M 4.89 Abstrahlsicherheit

Verantwortlich für Initiierung: IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement

Jedes elektronische Gerät strahlt mehr oder weniger starke elektromagnetische Wellen ab. Diese Abstrahlung ist als Störstrahlung bekannt und ihre maximal zulässige Stärke ist im Gesetz über die elektromagnetische Verträglichkeit von Geräten (EMVG) geregelt. Bei Geräten, die Informationen verarbeiten (PC, Drucker, Fax-Gerät, Modem, etc.) kann diese Störstrahlung auch die gerade verarbeitete Information mit sich führen. Derartige informationstragende Abstrahlung wird bloßstellende Abstrahlung genannt. Wird die bloßstellende Abstrahlung in einiger Entfernung, z. B. in einem Nachbarhaus oder auch in einem in der Nähe abgestellten Fahrzeug empfangen, kann daraus die Information rekonstruiert werden. Die Vertraulichkeit der Daten ist damit in Frage gestellt. Die Grenzwerte des EMVG reichen im allgemeinen nicht aus, um das Abhören der bloßstellenden Abstrahlung zu verhindern. Hierzu müssen in aller Regel zusätzliche Maßnahmen getroffen werden.

Bloßstellende Abstrahlung kann einen Raum auf unterschiedliche Weise verlassen:

• in Form von elektromagnetischen Wellen, die sich wie Rundfunkwellen durch den freien Raum ausbreiten.
• als leitungsgebundene Abstrahlung entlang metallischer Leiter (Kabel, Klimakanäle, Heizungsrohre).
• durch Überkoppeln von einem Datenkabel in parallel hierzu verlegte Kabel. Auf dem Parallelkabel breitet sich die Abstrahlung aus und kann von diesem noch in großer Entfernung abgegriffen werden.
• als akustische Abstrahlung, z. B. bei Druckern. Die Detailinformationen des Druckvorgangs breiten sich über Schall beziehungsweise Ultraschall aus und können mit Mikrofonen aufgenommen werden.
• in Form von akustischer Überkopplung auf andere Geräte. Die Schallwandlung in elektrische Signale erfolgt dabei durch schallempfindliche Geräteteile, die unter bestimmten Voraussetzungen ähnlich wie ein "Mikrofon" arbeiten können. Die weitere Ausbreitung erfolgt dann entlang metallischer Leiter oder auch in Form elektromagnetischer Raumstrahlung.
• Bloßstellende Abstrahlung kann auch durch eine äußere Manipulation von Geräten verursacht werden. Wird z. B. ein Gerät mit Hochfrequenzenergie bestrahlt, können die im Gerät ablaufenden elektrischen Vorgänge die eingestrahlten Wellen so beeinflussen, daß diese nun die verarbeitete Information mit sich tragen.

In allen Fällen hat die Installation, also die Verkabelung der Geräte untereinander und mit dem Stromversorgungsnetz, einen wesentlichen Einfluß auf die Ausbreitung und damit auch auf die Reichweite der Abstrahlung.

Vom BSI wurden und werden verschiedene Schutzmaßnahmen entwickelt, welche die Gefährdung ohne wesentliche Kostensteigerung wirksam reduzieren. Dazu gehören:

• Zonenmodell

Vom BSI wurde ein Zonenmodell entwickelt, welches die Ausbreitungsbedingungen für bloßstellende Abstrahlung bei den jeweiligen Gebäude- und Geländeverhältnissen berücksichtigt. Dabei wird die Abschwächung der Abstrahlung auf ihrem Weg vom verursachenden IT-Gerät zum potentiellen Empfänger meßtechnisch erfaßt. Abhängig von den Gegebenheiten am Einsatzort können gegebenenfalls Geräte eingesetzt werden, an denen nur geringfügige oder gar keine Sonderentstörmaßnahmen durchgeführt wurden.

• Quellenentstörung

Die Quellenentstörung bewährt sich besonders bei der Neuentwicklung von IT-Produkten. Hier wird die bloßstellende Abstrahlung bereits am Entstehungsort innerhalb des Gerätes unterdrückt oder so verändert, daß sie nicht mehr auswertbar ist. Durch diese Methode kann z. B. auch der Einsatz kostengünstiger Kunststoffgehäuse möglich werden, mit vernachlässigbar geringen Auswirkungen auf den Serienpreis.

• Abstrahlkriterienwerk

Ein detailliertes Abstrahlkriterienwerkes dient zur abgestuften Prüfung von IT-Geräten bzw. - systemen. Grundgedanke dieses Konzeptes ist es, den Umfang der Schutzmaßnahmen so gut wie möglich an die vom Anwender angenommene Bedrohungslage anzupassen, um so bei minimalem Kostenaufwand ein Optimum an Abstrahlsicherheit zu erzielen.

• Kurzmeßverfahren

Die Erarbeitung von Kurzmeßverfahren und Manipulationsprüfverfahren erlaubt, auch nach Wartung, Reparatur oder möglichen unberechtigten Zugriffen die Abstrahlsicherheit mit möglichst geringem Aufwand sicherzustellen.

• Einsatz abstrahlarmer bzw. abstrahlgeschützter Geräte

Hersteller von PC-Bildschirmen werben häufig mit dem Begriff "abstrahlarm" nach MPR II, TCO oder SSI. Diese Richtlinien berücksichtigen jedoch ausschließlich mögliche gesundheitsschädliche Auswirkungen der Gerätestrahlung. Die Meßverfahren und Grenzwerte für die Strahlung sind daher für den Nachweis bloßstellender Abstrahlung völlig ungeeignet und ermöglichen keine Bewertung der Sicherheit gegen unberechtigtes Mitlesen der Daten über bloßstellende Abstrahlung.

Daneben werden aber auch speziell abstrahlgeschützte IT-Systeme angeboten. In diesem Bereich gibt es zahlreiche Abstufungen des angebotenen Abstrahlschutzes. Um insbesondere bei hochschutzbedürftigen IT-Systemen eine Einstufung zu ermöglichen, wurden vom BSI sogenannte TEMPEST-Kriterien (Temporary Emission and Spurious Transmission) entwickelt. Ob ein Hersteller abstrahlgeschützte Geräte gemäß diesen TEMPEST-Kriterien in seinem Lieferprogramm anbietet, sollte durch eine Rückfrage beim Hersteller, beim BSI bzw. durch Einsicht in die offizielle Produktübersicht BSI 7206 geklärt werden. Dabei gehört zu der Aussage, daß für ein Gerät eine TEMPEST-Zulassung vorliegt, immer auch die Aussage des Zulassungsgrades.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.