TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>TR</strong> <strong>03126</strong>-4: E<strong>in</strong>satzgebiet „Handelslogistik“<br />
MS13<br />
MS14<br />
1<br />
2<br />
3<br />
Kurzbezeichnung <strong>der</strong> Maßnahmen Adressierte Gefährdungen<br />
Ergonomische Benutzerführung GS4, GR4, GV2<br />
ist möglich.<br />
• Umsetzung e<strong>in</strong>heitlicher Benutzerführungen pro Anwendung<br />
• Praxistest zur Prüfung <strong>der</strong> Nutzerakzeptanz<br />
• Freigabeprozedur zur Gesamt- und Komponentenspezifikation<br />
Tabelle 8–33 Schutz des Gesamtsystems durch ergonomische Benutzerführung<br />
Kurzbezeichnung <strong>der</strong> Maßnahmen Adressierte Gefährdungen<br />
Support GS4, GS5, GV2, GV3<br />
Herstellersupport:<br />
• Der Hersteller <strong>der</strong> Systemkomponente hat Maßnahmen zu ergreifen, die<br />
Nutzer im Betrieb zu unterstützen (z. B. Helpdesk, 1st, 2nd, 3rd-Level-<br />
Support, …). Der Support unterliegt bilateralen vertraglichen Regelungen<br />
(SLAs) zwischen Hersteller und Dienstleister.<br />
Entitätsweiter Support:<br />
• Festlegungen e<strong>in</strong>es Supportkonzepts, <strong>für</strong> das System e<strong>in</strong>er Entität (z. B.<br />
Hersteller, Retailer)<br />
Systemweiter Support:<br />
• Festlegungen e<strong>in</strong>es übergreifenden Supportkonzepts, das jeweils die Systeme<br />
<strong>der</strong> e<strong>in</strong>zelnen Entitäten abdeckt (siehe 2) und zusätzlich def<strong>in</strong>ierte<br />
Schnittstellen zu den an<strong>der</strong>en Entitäten ausweist. Ziel ist es, systemweite<br />
Probleme <strong>in</strong> def<strong>in</strong>ierter Zeit lösen zu können.<br />
Tabelle 8–34 Schutz des Gesamtsystems durch Support<br />
Kurzbezeichnung <strong>der</strong> Maßnahmen Adressierte Gefährdungen<br />
MS15 Verwendung des EPC zur Fälschungssicherung<br />
von Produkten<br />
Allgeme<strong>in</strong><br />
1<br />
2<br />
102 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> <strong>Informationstechnik</strong><br />
GS9<br />
Die Verh<strong>in</strong><strong>der</strong>ung von Produktfälschungen ist e<strong>in</strong> wesentlicher Anwendungsfall<br />
<strong>für</strong> RFID nach EPCglobal. Dazu kann <strong>der</strong> e<strong>in</strong>deutige EPC herangezogen werden.<br />
Es ist dabei zu beachten, dass <strong>der</strong> EPC von jedem Anwen<strong>der</strong>- und damit<br />
auch von jedem Angreifer – frei auf handelsübliche Transpon<strong>der</strong> aufgebracht<br />
werden kann. Siehe auch [CFP_GS1].<br />
Um die Fälschungssicherheit bei erhöhtem Schutzbedarf sicherzustellen, müssen<br />
weitere Schutzmaßnahmen h<strong>in</strong>zugefügt werden.<br />
Verwendung <strong>der</strong> EPC des Chip<br />
Zur Prüfung <strong>der</strong> Authentizität e<strong>in</strong>es Transpon<strong>der</strong>s wird <strong>der</strong> e<strong>in</strong>deutige EPC jedes<br />
Transpon<strong>der</strong>s herangezogen. Dazu s<strong>in</strong>d folgende Voraussetzungen umzusetzen:<br />
• Der EPC wird entsprechend den Vorgaben von EPCglobal <strong>für</strong> jedes zu<br />
schützende Produkt e<strong>in</strong>deutig erzeugt.<br />
• Der EPC wird nicht fortlaufend son<strong>der</strong>n nach dem Zufallspr<strong>in</strong>zip aus e<strong>in</strong>em