M 2.562 Regelung des Einsatzes von eingebetteten Systemen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Auch im laufenden Betrieb müssen eine Reihe von Sicherheitsanforderungen an den Einsatz von eingebetteten Systemen gestellt werden. Diese Systeme müssen adäquat in das technische und organisatorische Umfeld eingebunden sein, in dem sie eingesetzt werden. Dafür müssen die folgenden organisatorischen Regelungen getroffen werden.

Es sind geeignete personelle Maßnahmen hinsichtlich Schulung, Benutzer-Support, Vertretungsregelungen, Verpflichtungen, Rollenzuteilungen festzulegen bzw. umzusetzen. Die Benutzer sollten im Umgang mit den von ihnen zu bedienenden eingebetteten Systemen bzw. Geräten mit eingebetteten Systemen regelmäßig geschult werden. Handbücher müssen im erforderlichen Umfang und in aktueller Version vorhanden sein.

Es müssen Verantwortliche für Firmware-Aktualisierungen, Wartungs- und Reparaturarbeiten, Protokollauswertung und für die Reaktion auf Sicherheitsverstöße und Fehlfunktionen benannt werden. Bei Ausfällen, Fehlfunktionen und bei Sicherheitsvorfällen muss klar definiert sein, was zu unternehmen ist. Alle Benutzer müssen über die entsprechenden Verhaltensregeln und Meldewege informiert sein.

Es sind Regelungen festzulegen, um die Integrität und Funktionsfähigkeit zu testen. Dabei sind Angaben z. B. zu den Intervallen, zur Vereinbarkeit mit dem Betrieb und zu den Verantwortlichen zu machen. Die Anforderungen an die physikalische Einsatzumgebung, wie z. B. der Luftfeuchtigkeits- und Temperaturbereich und die Energieversorgung, müssen festgelegt sein. Falls erforderlich sind dafür ergänzende Maßnahmen bei der Infrastruktur zu etablieren.

Für die Benutzer müssen die eingebetteten Systeme durch den Hersteller oder den Administrator so vorkonfiguriert sein, dass eine angemessene Sicherheit und Funktionalität erreicht werden kann. Die Konfiguration eingebetteter Systeme muss dokumentiert sein, damit sie nach einem Austausch, einer Aktualisierung oder um ein System wieder herzustellen entsprechend den Verfügbarkeitsanforderungen wieder eingerichtet werden kann.

Bei eingebetteten Systemen mit kryptografischen Anteilen sind weitergehende Regelungen in einem Kryptokonzept festzulegen.

Prüffragen: