Der Verband ist eine Vereinigungen mehrerer unserer Kunden, die die Vorgaben auch verbindlich umsetzen müssen.
Also so ähnlich wie die Berufsgenossenschaft.

Nach Rücksprache darf das innere Verhalten scheinbar nicht bekannt sein. Aus diesem Grund wird auch ausschließlich propertiäre Software eingesetzt. Kein Witz.
Das heißt: Was der Verband nicht weiß macht in nicht heiß.<-Zitat des Mitarbeiters
Dafür gibt es Riesenärger wenn doch was schiefläuft.

Verwirend ist, dass wir vor ein paar Jahren noch PCs ausgeliefert haben und das hat keinen gestört, da er ja auch effektiv nicht mehr macht als unsere Software.

Dazu müsste ich ein Seminar besuchen und das geht ins mittlere fünfstellige...

Es kann doch wohl nicht wahr sein, das jemand ernsthaft Security by Obscurity als tragfähiges Sicherheitskonzept definiert.

Teeren und Federn sollte man die.

Vermutlich sollten nur genormte Rechner verwendet werden, aber normale Netzwerk-fähige Geräte (Drucker, usw...) nicht ausgeschlossen werden. Und nun nutzt das jeder um die Richtlinie zu umgehen, die sie selbst beschlossen haben

Vielleicht solltest du deinem ARM ein schwarzes Geräte-Gehäuse kaufen und das dann verplomben, damit niemand unbemerkt reingucken kann -> "Blackbox" im doppelten Wortsinn. Wenn du es geschickt anstellst und das Ergebnis nicht zu sehr PC-Gehäuse aussieht, könnte das vielleicht Eindruck bei den Bürokraten machen.

shmia's Ansatz mit DMZ klingt sehr vernünftig, aber wie du das beschreibst, wäre dass der wohl größte Sicherheitsaufwand, der da je betrieben wurde. Vor einer erste Firewall sollte ein Rechner mit einer Datenbanksoftware vielleicht auch nicht eingebunden sein.


Bei der Konstellation würde ich vielleicht trotzdem vermeiden, dem Kunden zuzusichern, dass das Gerät den "Blackbox-Anforderungen" genügt.

Ich weiß zwar nicht ob die Definition noch interessiert oder wie der Verband es definiert oder was man im Flugzeugbau unter BlackBox versteht, aber als ich Elektroniker gelernt habe, war der Begriff allgegenwärtig. Unter BlackBox verstanden wir ein Etwas dem man ein Input zugefügte und aus dem ein Output nach definierten Regeln raus kam. Es blieb der BlackBox überlassen wie sie den Input verarbeitete, Hauptsache das Ergebnis war korrekt. Das brauchte uns nicht zu interessieren, eben eine Blackbox. Wie also mein Taschenrechner 2 und 3 zusammen addiert ist sein Problem, ob 2 + 3 oder 1 + 1 + 1 + 1 + 1, Hauptsache es kommt ein 5 raus. In dem Fall ist der Taschenrechner eine BlackBox.

Ich glaube, ohne die genaue schriftliche Definition dessen, was dort erlaubt/verboten ist kommt man einfach keinen Meter weiter hier. "Blackbox" alleine ist einfach ein viel zu unscharfer Begriff, der grad in diesem Zusammenhang ausgiebiger Definitions-Prosa bedarf. Dass die Idee dahinter vermutlich höchst fragwürdig ist denke ich auch, aber Kunde ist Kunde. Und bei sowas zu versuchen mit besten Absichten etwas wirklich zu verbessern, führt wahrscheinlich am Ende nur zu weniger Aufträgen und sonst nix. Scheiss Spiel, aber dann musst du es eben Spielen. Nur ohne die ganz genauen Regeln rauszugeben wäre es recht unfair.

Wenn man dir kein ordentliches Schriftstück an die Hand geben kann, was diese Definition zu leisten vermag, würde ich es aber tatsächlich auch einfach mal mit einem entsprechend bestückten schwarzen Gehäuse versuchen . (Sollte aber leitfähiges Metall sein, sonst genügen PC-Innereien nicht irgendwelchen Anforderungen an Strahlung, Funk und Blub. Genaues weiss ich da nicht, aber Computer ohne Schirmung bekommen diverse Siegel nicht, und stören tatsächlich andere Geräte teils massiv.)

Ich kann hier nur ein bischen aus meiner eigenen Erfahrung berichten: Wie liefern in erster Linie für medizinische Forschung auf der ganzen Welt. Das Thema, was wir denn wo aufstellen dürfen ist daher für uns immer interessant - die Uni X in Nordamerika hat ganz andere Vorgaben wie die Uni Y in Japan oder die Klinik Z in Südafrika.

Daher ist eine generelle Aussage (auch dazu, was denn eine Blackbox ist) einfach nicht möglich - da gibts keine verbindlichen Normen, nicht EU-Weit und schon gar nicht Weltweit.

Wir gehen daher eigentlich fast immer den Weg, das Kastl wenig wie möglich zu beschreiben. Ob da ein ARM, ein PIC oder gar eine SPS drin ist geht den Kunden nur bedingt was an - wir liefern ein Kastl mit diesen Anschlüssen und jenen Anforderungen und solchen Abmessungen. Wir haben die Erfahrung gemacht, daß dann am wenigsten nachgefragt wird.

Hilfreich ist auch, wenn wir bei einem Netzwerkanschluss genau spezifizieren, welches Protokoll über welchen Port mit welcher Gegenstelle reden muss. Dann können die Netzwerkleute vor Ort das zur Not auch in einen eingenen Sicherheitsbereich hängen.

Gruß
Luggi

Ein sicheres LAN hat auch einen HARDWARE-PROXI.

Das wäre dann die BLACKBOX.