IoT Sensoren in tech. Anlage

[i_make_it]

über das internet (auch VPN) sollte man grundsätzlich nur read only daten transportieren ... und das eigentliche Betriebsnetz grundsätzlich so stark wie möglich vom internet isolieren (stichwort gateway, mit firewall)

Tja das mit den Read only Daten ist das Problem der Sender muß also die Daten dann mit seinem privaten Schlüssel signieren oder wenn die Daten selbst schon vertraulich sind, sogar verschlüsseln.
der Empfänger braucht dann den öffentlichen Schlüssel um sie zu verifizieren oder zu entschlüsseln (Beim verschlüsseln mit Public Key des Empfängers, sonst machts keinen Sinn. Oder symetrisch und Schlüsselaustausch über PKI).

Beim Sender kommt es dann darauf an, pusht der stur regelmäßig seine Daten oder gibt es ein pull vom Empfänger?
Und selbst wenn es nur push ist, ist beim Sender wirklich alles zu, was einen pull also das senden von Befehlen vom Client an den Server und deren Verarbeitung erlaubt?
Bei den meisten Firewalls findet ja keine Analyse der Kommunikation en Detail satt (Statefull Inspektion) da das ja sehr Zeitaufwendig und Arbeitsintensiv ist.
Die meisten Regelsätze für Statefull Inspection die ich bei kleinen bis mittelgroßen Kunden so sehe sind out of the Box und somit nicht wirklich nützlich wenn es um mehr als Surfen und Mail geht.

Ich habe grade gestern bei Simens angerufen, wegen Update von TIA-Portal (WinCC) von v 13 SP1 auf 14, weil ich unser SCADA Labor für neue Pentests vorbereite. (Man in the Middle auf Profinet und Modbus: S7-300, TP700 Comfort, Win7-WinCC, Debian 8 openscada).

lass dich da mal nicht täuschen, in der produktionsrichtung/entwicklung von Sensoren hat sich diesbezüglich schon etliches bewegt! Schau mal auf neuere Sensoren die innerhalb der letzten 2-3Jahre rausgekommen sind. die machen neben schnödem schalten und analog mittlerweilen vieles neues, die machen noch nicht mal vor BT halt ... aber da BT5 erst relativ frisch ist noch nicht so viel!
ich komm aus dieser industrie und hab den ersten wandel quasi mit-verzapft

Kenn ich. Habe hier auch so ein Projekt, wo mehrere Unis und mehrere auch große Firmen mit bei sind. Universale Sensor Aktor Konnektoren. I40 und iot tauglich. Auf der einen Seite möglichst alles anschließen konnen und auf der anderen Seite möglichts alles rausbekommen.
Ich habe letztes Jahr einfach mal zwei Tage das Ding zerpflückt und physikalische Grenzen sowie Security Probleme zusammengeschrieben. Momentan ist erst mal wieder Ruhe im Karton.
Die eierlegende Wollmilchsau ist halt nicht für lau zu haben, wenn sie überhaupt zu haben ist.

Da momentan wegen dem IT-Sicherheitsgesetz immer mehr Firmen ein ISMS nach ISO 27001 aufbauen (müssen). werden dort so "hippe" Sensoren, wenn sie denn bereits da sind, wieder raus fliegen.
Wenn ich einen Pentest mache und über die ungesicherten Extras eines Sensors das ganze Produktionsnetz übernehmen kann, hat der Kunde die Entscheidung keine ISO 27001 Zertifizierung, Sehr teure drumherumgebaute Workarounds oder den Schnick Schnack rausreißen und mit einem soliden Produkt arbeiten.
Wenn man für alle Varianten eine technisch wirtschaftliche Bewertung auf dem Tisch hat und der Hersteller der neuen hippen Sensoren nicht nachbessern kann, dann steht die Entscheidung meist schnell fest.