M 4.485 Sicheres Betriebssystem für eingebettete Systeme

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Planer, Beschaffer, Entwickler

Für eingebettete Systeme gibt es sehr viele verschiedene Betriebssysteme. Einige hochspezialisierte Systeme benötigen gar kein Betriebssystem, andere sind eingebettete Betriebssysteme, die aus Mehrzweckbetriebssystemen heraus entwickelt wurden, z. B. Embedded Linux Varianten oder Windows CE. Dazwischen existieren zahlreiche unter verschiedensten Aspekten für eingebettete Systeme spezialisierte (Echtzeit) Betriebssysteme, wie z. B. RTOS oder VxWorks.

Auf der einen Seite wird von den Merkmalen eines Mehrzweckbetriebssystems in der Regel nur ein Teil benötigt, z. B.

Auf der anderen Seite können für eingebettete Systeme Anforderungen vorliegen, die mit Mehrzweckbetriebssystemen nicht oder schwierig umzusetzen sind, z. B.

Wird ein eingebettetes System konzipiert oder beschafft, ist daher darauf zu achten, dass das Betriebssystem und seine Konfiguration für den vorgesehenen Betrieb unter den vorgegebenen Bedingungen, einschließlich der Sicherheitsanforderungen, geeignet sind. Das Betriebssystem ist gemäß den spezifischen Sicherheitsanforderungen des Gesamtsystems zu konfigurieren. Die Sicherheitsanforderungen sollten in der Sicherheitsrichtlinie und im Software-Entwicklungsprozess dokumentiert sein. Grundsätzlich sollte das Betriebssystem nur die für die vorgesehene Aufgabe notwendigen Dienste, Funktionen und Eigenschaften aufweisen. Es dürfen nur Treiber genutzter Schnittstellen eingebunden werden.

Sicherheitsaspekte eines Betriebssystems sollten in unterschiedlichen Bereichen und Betriebsphasen berücksichtigt werden. Das System sollte in einem sicheren planvollen Prozess entwickelt werden. Die Systemarchitektur sollte den Kernel von Paketen wie Middleware, Netz-Protokollen und Applikationen trennen. Es sollte möglich sein, diese Komponenten zu ergänzen und zu verändern, ohne dass der Kernel geändert werden muss. Das kann mit einem sogenannten Mikrokern erreicht werden. Ein Mikrokern (englisch: Microkernel) verfügt im Gegensatz zu einem monolithischen Kernel nur über grundlegende Funktionen zur Speicher- und Prozessverwaltung und zur Synchronisation und Kommunikation. Er ist somit weniger angreifbar und auch absturzsicherer.

Wie in M 4.489 Abgesicherter und authentisierter Bootprozess bei eingebetteten Systemen und M 4.483 Einsatz kryptographischer Prozessoren bzw. Koprozessoren (Trusted Platform Module) bei eingebetteten Systemen sowie M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen und M 4.177 Sicherstellung der Integrität und Authentizität von Softwarepaketen empfohlen, muss das Betriebssystem Mechanismen zum sicheren Booten und zur sicheren Programmausführung bereitstellen. Dazu muss es in der Lage sein, ein Trusted Plattform Module (TPM) zu integrieren und zu nutzen.

Während des laufenden Betriebs sollte das System Angriffe abwehren können. Dies kann auch dadurch erreicht werden, dass zusätzliche Sicherheitsprodukte installiert und genutzt werden. Im Ruhezustand darf es für einen Angreifer nicht möglich sein auf Daten zuzugreifen.

Ein Chipkartenbetriebssystem sollte insbesondere folgende Mechanismen und Dienste bereitstellen:

Für Systeme mit hohem oder sehr hohem Schutzbedarf ist zu prüfen, ob es erforderlich ist das Betriebssystem zu evaluieren, z. B. nach ISO 15408. Statt ein ganzes Betriebssystem komplett zu evaluieren, ist es ratsam, das BSI-Schutzprofil "Operating System Protection Profile (OSPP)" zu beachten.

Prüffragen: