TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
MS1<br />
2<br />
3<br />
MS2<br />
Allgeme<strong>in</strong><br />
1<br />
2<br />
<strong>TR</strong> <strong>03126</strong>-4: E<strong>in</strong>satzgebiet „Handelslogistik“<br />
Kurzbezeichnung <strong>der</strong> Maßnahmen Adressierte Gefährdungen<br />
E<strong>in</strong>führung von Schnittstellentests und Freigabeverfahren<br />
den übrigen Systemkomponenten.<br />
Komponentenfreigabe:<br />
GS5, GIF1, GV3<br />
s. o., zusätzlich Komponentenfreigabe (Transpon<strong>der</strong>, Lesegeräte, Schlüsselmanagement)<br />
Zertifizierung:<br />
s. o., zusätzlich Zertifizierung durch unabhängiges Institut <strong>für</strong> Transpon<strong>der</strong>, Lesegeräte<br />
und bei Bedarf auch an<strong>der</strong>er Komponenten.<br />
Tabelle 8–21 Schutz des Gesamtsystems durch E<strong>in</strong>führung von Schnittstellentests<br />
und Freigabeverfahren<br />
Kurzbezeichnung <strong>der</strong> Maßnahmen Adressierte Gefährdungen<br />
Verh<strong>in</strong><strong>der</strong>ung des Abhörens des Datenaustauschs<br />
zwischen Transpon<strong>der</strong> und Lesegerät GIF2<br />
Die Maßnahme betrifft alle Implementierungen <strong>der</strong> kontaktlosen Schnittstelle<br />
zwischen dem jeweiligen Transpon<strong>der</strong>n und Lesegeräten, die z. B. <strong>in</strong> Lagerhallen,<br />
Check-Out-Term<strong>in</strong>als und Kill-Term<strong>in</strong>als e<strong>in</strong>gebaut s<strong>in</strong>d. Grundsätzlich besteht<br />
nach den aktuellen EPCglobal-Spezifikationen ke<strong>in</strong>e Möglichkeit, Abhören<br />
durch kryptographische Maßnahmen zu vereiteln, da diese Mechanismen <strong>für</strong><br />
Transpon<strong>der</strong> im Bereich <strong>der</strong> Handelslogistik bisher nicht spezifiziert wurden. Zu<br />
ergreifen s<strong>in</strong>d deshalb <strong>in</strong>frastrukturelle, personelle o<strong>der</strong> organisatorische Maßnahmen,<br />
wie:<br />
• das Verbot des E<strong>in</strong>satzes von RFID-Rea<strong>der</strong>n <strong>in</strong> den Geschäftsräumen <strong>in</strong>nerhalb<br />
<strong>der</strong> AGB des Betreibers,<br />
• die Kontrolle <strong>der</strong> Geschäftsräume auf unberechtigt angebrachte Lesegeräte<br />
o<strong>der</strong><br />
• das Anbr<strong>in</strong>gen geeigneter Abschirmungen im Bereich <strong>der</strong> Rea<strong>der</strong>-<br />
Transpon<strong>der</strong>-Kommunikation, soweit dies <strong>in</strong>frastrukturell (baulich sowie<br />
funktional) möglich ist.<br />
Die Daten werden unverschlüsselt zwischen Term<strong>in</strong>al und EPCglobal-<br />
Transpon<strong>der</strong> übertragen.<br />
Infrastrukturelle, personelle und organisatorische Maßnahmen verh<strong>in</strong><strong>der</strong>n das<br />
Betreiben von Angriffs-Geräten <strong>in</strong> e<strong>in</strong>er Entfernung von fünf Metern zum Lesegerät.<br />
Die Daten werden unverschlüsselt zwischen Term<strong>in</strong>al und EPCglobal-<br />
Transpon<strong>der</strong> übertragen.<br />
Infrastrukturelle, personelle und organisatorische Maßnahmen verh<strong>in</strong><strong>der</strong>n das<br />
Betreiben von Angriffs-Geräten <strong>in</strong> e<strong>in</strong>er Entfernung von zwanzig Metern zum<br />
Lesegerät.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> <strong>Informationstechnik</strong> 95