| M | D | M | D | F | S | S |
|---|---|---|---|---|---|---|
| « Aug | ||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | |||||
Nette Satire: Windows Vista SP1 installiert wieder XP, weil die Kunden damit am ehesten zufrieden sind.
„We’re focused on giving the customer what they want, and want they want is to just go back to XP,“ said Microsoft Development Chief Greg Elston. Elston also added that if people complain too much they’ll just revert to Windows ME.
🙂
Nun gut, das Konradin TechForum ist vorbei und der zweite Tag hat den ersten bezüglich der Aussteller und Teilnehmer meiner Meinung nach bestätigt. Zu wenig ausstellende Big Player und zu wenig Teilnehmer. Und viel zu viel Pause statt einer straffen Agenda.
Ich habe nicht alle Vorträge gehört, aber bei den Security-Themen war ich dabei. Hier meine ganz persönlichen subjektiven und stark von Security Vorwissen gefärbten Eindrücke, die keinen Anspruch auf eine sachliche Beurteilung legen:
Industrial Firewalls – Funktionen und Einsatzmöglichkeiten, Ralf Kaptur, Hirschmann
Hirschmann hat ja eine eigene Firewall, Eagle, eigentlich Innominate Software, aber Hirschmann ist da zur Zeit wohl noch OEM, und die Möglichkeiten der Firewall sind im Detail vorgestellt worden. Nichts wirklich neues. Interessant war für Leute aus der Produktion vielleicht noch, dass die Firewall sowohl auf Layer 3 als auch Layer 2 funktioniert und wie man NAT in Produktionsumgebungen einsetzen kann und oft auch muss. Hirschmann verwendet dafür den Begriff Security Compartment. Für IT-Sicherheitsleute eher langweilig. Im großen und ganzen war der Vortrag eine Präsentation aus dem Security Whitepaper (PDF), das Hirschmann auch zum Download anbietet. Für die Eagle gibt es übrigens ein Security Data Sheet, da ging dann der nächste Vortrag drüber.
Management – Schritt für Schritt, Marcus Tangermann, Weidmüller
Die Weidmüller-Jungs haben ein paar sehr ambitionierte Ideen, die vermutlich grandios scheitern werden. Trotzdem ist das eine oder andere nicht schlecht, z.B. die Idee der Security Data Sheets (SDS). Jedes Gerät, jeder Controller, jeder Router etc. bekommt ein Data Sheet in dem die Security Parameter festgehalten werden. Dazu gehört z.B. welche Ports für den Betrieb benötigt werden etc. Mit den Informationen kann man ganz einfach dann eine Firewall einrichten. Dummerweise hat die Security Data Sheets die IAONA entwickelt, und die wickelt sich gerade selbst ab. Die Tools zur Erstellung des SDS kann man jedenfalls nur als Mitglied beziehen aber nicht mehr Mitglied werden. Sieht sehr nach Totgeburt aus, wenn da nicht bald was passiert. Angeblich macht die SecIE da zukünftig weiter, aber außer einem Aufnahmeantrag kann man eigentlich nichts bei denen runterladen. Das einzige Online-SDS das ich gefunden habe ist von WuT (PDF) , falls sich das jemand ankucken will.
Eine richtig krasser Totgeburt ist jedenfalls deren zweite Idee. Weidmüller lässt gerade eine Software entwickeln, da kann man irgendwie seine Firewall-Policy eintragen, und ein Regel-Generator bildet das dann auf eine konkrete Firewall ab. Die Hersteller sind dann aufgerufen, entsprechende Plugins für ihre Firewalls zu schreiben. Weidmüller ist wohl dabei und Hirschmann eventuell auch. Ich kann mir ja ganz toll vorstellen, dass Check Point oder Cisco nur auf so etwas gewartet haben. Am liebsten ist den großen Herstellern sicher, dass man damit auf ihre teure Management-Software verzichten könnte, oder dass die (sehr stark unterschiedlichen) Funktionen ihrer Firewall da irgendwie abgebildet werden müssen und das vielleicht auch noch gepflegt werden sollte. Nein Freunde, da macht kein namhafter Hersteller mit. Lediglich Hirschmann gewinnt, weil Innominate deren neue Management-Software nicht an Hirschmann lizenzieren will und Weidmüller die Entwicklungskosten trägt.
Firewalls in Industrie- und Produktionsumgebung, Dror-John Röcher, ERNW
Der Vortrag von Hr. Röcher klang von der Thematik her sehr spannend und Hr. Röcher ist auch ein guter Redner. Was dann kam hat mich allerdings schon enttäuscht. Ein bisschen ein Projektbericht, wie toll sie für einen großen Kunden Firewalls evaluiert haben. Dazu ganz kurz die Evaluationskriterien angerissen aber oft nur unzureichend begründet, warum z.B. bestimmte Kriterien als „must have“ ausgewählt wurden und andere nicht. Und anschließend die Firewalls aufgezählt und welche sie dann verwendet haben. Für jemanden der sich mit Firewalls ein wenig auskennt (und nicht nur eine oder zwei Produkte sondern wirklich gut) war das furchtbar langweilig und ohne echten Ergebnisgewinn.
Ganzheitliche IT-Sicherheit für Produktionsanlagen, Susanne Ginschel, Defense AG
Der Vortrag von Susanne war im Grunde der gleiche wie von der Systems. Wenig neues. Interessant fand ich lediglich die Einleitung. Die Defense hat da eine Excel-Tabelle entwickelt (oder lassen), mit der man anhand eines Fragebogens eine Übersicht des Geschäftsrisikos und des Sicherheitslevels abschätzen kann.Das ist als Einleitung für ein Informationsgespräch sicher ganz praktisch. Das war es aber auch schon.
Ich kenne so etwas ähnliches von IBM (NDA, darf ich nicht zeigen) und das BSI hat für Kritis etwas ähnliches entwickelt, rückt es aber nicht raus. (Das BSI hat aber hirnrissigerweise die Excel-Tabelle in Form eines PDF-Dokuments beschrieben. Anhand des PDFs kann man an einem Nachmittag die Excel-Tabelle rekonstruieren. Ich fürchte, da wiehert mal wieder der Amtsschimmel. Wer die Excel-Tabelle will, soll mir kurz eine Mail schicken.)
Podiumsdiskussion: Wer verantwortet eigentlich die Sicherheit in der Produktions-IT?
Nun ja, 6 Leute, 45 Minuten, jeder hat jeden bestätigt und sich indirekt selbst gelobt aber eigentlich hat das keine neuen Erkenntnisse gebracht. Ich denke, da ist der (vom kurzen Eindruck her) hervorragende Prof. Dr. Frithjof Klasen ein wenig verheizt worden. Dem hätte man lieber eine vernünftige Keynote gegeben.
Ach ja, mal gucken ob ich da nächstes Jahr wieder hinfahre. Wenn das Tech Forum wieder zwei Tage dauert, werde ich sicher nur einen Tag dabei sein. Das zieht sich einfach viel zu sehr und mit den Herstellern kann man auch an einem Tag reden.
So, hier der erste Teil zu meinem Besuch auf dem Konradin Tech Forum „Industrial Ethernet/Security“
Vorneweg ein wenig Lob:
Die Organisation von Konradin ist im allgemeinen gut. Außerdem hat Konradin ein unschlagbares Preis-/Leistungsverhältnis. Reguläre Teilnehmer zahlen 150,- Euro, ich hatte freundlicherweise eine Freikarte, da darf man sich nicht beschweren. Gut, die Kosten übernehmen vermutlich die ausstellenden Unternehmen, in der Regel als Sponsoren bezeichnet. Wenn ich das mit IIR vergleiche ist das sehr angenehm. IIR lässt sich auch von den beteiligten Unternehmen sponsern, nimmt von jedem Teilnehmer aber trotzdem noch 1895,- Euro, da schüttelt es mich.
Das Catering auf diesem Event war hervorragend, aber dafür ist die Lokation im Konferenzbereich des Millenium-Hotel in Stuttgart (genau da, wo die Musicals laufen) vermutlich auch teuer genug. Das Abendessen konnte man sich danach jedenfalls definitiv sparen, am Nachmittag haben die ersten schon gejammert: „Ach, schon wieder Essen“ 🙂
Die Veranstaltung selbst muss leider ein wenig Kritik abbekommen:
Zum einen ist das Programm viel zu gestreckt. Die komplette Agenda mit den zwei echten Vorträgen morgen noch und der Podiumsdiskussion hätte man etwas gestrafft locker in einem Tag unterbringen können. Dann halt um 9:00 Uhr anfangen und um 18:00 Uhr ist Ende. Das ziehen auf zwei Tage lässt zwar extrem viel Zeit für die Gespräche mit den anwesenden Herstellern, aber das ist mein zweiter Kritikpunkt.
Von den Big Playern in der Produktion war eigentlich nur Hirschmann da. Den Rest verorte ich jetzt aus meiner persönlichen Erfahrung mal in die Nischen. Ok, Weidmüller und Leoni-Kerpen oder meinetwegen auch Huber+Suhner sind schon groß, aber bieten halt nur einen Teil der in der Prozessautomation benötigten Produkte und Komponenten an. Hirschmann ist da noch der kompletteste Anbieter. Viele wichtige Player wie Siemens, Endess+Hauser, GE, aber auch z.B. die Lösungsanbieter wie Honeywell, ABB etc. waren leider nicht dabei.
Die Präsentationen zu den Vorträgen gab es teilweise auf Papier, teilweise demnächst dann irgendwann (versprochen ist in drei Wochen) zum Download auf der Webseite. Ich verstehe ja nicht ganz, warum man die Präsentationen aller Vortragenden nicht eine Woche vorher einfordern und den Teilnehmern auf CD-ROM mitgeben kann. So kenne ich das zumindest, wenn ich einen Vortrag auf so einer Veranstaltung halte.
Im Ergebnis saßen in den Vorträgen dann so ca. 40 Leute drin, plus vielleicht noch ein paar, die vor der Tür standen. Das war es aber dann auch schon. Wenn ich als Aussteller da ein paar Tausend Euro verballert hätte, wären das schon teure Kontakte.
Die Vorträge selbst waren im großen und ganzen ok. ERNW hat das ganze zwar massiv zum Selbstpromoting verwendet und die konkreten Informationen kamen etwas sehr kurz, aber damit kann ich leben. Dafür gab es von Weidmüller ein paar brauchbare Informationen und Hirschmann hatte cooles Material auf dem Stand ausliegen. Vielen Dank übrigens nochmal für den kleinen Löwen. Mehr dazu morgen wenn ich wieder zuhause bin.
Es gibt ein erstes Seminar „IT-Sicherheit in der Produktion„. Von IFTT EDV-Consult.
Am 24. Januar war ich vom Egemin-Konzern in den Niederlanden zu einem netten Event auf Schloß Loevestein eingeladen. Ich habe dort einen kleinen Vortrag zum Thema Hackerangriffe auf Supply Chains gehalten. Wer erzeugt die Bestellungen in vollautomatischen Systemen und wo können Hacker angreifen. Die Veranstaltung fand im Rittersaal von Schloß Loevestein statt, der Raum war nur durch Kerzen erleuchtet und das Essen dort war hervorragend.
Der Anlaß, das heute zu schreiben? Die niederländische Fachzeitschrift Automatie hat in ihrem Heft Nummer 3 / 2007 einen Artikel zum Egemin-Event (PDF, 280 KB) veröffentlicht und mir freundlicherweise als PDF zur Verfügung gestellt. Ok, ich sehe auf dem Foto nicht sehr vorteilhaft aus aber durch die Kerzen war es im Saal wirklich sehr sehr warm 🙂
Dell hört auf die Kunden:
Aber nur bis Ende Januar 2008. Spätestens dann stellt Microsoft die Auslieferung von Windows XP an OEM-Partner ein. Wer dann einen neuen Computer mit Microsoft Betriebssystem will, muss auf Vista umsteigen. Gibt es eigentlich eine Aussage, wie lange Windows XP noch reaktiviert werden kann, z.B. nach einer Hardware-Änderung?
IT-Systeme in der Produktion haben häufig eine Lebensdauer von mindestens 10-15, manchmal sogar 25 Jahren. Kann garantiert werden, dass eine Aktivierung von Windows Vista bzw. einer Volume License mit Aktivierungsserver noch im Jahr 2030 möglich ist.
Ein Systemhersteller der Kunden zwingen will, eine stabil funktionierende Produktionsanlage auf ein neues System zu aktualisieren, ist nicht akzeptabel. Wenn das alte System nicht mehr unterstützt wird, um lediglich die Kunden zum Umstieg auf das neue System zu bringen ist das noch weniger akzeptabel. Und wenn das dadurch passiert, dass eine legal erworbene Lizenz einfach deaktiviert bzw. nicht mehr reaktiviert werden kann, dann wird es Zeit über den Anbieter nachzudenken.
Microsoft Vista braucht ja angeblich Internet-Zugang (Recommended System Requirement), da sich sonst keine Aktivierung eines Einzelsystems durchführen lässt. Natürlich gibt es auch eine telefonische Aktivierung wie bei Windows XP, allerdings scheint sich Microsoft alle Mühe zu geben, dies dem Nutzer so umständlich wie möglich zu machen. Aber man kennt das ja von XP.
Viel schlimmer ist es jedoch mit den Volume Lizenzen geworden. Diese sind nicht etwa wie bei Windows XP aktivierungsfrei sondern benötigen einen Aktivierungsserver im Netzwerk. Microsoft bezeichnet das als Activation 2.0. Der Aktivierungsserver muss mindestens alle 180 Tage erreicht werden, andernfalls fällt das System in eine 30-Tage Grace Period und wird dann unbenutzbar.
Welche „lustigen“ Folgen das haben kann, haben wir bereits Anfang Oktober mit der Windows XP WGA-Prüfung erfahren:
Sehr spannend, wenn der Aktivierungsserver einen Fehler haben solle („Ein Fehler? In Windows? Unmöglich!“) und aus unerklärlichen Gründen die Re-Aktivierung verweigert. Trotz der 30-Tage Frist möchte ich dann nicht Leiter der Produktion oder verantwortlicher Administrator sein. Dann lieber ein sicheres, aktivierungsfreies Linux.
Peter Gutmann, Neuseeländischer Sicherheitsexperte und vor allem bekannt durch seine Forschungsarbeit zur sicheren Löschung von Festplatten und Disketten (ja, die ganzen Löschprogramme mit mehrfachem überschreiben basieren auf seiner Arbeit) hat eine Kostenanalyse von Microsoft Vista aus Sicherheitssicht durchgeführt. Ein sehr interessanter Artikel.
Die in Vista eingebauten DRM-Funktionen haben potentiell die Möglichkeit, weitgehende Funktionen des Systems lahmzulegen, wenn Treiber oder Core-Funktionen des Systems der Meinung sind, hochauflösende digitale Inhalte müssen geschützt werden.
Die Auswirkungen auf die Anwender können massiv sein. So können beispielsweise die digitalen Signaturen von Treibern für Hardware von Microsoft zurückgezogen werden, wenn ein Treiber eine Lücke enthält mit der sich z.B. Videodaten abgreifen lassen. Das ist für den Anwender sehr erfreulich, wenn es sich um drei oder vier Jahre alte Hardware handelt, für die der Hersteller keine neuen Treiber mehr entwickelt (weil neue Hardware mehr Profit bringt).
Nebenbei benötigten die DRM-Funktionen erstaunlich viel CPU-Ressourcen, u.a. weil sämtliche Treiber und Geräte regelmäßig einen Integritätscheck (Hardware Functionality Scan,kurz HFS) durchführen müssen um sicherzustellen, dass sie nicht kompromittiert wurden. Die Gefahr dabei u.a., bei Schwankungen der Temperatur oder Luftfeuchtigkeit könnte das zu einem Systemneustart führen, weil ein paranoider Treiber Alarm schlägt.
Für normale IT-Systeme mag das vielleicht noch vertretbar sein. Für Produktionsanlagen, bei denen schnell mal Schwankungen der Umgebung auftreten ist so etwas tödlich. Für Steuerungssysteme von Produktionsanlagen werde ich in Zukunft lieber ein kontrollierbar stabiles Linux empfehlen.
Ich bin gerade dabei, ein Seminar „IT-Sicherheit in der Produktion“ zusammenzustellen. Das Thema scheint im Gegensatz zu den USA in Europa generell noch nicht richtig angekommen zu sein. Während drüben das US Department of Homeland Security richtig aktiv ist und Unternehmen dazu nötigt Sicherheitskonzepte für ihre Produktionsanlagen zu erstellen und zertifizieren zu lassen, basiert hier bei uns noch alles auf freiwilliger Basis. Das einzig brauchbare Konzept das ich bisher finden konnte, ist vom Bundesamt für Sicherheit in der Informationstechnik und hat den Titel „Schutz kritischer Infrastrukturen in Deutschland„.
Den meisten Administratoren und IT-Sicherheitsbeauftragten ist nicht mal klar, warum man die normalen Sicherheitskonzepte hier einfach nicht anwenden kann. Darum wird das Seminar mit folgender Übersicht eingeleitet:
| Unternehmens-IT | Leittechnik | |
|---|---|---|
| Hauptrisiko | Verlust von Daten | Schaden an Leib und Leben, Umweltschäden, Zerstörung von Produktionsanlagen |
| Risikomanagement | Wiederherstellung durch Reboot; Betriebssicherheit (safety) ist kein Schwerpunkt |
Fehlertoleranz überlebenswichtig; Explizite Gefährdungsanalysen (oft sogar gesetzlich vorgeschrieben) |
| Ausfallsicherheit | Gelegentliche Ausfälle tolerierbar; Betatest im Betrieb akzeptabel (und bei Standard-Software oft üblich) |
Ausfälle nicht tolerierbar; Umfassende Qualitätssicherung notwendig |
| Leistungsanforderungen | Hoher Durchsatz (Bandbreite) vom Benutzer verlangt; Verzögerungen und Schwankungen in der Qualität akzeptiert |
Bescheidene Durchsatzraten sind oft akzeptabel; Zeitverzug ist bei Produktionsanlagen ein Sicherheitsrisiko |
| Sicherheit | Viele Standorte physikalisch kaum gesichert (Besuchsverkehr, etc.); Kaum Segmentierung interner Netzwerkbereiche; Fokus liegt in der Absicherung zentraler Dienste und Server |
Hohe physische Sicherheit; Unternehmensnetze von Produktionsnetzen oft streng getrennt (noch); Fokus liegt in der Zugangskontrolle sowie Betriebssicherheit und Verfügbarkeit |
Ich bin ja mal gespannt, ob diese Übersicht dem einen oder anderen Teilnehmer die Unterschiede in den notwendigen Sicherheitskonzepten klar macht.