Software in sicherheitsrelevanten Systemen

Download Report

Transcript Software in sicherheitsrelevanten Systemen 

Software in
sicherheitsrelevanten Systemen
Ralf Pinger / Stefan Gerken
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
Kapitel 7 - Sichere Kommunikation
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Inhaltsübersicht
1.
2.
3.
4.
5.
6.
Kanal und Übertragung
Klassen von Kommunikationssystemen
Bedrohungen
Maßnahmen
Wirksamkeit von Maßnahmen
Nachweis
Page 2
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.1 Kanal und Übertragung
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Grundprinzip aus EN 50159
Sicherer
Rechner
sicherheitsrelevante
Information
Anwendung
Sicherheitsprotokoll
Sicherer
Rechner
Nichtsichere
Einrichtungen
Anwendung
sicherheitsrelevante
Nachricht
Sicherheitsprotokoll
Standardübertragungssystem
Quelle: EN 50159-2
Page 3
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.1 Kanal und Übertragung
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Detaillierteres
Prinzip aus EN 50159
Quelle: EN 50159
Page 4
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.1 Kanal und Übertragung
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Prinzipielle Nachrichtenstruktur aus EN 50159
Quelle: EN 50159
Page 5
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.1 Kanal und Übertragung
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Kanalcodierung

Modulation und Codierung sollte im Prinzip immer gemeinsam betrachtet werden, um
ein optimales Ergebnis zu erhalten.
Information
Kodierung
Modulation
Störungen
Übertragungs
kanal
Fehler
Empfangene
Information
Page 6
13.04.2015
Dekodierung
Ralf Pinger / Stefan Gerken
Demodulation
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.1 Kanal und Übertragung – BSC
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Binärer Symmetrischer Kanal (BSC)



Beliebtes Modell für „zufällige“
Fehler
Jedes Bit kippt unabhängig von den
anderen mit der gleichen
Bitfehlerwahrscheinlichkeit p um
Die Wahrscheinlichkeit, dass von
n Bits genau i sich ändern, ist
binomialverteilt:
 n i
  p (1  p) ni
i

1-p
p
p
1-p
Die Wahrscheinlichkeit, dass kein
Fehler auftritt, ist
(1  p) n  1  np für p  1
Page 7
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.2 Klassen von Kommunikationssystemen
Typ
Kategorie1
Kategorie 2
Page 8
Hauptcharakteristiken
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Beispiele
• Entworfen für eine bekannte maximale Anzahl
von Teilnehmern.
• Alle Eigenschaften des Übertragungssystems
sind bekannt und invariabel während der
Lebensdauer des Systems.
• Vernachlässigbare Chance für nicht autorisierten
Zugriff.
• Übertragung über einen geschlossenen Luftspalt
• (z. B. Balise zu Zugantenne).
• Geschützter serieller Bus innerhalb des
sicherheitsrelevanten Systems (z. B. PROFIBUS,
CAN, MVB (multi purpose vehicle bus defined by
IEC)).
• Industrie-Standard LAN, der verschiedene
Einrichtungen verbindet (sicherheitsrelevant und nicht
sicherheitsrelevant) innerhalb eines einzelnen
Systems, das die Vorbedingungen erfüllen und
beibehalten muss.
• Eigenschaften sind unbekannt, teilweise
• Geschützter serieller Bus innerhalb des
unbekannt oder variabel während der
sicherheitsrelevanten Systems (z. B. PROFIBUS,
Lebensdauer des Systems.
MVB), aber mit der Möglichkeit, dass das
• Begrenzte Erweiterungsmöglichkeit für
Übertragungssystem während der Lebensdauer reNutzergruppen.
konfiguriert, oder durch ein anderes
• Bekannte Nutzergruppe oder –gruppen.
Übertragungssystem ersetzt werden kann.
• Vernachlässigbare Chance für nicht autorisierten • Industrie-Standard LAN, der verschiedene Systeme
Zugriff (Netzwerken wird vertraut).
verbindet (sicherheitsrelevant und nicht
• Gelegentliche Nutzung von nicht
sicherheitsrelevant) innerhalb eines kontrollieren und
sicherheitsrelevanten Netzwerken.
begrenzten Bereichs.
•…
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.2 Klassen von Kommunikationssystemen
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Typ
Hauptcharakteristiken
Beispiele
Kategorie 3
• Eigenschaften sind unbekannt, teilweise
unbekannt oder variabel während der
Lebensdauer des Systems.
• Unbekannte vielfache Nutzergruppen.
• Maßgebliche Chance für nicht autorisierten
Zugriff.
• Paket-orientierter Datendienst in öffentlichen
• Netzwerken.
• Internet.
• Verbindungs-orientierter Funk Datendienst (z. B.
• GSM-R).
• Paket-orientierter Funk Datendienst (z. B. GPRS).
• Nahbereichsfunk (z. B. Wi-fi).
• Funkübertragungssysteme ohne Einschränkungen.
Quelle: EN 50159-2
Page 9
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.3 Bedrohungen
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Nachrichtenfehler:
1. Wiederholung
2. Auslassung
3. Einfügung
4. Resequenzierung
5. Verfälschung
6. Verzögerung
7. Manipulation
erfordern
 Maßnahmen zur Gewährleistung der Authentizität
 Maßnahmen zur Gewährleistung der Reihenfolge
 Maßnahmen zur Gewährleistung der Rechtzeitigkeit
 Maßnahmen zur Gewährleistung der Integrität
Page 10
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.3 Bedrohungen – Beziehung Bedrohung/Klasse
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Bedrohung
Typ
Wiederhol
ung
Auslassung
Einfügung
Resequenzier
ung
Verfälschung
Verzögerung
Manipulation
Kategorie 1
+
+
+
+
++
+
-
Kategorie 2
++
++
++
+
++
++
-
Kategorie 3
++
++
++
++
++
++
++
Quelle: EN 50159-2
Page 11
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.4 Maßnahmen
1.
2.
3.
4.
5.
6.
7.
8.
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Sequenznummer
Zeitstempel
Zeitüberwachung
Quellen- und Zielbezeichner
Rücknachricht
Identifikationsprozedur
Sicherheitscode
Kryptographische Techniken
Page 12
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.4.1 Maßnahmen – Sequenznummer
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Sequenznummerierung erfolgt durch Hinzufügung einer laufenden Nummer
(genannt Sequenznummer) zu jeder einzelnen Nachricht, die zwischen einem
Sender und einem Empfänger ausgetauscht wird. Dieses erlaubt dem
Empfänger, die Folge der vom Sender bereitgestellten Nachrichten zu prüfen.
Anforderungen:
Der Sicherheitsnachweis muss aufzeigen, dass folgende Punkte im Hinblick auf die
Sicherheitsanforderungsstufe des Prozesses und die Art des sicherheitsrelevanten
Prozesses angemessen gelöst sind:



die Länge der Sequenznummer;
die Vorkehrungen zur Initialisierung der Sequenznummer;
die Vorkehrungen zur Wiederherstellung nach einer Unterbrechung der
Nachrichtensequenz.
Page 13
13.04.2015
Ralf Pinger / Stefan Gerken
Quelle: EN 50159-2
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
7.4.2 Maßnahmen – Zeitstempel
Test model
Analysis
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Wenn eine Einheit eine Information empfängt, ist die Bedeutung der Information
oft zeitbezogen. Der Grad von Abhängigkeit zwischen Information und Zeit kann
sich von Anwendung zu Anwendung unterscheiden. In gewissen Fällen kann
eine veraltete Information nutzlos und harmlos sein, und in anderen Fällen kann
sie eine potentielle Gefahr für den Nutzer darstellen. Die Lösungen können sich
in Abhängigkeit von dem zeitlichen Verhalten der Prozesse, die Informationen
austauschen (zyklisch, ereignisgesteuert usw.), unterscheiden.
Eine Lösung, die die Beziehungen zwischen Zeit und Informationen abdeckt, ist
die Hinzufügung von Zeitstempeln zu den Informationen. Diese Art von
Information kann anstelle der Sequenznummern oder kombiniert mit ihnen –
abhängig von den Anwendungsanforderungen – genutzt werden.
Quelle: EN 50159-2
Page 14
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
7.4.2 Maßnahmen – Zeitstempel
Test model
Analysis
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Anforderungen:
Der Sicherheitsnachweis muss aufzeigen, dass folgende Punkte im Hinblick auf die
Sicherheitsanforderungsstufe des Prozesses und die Art des sicherheitsrelevanten
Prozesses angemessen gelöst sind:




der Wert des Zeitinkrements;
die Genauigkeit des Zeitinkrements;
die Größe des Zeitgebers;
der absolute Wert der Zeitgeber (z. B. UTC (allgemeine koordinierte Zeit) oder einer
anderen globalen Zeit);
 der Synchronismus der Zeitgeber in den verschiedenen Einheiten;
 die Zeitverzögerung zwischen der Erzeugung der Information und Addition des
Zeitstempels auf ihr;
 die Zeitverzögerung zwischen der Prüfung des Zeitstempels und Nutzung der
Information.
Quelle: EN 50159-2
Page 15
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
7.4.3 Maßnahmen – Zeitüberwachung
Test model
Analysis
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Bei (typischerweise zyklischen) Übertragungen kann der Empfänger prüfen, ob
die Verzögerung zwischen zwei Nachrichten eine vordefinierte, erlaubte
Höchstzeit überschreitet. Falls dies der Fall ist, muss ein Fehler angenommen
werden.
Quelle: EN 50159-2
Page 16
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
7.4.3 Maßnahmen – Zeitüberwachung
Test model
Analysis
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Die Überwachung kann durch den Sender durchgeführt werden, falls ein
Rückkanal zur Verfügung steht. Beim Senden der Nachricht i startet der Sender
einen Zeitgeber. Der Empfänger der Nachricht i antwortet mit einer
Bestätigungsnachricht j auf die empfangene Nachricht i. Wenn der Sender die
entsprechende Bestätigungsnachricht j nicht innerhalb einer vorgegeben Zeit
empfängt, muss ein Fehler angenommen werden.
Quelle: EN 50159-2
Page 17
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
7.4.2 Maßnahmen – Zeitüberwachung
Test model
Analysis
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Anforderungen:
Der Sicherheitsnachweis muss aufzeigen, dass folgende Punkte im Hinblick auf die
Sicherheitsanforderungsstufe des Prozesses und die Art des sicherheitsrelevanten
Prozesses angemessen gelöst sind:
 die akzeptierbare Verzögerung;
 die Genauigkeit der Zeitüberwachung.
Quelle: EN 50159-2
Page 18
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
7.4.4 Maßnahmen – Quellen- und Zielbezeichner
Test model
Analysis
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Die Nachrichten können einen einzigartigen Quellenbezeichner oder einen einzigartigen
Zielbezeichner oder beides enthalten. Die Wahl hängt von der sicherheitsrelevanten
Anwendung ab. Diese Bezeichner werden von den sicherheitsrelevanten
Übertragungsfunktionen der Anwendung hinzugefügt.
 Die Einfügung eines Quellenbezeichners kann es den Nutzern der Nachrichten
ermöglichen zu prüfen, ob die Nachrichten von der beabsichtigten Quelle stammen,
ohne der Notwendigkeit eines Dialoges zwischen den Nutzern. Dies kann z. B. in
unidirektionalen oder Broadcast-Kommunikationssystemen hilfreich sein.
 Die Einfügung eines Zielbezeichners kann es den Nutzern der Nachrichten
ermöglichen zu prüfen, ob die Nachrichten für sie bestimmt sind, ohne der
Notwendigkeit eines Dialoges zwischen den Nutzern. Dies kann z. B. in
unidirektionalen oder Broadcast-Kommunikationssystemen hilfreich sein. Man kann
Zielbezeichner wählen, um einzelne Ziele oder Gruppen von Nutzern zu identifizieren.
Quelle: EN 50159-2
Page 19
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
7.4.2 Maßnahmen – Quellen- und Zielbezeichner
Test model
Analysis
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Anforderungen:
Der Sicherheitsnachweis muss aufzeigen, dass folgende Punkte im Hinblick auf die
Sicherheitsanforderungsstufe des Prozesses und die Art des sicherheitsrelevanten
Prozesses angemessen gelöst sind:
 die Einzigartigkeit der Bezeichner für die Einheiten im gesamten Übertragungssystem;
 die Größe des Bezeichnerdatenfeldes.
Quelle: EN 50159-2
Page 20
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.4.5 Maßnahmen – Rücknachricht
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Dort, wo ein geeigneter Übertragungskanal verfügbar ist, kann eine
Rücknachricht vom Empfänger der sicherheitskritischen Information an den
Sender gesendet werden. Der Inhalt dieser Rücknachricht kann Folgendes
umfassen:
 vom Inhalt der Originalnachricht abgeleitete Daten, entweder in identischer
oder in veränderter Form;
 vom Empfänger hinzugefügte Daten, die vom eigenen lokalen
Nutzerprozess abgeleitet wurden;
 zusätzliche Daten für sicherheitsrelevante Sicherheits- oder
Informationssicherheitszwecke.
Quelle: EN 50159-2
Page 21
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
7.4.6 Maßnahmen – Identifikationsprozedur
Test model
Analysis
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Bidirektionale Identifikation
Wo ein Rückkanal verfügbar ist, kann der Austausch der Einheitenbezeichner
zwischen den Sendern und Empfängern der Informationen zusätzliche Sicherheit
bieten, dass die Kommunikation tatsächlich zwischen den beabsichtigten Teilnehmern
geschieht.
Dynamische Identifikationsprozedur
Der dynamische Austausch von Informationen zwischen Sender und Empfänger –
einschließlich der Umwandlung und Rücknachricht der empfangenen Information zu
dem Sender – kann die Sicherheit bieten, dass die Kommunikationsteilnehmer nicht
nur behaupten, die korrekte Identität zu besitzen, sondern sich auch in der erwarteten
Art verhalten. Dieser Typ der dynamischen Identifikationsprozedur kann dazu
verwendet werden, die Übertragung der Information zwischen sicherheitsrelevanten
Prozessen einzuleiten und/oder sie kann während der Informationsübertragung selbst
verwendet werden.
Quelle: EN 50159-2
Page 22
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
7.4.7 Maßnahmen – Sicherheitscode
Test model
Analysis
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
In einem offenen Übertragungssystem werden im Allgemeinen
Übertragungscodes benutzt, um Bit- und/oder Büschelfehler zu entdecken
und/oder um die Übertragungsqualität durch Fehlerkorrekturmaßnahmen zu
erhöhen.
Der sicherheitsrelevante Prozess darf vom Standpunkt der Sicherheit aus
gesehen diesem Übertragungscode nicht vertrauen. Deshalb ist ein zusätzlicher
Sicherheitscode unter der Kontrolle des sicherheitsrelevanten Prozesses
gefordert, um Nachrichtenverfälschungen zu entdecken.
Quelle: EN 50159-2
Page 23
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.4.2 Maßnahmen – Sicherheitscode
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Anforderungen:
Der Sicherheitsnachweis muss aufzeigen, dass folgende Punkte im Hinblick auf die
Sicherheitsanforderungsstufe des Prozesses und die Art des sicherheitsrelevanten
Prozesses angemessen gelöst sind:
 die Fähigkeit, alle erwarteten Fehlerarten zu entdecken;
 die Wahrscheinlichkeit, dass eine Nachrichtenverfälschung entdeckt wird.
Quelle: EN 50159-2
Page 24
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
7.4.8 Maßnahmen – Kryptographische Techniken
Test model
Analysis
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Kryptographische Techniken können benutzt werden, wenn bösartige Angriffe
innerhalb des offenen Übertragungssystems nicht ausgeschlossen werden
können.
Diese Techniken können mit Sicherheitscodierungsverfahren kombiniert oder
separat eingesetzt werden.
Kryptographische Techniken beinhalten den Gebrauch von Schlüsseln und
Algorithmen. Der Wirksamkeitsgrad hängt von der Stärke der Algorithmen und
der Geheimhaltung der Schlüssel ab. Die Geheimhaltung eines Schlüssels hängt
von seiner Länge und seinem Management ab.
Quelle: EN 50159-2
Page 25
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
7.4.2 Maßnahmen – Kryptographische Techniken
Test model
Analysis
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Anforderungen:
Der Sicherheitsnachweis muss aufzeigen, dass folgende Punkte im Hinblick auf die
Sicherheitsanforderungsstufe des Prozesses und die Art des sicherheitsrelevanten
Prozesses angemessen gelöst sind:
 Technische Auswahl der kryptographischen Techniken einschließlich
 Leistungsfähigkeit des Verschlüsselungsalgorithmus,
 Rechtfertigung der gewählten Schlüssellänge,
 Häufigkeit des Schlüsselwechsels,
 physikalische Speicherung der Schlüssel;
 Managementaktivitäten einschließlich
 Erzeugung, Speicherung, Verteilung und Vernichtung der vertraulichen
Schlüssel,
 Management der Einrichtungen,
 Überprüfungsprozesse für die Angemessenheit der kryptographischen Techniken
in Bezug auf Risiken von bösartigen Angriffen.
Quelle: EN 50159-2
Page 26
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.5 Wirksamkeit von Maßnahmen
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Schutzmaßnahme
Bedrohung
SequenzZeit- Zeitüber- Quellen- RückIdentifikaSicher- Kryptogranummer stempel wachung und
nach- tionsprozedur heits- phische
Zielbericht
code Techniken
zeichner
Wiederholung
X
Auslassung
X
Einfügung
X
Resequenzierung
Verfälschung
X
X
X
X
X
X
X
Verzögerung
X
X
X
Manipulation
X
X
X
Quelle: EN 50159-2
Page 27
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013
Model based
Software Engineering
Model based
Development
Model based
Testing
Application
model
Test model
Analysis
7.6 Nachweis
Modeltransformation
Code
(executable)
Modeltransformation
Testcases
(executable)
Alle Schutzmaßnahmen müssen entsprechend den Anforderungen nach EN
50129 implementiert werden. Das bedeutet, dass die Schutzmaßnahmen
 entweder komplett innerhalb der sicherheitsrelevanten
Übertragungseinrichtungen des Systems implementiert sein müssen oder
 Zugriffsschutzmaßnahmen umfassen dürfen, die nicht innerhalb der
sicherheitsrelevanten Einrichtung implementiert sind. In diesem Fall muss
das ständige korrekte Funktionieren des Zugriffsschutzprozesses durch für
diese Anwendung adäquate sicherheitsrelevante Techniken geprüft werden.
Quelle: EN 50159-2
Page 28
13.04.2015
Ralf Pinger / Stefan Gerken
Software in sicherheitsrelevanten Systemen
Sommersemester 2013