TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>TR</strong> <strong>03126</strong>-4: E<strong>in</strong>satzgebiet „Handelslogistik“<br />
8.4.3 Maßnahmen <strong>in</strong> Bezug auf die Lesegeräte<br />
MR1<br />
1<br />
2<br />
3<br />
MR2<br />
Allgeme<strong>in</strong><br />
1<br />
Kurzbezeichnung <strong>der</strong> Maßnahmen Adressierte Gefährdungen<br />
E<strong>in</strong>führung von Schnittstellentests und Freigabeverfahren<br />
Schnittstellentest:<br />
GIF1<br />
• Verwendung von existierenden Prüfvorschriften <strong>für</strong> die kontaktlose Schnittstelle<br />
des Term<strong>in</strong>als nach ISO/IEC18000-6 Rev1.2.<br />
• Erstellung und Verwendung von spezifischen Testvorschriften <strong>für</strong> die anwendungsspezifischen<br />
Funktionen <strong>der</strong> Schnittstelle des Lesegeräts, z. B.<br />
durch das European EPC Competence Center (EECC).<br />
Komponentenfreigabe:<br />
s. o., zusätzlich Komponentenfreigabe (Transpon<strong>der</strong>, Lesegeräte, Schlüsselmanagement)<br />
Zertifizierung<br />
s. o., zusätzlich Zertifizierung durch unabhängiges Institut <strong>für</strong> Transpon<strong>der</strong>, Lesegeräte.<br />
Tabelle 8–47 Schutz <strong>der</strong> Lesegeräte durch E<strong>in</strong>führung von Schnittstellentests<br />
Kurzbezeichnung <strong>der</strong> Maßnahmen Adressierte Gefährdungen<br />
Schützen <strong>der</strong> Referenz<strong>in</strong>formationen gegen<br />
Auslesen, Datenfehler und Manipulationen<br />
GR1, GR2<br />
Referenz<strong>in</strong>formationen werden z. B. zur Fälschungskontrolle, zum Zugriffsschutz<br />
und zur Initialisierung und Ausführung des Kill-Kommandos benötigt.<br />
Referenz<strong>in</strong>formationen s<strong>in</strong>d bspw.:<br />
• Kennungen (ID)<br />
• Schlüssel<br />
• Sperrlisten o<strong>der</strong> White Lists<br />
• Algorithmen zur Auswertung<br />
Referenz<strong>in</strong>formationen und Nutzungsdaten können sich bei verschiedenen<br />
E<strong>in</strong>satzszenarien unterscheiden.<br />
Prüfsumme und physikalischer Schutz:<br />
• Angemessener physikalischer Zugriffschutz auf die Geräte (z. B. gekapseltes<br />
Gehäuse, mechanischer Abtrennungsschutz von LAN-Kabeln)<br />
• Prüfsummen bei Datenübernahme zur Vermeidung von Übertragungsfehlern<br />
– schützt nicht vor Manipulationen, da Prüfsummen durch fast jede<br />
Software automatisch berechnet werden und ohne Geheimnis auskommen.<br />
• Speicherung <strong>der</strong> kryptographischen Schlüssel und Algorithmen <strong>in</strong> SAM<br />
o<strong>der</strong> <strong>in</strong> e<strong>in</strong>em geschützten Bereich <strong>der</strong> Software.<br />
• E<strong>in</strong>führung e<strong>in</strong>es Zugriffschutz <strong>für</strong> Daten und Verwaltungsfunktionen des<br />
Lesegeräts<br />
2 Authentifizierung, Gesicherte Übertragung:<br />
110 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> <strong>Informationstechnik</strong>