TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>TR</strong> <strong>03126</strong>-4: E<strong>in</strong>satzgebiet „Handelslogistik“<br />
Manipulationsfestigkeit (Wie aufwändig ist e<strong>in</strong>e Maßnahme und welche f<strong>in</strong>anzielle Schadenshöhe<br />
kann damit begrenzt o<strong>der</strong> verh<strong>in</strong><strong>der</strong>t werden) empfohlen.<br />
4 Restrisiko<br />
Es ist <strong>in</strong> <strong>der</strong> Regel nicht möglich, allen Gefährdungen so entgegenzuwirken, dass e<strong>in</strong><br />
System die perfekte <strong>Sicherheit</strong> bietet. Das Restrisiko ist daher das Risiko, das verbleibt,<br />
wenn e<strong>in</strong>e Menge von Maßnahmen umgesetzt wurden und trotzdem noch Angriffe möglich<br />
s<strong>in</strong>d. Die Höhe des Risikos hängt davon ab, welche Gegenmaßnahmen getroffen<br />
werden können, wie komplex diese s<strong>in</strong>d und vor allem, welches Ergebnis e<strong>in</strong>e Kosten –<br />
Nutzen-Rechnung <strong>der</strong> jeweiligen Entität erbr<strong>in</strong>gt. Das Restrisiko muss von <strong>der</strong> Entität<br />
explizit getragen werden.<br />
8.2 Def<strong>in</strong>ition <strong>der</strong> <strong>Sicherheit</strong>sziele<br />
Im seltensten Fall s<strong>in</strong>d alle im Bereich Funktionssicherheit, Informationssicherheit und Datenschutz<br />
genannten <strong>Sicherheit</strong>saspekte <strong>für</strong> e<strong>in</strong> gegebenes E<strong>in</strong>satzszenario gleichwichtig<br />
bzw. überhaupt relevant. Die Herausfor<strong>der</strong>ung bei <strong>der</strong> Konzeption e<strong>in</strong>es sicheren RFID-<br />
E<strong>in</strong>satzes liegt zuerst dementsprechend <strong>in</strong> <strong>der</strong> Formulierung spezifischer <strong>Sicherheit</strong>sziele.<br />
Innerhalb <strong>der</strong> E<strong>in</strong>satzgebiete <strong>der</strong> Handelslogistik s<strong>in</strong>d basierend auf den vorgenannten generischen<br />
<strong>Sicherheit</strong>szielen übergeordnete e<strong>in</strong>satzgebietsspezifische <strong>Sicherheit</strong>sziele zu erkennen:<br />
1 Schutz <strong>der</strong> elektronischen Objektkennung (EPC)<br />
(repräsentiert die Schutzziele Integrität und Authentizität)<br />
2 Funktionssicherheit des RFID-Systems<br />
3 Schutz <strong>der</strong> Privatsphäre des Kunden<br />
(repräsentiert die Schutzziele Vertraulichkeit, Unverknüpfbarkeit, Unbeobachtbarkeit,<br />
Anonymität und Datenschutz als allgeme<strong>in</strong>e Anfor<strong>der</strong>ung)<br />
Aus den Betrachtungen <strong>der</strong> <strong>Sicherheit</strong>sziele <strong>der</strong> Entitäten <strong>in</strong> den folgenden Unterkapiteln<br />
ergeben sich die untergeordneten <strong>Sicherheit</strong>sziele, die <strong>in</strong> Kapitel 8.2.4 aufgeführt s<strong>in</strong>d:<br />
Die folgende Tabelle zeigt das Kodierungsschema <strong>der</strong> <strong>Sicherheit</strong>sziele sowie die verwendeten<br />
Abkürzungen.<br />
Feldnummer 1 2 3 4<br />
Feld<br />
Inhalt S<br />
<strong>Sicherheit</strong>sziel<br />
Zugeordnete Entität<br />
K := Kunde<br />
P := Produktanbieter<br />
Zugeordnetes generisches<strong>Sicherheit</strong>sziel<br />
F := Funktionssicherheit<br />
I := Informationssicherheit<br />
D := Dienstleister P := Privatsphäre<br />
Tabelle 8–1 Kodierungsschema <strong>der</strong> <strong>Sicherheit</strong>sziele<br />
8.2.1 Spezifische <strong>Sicherheit</strong>sziele des Konsumenten<br />
Zähl<strong>in</strong>dex<br />
1, ... , n<br />
Die spezifischen <strong>Sicherheit</strong>sziele des Konsumenten s<strong>in</strong>d <strong>in</strong> den folgenden Unterkapiteln aufgeführt.<br />
76 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> <strong>Informationstechnik</strong>