Logo of the Physikalisch-Technische Bundesanstalt

PTB entwickelt webbasierte Abfrage von Schwachstellen in Universal-Betriebssystemen auf eichpflichtigen Messgeräten (CVE-Analysator)

06.04.2022

Zur Konformitätsbewertung von Messgeräten, die dem Mess- und Eichgesetz unterliegen, gehört auch die Prüfung der Absicherung des darunterliegenden Universal-Betriebssystems. Unter bestimmten Voraussetzungen ist es möglich, solche Betriebssysteme über deren Konfiguration abzusichern, um die Anforderungen des europäisch harmonisierten WELMEC 7.2 Softwareleitfadens zu erfüllen.

Für den systematischen Abgleich der Komponenten eines Universal-Betriebssystems mit einer Schwachstellen-Datenbank (MITRE-CVE, NIST-NVD) wurde von der PTB ein auf Open-Source Software basierendes Framework für die Konformitätsbewertung adaptiert („PTB CVE Tool“, s. Abb. 1). Während der Prüfung eines Messgerätes kann die Liste der Komponenten des Betriebssystems vom Werkzeug eingelesen und automatisiert mit der Datenbank abgeglichen werden. Durch diese Automatisierung wird ein Beitrag zur Beschleunigung der Konformitätsbewertung bei der PTB geleistet und die Dienstleistungsqualität gegenüber den Industriekunden erhöht.

Universal-Betriebssysteme bestehen aus einer Vielzahl an Komponenten, die in Form von Treibern, Kernelmodulen, Bibliotheken und Hintergrund-Diensten zur Unterstützung der messtechnischen Software und somit für einen reibungslosen Ablauf des Messprozesses eingesetzt werden. Diese Komponenten unterliegen einem Entwicklungs- und Alterungsprozess, d.h., es sind Programmierfehler enthalten, die bspw. im Kontext der Qualitätssicherung oder IT-Sicherheit sichtbar werden.

In der IT-Sicherheit werden diese Fehler als Schwachstellen bezeichnet und in speziellen IT-Portalen (MITRE-CVE, NIST-NVD) nach Schweregrad kategorisiert. Entwickelt der Hersteller oder die Community für das Betriebssystem einen Softwarepatch zur Behebung des Fehlers, so wird diese Schwachstelle in der jeweiligen Datenbank als geschlossen markiert.

 In seltenen Fällen werden Komponenten gefunden, deren Schwachstelle zu einer schwerwiegenden Sicherheitslücke des Systems auf dem Messgerät führen kann. Die Konformitätsbewertungsstelle wird daraufhin den Hersteller des Messgerätes auffordern, die Komponente mit einer gepatchten Version zu aktualisieren oder – falls das nicht möglich ist – zu deaktivieren.

In einer zukünftigen Version des Werkzeugs "PTB CVE Tool" (Abb.1) sollen auch die Komponenten von Betriebssystemen von bereits im Markt befindlichen Messgeräten auf neu entdeckte Schwachstellen systematisch überwacht werden.

Das Mess- und Eichgesetz (§19 MessEG) legt als Aufgabe einer Konformitätsbewertungsstelle fest, die Einhaltung der wesentlichen Anforderungen nach der EU-Messgeräterichtlinie MID zur Gewährleistung richtiger Messungen bei der Konformitätsbewertung zu prüfen sowie bei im Markt befindlichen Messgeräten die Einhaltung zu überwachen. Dazu gehört auch eine regelmäßige Überprüfung des auf dem Messgerät installierten Universal-Betriebssystems auf eine Produktreife nach dem Stand der Technik (§6 Abs. 2 MessEG).

 

(R. Meyer, AG 8.51, Opens local program for sending emailReinhard.Meyer)

[Translate to English:] « Zurück