TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>TR</strong> <strong>03126</strong>-4: E<strong>in</strong>satzgebiet „Handelslogistik“<br />
4 Kundenbezogene Bonus- und Rabattprogramme,<br />
In den Transpon<strong>der</strong>n, die Objekten zugeordnet s<strong>in</strong>d, s<strong>in</strong>d ke<strong>in</strong>e personenbezogenen Daten<br />
gespeichert. Im Gegensatz dazu verlangen die benannten optionalen Funktionen des Kundendatensystems<br />
teilweise die Verwendung von personenbezogenen Daten. Das Kundendatensystem<br />
ist also die e<strong>in</strong>zige Systemkomponente, bei <strong>der</strong> personenbezogene Daten anfallen<br />
und vor Missbrauch z. B. durch die unerlaubte Verknüpfung von personenbezogenen<br />
Daten e<strong>in</strong>er Kundenkarte mit Logistikdaten geschützt werden müssen. Kommen Kundenkarten<br />
zum E<strong>in</strong>satz, so wird im Rahmen des Bezahlvorgangs lediglich die Kundenkartennummer,<br />
nicht aber personenbezogene Daten herangezogen. Die Erstellung von Rechnungen<br />
mit Kundenbezug erfolgt <strong>in</strong> den dah<strong>in</strong>ter gelagerten Systemen.<br />
10.1.5.1 Relevante Gefährdungen <strong>für</strong> das Kundendatensystem<br />
Aufgrund <strong>der</strong> Annahmen zur Ermittlung des Schutzbedarfs aus Kapitel 10.1.1 lassen sich <strong>für</strong><br />
die Schnittstellen des Gesamtsystems folgende relevanten Gefährdungen benennen.<br />
Gefährdungen <strong>der</strong> Kundendatensysteme<br />
GV1 Fehlen e<strong>in</strong>er Rückfalllösung<br />
GV2 Fehlfunktion des<br />
Systems<br />
GV3 Mangelnde Kompatibilität<br />
<strong>der</strong> Schnittstellen<br />
GV4 Unerlaubtes Auslesen<br />
<strong>der</strong> Verkaufs-<br />
und Abrechnungsdaten<br />
GV7 Unerlaubtes<br />
Schreiben / Manipulieren<br />
<strong>der</strong> Verkaufs-<br />
und Abrechnungsda-<br />
Schutzbedarf<br />
Bemerkungen<br />
3 Das Fehlen e<strong>in</strong>er Rückfalllösung beim Ausfall<br />
des Kundendatensystems kann zu Komplettausfällen<br />
von Services führen (Verkauf, Abrechnung,<br />
Bonusabrechnung, Garantieabwicklung,<br />
Zustellung des Produkts, etc)<br />
3 Fehlfunktionen des Kundendatensystems können<br />
durch technische Fehler, Fehlbedienung<br />
o<strong>der</strong> DoS-Angriffe <strong>in</strong> verschiedenen Szenarien<br />
herbeigeführt werden:<br />
1 Störung <strong>der</strong> lokalen und zentralen Systeme<br />
2 Mangelnde Verfügbarkeit <strong>der</strong> lokalen und<br />
zentralen Systeme<br />
3 Störung <strong>der</strong> Datenspeicher<br />
4 Fehler <strong>in</strong> <strong>der</strong> Stromversorgung<br />
5 Unterbrechung <strong>der</strong> Anb<strong>in</strong>dung an das<br />
Zentralsystem<br />
6 Physische Zerstörung<br />
3 Mangelnde Kompatibilität <strong>der</strong> Schnittstellen<br />
führt zu Fehlfunktion. Das Resultat ist ähnlich<br />
e<strong>in</strong>em DoS-Angriff auf das System. E<strong>in</strong>e Vielzahl<br />
von Kunden wäre möglicherweise betroffen.<br />
3 Unerlaubtes aktives Auslesen <strong>der</strong> Abrechnungsdaten.<br />
3 Unerlaubtes Schreiben von Abrechnungsdaten<br />
das Kundendatensystem zum Zwecke <strong>der</strong> Manipulation<br />
bzw. Kompromittierung.<br />
142 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> <strong>Informationstechnik</strong>