuweisung (FDP_DAU.1.2) Liste von Subjekten: beliebige.- 4.7.
- Zuverlässigkeit während des Betriebs
- 4.7.1.
- Prüfungen
Auswahl (FPT_TST.1.1): beim ersten Einschalten sowie regelmäßig während des normalen Betriebs. Hinweis: „Beim ersten Einschalten”
bedeutet: bevor der Code ausgeführt wird (und nicht notwendigerweise während Antwort auf Rücksetzverfahren).
- 4.7.2.
- Software
- 4.7.3.
- Stromversorgung
- 4.7.4.
- Rücksetzbedingungen
- 4.8.
- Datenaustausch
- 4.8.1.
- Datenaustausch mit einer Fahrzeugeinheit
- —
die datenexportierende Geräteeinheit warnen,
- —
die Daten nicht verwenden.
- 4.8.2.
- Export von Daten an eine Nicht-Fahrzeugeinheit (Übertragungsfunktion)
- 4.9.
- Kryptografische Unterstützung
- 5.
- Beschreibung der Sicherheitsmechanismen
Die geforderten Sicherheitsmechanismen werden in Anlage 11 beschrieben. Alle sonstigen Sicherheitsmechanismen werden durch die Hersteller des PO festgelegt.- 6.
- Mindestrobustheit der Sicherheitsmechanismen
Die Mindestrobustheit der Sicherheitsmechanismen der Fahrzeugeinheit ist Hoch, gemäß Definition in ITSEC.- 7.
- Gewährleistungsebene
Die für die Kontrollgerätkarte vorgegebene Gewährleistungsebene ist die ITSEC-Ebene E3, gemäß Definition in ITSEC.- 8.
- Grundlegendes Prinzip
Aus der folgenden Matrix ist das Prinzip der zusätzlichen SEF ersichtlich. Hierzu wird verdeutlicht:- —
welche SEF welchen Sicherheitsgefährdungen entgegenwirken,
- —
welche SEF welche IT-Sicherheitsziele erfüllen.
| Sicherheitsgefährdungen | IT-Zielsetzungen | |||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| T.CLON* | T.DIS_ES2 | T.T_ES | T.T_CMD | T.MOD_SOFT* | T.MOD_LOAD | T.MOD_EXE | T.MOD_SHARE | Kenndaten | Tätigkeitsdaten | Datenaustausch | O.TAMPER_ES | O.CLON* | O.OPERATE* | O.FLAW* | O.DIS_MECHANISM2 | O.DIS_MEMORY* | O.MOD_MEMORY* | Datenzugriff | Gesicherte Kommunikation | |
| UIA_301 Authentisierungsmittel | x | |||||||||||||||||||
| UIA_302 PIN-Prüfungen | x | |||||||||||||||||||
| ACT_301 Kenndaten | ||||||||||||||||||||
| ACT_302 Personalisierungszeitpunkt | ||||||||||||||||||||
| RLB_301 Softwareintegrität | x | x | ||||||||||||||||||
| RLB_302 Selbsttests | x | x | ||||||||||||||||||
| RLB_303 Herstellungsprüfungen | x | x | x | x | ||||||||||||||||
| RLB_304 Softwareanalyse | x | x | x | x | x | |||||||||||||||
| RLB_305 Softwareeingabe | x | x | x | x | x | |||||||||||||||
| RLB_306 Stromversorgung | x | x | x | x | ||||||||||||||||
| RLB_307 Rücksetzen | x | x | ||||||||||||||||||
| DEX_301 Gesicherter Datenimport | x | x | ||||||||||||||||||
| DEX_302 Gesicherter Datenimport | x | x | ||||||||||||||||||
| DEX_303 Gesicherter Datenexport an FE | x | x | ||||||||||||||||||
| DEX_304 Herkunftsnachweis | x | x | ||||||||||||||||||
| DEX_305 Herkunftsnachweis | x | x | ||||||||||||||||||
| DEX_306 Gesicherter Datenexport an externe Datenträger | x | x | ||||||||||||||||||
| CSP_301 Schlüsselgenerierung | x | x | ||||||||||||||||||
| CSP_302 Schlüsselvergabe | x | x | ||||||||||||||||||
© Europäische Union 1998-2021
Tipp: Verwenden Sie die Pfeiltasten der Tastatur zur Navigation zwischen Normen.