TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>TR</strong> <strong>03126</strong>-4: E<strong>in</strong>satzgebiet „Handelslogistik“<br />
5 Methodik zur Ermittlung <strong>der</strong> <strong>Sicherheit</strong>sanfor<strong>der</strong>ungen<br />
5.1 Zielsetzung<br />
Die Technische Richtl<strong>in</strong>ie RFID soll folgenden Zielen dienen:<br />
• Leitfaden <strong>für</strong> Systemlieferanten und Systemanwen<strong>der</strong> zur sachgerechten Implementierung<br />
von spezifischen RFID-Systemlösungen bzgl. Funktions- und Informationssicherheit<br />
und Datenschutz.<br />
• Schaffung von Aufmerksamkeit und Transparenz <strong>in</strong> Bezug auf <strong>Sicherheit</strong>saspekte.<br />
• Basis <strong>für</strong> e<strong>in</strong>e Konformitätserklärung <strong>der</strong> Systemlieferanten o<strong>der</strong> Betreiber und die Vergabe<br />
e<strong>in</strong>es Gütesiegels durch e<strong>in</strong>e Zertifizierungsstelle.<br />
Zur Umsetzung dieser Ziele s<strong>in</strong>d folgende Informationen erfor<strong>der</strong>lich:<br />
• Ermittlung <strong>der</strong> <strong>Sicherheit</strong>sanfor<strong>der</strong>ungen an e<strong>in</strong> RFID-System e<strong>in</strong>es E<strong>in</strong>satzgebietes.<br />
• Benennung <strong>der</strong> spezifischen Gefährdungen, geeigneter Gegenmaßnahmen und des<br />
möglicherweise verbleibenden Restrisikos.<br />
• Def<strong>in</strong>ition <strong>der</strong> Kriterien <strong>für</strong> e<strong>in</strong>e Konformitätserklärung bzw. Zertifizierung.<br />
Bei <strong>der</strong> Def<strong>in</strong>ition von Maßnahmen und Systemvorschlägen s<strong>in</strong>d nicht nur <strong>Sicherheit</strong>saspekte<br />
relevant. Vielmehr müssen alle <strong>in</strong> Kapitel 4 benannten Anfor<strong>der</strong>ungen berücksichtigt werden.<br />
5.2 Methodik<br />
5.2.1 Erwägungen zum Umfang <strong>der</strong> Systembetrachtung<br />
RFID-basierte Systeme können sehr komplex se<strong>in</strong>. In den meisten Fällen gehören zur Systemlösung<br />
auch viele Komponenten, die nicht mit RFID ausgestattet s<strong>in</strong>d. Auf <strong>der</strong> an<strong>der</strong>en<br />
Seite dürfen bei <strong>der</strong> Betrachtung <strong>der</strong> Systemsicherheit nicht nur das Medium/das Tag und<br />
die Lesegerät berücksichtigt werden.<br />
Die Technische Richtl<strong>in</strong>ie muss alle <strong>für</strong> RFID relevanten <strong>Sicherheit</strong>saspekte im Detail e<strong>in</strong>beziehen.<br />
Diese Aspekte hängen stark vom E<strong>in</strong>satzgebiet und <strong>der</strong> jeweiligen Implementierung<br />
<strong>der</strong> Systemlösung ab. Diese Technische Richtl<strong>in</strong>ie enthält daher detaillierte Angaben über<br />
das E<strong>in</strong>satzgebiet und die dazugehörenden Betriebsprozesse (e<strong>in</strong>schließlich <strong>der</strong> Vertriebskanäle<br />
und -prozesse). Die Prozesse decken den gesamten Lebenszyklus e<strong>in</strong>es Trägermediums<br />
o<strong>der</strong> Transpon<strong>der</strong>s ab. Basierend auf diesen Prozessen werden Anwendungsfälle<br />
bestimmt, die aus <strong>für</strong> die <strong>Sicherheit</strong>sbetrachtung des RFID-Systems relevant s<strong>in</strong>d. Diese<br />
Anwendungsfälle werden dann als Grundlage <strong>für</strong> die Ermittlung von Gefährdungen und e<strong>in</strong>e<br />
detaillierte, systemspezifische <strong>Sicherheit</strong>sbewertung <strong>für</strong> die mit RFID im Zusammenhang<br />
stehenden Bereiche des Systems genutzt. Abbildung 5–1 zeigt diese Vorgehensweise am<br />
Beispiel des eTicket<strong>in</strong>g im ÖPV.<br />
46 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> <strong>Informationstechnik</strong>