{"id":3328,"date":"2022-06-07T09:29:00","date_gmt":"2022-06-07T07:29:00","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=3328"},"modified":"2022-06-08T10:17:18","modified_gmt":"2022-06-08T08:17:18","slug":"i-kfz-anforderungen-an-penetrationstests-vom-kraftfahrt-bundesamt-kba","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/regulatorik\/i-kfz-anforderungen-an-penetrationstests-vom-kraftfahrt-bundesamt-kba\/","title":{"rendered":"i-Kfz: Anforderungen an Penetrationstests vom Kraftfahrt-Bundesamt (KBA)"},"content":{"rendered":"\n<p>Die &#8222;Mindestsicherheitsanforderungen an dezentrale Portale und Zulassungsbeh\u00f6rden&#8220; zur &#8222;internetbasierten Fahrzeugzulassung (i-Kfz)&#8220; vom Kraftfahrt-Bundesamt (KBA) sind au\u00dferordentlich umfangreich. Sie beinhalten neben der Architektur des i-Kfz-Systems, seiner Schnittstellen und daraus abgeleiteten Sicherheitsanfordeurngen unter anderem auch Anforderungen an die Durchf\u00fchrung eines Penetrationstests.<\/p>\n\n\n\n<p>Zur Pr\u00fcfung der Wirksamkeit der implementierten Sicherheitsma\u00dfnahmen verlangt das KBA als Penetrationstest die Durchf\u00fchrung von:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>IS-Kurzrevision (wenn keine ISO 27001\/IT-Grundschutz-Zertifizierung vorhanden)<\/li><li>IS-Webcheck<\/li><li>IS-Penetrationstest<\/li><\/ul>\n\n\n\n<p>Alle o.g. Tests sind dabei als White-Box-Test durchzuf\u00fchren und es darf nur fachlich qualifiziertes und unabh\u00e4ngiges Personal eingestetzt werden.<\/p>\n\n\n\n<p>Als <strong>IS-Wecheck<\/strong> ist dabei ein nicht invasiver Schwachstellenscan (definierte Pr\u00fcftiefe) mit manueller Validierung der Schwachstellen vorgesehen. Hierbei soll auf die OWASP Top 10 gepr\u00fcft werden sowie die entsprechenden Module vom IS-Webcheck durchgef\u00fchrt werden: &#8222;Modul 1 \u2013 Schwachstellensuche&#8220;, &#8222;Modul 2 \u2013 Schwachstellentest&#8220;, &#8222;Modul 3 \u2013 Logische Fehler\/Konfigurationsfeher&#8220; sowie &#8222;Modul 4 \u2013 Exploits (optional)&#8220;. Der Test ist dabei \u00fcber das Internet durchzuf\u00fchren und die Filterung eines vorgeschalteten Sicherheitsgateways ist dabei zu deaktivieren.<\/p>\n\n\n\n<p>Im <strong>IS-Penetrationstest<\/strong> wird prim\u00e4r die technische Angriffsoberfl\u00e4che einer Institution nach au\u00dfen hin untersucht. Als Pr\u00fcftiefe ist hier ein technischer Sicherheitsaudit in Kombination mit einem nicht-invasiven Schwachstellen-Scan definiert. Im Scope sind dabei mindestens alle Netzwerkelemente, Sicherheitsgateways, Server, Webanwendungen, relevante Clients und Infrastruktureinrichtungen zu pr\u00fcfen, sofern technisch m\u00f6glich und sinnvoll. Dabei sind folgende Module durchzuf\u00fchren: &#8222;Modul 1 \u2013 konzeptionelle Schw\u00e4chen&#8220;, &#8222;Modul 2 \u2013 Umsetzung H\u00e4rtungsma\u00dfnahme&#8220;, &#8222;Modul 3 \u2013 Bekannte Schwachstelle&#8220; und &#8222;Modul 4 \u2013 Exploits (optional)&#8220;.<\/p>\n\n\n\n<p>Hierbei ist zu erw\u00e4hnen, dass die geforderte Pr\u00fcftiefe erfahrungsgem\u00e4\u00df eher als nicht-invasiver Penetrationstest ausgelegt werden sollte. Der Einsatz eines typischen automatisierten Schwachstellen-Scanners ist zur Analyse der gestellten Anforderungen technisch nicht ausreichend.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die &#8222;Mindestsicherheitsanforderungen an dezentrale Portale und Zulassungsbeh\u00f6rden&#8220; zur &#8222;internetbasierten Fahrzeugzulassung (i-Kfz)&#8220; vom Kraftfahrt-Bundesamt (KBA) sind au\u00dferordentlich umfangreich. Sie beinhalten neben der Architektur des i-Kfz-Systems, seiner Schnittstellen und daraus abgeleiteten Sicherheitsanfordeurngen unter anderem auch Anforderungen an die Durchf\u00fchrung eines Penetrationstests. Zur Pr\u00fcfung der Wirksamkeit der implementierten Sicherheitsma\u00dfnahmen verlangt das KBA als Penetrationstest die Durchf\u00fchrung von: IS-Kurzrevision &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/regulatorik\/i-kfz-anforderungen-an-penetrationstests-vom-kraftfahrt-bundesamt-kba\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[250],"tags":[258,254,256,255,253,257,248],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-3328","6":"format-standard","7":"category-regulatorik","8":"post_tag-ikfz","9":"post_tag-is-kurzrevision","10":"post_tag-is-penetrationstest","11":"post_tag-is-webcheck","12":"post_tag-it-grundschutz","13":"post_tag-kba","14":"post_tag-owasp-top-10"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3328","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3328"}],"version-history":[{"count":19,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3328\/revisions"}],"predecessor-version":[{"id":3351,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3328\/revisions\/3351"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}