SYS.4.1                                                                                 SYS.4: Sonstige Systeme rauf zugreifen und sie auslesen. Unter Umständen können Angreifer sogar bereits gelöschte Informationen rekons- truieren, wenn unsichere Löschmethoden angewendet wurden. Über Netzprotokolle können Daten im Gerät gespeichert und gelesen werden. Drucker und Multifunktionsgeräte mit Datenträgern sind, wenn diese nicht gesichert werden, oft als nicht autorisierte Fileserver nutzbar. Auf diese Weise können unkontrolliert Informationen dezentral abgespeichert werden, die nicht im Datensicherungskonzept berücksichtigt werden. 2.4 Unverschlüsselte Kommunikation Druck- und Scandaten werden oft unverschlüsselt im Netz übertragen. Dadurch kann ein Angreifer die gesendeten Dokumente mitlesen. Ebenso lassen sich in Druckservern temporär gespeicherte Druckdateien auslesen. Das gilt analog für zentrale Scan- und Dokumentenverarbeitungssysteme. Weitere Gefahrenquellen sind unverschlüsselte Kommunikationsschnittstellen zur Administration der Geräte. Wird beispielsweise über HTTP, SNMPv2 oder Telnet auf Drucker zugegriffen, werden die Informationen dabei unge- schützt transportiert. Dadurch sind die Zugriffsinformationen inklusive Gerätepasswörter gefährdet. 2.5 Unberechtigter Versand von Informationen Viele Multifunktionsgeräte können digitalisierte Papierdokumente per E-Mail und Fax verschicken. Ohne besondere Schutzmaßnahmen können dadurch Informationen bewusst oder auch versehentlich an nicht autorisierte Empfän- ger gelangen. Es kann beispielsweise vorkommen, dass Benutzer Empfängeradressen oder Telefonnummern falsch eingeben. Als Folge werden eventuell schutzbedürftige Daten unbeabsichtigt an falsche Empfänger gesendet. Au- ßerdem gibt es Angreifer, die mithilfe der E-Mail- oder Fax-Funktion vertrauliche Unterlagen schnell nach außen schicken können. Viele vernetzte Drucker lassen sich so konfigurieren, dass Druckaufträge aus dem Internet per E-Mail empfangen und gescannte Dokumente als E-Mail-Anhang versendet werden können. Dabei lässt sich die freie Eingabe der Ab- senderadresse missbrauchen, um E-Mails unter fremden Namen an interne und externe Empfänger zu versenden. 2.6 Unberechtigtes Kopieren und Scannen von Informationen Dokumente auf Papier können mithilfe von Multifunktionsgeräten schnell kopiert werden. Durch vorhandene USB- oder SD-Anschlüsse ist es zudem möglich, selbst große Mengen an Papierunterlagen direkt und ohne jegliche Kont- rolle zu digitalisieren, auf USB-Sticks oder SD-Karten zu speichern und unauffällig mitzunehmen. 2.7 Fehlende Netztrennung Firewalls zwischen LAN und Internet werden häufig so konfiguriert, dass der Internet-Zugriff für ganze Subnetze freigeschaltet ist. Andererseits werden Drucker, Kopierer und Multifunktionsgeräte oft dem gleichen Subnetz zuge- ordnet wie die Arbeitsplatz-PCs. Dadurch kann es passieren, dass z. B. auch die Netzdrucker auf Informationen im Internet zugreifen können. Wenn die Verbindungen von und zu den Druckern aus dem Internet nicht von den Sicherheitsgateways abgewiesen werden, können unter Umständen schützenswerte Informationen unerwünscht das eigene Datennetz verlassen. Umgekehrt könnte ein netzfähiges Gerät unerwünscht Daten aus dem Internet empfangen und weiter verteilen. Ein Netzdrucker kann dadurch z. B. zu einem Einfallstor für Angriffe aus dem Internet werden. 2.8 Mangelhafter Zugriffsschutz zur Geräteadministration Vernetzte Drucker, Kopierer und Multifunktionsgeräte können über das Bedienfeld und den eingebauten Webser- ver verwaltet werden. Bei Auslieferung der Geräte haben diese in der Regel kein oder nur ein herstellerspezifisches Standardpasswort. Wird das Passwort nicht gesetzt oder nicht geändert, kann sehr leicht auf die Geräte zugegrif- fen werden. In vielen Institutionen werden zudem einheitliche Passwörter für alle Drucker und Multifunktionsgeräte benutzt, die nur selten geändert werden. Dadurch sind sie oft vielen internen und externen Personen bekannt und unbe- fugte Dritte können somit einfach auf die Geräte zugreifen. Weiter lassen sich über Bootmenüs Drucker und Multifunktionsgeräte in den Werkszustand zurücksetzen. Davon betroffen sind auch die Sicherheitseinstellungen: So ist beispielsweise das Gerätepasswort oft nicht mehr vorhan- IT-Grundschutz-Kompendium: Stand Februar 2020                                                                     3

SYS.4: Sonstige Systeme                                                                                      SYS.4.1 den, nachdem der Drucker oder das Multifunktionsgerät auf die Werkseinstellungen zurückgesetzt wurde. Ungesi- cherte Bootmenüs erleichtern zwar die Administration, verringern aber gleichzeitig die Sicherheit. Drucker, Kopierer und Multifunktionsgeräte sind mit zahlreichen Netzprotokollen ausgerüstet. Bei Auslieferung sind meistens alle Protokolle aktiviert. Dadurch könnten Angreifer z. B. auf die Geräteeinstellungen zugreifen und diese so verändern, dass schützenswerte Informationen aus dem Netz abfließen. Viele Geräte können ihr Bedienfeld über das Netz an einen Support-Mitarbeiter übertragen. Damit können jedoch auch vertrauliche Eingaben der Benutzer am Bedienfeld des Gerätes mitgelesen werden. In größeren Institutionen gibt es meistens sehr viele Drucker, Kopierer und Multifunktionsgeräte. Um diese noch effizient verwalten und überwachen zu können, wird oft eine Gerätemanagementsoftware eingesetzt. Viele Insti- tutionen schützen diese Software jedoch nicht ausreichend vor unberechtigten Zugriffen, da sie als weniger kriti- sches System wahrgenommen wird. Dadurch können einzelne oder auch alle Geräte unbeabsichtigt oder bewusst verändert werden. 3 Anforderungen Im Folgenden sind spezifische Anforderungen des Bausteins SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte aufgeführt. Grundsätzlich ist der IT-Betrieb für die Erfüllung der Anforderungen zuständig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der Informationssicherheitsbeauftragte (ISB) und der Datenschutzbeauftragte sind bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen auf- geführt. Grundsätzlich zuständig              IT-Betrieb Weitere Zuständigkeiten              Informationssicherheitsbeauftragter (ISB) 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN für den Baustein SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte vor- rangig erfüllt werden: SYS.4.1.A1 Planung des Einsatzes von Druckern, Kopierern und Multifunktionsgeräten (B) Die Institution MUSS den sicheren Einsatz von Druckern, Kopierern und Multifunktionsgeräten planen. Es MUSS geplant werden, wo die Geräte aufgestellt werden dürfen. Außerdem MUSS festgelegt sein, wer auf die Drucker, Kopierer und Multifunktionsgeräte zugreifen darf. Die Ergebnisse SOLLTEN in einem Basiskonzept dokumentiert werden. SYS.4.1.A2 Geeignete Aufstellung und Zugriff auf Drucker, Kopierer und Multifunktionsgeräte (B) Der IT-Betrieb MUSS Drucker, Kopierer und Multifunktionsgeräte so aufstellen und absichern, dass nur befugte Be- nutzer die Geräte verwenden und auf verarbeitete Informationen zugreifen können. Außerdem MUSS sicherge- stellt sein, dass nur berechtigte Personen die Geräte administrieren, warten und reparieren können. Mit Dienstleis- tern (z. B. für die Wartung) MÜSSEN schriftliche Vertraulichkeitsvereinbarungen getroffen werden. Drucker, Kopierer und Multifunktionsgeräte MÜSSEN mit Gerätepassworten versehen sein, um so den Zugriff per Webserver und Bedienfeld zu sperren. Diese MÜSSEN die Vorgaben des Identitäts- und Berechtigungsmanagement der Institution erfüllen. Das Passwort DARF NUR berechtigten Benutzern bekannt sein. SYS.4.1.A3 ENTFALLEN (B) Diese Anforderung ist entfallen. 4                                                                      IT-Grundschutz-Kompendium: Stand Februar 2020

SYS.4.1                                                                                   SYS.4: Sonstige Systeme SYS.4.1.A12 Ordnungsgemäße Entsorgung von Geräten und schützenswerten Betriebsmitteln (B) Bevor die Institution Altgeräte entsorgt oder zurückgibt, MÜSSEN alle vertraulichen Daten auf den Geräten sicher gelöscht werden. Ist das nicht möglich, MÜSSEN die Massenspeicher ausgebaut und durch geeignete Prozesse ver- nichtet werden. Mit der Entsorgung beauftragte Dienstleister MÜSSEN verpflichtet werden, die erforderlichen Si- cherheitsmaßnahmen einzuhalten. SYS.4.1.A13 ENTFALLEN (B) Diese Anforderung ist entfallen. SYS.4.1.A22 Ordnungsgemäße Entsorgung ausgedruckter Dokumente (B) Nicht benötigte, aber ausgedruckte Dokumente mit institutionskritischen Informationen MÜSSEN in geeigneter Weise vernichtet werden, z. B. in geeigneten Papiercontainern. Sind Heimarbeitsplätze mit Druckern, Kopierern oder Multifunktionsgeräten ausgestattet, SOLLTE gewährleistet werden, dass die ausgedruckten Informationen auch direkt vor Ort geeignet vernichtet werden können. 3.2 Standard-Anforderungen Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte. Sie SOLLTEN grundsätzlich erfüllt werden. SYS.4.1.A4 Erstellung eines Sicherheitskonzeptes für den Einsatz von Druckern, Kopieren und Multifunktionsgeräten (S) Die Institution SOLLTE ein Sicherheitskonzept für Drucker, Kopierer und Multifunktionsgeräte entwickeln. Darin SOLLTE geregelt werden, welche Anforderungen und Vorgaben an die Informationssicherheit der Geräte gestellt und wie diese erfüllt werden sollen. Es SOLLTE auch festgelegt werden, welche Funktionen von welchen Benutzern unter welchen Bedingungen administriert beziehungsweise genutzt werden dürfen. Der ISB SOLLTE auf Basis des Sicherheitskonzepts eine Administrationsrichtlinie ausarbeiten. SYS.4.1.A5 Erstellung von Benutzerrichtlinien für den Umgang mit Druckern, Kopierern und Multifunktionsgeräten [Informationssicherheitsbeauftragter (ISB)] (S) Für die Benutzer SOLLTE der ISB ein Merkblatt erstellen, auf dem alle Sicherheitsvorgaben zum Umgang mit den Geräten übersichtlich und verständlich zusammengefasst sind. Das Merkblatt SOLLTE allen Benutzern bekannt sein. SYS.4.1.A6 ENTFALLEN (S) Diese Anforderung ist entfallen. SYS.4.1.A7 Beschränkung der administrativen Fernzugriffe auf Drucker, Kopierer und Multifunktionsgeräte (S) Der IT-Betrieb SOLLTE sicherstellen, dass der administrative Fernzugriff auf Drucker, Kopierer und Multifunktionsge- räte nur einer klar definierten Gruppe an Administratoren und Servicetechnikern ermöglicht wird. Das SOLLTE auch dann gewährleistet sein, wenn die Institution eine zentrale Geräteverwaltungssoftware einsetzt. Es SOLLTE festgelegt werden, ob die Anzeige des Bedienfelds über ein Datennetz eingesehen werden kann. Wenn dies gewünscht ist, SOLLTE es nur an Mitarbeiter des IT-Betriebs übertragen werden können. Auch SOLLTE dies mit den betroffenen Benutzern abgestimmt sein. SYS.4.1.A8 ENTFALLEN (S) Diese Anforderung ist entfallen. SYS.4.1.A9 ENTFALLEN (S) Diese Anforderung ist entfallen. IT-Grundschutz-Kompendium: Stand Februar 2020                                                                      5

SYS.4: Sonstige Systeme                                                                                     SYS.4.1 SYS.4.1.A10 ENTFALLEN (S) Diese Anforderung ist entfallen. SYS.4.1.A11 Einschränkung der Anbindung von Druckern, Kopierern und Multifunktionsgeräten (S) Der IT-Betrieb SOLLTE sicherstellen, dass Netzdrucker und Multifunktionsgeräte nicht aus Fremdnetzen erreichbar sind. Wenn Multifunktionsgeräte an das Telefonnetz angeschlossen werden, SOLLTE sichergestellt werden, dass keine unkontrollierten Datenverbindungen zwischen dem Datennetz der Institution und dem Telefonnetz aufge- baut werden können. Netzdrucker und Multifunktionsgeräte SOLLTEN in einem eigenen Netzsegment, das von den Clients und Servern der Institution getrennt ist, betrieben werden. SYS.4.1.A15 Verschlüsselung von Informationen bei Druckern, Kopierern und Multifunktionsgeräten (S) Wenn möglich, SOLLTEN alle auf geräteinternen, nichtflüchtigen Speichermedien (z. B. Festplatten, SSDs) abgeleg- ten Informationen verschlüsselt werden. Auch Druckaufträge SOLLTEN möglichst verschlüsselt übertragen werden. SYS.4.1.A17 Schutz von Nutz- und Metadaten (S) Nutz- und Metadaten wie Druckaufträge und Scandateien SOLLTEN nur so kurz wie möglich auf den Geräten ge- speichert werden. Die Daten SOLLTEN nach einer vordefinierten Zeit automatisch gelöscht werden. Dateiserver in den Geräten und Funktionen wie „Scan in den Gerätespeicher“ SOLLTEN vom IT-Betrieb abgeschaltet werden. Die dafür benötigten Protokolle und Funktionen SOLLTEN, soweit möglich, gesperrt werden. Generell SOLLTE vom IT-Betrieb sichergestellt werden, dass alle Metadaten, z. B. von Druckaufträgen, nicht für Un- berechtigte sichtbar sind. Es SOLLTE von der Institution geregelt werden, wie mit Metadaten versehene Ausdrucke an Dritte weitergegeben werden. SYS.4.1.A18 Konfiguration von Druckern, Kopierern und Multifunktionsgeräten (S) Alle Drucker und Multifunktionsgeräte SOLLTEN geeignet vom IT-Betrieb konfiguriert werden. Nicht benötigte Ge- rätefunktionen SOLLTEN abgeschaltet werden. Die Geräte SOLLTEN ausschließlich über verschlüsselte Protokolle wie HTTPS und SNMPv3 verwaltet werden. Sämtliche Protokolle, mit denen unverschlüsselt auf Drucker und Multi- funktionsgeräte zugegriffen werden kann, SOLLTEN vom IT-Betrieb durch verschlüsselte ersetzt oder abgeschaltet werden. Das SOLLTE insbesondere für Protokolle umgesetzt werden, mit denen sich die Gerätekonfiguration verän- dern lässt, z. B. SNMP, Telnet und PJL. Der voreingestellte „SNMP Set Community Name“ SOLLTE geändert werden. SYS.4.1.A19 Sicheres Löschen von Informationen bei Druckern, Kopierern und Multifunktionsgeräten (S) Es SOLLTE sichergestellt werden, dass gelöschte Daten nicht rekonstruierbar sind. Die Daten SOLLTEN automatisch mit Zufallswerten überschrieben werden. Alle nicht mehr benötigten kryptografischen Schlüssel und Zertifikate SOLLTEN sicher gelöscht werden. 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind für den Baustein SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rah- men einer Risikoanalyse. SYS.4.1.A14 Authentisierung und Autorisierung bei Druckern, Kopierern und Multifunktionsgeräten (H) Es SOLLTEN nur berechtigte Personen auf die ausgedruckten oder kopierten Dokumente zugreifen können. Es SOLLTEN möglichst nur zentrale Drucker, Kopierer und Multifunktionsgeräte eingesetzt werden, bei denen sich die Benutzer authentisieren müssen, bevor sie diese benutzen können. Es SOLLTEN nur die für die jeweiligen Benut- zer notwendigen Funktionen freigeschaltet werden. Nachdem sich die Benutzer authentisiert haben, SOLLTEN aus- schließlich die eigenen Druckaufträge sichtbar sein. SYS.4.1.A16 Notfallvorsorge bei Druckern, Kopierern und Multifunktionsgeräten (H) Die Ausfallzeiten von Druckern, Kopierern und Multifunktionsgeräten SOLLTEN so gering wie möglich sein. Des- halb SOLLTEN unter anderem 6                                                                     IT-Grundschutz-Kompendium: Stand Februar 2020

SYS.4.1                                                                                   SYS.4: Sonstige Systeme • Ersatzgeräte bereitstehen, • in Wartungsverträgen auf eine angemessene Reaktionszeit geachtet werden, • eine Liste mit Fachhändlern geführt werden, um schnell Ersatzgeräte oder -teile beschaffen zu können und • falls erforderlich, häufig benötigte Ersatzteile gelagert werden. SYS.4.1.A20 Erweiterter Schutz von Informationen bei Druckern, Kopierern und Multifunktionsgeräten (H) Druckdateien mit vertraulichen Informationen SOLLTEN nur verschlüsselt übertragen werden. Auch SOLLTEN auf dem Druckserver die Namen der Druckaufträge nur anonymisiert angezeigt werden. Alle Schnittstellen für externe Speichermedien SOLLTEN gesperrt werden. Weiterhin SOLLTEN geräteinterne Adressbücher deaktiviert und den Benutzern alternative Adressierungsverfahren (z. B. Adresssuche per LDAP) angeboten werden. Bei Druckern und Multifunktionsgeräten mit E-Mail-Funktion SOLLTE sichergestellt sein, dass E-Mails ausschließlich mit der E-Mail-Adresse eines authentisierten Benutzers versendet werden können. Auch SOLLTEN Dokumente nur an interne E-Mail-Adressen verschickt werden können. Eingehende Fax-Dokumente sowie Sendeberichte SOLLTEN nur autorisierten Benutzern zugänglich sein. SYS.4.1.A21 Erweiterte Absicherung von Druckern, Kopierern und Multifunktionsgeräten (H) Die Sicherheitseinstellungen von Druckern, Kopierern und Multifunktionsgeräten sind regelmäßig zu kontrollieren und, falls notwendig, zu korrigieren. Wenn ein automatisiertes Kontroll- und Korrektursystem verfügbar ist, SOLLTE es genutzt werden. Zudem SOLLTE eingeschränkt werden, dass die Geräte über das Bootmenü auf die Werkseinstellungen zurückge- stellt werden können. Es SOLLTE sichergestellt sein, dass keine Firmware oder Zusatzsoftware in Druckern und Mul- tifunktionsgeräten installiert werden kann, die nicht vom jeweiligen Hersteller verifiziert und freigegeben wurde. 4 Weiterführende Informationen 4.1 Wissenswertes Die Allianz für Cybersicherheit (ACS) gibt in den BSI-Empfehlungen „Drucker und Multifunktionsgeräte im Netz- werk BSI-CS 015“ sowie „Sichere Passwörter in Embedded Devices (BSI-CS 069)“ Hinweise zu den genannten The- men. Auch in dem Whitepaper „Datenschutz und Sicherheit in Druckinfrastrukturen“ der ACS-Partnerfirma mc² management consulting GmbH sind vertiefende Informationen zu Druckern, Kopierern und Multifunktionsgeräten zu finden. Das IEEE Standard Schutzprofil für Multifunktionsgeräte im IEEE Std 2600TM-2008 Operational Environment B („IEEE Std 2600.2TM-2009“) wurde von dem IEEE Computer Society, Information Assurance (C/IA) Committee als Basis für die Erstellung von Sicherheitsvorgaben entwickelt, um den betrachteten Evaluierungsgegenstands (EVG) zertifizieren zu können. Das National Institute of Standards and Technology (NIST) beschreibt in seiner Special Publication 800-53 „Security and Privacy Controls for Federal Information Systems and Organizations“, insbesondere in dem Kapitel „PE-5 Ac- cess control for output devices“, Anforderungen an Ausgabegeräte wie Drucker, Kopierer und Multifunktionsge- räte. 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen. Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind. Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entspre- chenden elementaren Gefährdungen entgegengewirkt. Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden. IT-Grundschutz-Kompendium: Stand Februar 2020                                                                     7

SYS.4: Sonstige Systeme                                                                                    SYS.4.1 Die folgenden elementaren Gefährdungen sind für den Baustein SYS.4.1 Drucker, Kopierer und Multifunktionsge- räte von Bedeutung. G 0.15       Abhören G 0.16       Diebstahl von Geräten, Datenträgern oder Dokumenten G 0.18       Fehlplanung oder fehlende Anpassung G 0.19       Offenlegung schützenswerter Informationen G 0.21       Manipulation von Hard- oder Software G 0.22       Manipulation von Informationen G 0.23       Unbefugtes Eindringen in IT-Systeme G 0.25       Ausfall von Geräten oder Systemen G 0.30       Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.31       Fehlerhafte Nutzung oder Administration von Geräten und Systemen Elementare          CIA-  G 0.15   G 0.16   G 0.18  G 0.19  G 0.21    G 0.22  G 0.23   G 0.25   G 0.30   G 0.31 Gefährdungen        Werte Anforderungen SYS.4.1.A1                           X        X SYS.4.1.A2                           X                X       X SYS.4.1.A3 SYS.4.1.A4                                    X                                                   X SYS.4.1.A5                                                                                                 X SYS.4.1.A6 SYS.4.1.A7                  X                                                    X                X SYS.4.1.A8 SYS.4.1.A9 SYS.4.1.A10 SYS.4.1.A11                 X                                                    X                X SYS.4.1.A12                                           X SYS.4.1.A13 SYS.4.1.A14          CIA                              X                                           X SYS.4.1.A15                                           X                 X SYS.4.1.A16           A                                                                  X SYS.4.1.A17                                           X SYS.4.1.A18                                   X       X                 X SYS.4.1.A19                                           X SYS.4.1.A20           C                               X SYS.4.1.A21          CIA                      X               X SYS.4.1.A22                                           X 8                                                                    IT-Grundschutz-Kompendium: Stand Februar 2020

SYS.4.3                                                                                  SYS.4: Sonstige Systeme SYS.4.3: Eingebettete Systeme 1 Beschreibung 1.1 Einleitung Eingebettete Systeme sind informationsverarbeitende Systeme, die in ein größeres System oder Produkt integriert sind. Sie übernehmen Steuerungs-, Regelungs- und Datenverarbeitungsaufgaben und werden dabei oft nicht di- rekt vom Benutzer wahrgenommen. Eingebettete Systeme finden sich sowohl im Bereich der Hochtechnologie wie z. B. der Luft- und Raumfahrt, der Medizintechnik, der Telekommunikation und der Automobil-Technik als auch im Consumer- und Haushaltsgerätebereich. Ein eingebettetes System bildet aus Soft- und Hardware eine funktionale Einheit, die nur eine definierte Aufgabe erfüllt. Die Software eingebetteter Systeme wird als Firmware bezeichnet und ist zumeist in einem Flash-Speicher, einem EPROM, EEPROM oder ROM gespeichert und durch den Anwender nicht oder nur mit speziellen Mitteln bzw. Funktionen austauschbar. Sie besteht im Wesentlichen aus dem Bootloader, dem Betriebssystem und der An- wendung. Spezialisierte Systeme können auch auf ein Betriebssystem verzichten. Eingebettete Systeme sind zwar spezialisierte Geräte, aber im Gegensatz zur reinen Hardwareimplementierung (ASIC) universelle Rechner. Als Platt- formen kommen unterschiedliche CPU-Architekturen oder flexible hochintegrierte Field-Programmable-Gate-Array (FPGA) Bausteine infrage. Eingebettete Systeme haben entweder keine Bedienschnittstelle oder nutzen Spezialperipherie wie z. B. funktio- nelle Tasten, Drehschalter und auf den jeweiligen Einsatzzweck hin konzipierte Anzeigen. Das Spektrum an Ausgabeeinheiten reicht von einer einfachen Signallampe über LCDs bis hin zu komplexen Cockpit-Anzeigen. Ein- gebettete Systeme kommunizieren häufig über Datenbusse, die in komplexen Systemen heterogen vernetzt sind. Zusätzlich können über mehrere unterschiedliche und mehrkanalige Ein-/Ausgabeports auch zusätzlich Peripherie- komponenten wie Sensoren und Aktoren angebunden sein. Einige Arten eingebetteter Systeme verfügen darüber hinaus auch über ein Webinterface, über das per Browser Konfigurationseinstellungen vorgenommen werden kön- nen. 1.2 Zielsetzung Ziel des Bausteins ist es, über typische Gefährdungen für eingebettete Systeme zu informieren sowie aufzuzeigen, wie diese Systeme sicher in Institutionen eingesetzt werden können. 1.3 Abgrenzung und Modellierung Der Baustein SYS.4.3 Eingebettete Systeme ist immer dann anzuwenden, wenn eingebettete Systeme eingesetzt werden. Der Baustein ist auf jedes einzelne eingebettete System im gesamten Informationsverbund anzuwenden. Werden Gruppen von eingebetteten Systemen gebildet, so ist der Baustein auf jede einzelne Gruppe anzuwenden. Dieser Baustein beschäftigt sich allgemein mit eingebetteten Systemen. Er ist für ein großes Spektrum unterschied- licher eingebetteter Systeme anwendbar. Auf dedizierte Sicherheitseigenschaften, etwa von Bedien- und Anzeige- systemen oder spezifische Hard- und Software-Architekturen, wird nicht näher eingegangen. Ebenso wird nicht speziell auf Sicherheitsaspekte von eingebetteten Systemen eingegangen, die in der industriellen Steuerung einge- setzt werden. Hierfür sind die Bausteine der Schicht IND Industrielle IT heranzuziehen. Spezifische Sicherheitsas- pekte von IoT-Systemen sind ebenfalls nicht Gegenstand des vorliegenden Bausteins. Als vernetzte Geräte oder Gegenstände, mit zusätzlichen smarten Funktionen, werden IoT-Systeme im Gegensatz zu eingebetteten Systemen nicht in ein größeres System oder Produkt integriert. Auf Grund ihrer drahtlosen Verbindung zu Datennetzen beste- hen hier andere Sicherheitsanforderungen. Sie werden in SYS.4.4 Allgemeines IoT-Gerät behandelt. IT-Grundschutz-Kompendium: Stand Februar 2020                                                                    1

SYS.4: Sonstige Systeme                                                                                      SYS.4.3 Eine besondere Anwendung eines eingebetteten Systems sind Chipkarten. Die Karten besitzen in der Regel einen Prozessor, Arbeitsspeicher und I/O-Interfaces. Auch für Chipkarten gilt, dass zwar grundsätzliche Sicherheitsas- pekte in diesem Baustein angesprochen werden, allerdings keine spezifischen Aspekte betrachtet werden. 2 Gefährdungslage Folgende spezifische Bedrohungen und Schwachstellen sind für den Baustein SYS.4.3 Eingebettete Systeme von besonderer Bedeutung: 2.1 Unzureichende Sicherheitsanforderungen bei der Entwicklung von eingebetteten Systemen Aus Kostengründen spielt die Informationssicherheit bei der Entwicklung von eingebetteten Systemen häufig eine weniger wichtige Rolle als z. B. die Performance oder Zuverlässigkeit. Werden jedoch Sicherheitsanforderungen in einer oder mehreren Entwicklungsphasen nicht ausreichend berücksichtigt, können die eingebetteten Systeme schwerwiegende Schwachstellen aufweisen. 2.2 Ungesicherte Ein- und Ausgabe-Schnittstellen bei eingebetteten Systemen Die Schnittstellen eingebetteter Systeme sind potenzielle Angriffspunkte. Das betrifft Schnittstellen auf allen Ebe- nen des OSI-Schichtenmodells und alle eingesetzten Übertragungsmedien. Wird der Zugang über die Schnittstellen nicht kontrolliert oder sind die Kontrollmechanismen zu schwach, könnten Angreifer in das System eindringen, un- befugt Daten lesen und schreiben sowie Folgeangriffe einleiten. So könnten sie unbemerkt Spionage- oder Sabota- gegeräte anschließen, z. B. miniaturisierte Steuerungen oder Datenlogger. Auf Mikrocontroller-Ebene könnten bei Anschluss der Systeme an die I/O-Ports über die I/O-Leitungen Signale in die I/O-Register eingespielt werden oder es könnten Ausgangssignale aufgezeichnet werden. Ist ein Reset-Eingang vorhanden, könnten Angreifer diesen ansteuern und temporär das System außer Betrieb set- zen. 2.3 Unzureichende physische Absicherung bei eingebetteten Systemen Sind eingebettete Systeme physisch leicht zugänglich, könnten Angreifer die Systeme zerstören oder beschädigen, z. B. durch mechanische Gewalt, Kurzschlüsse oder Überspannungen. Auch könnten sie auf die elektronischen Komponenten zugreifen, z. B. IC-Pins oder Kontaktierungen, und so die elektrischen Signale mit entsprechenden Mess- und Analysewerkzeugen unbemerkt aufzeichnen sowie selbst Signale einspeisen. Gelangen Angreifer in den Besitz eines eingebetteten Systems, können sie mittels physischer Verfahren Daten lesen und manipulieren oder auf nicht sicher gelöschte Daten zugreifen. Das kann dann dazu führen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit der auf dem eingebetteten System gespeicherten Informationen verletzt werden. 2.4 Hardwareausfall und Hardwarefehler bei eingebetteten Systemen Umgebungseinflüsse wie elektromagnetische Interferenz, Temperaturschwankungen, eine instabile Spannungsver- sorgung, herstellungsbedingte Materialfehler und Fertigungsstreuung können dazu führen, dass eingebettete Sys- teme ausfallen. Auch ein normaler oder vorzeitiger Verschleiß kann einen Ausfall der Systeme zur Folge haben. Auch könnten hierdurch die umgebenden Systeme stark beeinträchtigen werden. 2.5 Einspielen (Flashen) von manipulierten Software-Updates bei eingebetteten Systemen Viele eingebettete Systeme speichern ihre Software auf Flash-Speichern bzw. EEPROMs und bieten die Möglichkeit, ihre Firmware mit einem Programmiergerät zu aktualisieren, das über eine Datenschnittstelle oder über eine Netz- verbindung angeschlossen wird. Darüber kann allerdings auch ein Angreifer manipulierte Software-Updates ein- spielen und so die Funktion des Systems modifizieren. In der Folge können die ursprünglichen Aufgaben des Sys- tems unterbrochen oder manipuliert werden. 2.6 Seitenkanalangriffe auf eingebettete Krypto-Systeme Angreifer könnten mittels eines Seitenkanalangriffs Verschlüsselungen oder Signaturen brechen, indem sie dazu beobachtbare Eigenschaften der physischen Implementierung eines Kryptosystems ausnutzen. So könnten sie bei- 2                                                                   IT-Grundschutz-Kompendium: Stand Februar 2020

SYS.4.3                                                                                 SYS.4: Sonstige Systeme spielsweise aus dem Energieverbrauch eines Mikroprozessors während kryptologischer Berechnungen Rück- schlüsse auf ausgeführte Operationen und auf Schlüssel ziehen. Auch könnten sie Rechenzeitangriffe, mikroarchi- tekturelle Angriffe oder (semi-) invasive Angriffe durchführen. So konnten z. B. im Jahr 2011 Wissenschaftler den geheimen Schlüssel eines TLS/SSL-Servers ermitteln, der den Digital Signature Algorithm (DSA) mit Elliptischer Kur- ven-Kryptografie verwendet. Der Angriff beruhte auf der Tatsache, dass die benötigte Zeit für eine Multiplikation Rückschlüsse auf deren Operanden zulässt. 2.7 Eindringen und Manipulation über die Kommunikationsschnittstelle von eingebetteten Systemen Eingebettete Systeme sind oft hinsichtlich Codegröße, Zeitverhalten, Energieverbrauch, Kosten sowie Größe und Gewicht eingeschränkt. Sie sind daher häufig nicht mit ausreichenden Sicherheitsfunktionen, wie z. B. starker Kryp- tografie, ausgestattet. Allerdings sind moderne eingebettete Systeme zunehmend durch weitverbreitete Techniken und Protokolle vernetzt und somit potenziell angreifbar. Angreifer könnten versuchen, Daten oder Software auf einem eingebetteten System zu manipulieren, indem sie die standardmäßig vorgesehenen Kommunikationsschnittstellen und -protokolle für ihre Zwecke missbrauchen. Sind z. B. die IP-Kommunikation oder Ethernet-, WLAN-, Bluetooth- und Mobil- bzw. Digitalfunk-Schnittstellen nicht ausreichend gesichert, kann ein Angreifer Verbindungen übernehmen, Nachrichten fälschen oder in ein Sys- tem eindringen und Folgeangriffe durchführen. Weiterhin kann ein Angreifer auch versuchen, mittels anderer ver- fügbarer Kommunikationsschnittstellen, z. B. USB-Ports, in das System einzudringen. 2.8 Einsatz gefälschter Komponenten Im Produktionsprozess oder wenn im Servicefall Komponenten ausgetauscht werden, kann es passieren, dass ge- fälschte Komponenten in eingebettete Systeme eingebaut werden. Da für viele Bauteile Fälschungen im Umlauf sind, kann dies auch unabsichtlich geschehen. Gefälschte Bauteile arbeiten oft unzuverlässiger als die originalen Bauteile. Hierdurch könnten Funktionen ausfallen oder nur fehlerhaft arbeiten. Angreifer können auch gezielt ein Gerät oder Bauteil entwickeln, das genauso aussieht wie das Original, aber dessen Funktion manipuliert ist. Durch eine derartige Komponente könnten beispielsweise Hintertüren eingebaut, einzelne Funktionen manipuliert oder die Verfügbarkeit angegriffen werden. 3 Anforderungen Im Folgenden sind die spezifischen Anforderungen des Bausteins SYS.4.3 Eingebettete Systeme aufgeführt. Grund- sätzlich ist der IT-Betrieb für die Erfüllung der Anforderungen zuständig. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür zuständig, dass alle An- forderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und regelmäßig überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Verantwortlichkeiten bei der Umsetzung von Anforderungen ha- ben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufge- führt. Grundsätzlich zuständig              IT-Betrieb Weitere Zuständigkeiten              Beschaffer, Entwickler, Leiter IT, Planer 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN für den Baustein SYS.4.3 Eingebettete Systeme vorrangig erfüllt werden: SYS.4.3.A1 Regelungen zum Umgang mit eingebetteten Systemen [Leiter IT] (B) Um eingebettete Systeme reibungslos zu betreiben, MÜSSEN Verantwortliche ernannt werden. Alle Benutzer und Administratoren MÜSSEN über Verhaltensregeln und Meldewege bei Ausfällen, Fehlfunktionen oder bei Verdacht auf einen Sicherheitsvorfall informiert sein. Benutzer und Administratoren SOLLTEN im Umgang mit dem jeweiligen eingebetteten System ausreichend geschult sein. Die eingebetteten Systeme MÜSSEN sicher vorkonfiguriert werden. Die vorgenommene Konfiguration SOLLTE do- kumentiert sein. Weiterhin SOLLTEN Regelungen festgelegt werden, um die Integrität und Funktionsfähigkeit zu testen. IT-Grundschutz-Kompendium: Stand Februar 2020                                                                     3

SYS.4: Sonstige Systeme                                                                                    SYS.4.3 SYS.4.3.A2 Deaktivieren nicht benutzter Schnittstellen und Dienste bei eingebetteten Systemen [Entwickler] (B) Es MUSS sichergestellt werden, dass nur auf benötigte Schnittstellen zugegriffen werden kann. Zudem DÜRFEN NUR benötigte Dienste aktiviert sein. Der Zugang zu Anwendungsschnittstellen MUSS durch sichere Authentisie- rung geschützt sein. SYS.4.3.A3 Protokollierung sicherheitsrelevanter Ereignisse bei eingebetteten Systemen (B) Sicherheitsverstöße MÜSSEN protokolliert werden (siehe OPS.1.1.5 Protokollierung). Ist eine elektronische Proto- kollierung nicht oder nur sehr begrenzt realisierbar, SOLLTEN alternative, organisatorische Regelungen geschaffen und umgesetzt werden. 3.2 Standard-Anforderungen Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein SYS.4.3 Eingebettete Systeme. Sie SOLLTEN grundsätzlich erfüllt werden. SYS.4.3.A4 Erstellung von Beschaffungskriterien für eingebettete Systeme [Beschaffer, Leiter IT] (S) Bevor eingebettete Systeme beschafft werden, SOLLTE eine Anforderungsliste erstellt werden, anhand derer die infrage kommenden Systeme oder Komponenten bewertet werden. Die Anforderungsliste SOLLTE folgende sicher- heitsrelevante Aspekte umfassen: • Aspekte der materiellen Sicherheit, • Anforderungen an die Sicherheitseigenschaften der Hardware, • Anforderungen an die Sicherheitseigenschaften der Software, • Sicherheitsaspekte der Entwicklungsumgebung sowie • organisatorische Sicherheitsaspekte. SYS.4.3.A5 Schutz vor schädigenden Umwelteinflüssen bei eingebetteten Systemen [Entwickler, Planer] (S) Es SOLLTE sichergestellt werden, dass eingebettete Systeme entsprechend ihrer vorgesehenen Einsatzart und des vorgesehenen Einsatzorts angemessen vor schädigenden Umwelteinflüssen geschützt sind. Die Anforderungen hierfür SOLLTEN bereits bei der Planung analysiert werden. Zudem SOLLTE sichergestellt werden, dass die Vorkeh- rungen, um einzelne Komponenten vor Staub und Verschmutzung zu schützen, sich mit den Anforderungen des übergeordneten Systems vertragen. SYS.4.3.A6 Verhindern von Debugging-Möglichkeiten bei eingebetteten Systemen [Entwickler] (S) Eventuelle Debugging-Möglichkeiten SOLLTEN möglichst vollständig aus eingebetteten Systemen entfernt werden. Wird On-Chip-Debugging genutzt, MUSS sichergestellt werden, dass Debugging-Funktionen nicht unberechtigt genutzt oder aktiviert werden können. Weiterhin SOLLTE sichergestellt werden, dass keine Eingabeschnittstellen für Testsignale und Messpunkte zum An- schluss von Analysatoren aktiviert bzw. für Unberechtigte nutzbar sind. Zudem SOLLTEN alle Hardware-Debugging- Schnittstellen deaktiviert sein. SYS.4.3.A7 Hardware-Realisierung von Funktionen eingebetteter Systeme [Entwickler, Planer, Beschaffer] (S) Werden eingebettete Systeme selbst entwickelt, SOLLTEN bei der Designentscheidung zur Hardware- und Soft- ware-Realisierung Sicherheitsaspekte berücksichtigt werden. Auch bei der Entscheidung, eine bestimmte Hard- ware-Technik zu implementieren, SOLLTEN Sicherheitsaspekte berücksichtigt werden. SYS.4.3.A8 Einsatz eines sicheren Betriebssystem für eingebettete Systeme [Entwickler, Planer, Beschaffer] (S) Das eingesetzte Betriebssystem und die Konfiguration des eingebetteten Systems SOLLTEN für den vorgesehenen Betrieb geeignet sein. So SOLLTE das Betriebssystem für die vorgesehene Aufgabe über ausreichende Sicherheits- mechanismen verfügen. Die benötigten Dienste und Funktionen SOLLTEN aktiviert sein. Das Betriebssystem SOLLTE es unterstützen, ein Trusted Plattform Module (TPM) zu nutzen. 4                                                                    IT-Grundschutz-Kompendium: Stand Februar 2020