TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>TR</strong> <strong>03126</strong>-4: E<strong>in</strong>satzgebiet „Handelslogistik“<br />
Bei diesem E<strong>in</strong>satzszenario verbleiben nach Anwendung <strong>der</strong> <strong>in</strong> Tabelle 11–13 benannten<br />
Maßnahmen zur Kompensierung <strong>der</strong> Gefährdungen GT7 und GT10 Risiken bestehen. Diese<br />
werden im Folgenden beschrieben.<br />
11.2.4.1 Verbleibende Risiken durch „Unberechtigtes Deaktivieren des Transpon<strong>der</strong>s“<br />
Beschreibung des Risikos<br />
Aktuell stehen bei im Markt verfügbaren Transpon<strong>der</strong>n nach Spezifikation von EPCglobal<br />
Passworte von z. B. 32 Bit zur Verfügung. Dieses Passwort wird beim Setzen und bei <strong>der</strong><br />
Aktivierung des Kill-Kommandos ungeschützt zwischen Leser und Transpon<strong>der</strong> übertragen.<br />
E<strong>in</strong> Angreifer hat grundsätzlich die folgenden Möglichkeiten, <strong>in</strong> den Besitz des Passwortes<br />
zu gelangen:<br />
1 Abhören <strong>der</strong> Kommunikation zwischen Lesegerät und Transpon<strong>der</strong> beim Aufbr<strong>in</strong>gen des<br />
Passworts und <strong>der</strong> Nutzung des Kill-Kommands.<br />
2 Brute-Force-Angriff auf den Transpon<strong>der</strong> durch Ausprobieren <strong>der</strong> möglichen Passworte<br />
bis zur erfolgreichen Aktivierung des Kill-Kommandos. Danach ist <strong>der</strong> Transpon<strong>der</strong> deaktiviert.<br />
E<strong>in</strong> Brute-Force-Angriff kann aufgrund <strong>der</strong> Lesezeiten aktuell verfügbarer<br />
Transpon<strong>der</strong> mehr als 1 Jahr <strong>in</strong> Anspruch nehmen.<br />
3 Angriff auf das Schlüsselmanagement o<strong>der</strong> an<strong>der</strong>e Systemkomponenten (z. B. Lesegeräte)<br />
die Passworte speichern o<strong>der</strong> weiterleiten.<br />
4 Angriff auf den <strong>in</strong>dividualisierten EPC-Chip<br />
Potentielle Auswirkungen<br />
1 Erfolgreicher Angriff auf die Verfügbarkeit von Logistikdaten. Dadurch auch Bee<strong>in</strong>trächtigung<br />
des Fälschungsschutzes.<br />
2 Erfolgreicher Angriff auf die Verfügbarkeit von Post-Sales-Services<br />
Übersicht<br />
Potentiell betroffene<br />
Entitäten<br />
Alle Entitäten <strong>der</strong> Lieferkette<br />
und <strong>in</strong>sbeson<strong>der</strong>e<br />
<strong>der</strong> E<strong>in</strong>zelhändler.<br />
Kunde, falls Post-Sales<br />
Services vere<strong>in</strong>bart<br />
s<strong>in</strong>d.<br />
Potentiell betroffene<br />
<strong>Sicherheit</strong>sziele<br />
E<strong>in</strong>e erfolgreiche unberechtigte<br />
Deaktivierung<br />
des Transpon<strong>der</strong>s bee<strong>in</strong>trächtigt<br />
die Informationssicherheit,<br />
konkret<br />
die Verfügbarkeit von<br />
Daten.<br />
Der Datenschutz ist<br />
nicht bee<strong>in</strong>trächtigt.<br />
Bewertung<br />
Es besteht nur e<strong>in</strong> Risiko, falls auf die<br />
Diversifizierung <strong>der</strong> Passworte verzichtet<br />
werden sollte, da dann e<strong>in</strong>e<br />
Vielzahl von Transpon<strong>der</strong>n mit Kenntnis<br />
e<strong>in</strong>es Passworts deaktiviert werden<br />
kann.<br />
Insgesamt ist das Risiko jedoch ger<strong>in</strong>g,<br />
da e<strong>in</strong> Angreifer aus e<strong>in</strong>er <strong>der</strong>artigen<br />
DoS-Attacke kaum wirtschaftlichen<br />
Vorteil ziehen kann. Es besteht<br />
allerd<strong>in</strong>gs die Gefahr e<strong>in</strong>zelner Attacken,<br />
die auf Aufmerksamkeit <strong>in</strong> <strong>der</strong><br />
Öffentlichkeit zielen.<br />
Tabelle 11–9 Verbleibende Risken E<strong>in</strong>satzszenario "Unterhaltungselektronik"<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> <strong>Informationstechnik</strong> 165