Guten Tag,

Hier in der Firma haben wir ein Problem: Wir würden gerne ein Stück Hardware ausliefern, welches bisher über RS232 von unserer Windows Software gesteuert wird. Die meisten Endkunden würden sich wünschen, dass wir auch den dazugehörigen PCs liefern.
Das wiederum ist jedoch nicht möglich, da ein Verband es verbietet einen "fremden PC" ins Netzwerk einzubinden, weil dieser ja eine Sicherheitslücke bedeuten würde. Durchaus verständlich bei einen Standard WinXP.

Es gibt jedoch das Schlupfloch "Blackbox". Dieses erlaubt es uns "Geräte" ins Netzwerk zu bringen.
Nun kamen wir auf die Idee einen kleinen ARM SBC mit einem Linux System zu verwenden.

Der Verband könnte uns das jedoch auch verbieten, da es ja "so ähnlich wie ein PC" ist.
Nun kam die Frage auf wo eigentlich "Blackbox" anfängt bzw. aufhört.

Wie denkt ihr darüber, ist ein vernünftig eingerichteter Embedded Linux Rechner mit MySQL wirklich so ein Sicherheitsproblem? Was wären die Alternativen?

Wenn ich mir mal die Definition anseh, dann würde ich eine Black-Box für ein größeres Sicherheitsrisiko erachten, als einen "normalen" PC.

Flugzeuge: So'nen Teil, dem man alles sagt, das sich alles mögliche merkt und selbst den Weltuntergang grade noch so überleben würde.

Computer: Ein Gerät, wo man nur weiß was es äußerlich macht, von dem aber keiner eine Ahnung davon hat, was drinnen wirklich passiert.

> Etwas im Netz, von dem keiner weiß was es macht, soll also sicherer sein, als ein PC, wo man wenigstens ein bills was weiß?



Im Prinzip dürfte die garnicht direkt am Netz hängen, um garnicht erst die Möglichkeit zu bekommen, um irgendwas "böses" zu machen.
Wenn die an einem anderem Gerät hängt, das eine definierte Schnittstelle besitzt (sowas besitzt auch eine Black-Box), um mit dem Netz zu interagieren, wo aber nichts gemacht werden kann, was die Schnittstelle nicht hergibt, dann wäre es schon sicher.
Aber dafür braucht man wieder keine Black-Box, denn wer mit dieser Schnittstelle redet, ist ja egal, Hauptsache es kommt über die Schnittstelle die Funktion an, welche benötigt wird.

Das Problem ist hauptsächlich die Überlegung, dass ein Angreifer theoretisch eine eigene Schnittstelle einpflanzen könnte. Dass dann ein klassischer Windows PC nicht das Mittel der Wahl ist, ist klar. Dass es schwierig ist in einem Embedded Linux System, auf dem nur MySQL und unsere Software läuft (die nicht mit dem LAN kommuniziert) ist auch klar.

Aber wie mache ich das einem Bürokraten klar?
Wie erkläre ich den Unterschied zwischen einem Embedded Linux System, das laut Tabelle dasselbe ist wie ein PC, und einem Rechner mit Windows XP ohne SP und IE5/6?

Das dürfte ganz einfach sein. Wenn man nur auf die Bezeichnung schaut.

PC steht für Personal Computer. Genau genommen basiert dieser Name von IBM geprägten Namen IBM-PC.
Also schauen wir auf die Architektur.
IBM-PC basieren auf Intel CPUs und haben einen interen Bus.
Ergebnis du nimmst eine andere Architektur z.B. ARM und das Geräte würde nicht mehr PC heißen.
Alternativ ist ein PC ein persönlich zu benutzendes Gerät.
Ein Embedded-Geräte ohne Monitor, Tastatur und Maus kann nicht persönlich genutzt werden.
Somit tragen diese auch normal nicht den Namen "PC".

Im Zweifelsfall, nimm einen Router/Handy und mach da eure Software drauf.

Danke erstmal für eure Antworten.

Wir wissen bereits, dass andere Firmen mit Headless IPC-Lösingen abgewiesen wurden.

In letzter Zeit hat sich auf ARM-Seite so viel getan, dass es nicht mehr lange dauern wird, bis sich das PC-Verbot (eigentlich nur die Erlaubnis für "Blackbox") auch explizit auf ARM-Systeme ausdehnt.

Daher kam der Gedanke auf, dass das Ganze auf Lange Sicht nicht tragbar sei.
Die Idee mit dem Router ist natürlich genial, wenn es nur nicht im professionellem Umfeld wäre...
Wie würde es wohl aussehen in dem Raum eine Fritzbox zu sehen aus der ein Sub-D Kabel hängt?

Eine Möglichkeit wäre es ein propertiäres OS zu programmieren. Das wäre natürlich ein riesiger Aufwand.
Daher werden wir unseren Kunden wohl vorerst raten sich eigene Hardware zu besorgen... schade.

Vorallem wenn dann mal Win8 und in 20 Jahren sogar Delphi darauf laufen wird.

Mit diesem "Verband" habt ihr auch mal geredet?

Untersteht dieser Verband dem Betrieb des Kunden, oder ist das eine öffentliche Aufsichtsbehörde? Weil im ersten Fall ließe sich der Kunde zumindest eindringlich darauf hinweisen, dass seine Praxis bzgl. der Abschottung die Realisierung seiner Wünsche a) teuer oder gar b) unmöglich macht.

Ich versteh das Problem nicht.
Macht doch Eure PC(mitgeliefert) Lösung, wer will kauft den dazu, wer nicht, kauft nur die Box.

Jeder TCP/IP Drucker und jede Kaffeemachine ist ein Gerät.
Blackbox ist als Begriff hier völlig fehl am Platz.

Wenn es ein Firmware Update für den TCPIP Drucker gibt, kann hierüber auch Schadsoftware ins Netz gebracht werden. Ebenso wie über die Kaffeemaschine oder den Kühlschrank, der am Internet hängt.

Also per Definition ist eine BlackBox ein System, wo nur das äußere Verhalten sicher bekannt ist, das innere Verhalten muss nicht bekannt sein.

Somit gibt es für solch eine BlackBox auch keine Vorgabe über den inneren Aufbau, wohl aber über die Wirkunsweise nach außen.

Da sollte man sich auf jeden Fall die Definition der "Geräte" nochmals geben lassen

Hinter der Firewall -> Intranet ,"demilitarisierte Zone"
Vor der Firewall -> Internet, "das Böse", "der rechtsfreie Raum"

Man kann nun die Blackbox einfach VOR die Firewall setzen.
Das Problem ist dann zunächst, dass man die Blackbox innerhalb der Firewall nicht ansprechen kann.
Lösung: es wird ganz gezielt ein kleines "Loch" in die Firewall gebohrt, um den Zugriff zu erlauben.

Beispiel:
der Blackbox habe die IP: 195.99.88.77
Im Intranet wird der IP-Bereich 192.168.1.255/24 verwendet.
Die Firewall kann nun den Zugriff auf 195.99.88.77:4500 per TCP/IP erlauben. (4500=Portadresse)
Sicherheitsparanoiker können den Zugriff auf wenige Rechner im Intranet beschränken.
An Stelle von festen IPs kann auch mit Rechnernamen gearbeitet werden.
Die Blackbox kann mit Viren verseucht werden, aber sie hat keine Chance ins Intranet vorzudringen.