BSI Zonenmodell der Abstrahlsicherheit: Datenspionage über Abstrahlung vermeiden

BSI Zonenmodell
Das Zonenmodell des BSI (Bundesamt für Sicherheit in der Informationstechnik) spielt eine wichtige Rolle bei der IT-Sicherheit von Hardware. Bisher findet es vor allem Anwendung bei Informationen, die staatlichem Geheimschutz unterliegen. Doch auch für Unternehmen gewinnt das BSI Zonenmodell zunehmend an Relevanz, da Wirtschaftsspionage zu einem immer größeren Sicherheitsrisiko wird. In diesem Artikel erfahren Sie, was es mit dem nationalen Zonenmodell der Abstrahlsicherheit auf sich hat.

Inhaltsverzeichnis

Kompromittierende Abstrahlung von IT-Geräten wird zum Einfallstor für Cyberkriminelle

Jedes elektrische Gerät, sei es der Computer, die Tastatur oder der Drucker, sendet elektromagnetische Wellen aus. Die sogenannte kompromittierende Abstrahlung breitet sich wie Rundfunkwellen im freien Raum aus. Das Gefährliche dabei: die Wellen lassen Rückschlüsse auf die in den Geräten verarbeiteten Daten zu. So wird die IT-Hardware zum Einfallstor für Cyberkriminelle. Dabei handelt es sich keinesfalls um eine neue Angriffsmethode der Datendiebe – bereits im Jahr 1996 schrieb DER SPIEGEL:

Wer mit handelsüblichen Rechnern arbeitet, könnte seine Firmengeheimnisse ebenso gut mit dem Diaprojektor auf die Wand des Nachbargebäudes werfen.

DER SPIEGEL Nr. 36/2. 9.96 S. 195

Denn mithilfe bestimmter Messgeräte sind Spione in der Lage, die kompromittierende Abstrahlung zu empfangen und auszuwerten. Weder Firewalls noch Antivirenprogramme verhindern ein solches Abgreifen der Daten. Werden die Angreifer nicht an Ort und Stelle erwischt, lässt sich die Cyberattacke nicht mehr nachweisen. Das betroffene Unternehmen bemerkt also nicht, dass geheime Informationen in die falschen Hände geraten sind.

Abstrahleigenschaften von Gebäuden und IT-Hardware bestimmen das Sicherheitsrisiko

Sowohl die Abstrahleigenschaft des IT-Geräts als auch die Dämpfung des Gebäudes sind maßgeblich für das Risiko eines solchen Cyberangriffes verantwortlich. Das BSI misst im Rahmen des Zonenmodells, wie stark die Abschwächung der Abstrahlung zwischen Sender (abstrahlende IT-Hardware) und Empfänger (Datendieb) ist. Dabei wird sowohl die Durchlässigkeit des Gebäude als auch die Distanz zu den Standorten möglicher Spione berücksichtigt. Auf Basis dieser Daten empfiehlt das BSI anschließend den benötigten Schutzgrad des IT-Geräts am vermessenen Standpunkt.

BSI Zonenmodell: Abstrahlung im Gebäude
Je besser der Standort durch z.B. Wände geschützt ist, desto geringer muss das Gerät selbst geschützt sein

Bei der sogenannten Freiraumdämpfung befindet sich das Gerät auf freiem Feld – die Abstrahlung wird in diesem Fall von keinen Gebäudewänden verringert, sondern schwächt lediglich mit zunehmender Distanz zwischen Gerät und Angreifer ab. Je ungedämpfter das Gebäude ist, in dem sich die IT-Hardware befindet, desto besser muss der Abstrahlschutz des Geräts selbst sein.

Übrigens: Geschäftsführer haften persönlich bei Schäden aufgrund mangelnden Hardwareschutzes. Mehr zu den gesetzlichen Pflichten erfahren Sie in unserem Whitepaper.

Nur die Kombination aus beiden Schutzmaßnahmen (gedämpftes Gebäude und abstrahlgeschütztes Gerät) bietet die höchstmögliche Sicherheit gegen einen Cyberangriff über elektromagnetische Abstrahlung.

BSI Zonenmodell: Zoneneinteilung der IT-Geräte und des Standorts

Bei der Anwendung des Nationalen Zonenmodells der Abstrahlsicherheit überprüft das BSI vor Ort unter Berücksichtigung der baulichen Schutzmaßnahmen, wie stark ein Gerät geschützt werden sollte, um das Risiko eines möglichen Cyberangriffs über kompromittierende Abstrahlung zu minimieren.

die Einteilung der Zonen nach dem BSI Zonenmodell
Das BSI Zonenmodell unterteilt sich in Zonen von 0 bis 3

Zone 3: Hoher Schutz des Gebäudes, geringer Schutz des Geräts

Ein Gerät nach Zone 3 strahlt bei einer Freiraumdämpfung auf mehr als 1.000 Meter Entfernung ab. Dies ist bei den meisten handelsüblichen IT-Geräten der Fall. Bei einem solchen Gerät ist es unbedingt erforderlich, das Gebäude stark abzuschirmen, um ein Abhören auf Entfernung zu verhindern. Ein Gebäude der Zone 3 muss so stark geschützt sein, dass für das Gerät selbst keine weiteren Entstörmaßnahmen notwendig sind.

Zone 2: Abstrahlschutz bei nicht von außen einsehbaren Räumen

Bei innenliegenden, von außen nicht einsehbaren Büros reicht in der Regel ein Zone-2-Gerät aus, um das Abstrahlrisiko zu minimieren. Befindet sich die Hardware jedoch in einem von außen einsehbaren Raum, so ist die Gebäudedämpfung zu gering und es empfiehlt sich ein Zone-1-Gerät. Ein Bürogebäude mit Fensterfront ist zwar schön, bietet Cyberkriminellen jedoch ohne weitere Schutzvorkehrung die Möglichkeit, sensible Daten über elektromagnetische Strahlung abzufangen.

Cyberangriff auf Büro mithilfe von elektromagnetischer Abstrahlung
Büros mit Fenstern erleichtern den Datendieben das Abgreifen von Unternehmensdaten

Zone 1: Gerät mit optimalen Abstrahlschutz

Bei einem Zone-1-Gerät ist eine zusätzliche Dämpfung des Gebäudes nicht mehr notwendig, da das Gerät selbst einen hohen Abstrahlschutz aufweist. Die Verwendung eines solchen abstrahlsicheren Geräts gemäß Zone 1 empfiehlt sich für alle Unternehmen, die ihre geheimen Informationen weiterhin geheim halten möchten.

Zone 0: Sehr hohe Anforderung an den Abstrahlpegel

Geräte gemäß Zone 0 müssten so stark geschützt werden, dass auf bis zu 20 Meter keine Abstrahlung mit verwertbaren Daten abgegriffen werden kann. Die Umsetzung eines solchen Abstrahlschutzes ist technisch-physikalisch extrem aufwendig.

Mindestanforderungen an Abstrahleigenschaften von TEMPEST-Geräten

TEMPEST („Transient Electromagnetic Pulse Emanation Standard“) – so heißt das Abhörverfahren, bei dem kompromittierende Strahlung empfangen und ausgewertet wird. Der Begriff stammt von einem geheimen US-Projekt, bei dem dieses Verfahren unter dem Decknamen „TEMPEST“ angewendet wurde. Mittlerweile hat sich der Ausdruck als Zertifizierung für IT-Geräte durchgesetzt, welche den Anforderungen des Abstrahlschutzes entsprechen.

Liegenschafts-/Gebäude­-ZoneBis einschließlich
GEHEIM
Bis einschließlich
VS-VERTRAULICH
Zone 0: (>8) bis 20 m„Level A“-Gerät„Zone 1-Gerät“
Zone 1: >20 bis 100 m„Zone 1 -Gerät“„Zone 2-Gerät“
Zone 2: >100 bis 1000 m„Zone 2 -Gerät“„Zone 3-Gerät“
Zone 3: >1000 m„Zone 3 -Gerät“„Zone 3-Gerät“
Tabelle 1: Mindestanforderungen an
Abstrahleigenschaften eines TEMPEST-Geräts
Quelle: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Geheimschutz/Abstrahlsicherheit/Verfuegbare-abstrahlgepruefte-Geraete/verfuegbare-abstrahlgepruefte-geraete.html

Wir entwickeln & fertigen nach Comsec-Zone 1 abstrahlgeprüfte Geräte

Dank unserer jahrzehntelangen Zusammenarbeit mit der Rüstungsindustrie sind wir dazu in der Lage, nach Comsec-Zone 1 abstrahlgeprüfte Geräte zu entwickeln und zu fertigen. Wenn Sie weitere Fragen zu unseren Produkten haben oder sich für einen solchen IT-Hardwareschutz interessieren, schreiben Sie uns gerne eine E-Mail an info@heinen-ics.de!

Ihnen hat der Artikel gefallen? Dann teilen Sie ihn gerne mit Ihrem Netzwerk: