Ein Angebot von

Thema: Warum Patches für Embedded Security keine Lösung sind

erstellt am: 24.10.2019 11:31

Antworten: 2

Diskussion zum Artikel



Warum Patches für Embedded Security keine Lösung sind


Das Internet der Dinge besteht zum großen Teil aus „Operational Technology“, ist also vielmehr OT als IT. Das bedeutet, das Security Ansätze anderen Regeln folgen müssen, als es in der klassischen IT üblich ist. Security-Mechanismen, die in Geräten bereits vorab eingebaut, sind Pflicht - vor allem, weil die nachträgliche Veröffentlichung von Patches nicht ausreicht.

zum Artikel


bearbeiten

Antworten

nicht registrierter User


Kommentar zu: Warum Patches für Embedded Security keine Lösung sind
24.10.2019 11:31

Der Artikel schneidet ein wichtiges Themenfeld an. Das Themenfeld ist zu wichtig als nur von einer Firma ...wir haben die Lösung besetzt zu werden. Embedded Software ist insoweit gar nicht angriffsfähig weil keine äußeren Kommunikationsschnittstellen vorhanden sind und ggf. gar kein Betriebssystem sondern eine hart in C programmierte Lösung darauf arbeitet. So könne man meinen. Ich habe nun selbst für ein solches wirklich eingebettetes System einen Zugriffsmechanismus geschrieben der gestattet, über einen (häufig angeschlossenen) PC Parameteränderungen beliebiger Art vornehmen zu können. Die Parameter werden direkt geschrieben, im Embedded System nicht mehr extra getestet, weil dies auch zur tiefen Fehlersuche tauglich sein soll. Man war seitens des Vertriebes in Übereinstimmung mit dem Kunden der Meinung, dass das Netz, an dem wiederum der Zugriffs-PC hängt, ein geschütztes internes Netz sei (auf das ich aber selbst per Fernzugriff gearbeitet habe . Wenn immer mehr IOT kommt, dann ist es typisch dass ein kommunikationstechnisch stark isoliertes Gerät über genau eine Kommunikationsschiene über ein Zugriffsrechner am gesamten www hängt. Damit ist aber das Sicherheitsproblem nicht direkt im Embedded Bereich zu suchen sondern bei dem Zugriffsrechner (Edge der Cloud). Dort sind wir aber doch wieder bei der IT-Infrastruktur. Dort brauchen wir spezielle Lösungen. Die allgemeinen Windows update greifen nicht richtig. In dieser Richtung muss noch einiges gedacht werden.
- Unbekannter Kommentierer


bearbeiten

Antworten

JcHartmut





dabei seit: 19.03.2019

Beiträge: 16

RE: Warum Patches für Embedded Security keine Lösung sind
13.11.2019 16:35

Ich habe eben in der Design und Elektronik 11/2019-Printausgabe einen Beitrag über Kasperski gelesen, mit der Grundaussage zusammengefasst der russiche Weg, alles ist verboten, nur notwendiges wird erlaubt, ist richtig. Das scheint mir hier die richtige Antwort.
Die IoT-Lösung gleich mit integriertem www-Anschluss vielleicht auf der Basis eines Raspi für unschlagbare unter 35 Euro ist wohl nicht die anzustrebende Plattform für Infrastruktur- und Industrieanlagen. Kostensparen in dieser Richtung rächt sich. Sondern: Grundsätzlich eine zwei-Geräte-Lösung: Die Hardware für die unmittelbare Prozesssteuerung soll so sein wie bisher, optimiert auf den Anwendungszwecke, sie braucht nicht upgedated werden. Diese Hardware hängt nicht direkt am www-Netz. Dazu gesellt sich ein möglichst standardisiertes PC-ähnliches Gerät (Industrie-PC, auch ein Raspi kostengünstig), das nicht für die Kernfunktionen notwendig ist und standardgemäß gepatched wird. Dieser PC hängt am www, um Daten zu senden und einen Servicezugang zu bieten. Die Verbindung zur Prozesssteuerung wird über ein eigenes Netzwerk geführt mit zweiter Schnittstelle, die nur von einem anlagenzugehörigen Spezialprogramm bedient wird. Über die zweite Schnittstelle laufen ausschließlich die dort programmierten Telegramme, die Integrität des Spezialprogrammes (auch dort könnte Schadcode eingeschleust werden) wird gesichert mit den üblichen Methoden von Standardbetriebssystemen. Diese Zweigeräte-Lösung kostet etwas mehr, aber die IoT-Sicherheit ist gewährleistet.
Für einen Zugriff auf kritische interne Daten der Prozesssteuerung, wie es der Kollege im Vorbeitrag beschrieben hat, sollte es eine extra Kommunikationsverbindung geben, die manuell bei Bedarf gesteckt wird von einem Vor-Ort zuständigem Kollegen. Das braucht kein Spezialist für diese Software zu sein, sondern lediglich Maintenance-Personal das mit Netzwerkkabeln umgehen kann. Für den Zugriff kann ein Session-Passwort manuell festgelegt werden. Auch diese Person (erzeugt Lohnkosten) sollte nicht eingespart werden weil es billiger sein soll. Die Person ist nur temporär notwendig bei solchen Servicemaßnahmen, es kann sich also um eine Zuständigkeitsperson des Betreibers insgesamt handeln, keine ständige Bereitschaft für diese eine Anlage.
Folglich ist IoT-Security in erster Linie keine technische Sache, sondern kaufmännisch zu betrachten, man darf nicht zu viel einsparen wollen.
hartmut.schorrig, www.vishia.org


bearbeiten

Antworten

Antwort schreiben

Titel:


Nachricht:

 



Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.

Thema abonnieren:

Email:
*Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung einverstanden.
Antwort abschicken