13. Juni 2007

Industrial Ethernet/Security

Category: Produktion,Work — Christian @ 22:14

Nun gut, das Konradin TechForum ist vorbei und der zweite Tag hat den ersten bezüglich der Aussteller und Teilnehmer meiner Meinung nach bestätigt. Zu wenig ausstellende Big Player und zu wenig Teilnehmer. Und viel zu viel Pause statt einer straffen Agenda.

Ich habe nicht alle Vorträge gehört, aber bei den Security-Themen war ich dabei. Hier meine ganz persönlichen subjektiven und stark von Security Vorwissen gefärbten Eindrücke, die keinen Anspruch auf eine sachliche Beurteilung legen:

Industrial Firewalls – Funktionen und Einsatzmöglichkeiten, Ralf Kaptur, Hirschmann

Hirschmann hat ja eine eigene Firewall, Eagle, eigentlich Innominate Software, aber Hirschmann ist da zur Zeit wohl noch OEM, und die Möglichkeiten der Firewall sind im Detail vorgestellt worden. Nichts wirklich neues. Interessant war für Leute aus der Produktion vielleicht noch, dass die Firewall sowohl auf Layer 3 als auch Layer 2 funktioniert und wie man NAT in Produktionsumgebungen einsetzen kann und oft auch muss. Hirschmann verwendet dafür den Begriff Security Compartment. Für IT-Sicherheitsleute eher langweilig. Im großen und ganzen war der Vortrag eine Präsentation aus dem Security Whitepaper (PDF), das Hirschmann auch zum Download anbietet. Für die Eagle gibt es übrigens ein Security Data Sheet, da ging dann der nächste Vortrag drüber.

Management – Schritt für Schritt, Marcus Tangermann, Weidmüller

Die Weidmüller-Jungs haben ein paar sehr ambitionierte Ideen, die vermutlich grandios scheitern werden. Trotzdem ist das eine oder andere nicht schlecht, z.B. die Idee der Security Data Sheets (SDS). Jedes Gerät, jeder Controller, jeder Router etc. bekommt ein Data Sheet in dem die Security Parameter festgehalten werden. Dazu gehört z.B. welche Ports für den Betrieb benötigt werden etc. Mit den Informationen kann man ganz einfach dann eine Firewall einrichten. Dummerweise hat die Security Data Sheets die IAONA entwickelt, und die wickelt sich gerade selbst ab. Die Tools zur Erstellung des SDS kann man jedenfalls nur als Mitglied beziehen aber nicht mehr Mitglied werden. Sieht sehr nach Totgeburt aus, wenn da nicht bald was passiert. Angeblich macht die SecIE da zukünftig weiter, aber außer einem Aufnahmeantrag kann man eigentlich nichts bei denen runterladen. Das einzige Online-SDS das ich gefunden habe ist von WuT (PDF) , falls sich das jemand ankucken will.

Eine richtig krasser Totgeburt ist jedenfalls deren zweite Idee. Weidmüller lässt gerade eine Software entwickeln, da kann man irgendwie seine Firewall-Policy eintragen, und ein Regel-Generator bildet das dann auf eine konkrete Firewall ab. Die Hersteller sind dann aufgerufen, entsprechende Plugins für ihre Firewalls zu schreiben. Weidmüller ist wohl dabei und Hirschmann eventuell auch. Ich kann mir ja ganz toll vorstellen, dass Check Point oder Cisco nur auf so etwas gewartet haben. Am liebsten ist den großen Herstellern sicher, dass man damit auf ihre teure Management-Software verzichten könnte, oder dass die (sehr stark unterschiedlichen) Funktionen ihrer Firewall da irgendwie abgebildet werden müssen und das vielleicht auch noch gepflegt werden sollte. Nein Freunde, da macht kein namhafter Hersteller mit. Lediglich Hirschmann gewinnt, weil Innominate deren neue Management-Software nicht an Hirschmann lizenzieren will und Weidmüller die Entwicklungskosten trägt.

Firewalls in Industrie- und Produktionsumgebung, Dror-John Röcher, ERNW

Der Vortrag von Hr. Röcher klang von der Thematik her sehr spannend und Hr. Röcher ist auch ein guter Redner. Was dann kam hat mich allerdings schon enttäuscht. Ein bisschen ein Projektbericht, wie toll sie für einen großen Kunden Firewalls evaluiert haben. Dazu ganz kurz die Evaluationskriterien angerissen aber oft nur unzureichend begründet, warum z.B. bestimmte Kriterien als „must have“ ausgewählt wurden und andere nicht. Und anschließend die Firewalls aufgezählt und welche sie dann verwendet haben. Für jemanden der sich mit Firewalls ein wenig auskennt (und nicht nur eine oder zwei Produkte sondern wirklich gut) war das furchtbar langweilig und ohne echten Ergebnisgewinn.

Ganzheitliche IT-Sicherheit für Produktionsanlagen, Susanne Ginschel, Defense AG

Der Vortrag von Susanne war im Grunde der gleiche wie von der Systems. Wenig neues. Interessant fand ich lediglich die Einleitung. Die Defense hat da eine Excel-Tabelle entwickelt (oder lassen), mit der man anhand eines Fragebogens eine Übersicht des Geschäftsrisikos und des Sicherheitslevels abschätzen kann.Das ist als Einleitung für ein Informationsgespräch sicher ganz praktisch. Das war es aber auch schon.

Ich kenne so etwas ähnliches von IBM (NDA, darf ich nicht zeigen) und das BSI hat für Kritis etwas ähnliches entwickelt, rückt es aber nicht raus. (Das BSI hat aber hirnrissigerweise die Excel-Tabelle in Form eines PDF-Dokuments beschrieben. Anhand des PDFs kann man an einem Nachmittag die Excel-Tabelle rekonstruieren. Ich fürchte, da wiehert mal wieder der Amtsschimmel. Wer die Excel-Tabelle will, soll mir kurz eine Mail schicken.)

Podiumsdiskussion: Wer verantwortet eigentlich die Sicherheit in der Produktions-IT?

Nun ja, 6 Leute, 45 Minuten, jeder hat jeden bestätigt und sich indirekt selbst gelobt aber eigentlich hat das keine neuen Erkenntnisse gebracht. Ich denke, da ist der (vom kurzen Eindruck her) hervorragende Prof. Dr. Frithjof Klasen ein wenig verheizt worden. Dem hätte man lieber eine vernünftige Keynote gegeben.

Ach ja, mal gucken ob ich da nächstes Jahr wieder hinfahre. Wenn das Tech Forum wieder zwei Tage dauert, werde ich sicher nur einen Tag dabei sein. Das zieht sich einfach viel zu sehr und mit den Herstellern kann man auch an einem Tag reden.


Tags: , , , , , , , ,

1 Kommentar

  1. Kommentare gesperrt wegen Spam

    Comment by Christian — 22. November 2008 @ 19:56

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.