TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>TR</strong> <strong>03126</strong>-4: E<strong>in</strong>satzgebiet „Handelslogistik“<br />
MK8<br />
Kurzbezeichnung <strong>der</strong> Maßnahmen Adressierte Gefährdungen<br />
Nachladen von Schlüsseln - Sichern <strong>der</strong> Berechtigungen<br />
h<strong>in</strong>sichtlich Authentizität und<br />
Integrität<br />
120 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> <strong>Informationstechnik</strong><br />
GK3<br />
fahren verwendet. Hierzu ist e<strong>in</strong>e PKI mit e<strong>in</strong>er CA zu etablieren, durch die<br />
alle asymmetrischen Schlüssel zertifiziert werden.<br />
II. Allgeme<strong>in</strong>e Vorgehensweise<br />
Das Nachladen von Schlüsseln kann z. B. nach folgendem Verfahren erfolgen:<br />
1 Der Schlüsselherausgeber (bzw. Schlüsselmanagement) sendet se<strong>in</strong>en von<br />
e<strong>in</strong>er CA zertifizierten öffentlichen Schlüssel an das Term<strong>in</strong>al<br />
2 Das SAM verifiziert das Zertifikat (z. B. mit Verify Certificate) und speichert<br />
den öffentlichen Schlüssel des Schlüsselherausgebers temporär.<br />
3 Der Schlüsselherausgeber verschlüsselt den e<strong>in</strong>zubr<strong>in</strong>genden Schlüssel<br />
sowie dessen Zusatz<strong>in</strong>formationen (Key-ID, Keyversion, Bedienzähler, …)<br />
mit dem öffentlichen Verschlüsselungsschlüssel des SAM, signiert das<br />
Kryptogramm mit dem eigenen privaten Schlüssel und sendet Kryptogramm<br />
und Signatur an das SAM.<br />
4 Das SAM prüft die Signatur mit dem öffentlichen Signaturschlüssel des<br />
Schlüsselherausgebers, entschlüsselt nach erfolgreicher Signaturprüfung<br />
das Kryptogramm mit se<strong>in</strong>em privaten Entschlüsselungsschlüssel und speichert<br />
Schlüssel und Schlüsselzusatz<strong>in</strong>formationen permanent.<br />
Tabelle 8–57 Schutz durch Sicherung <strong>der</strong> Authentizität und Integrität beim Nachladen<br />
von Schlüsseln<br />
8.4.5 Maßnahmen <strong>in</strong> Bezug auf Kundendatensysteme<br />
Kundendatensysteme s<strong>in</strong>d die e<strong>in</strong>zigen Komponenten im System, die <strong>in</strong> gewissen Fällen<br />
personenbezogenen Daten verwenden und speichern. Deshalb treten hier beson<strong>der</strong>e Gefährdungen<br />
auf.<br />
Generelle Maßnahmen, die Gefährdungen des Kundendatensystems adressieren, s<strong>in</strong>d <strong>in</strong><br />
Kapitel 8.4.1 beschrieben. Zusätzlich werden die folgenden Maßnahmen vorgegeben, die<br />
<strong>in</strong>sbeson<strong>der</strong>e <strong>der</strong> sicheren und gesetzeskonformen Handhabung von personenbezogenen<br />
Daten dienen.<br />
MV1<br />
Allgeme<strong>in</strong><br />
1<br />
2<br />
Kurzbezeichnung <strong>der</strong> Maßnahmen Adressierte Gefährdungen<br />
Identifikation des Kunden bei Verkauf und<br />
Produktübergabe<br />
GV10<br />
Beim Anlegen e<strong>in</strong>es Kundenkontos sowie <strong>der</strong> Zustellung und Abholung von<br />
Produkte muss die Identität des Kunden geklärt se<strong>in</strong>.<br />
Erklärung des Kunden:<br />
• Der Kunde übergibt die Angaben zu se<strong>in</strong>er Identität mündlich o<strong>der</strong> per Internet<br />
Antragsformular beim Anlegen e<strong>in</strong>es Kundenkontos und Ausgabe e<strong>in</strong>er Kundenkarte: