Vor 1 Stunde
(Vor 3 Stunden)Milspec_1967 schrieb: Ich wiederhole meine Frage :
Wird so ein Update in einem unabhängigen Landsystem von der deutschen Marine (oder einem DEUTSCHEN IT Security Subauftragnehmer, wie BWI etc) auf bewusst oder unbewusst integrierte Schwachstellen geprüft?
Ja....oder...Nein?
Letzteres ist USA Abhängigkeits Harakiri... nicht weniger!
Genau dafür sind die EZ/AZ des MUKdo geschaffen worden (Erprobungszentrum/Ausbildungszentrum). Jede Software, die von der Industrie kommt, wird dort geprüft, bevor sie an Bord geht.
Die Schiffe der Bundeswehr hängen nicht ungeschützt am Internet, sondern über sichere Knoten - mal den Innentäter ausgeklammert ist der Footprint des Schiffes gegen des Internet für Angriffe exakt "0" und damit nicht ausnutzbar. Wenn es soweit kommt, ist das gesamte Netz der Bundeswehr kompromitiert und dann ist die F127 die geringste aller Sorgen.
Nebenbei wird natürlich auch dokumentiert, was an der Software geändert wird und wenn die Bundeswehr möchte, kann man auch eine Black Box zu einem Security Auditor geben und abprüfen lassen.
Und auch für AEGIS werden Informationssicherheitskonzepte nach Vorgabe des BSI geschrieben werden müssen. AEGIS selber braucht auch keinerlei Verbindung zur Außenwelt, wenn man es richtig anstellt. Wenn das CMS-330 mit der Außenwelt spricht und über eine definierte Gateway-Stelle (Rot/Rot-Trennung in diesem Fall) mit API AEGIS spricht, wer in aller Welt soll da von außen Zugriff erhalten?
AEGIS ist ein gekapseltes System wie PAAMS, sofern man es neben einem weiteren CMS betreibt. Da gibt es keine (IP-)Verbindungen nach außen.