Vermutlich sollten nur genormte Rechner verwendet werden, aber normale Netzwerk-fähige Geräte (Drucker, usw...) nicht ausgeschlossen werden. Und nun nutzt das jeder um die Richtlinie zu umgehen, die sie selbst beschlossen haben

Vielleicht solltest du deinem ARM ein schwarzes Geräte-Gehäuse kaufen und das dann verplomben, damit niemand unbemerkt reingucken kann -> "Blackbox" im doppelten Wortsinn. Wenn du es geschickt anstellst und das Ergebnis nicht zu sehr PC-Gehäuse aussieht, könnte das vielleicht Eindruck bei den Bürokraten machen.

shmia's Ansatz mit DMZ klingt sehr vernünftig, aber wie du das beschreibst, wäre dass der wohl größte Sicherheitsaufwand, der da je betrieben wurde. Vor einer erste Firewall sollte ein Rechner mit einer Datenbanksoftware vielleicht auch nicht eingebunden sein.


Bei der Konstellation würde ich vielleicht trotzdem vermeiden, dem Kunden zuzusichern, dass das Gerät den "Blackbox-Anforderungen" genügt.