EP4147096A1 - Nachrüstmodul für ein feldgerät und modular aufgebautes feldgerät - Google Patents
Nachrüstmodul für ein feldgerät und modular aufgebautes feldgerätInfo
- Publication number
- EP4147096A1 EP4147096A1 EP20724081.3A EP20724081A EP4147096A1 EP 4147096 A1 EP4147096 A1 EP 4147096A1 EP 20724081 A EP20724081 A EP 20724081A EP 4147096 A1 EP4147096 A1 EP 4147096A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- module
- field device
- retrofit
- security
- retrofit module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000009420 retrofitting Methods 0.000 title abstract description 4
- 238000013461 design Methods 0.000 title description 4
- 230000006854 communication Effects 0.000 claims abstract description 33
- 238000004891 communication Methods 0.000 claims abstract description 33
- 238000004801 process automation Methods 0.000 claims abstract description 6
- 230000002427 irreversible effect Effects 0.000 claims description 20
- 238000005516 engineering process Methods 0.000 claims description 8
- 239000000853 adhesive Substances 0.000 claims description 6
- 230000001070 adhesive effect Effects 0.000 claims description 5
- 230000004888 barrier function Effects 0.000 claims description 3
- 238000000034 method Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 238000005259 measurement Methods 0.000 description 5
- 238000004886 process control Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000002085 persistent effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004026 adhesive bonding Methods 0.000 description 2
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000009849 deactivation Effects 0.000 description 2
- 230000006735 deficit Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000009118 appropriate response Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 239000003651 drinking water Substances 0.000 description 1
- 235000020188 drinking water Nutrition 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000003306 harvesting Methods 0.000 description 1
- 238000009413 insulation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000035484 reaction time Effects 0.000 description 1
- 230000007420 reactivation Effects 0.000 description 1
- 210000001525 retina Anatomy 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- H—ELECTRICITY
- H05—ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
- H05K—PRINTED CIRCUITS; CASINGS OR CONSTRUCTIONAL DETAILS OF ELECTRIC APPARATUS; MANUFACTURE OF ASSEMBLAGES OF ELECTRICAL COMPONENTS
- H05K5/00—Casings, cabinets or drawers for electric apparatus
- H05K5/02—Details
- H05K5/0217—Mechanical details of casings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
-
- H—ELECTRICITY
- H05—ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
- H05K—PRINTED CIRCUITS; CASINGS OR CONSTRUCTIONAL DETAILS OF ELECTRIC APPARATUS; MANUFACTURE OF ASSEMBLAGES OF ELECTRICAL COMPONENTS
- H05K5/00—Casings, cabinets or drawers for electric apparatus
- H05K5/02—Details
- H05K5/0208—Interlock mechanisms; Means for avoiding unauthorised use or function, e.g. tamperproof
Definitions
- field device subsumes various technical facilities that are directly related to a production process. Field devices can thus in particular be actuators, sensors and measuring transducers and / or evaluation devices.
- a further area of application results from the recently available autarkic field devices, in particular autarkic sensors.
- Sensors i.e. field devices from this product family, are particularly easy to assemble without attaching a communication or supply line.
- the measured values determined by these field devices are typically transferred to a cloud using narrowband radio technology (LoRa, Sigfox, NB-IOT). H. transferred to a server on the World Wide Web.
- Typical application scenarios for such field devices include areas such as flood forecasting, inventory management or other decentralized measurement tasks. Due to the direct connection to the World Wide Web, such field devices are inherently exposed to a permanent threat from hacker attacks from the network.
- the legislators are also formulating new requirements for the operators and manufacturers of devices, which pursue the goal of critical infrastructure facilities (KRITIS) such as energy (electricity, gas, oil), transport (air, rail, water, road) To make drinking water supplies and digital infrastructure resistant to negligent or willful hacker attacks.
- KRITIS critical infrastructure facilities
- An example of this is Directive 2016/1148 (NIS Directive) passed by the European Parliament, which has since been implemented into national law by the member states of the European Union.
- NIS Directive 2016/1148 passed by the European Parliament, which has since been implemented into national law by the member states of the European Union.
- the cyber security standards that have existed for a long time (e.g. IEC 62443, ISO 27001) require that the devices used there meet a standardized IT security level, also known as the Security Level (SL).
- SL Security Level
- IEC 62443 (as of 08/2013) has defined the following security levels, which are classified according to the means available to the attacker, the material and financial resources available, the technical skills and the underlying motivation.
- the security level SLO is a purely theoretical construct with no risk of impairment or manipulation and therefore no measures are necessary.
- the security level SL1 describes the ability of a system to avoid accidental and unintended impairment or manipulation.
- the security level SL2 describes the ability of a system to defend against intentional manipulations by interested individuals and companies with generic security knowledge.
- the security level SL3 describes the ability of a system to fend off intentional manipulations by experts and companies who develop and use effective, but cost-oriented attack scenarios with clear goals.
- the security level SL4 describes the ability of a system to defend against intentional manipulations by organizations with experts, who focus on achieving the specifically selected target at almost any price.
- a retrofit module according to the invention for a field device of the process automation technology is characterized in that the retrofit module has a security module, the security module cooperating with the field device electronics in such a way that it reaches a specified IT security level will.
- both new devices and existing devices can be equipped. Both new devices and existing devices can be provided with an adapted IT security module that implements a desired IT security level as required.
- the basic idea of the present invention is to provide a retrofit module and thus to design new devices or existing devices in such a way that they are able to implement specified IT security levels.
- a corresponding retrofit module can be used particularly well with modular field devices.
- Field devices with a modular structure are put together from a modular field device concept.
- a number of combinable sensors, housings, electronic units and operating and / or display units can be selected and a corresponding field device can be constructed.
- Such a modular field device concept is offered by the company Vega Grieshaber KG, for example.
- a sensor, a corresponding electronics module that provides measured value processing and an interface to a controller and, if applicable, a fieldbus used, as well as various display and / or operating units can be combined.
- the sensors, electronic modules and display and / or control units are adapted both to one another and to different housings available.
- the retrofit module can have a plurality of functional units for implementing the specified IT security level. In this way, several different retrofit modules with different functional units can be made available, which implement different IT security levels in cooperation with a field device.
- a retrofit module can be designed in such a way that it can implement several different IT security levels in conjunction with a field device. In this context, this means that at least two different IT security levels can be implemented using at least two functional units.
- individual functional units that are not required or not permitted for implementing a certain IT security level can be deactivated or required or prescribed functional units activated so that several different IT security levels can be implemented with one retrofit module.
- functional units are understood to mean function blocks implemented in hardware or software, which are decisive for compliance with the specified IT security levels.
- the IT security levels of different levels usually differ in at least one functional unit, i.e. H. that to implement the one IT security level at least one functional unit is activated or deactivated, which is accordingly not activated or deactivated for the implementation of another IT security level.
- the IT security levels on which this application is based can relate to various aspects of IT security and can be implemented using various measures that are summarized in the functional units in the present application.
- aspects of IT security as they can be implemented in the IT security levels subject to the registration, include various levels of identification and authentication of users, devices and software, usage control, securing the communication of the field device with regard to authentication and integrity as well as e.g. . of required reaction times.
- the retrofit module can have a first electrical interface for connecting the field device electronics of the fill level measuring device and a communication module for connecting to a higher-level unit.
- the retrofit module can be connected to the field device electronics, preferably a communication interface, more preferably a wired communication interface of the field device electronics.
- the retrofit module can use the communication module to establish external communication. Outwardly means in this sense to a unit outside the field device, in particular a higher-level unit, a control device or other field devices.
- higher-level units can be in addition to evaluation devices and computers, for example in a control room, as well as servers in a LAN (Local Area Network) or WAN (Wide Area Network) environment. This also applies to devices in virtual private networks (VPN).
- VPN virtual private networks
- the first interface of the retrofit module is preferably designed for connection to the communication interface of the field device. In this way, a simple connection of the retrofit module with the field device electronics is made possible. If necessary, existing plug-in contacts or connection terminals can be used for this purpose and thus a direct connection of the retrofit module to the field device electronics can be implemented.
- the communication interface of the field device is a wired interface and this is connected to the retrofit module in this way, a suitable configuration of the connection can also ensure that other, possibly unsecured communication connections to the outside are established from the communication interface of the field device.
- one slot of the communication interface is occupied by the retrofit module connected to it, so there is no further connection option.
- a connection between the first interface and the communication interface can be designed to be mechanically ir reversible. This means that once the connection has been established, it cannot be broken. For example, the connection cannot be released without destroying the connection, or at least with a detectable break in the security level. This can be achieved, for example, in that a connection between the first interface and the communication interface irreversibly interrupts a connection between the field device electronics and the superordinate unit. If the connection to the retrofit module is released again, a direct connection between the field device electronics and the superordinate unit is also interrupted, which can be detected by the latter, for example.
- the retrofit module can have a mechanical interface for irreversible connection with the level measuring device.
- a mechanically irreversible connection ensures that the connection between the level measuring device and the retrofit module can no longer be released and thus the retrofit module can no longer be removed.
- the mechanically irreversible connection between the retrofit module and the field device can irreversibly anchor the retrofit module, for example, in a housing chamber in which it is arranged. This means that once the retrofit module has been properly installed, it can no longer be removed.
- the mechanically irreversible connection can, for example, be designed as an irreversible snap-in connection and / or an irreversible screw connection and / or an irreversible adhesive connection and / or comprise an irreversible barrier.
- An irreversible barrier can e.g. B. be a housing cover that closes a housing chamber in which the retrofit module is arranged, irreversibly.
- an original housing cover can be exchanged and the cover can be replaced with a self-locking one.
- a self-locking cover can, for example, have latching hooks or the like which prevent the cover from opening after it has been completely closed for the first time. Additionally or alternatively, the self-locking cover can have an adhesive bond that fixes the cover in a screwed position.
- the retrofit module has a crypto module for signing and / or encrypting data.
- a recipient can use a signature to ensure that data originate from a specific originator, in this case the retrofit module and indirectly from the field device equipped with it. Furthermore, the data integrity can be ensured, i.e. a recipient of the data can verify that the data has not been changed since it was signed by the sender, i.e. the retrofit module. Overall, the data transmission from the field device, which is equipped with the retrofit module, to higher-level units can thus be configured more securely through such a crypto module.
- the crypto module does not necessarily cause encryption, but rather simply providing the sent data with a signature can be a task of a crypto module according to the present application.
- the crypto module can be designed both as hardware and as a software module, that is, it can be signed and / or signed both by hardware components, in particular a dedicated crypto chip, and by software components, ie as a corresponding computer program code, when it is executed by a processor. or encryption of the data is accomplished, trained.
- software components are understood to mean parts or modules of software, ie computer program code which, when executed by a processor, causes the processor to execute commands for realizing the desired functionality of the software component.
- the retrofit module can additionally or alternatively have an authentication module.
- An authentication module can comprise various components depending on the desired IT security level. For example, it can have user and password management, authorization management, a module for multi-factor authentication, and any hardware interfaces required for this.
- Corresponding hardware interfaces can, for example, sensors for presence detection, input fields for a pin, sensors for biometric data, for example fingerprint sensors or retina scanners, and / or interfaces for reading out mechanical keys and / or electrically readable tokens, in particular NFC interfaces for reading out NFC -Tokens or the like.
- the user authentication can not only include an authentication of operating personnel, but can also implement an authentication of authorized operating devices and / or communication partners.
- the retrofit module can also have an authentication interface for an external, second authentication module.
- an external, second authentication module can, for example, be an authentication module of an operator control device, so that the user authentication on the operator control device is also taken over for the field device, provided that the operator control device has sufficiently authenticated itself to the retrofit module.
- Authentication can thus take place not only for operators but also for devices that communicate with the field device.
- the authentication module can also be designed as a hardware component and, if no hardware is required, also as a software component.
- the retrofit module can have a firewall, in particular a packet filter.
- a firewall functionality can be ensured that only authorized users can establish a connection to the retrofit module and thus the field device (connection filter) or that only harmless packets pass the retrofit module and thus advance to the field device for further processing.
- the retrofit module can be designed as a display and / or operating module, or alternatively have one.
- a regularly available display and / or operating module can be replaced by the retrofit module, which is designed as a display and / or operating module, or by a display and / or operating module that has the retrofit module will.
- the security module can have a plurality of functional units for implementing a plurality of predefined IT security levels of different heights, the security module having a selection element for selecting an IT security level, based on the selection necessary for implementing the selected IT security level functional units activated and / or unnecessary functional units deactivated.
- activation and deactivation relate to an operation, i. H.
- the switched-on state of the retrofit module or field device refers and in this context means a persistent commissioning or decommissioning of the respective functional units. Deactivation or, in other words, switching off the entire field device has no influence on the status of the functional units after the field device is switched on again.
- the security module is designed in such a way that the IT security level can be selected once.
- the IT security level can be selected once and then fixed, i.e. unchangeable.
- the IT security level can be selected once by the user.
- the retrofit module does not have any or one can have any IT security level that can be specified by the manufacturer, which can then be changed once by the user.
- a one-time selection by the user can in particular mean that a subsequent change to the IT security level by the user is not possible.
- a distinction can be made between a user-side change in the IT security level and an administrator-side change in the IT security level. This means that in one embodiment it can be provided that an administrator can change the IT security level even after the initial setting during commissioning. For this purpose, however, it can be provided, for example, that in addition to authentication as an administrator, this can only be done with a device-specific unlock code and / or with an additional manufacturer-side release.
- the security module can be designed in such a way that a selection of the IT security level is possible and particularly necessary when the field device provided with the retrofit module is put into operation.
- the operator of a system can be urged to select the appropriate security level when commissioning a new or retrofitted field device. This is then set and specified during commissioning.
- the IT security level can be subsequently changed by resetting the field device to the factory settings, ie. H. in the delivery state and thus connected with a renewed commissioning.
- a one-time selection option can be implemented, for example, in that the selection element is designed to be mechanically irreversible.
- a mechanically irreversible design of the selection element can, for example, take place by means of a suitable latching of a setting that has been made once. Such a locking can, for. B. be designed in such a way that the selection element can only be changed to a higher IT security level.
- the selection element can also be mechanically fixed, for example glued or otherwise fixed will.
- a mechanical selection element can also have a predetermined breaking point, that is, the selection element breaks off when the IT security level is set for the first time by the user when it is set at this predetermined breaking point, thus making a subsequent change to the IT security level impossible.
- the security module can be designed in such a way that a selection of the IT security level is electronically irreversible. This can be achieved, for example, by interrupting the electrical connections required for this after the selection element has been read out for the first time. This can be done, for example, by deliberately interrupting fuses installed there or otherwise destroying the electrical readability of the selection element. Additionally or alternatively, when the IT security level is set, functional elements that are deactivated to implement the selected IT security level can be prevented from reactivating by permanently interrupting the electrical connection to these functional elements.
- a radio interface is put out of operation.
- reactivation of the radio interface can be prevented by, for example, permanently interrupting an electrical connection to the radio interface or, for example, making a transmission element deliberately dysfunctional.
- the security module can be designed in such a way that a selection of the IT security level is irreversible in terms of software. For example, part of a program code that reads out the selection element and sets the IT security level can be deleted or otherwise changed after the IT security level has been set successfully so that the selection element cannot be read out again. In this embodiment, the selection element could then - unless a change is also prevented at this point - be adjusted to the selection of a different IT security level compared to the set IT security level, but this changed selection is no longer read out and the IT security level is therefore not adjusted.
- the retrofit module has the lowest IT security level upon delivery and the security module is designed in such a way that only an increase in the IT security level is possible.
- This functionality can be achieved both by a suitable design of the hardware, for example the selection element, and by a suitable software implementation.
- the retrofit module is delivered in the highest IT security level, and only a lowering of the IT security level is possible.
- the selection element can be designed as a hardware switch, preferably as a slide switch or rotary switch. With such a hardware switch, the IT security level can be selected intuitively and in a user-friendly manner.
- a configuration of the selection element implemented in hardware can provide effective protection against network-based attacks and thus contribute to securing the field device.
- the selection element can be configured as a selection menu in a user interface.
- the process of commissioning the retrofit module or the field device provided with the retrofit module typically includes various parameterization steps into which a selection of the IT security level can be seamlessly inserted in this way.
- the selection element can control a multiplexer that is connected to the functional units for implementing the IT security level, at least in the delivery state.
- the various functional units for implementing the IT security level can be activated or deactivated via a suitable control of the multiplexer.
- the retrofit module can also include a firmware update for the existing field device.
- a firmware update for the field device can, for example, ensure that, for example, the field device electronics - depending on the selected security level - only certain communication channels, remote stations or add-on modules are accepted and / or a deinstallation of the retrofit module is refused.
- a modular field device of process automation technology with field device electronics with at least one communication interface the field device having a retrofit module according to one of the preceding claims, which is connected to the communication interface of the field device electronics.
- FIG. 2 shows an embodiment according to the present application
- FIG. 3 shows a third exemplary embodiment of a field device according to the present application with a retrofit module
- FIG. 4 shows an exemplary embodiment for a method according to the present application.
- the exemplary embodiments of field devices shown below show exemplary implementations for the implementation of IT security levels SL based on the definitions of the IEC 62443 standard or future standards with comparable concepts for the standardized definition of security levels in accordance with the understanding of the present invention in principle.
- provision can be made to combine existing IT security levels SL in future standards in order, for example, to redefine IT security levels SL according to the scheme BASIC (corresponding to SLO + SL1), SUBSTANTIAL (corresponding to SL2 + SL3) and HIGH (corresponding to SL4 ).
- BASIC corresponding to SLO + SL1
- SUBSTANTIAL corresponding to SL2 + SL3
- HIGH corresponding to SL4
- FIG. 1 shows two field devices 101, 102 according to the prior art.
- Figure la shows a wired operated field device 101, which is designed as a radar level measuring device.
- the field device 101 draws its energy necessary for operation via a cable connection 104, usually an analog or digital connection 104.
- the field device 101 is embodied in the present case as a two-wire field device.
- a two-wire field device is understood to mean a field device that is connected to a higher-level unit via two lines, both of which are used for energy supply and for transmission of measured values.
- the energy and / or signal transmission between the two-wire field device and the higher-level units takes place according to the known 4 mA to 20 mA standard, in which a 4 mA to 20 mA current loop, i.e. H. a two-wire line is formed between the field device and the higher-level unit.
- a 4 mA to 20 mA current loop i.e. H. a two-wire line is formed between the field device and the higher-level unit.
- the measuring devices it is possible for the measuring devices to transmit further information to the higher-level unit or to receive it from it in accordance with various other protocols, in particular digital protocols. Examples are the HART protocol or the Profibus-PA protocol.
- the interface can also be an IO-Link interface, for example.
- These field devices are also supplied with power via the 4 mA to 20 mA current signal, so that no additional supply line is necessary in addition to the two-wire line.
- the wired operated field device 101 thus uses the interface 104 to transmit its measured value to the outside.
- the field device 101 has a display and operating module 103 to enable interaction with a user.
- the display and adjustment module 103 draws its energy required for operation via the interface 102.
- the retrofit module 103 uses the interface 102 for communication with field device electronics of the field device 101.
- FIG. 1b shows an autonomously operating field device 105, which draws the energy required for operating the field device 105 from an integrated battery 106 and provides a determined measured value to the outside via a wireless interface 107.
- Autonomously operating field devices 105 are autarkic measuring arrangements, in particular autarkic filling level or limit level sensors.
- the self-sufficient level or limit level sensors are preferably designed as radar sensors and have - in order to ensure the self-sufficiency of the sensors - in addition to a sensor for recording measurement data, a transmission device for, preferably wireless, transmission of recorded measurement data or measured values and their own power supply .
- the transmission device can preferably be a radio module for narrowband radio technology (LoRa, Sigfox, LTE-M, NB-IOT), which transfers the measurement data or measurement values to a cloud, i.e. H. to a server on the World Wide Web.
- the energy supply is preferably designed as a battery or accumulator and can also include an energy harvesting module.
- the autonomous field device 105 shown here has a completely hermetically sealed housing 108.
- the autonomous field device 105 has a wireless display and operating module 109 to enable display and / or operation. Both the energy required by the display and operating module 109 and the required data are exchanged wirelessly between the self-sufficient field device 105 and the display and operating module 109, for example using RFID technology.
- FIG. 2 shows a first retrofit module 201 according to the invention which, after being built into a known field device 101, interacts with it to produce a technical device to implement the requirements for achieving a defined IT security level (SL).
- the retrofit module 201 has specialized functional units 202 which are implemented in hardware and which are necessary to achieve the IT security level.
- functional units 203 implemented in software and hardware and software units 110 of the field device electronics 112 of the field device 101, the specifications are implemented that are necessary to achieve one of the IT security levels SL1, SL2, SL3 or SL4 defined above.
- an existing field device 101 is to be enabled, for example, to meet the requirements for achieving security level SL2, a mechanism for managing a prescribable list of users with associated passwords and individual access rights must be stored in the field device. In this way, unauthorized access to the settings of the field device 101 is to be prevented.
- the original field device 101 does not have any hardware and software units 110 for implementing user administration, it is provided with a retrofit module 201, which in the present case is designed as a display and operating module.
- the retrofit module is designed in such a way that a user login initiated via the keyboard 204 by processing a login routine implemented in software and stored in the functional unit 203 using a previously stored list of authorized users who are in the functional unit 202 implemented in the hardware are stored persistently. Logging on by the user is only accepted if the user is known, ie is contained in the list stored in the hardware, and has entered the valid password assigned to the user. If both have taken place, an authorized operation of the field device 101 is enabled in the interaction of the keyboard 204 and the display 205, for which the display and operating module 103, 109 communicates in a known manner with the field device 101 via the interface 102.
- retrofit modules 201 are provided by the manufacturer, with which the requirements of other IT security levels are met.
- an alternative retrofit module 201 to achieve security level SL3 can have functional units already implemented in hardware and software for realizing multi-factor authentication.
- this can be, for example, an NFC interface (not shown graphically here) with which the presence of an NFC token can also be verified.
- the assembly of the retrofit module 201 according to the exemplary embodiment shown here is designed to be persistent, ie. H. that subsequent removal of the retrofit module 201 is permanently prevented.
- the retrofit module 201 is connected to the field device electronics 112 of the field device 101 by a circumferential adhesive bond 206.
- the desired persistence is ensured electronically.
- the retrofit module 201 modifies the first connection to the field device electronics 112 of the field device 101 a firmware 111 of the field device 101 such that from now on it only exchanges data with this retrofit module 201, and if the retrofit module 201 does not exist or is exchanged for an unauthenticated retrofit module 201 stops operating in order to signal an error to the outside world, for example by outputting a status signal for an invalid measured value.
- FIG. 3 shows a further exemplary embodiment of a retrofit module 301 for obtaining a defined IT security level (SL).
- SL defined IT security level
- an autarkic field device 105 is enabled here by a retrofit module 301 to meet extended requirements with regard to achieving an IT security level (SL).
- a defined IT security level (SL) can be set by the user via a selector 308. For example, in a first position of the selector 308, a selection unit 309, for example a multiplexer, activates the security function of the hardware module 302 in interaction with the software units 303. At the same time, the units 304, 305, 306, 307 can be deactivated.
- the retrofit module 301 is thus enabled, in interaction with the field device 105, to implement the requirements according to a first IT security level (SL).
- the selection unit 309 is activated in a second position, the units 302, 303, 306, 307 can be deactivated and the units 304, 305 activated to meet the requirements of a second IT security level (SL).
- SL IT security level
- FIG. 4 shows a further variant of a retrofit module 401.
- a large number of field devices in the process industry are supplied with so-called two-chamber housings 402, which offer the possibility of accommodating components for lightning protection or explosion protection in a second housing chamber 403. Inside the housing, these components are connected to the actual field device electronics 405 via at least one wire connection 404.
- the retrofit module 401 shown in FIG. 4 like the retrofit modules 201, 301, hardware and software units 202, 203, which are suitable in conjunction with the field device electronics 405, meet the requirements for achieving a defined IT security level SL to implement.
- the retrofit module 401 has at least two wired interfaces, and in this way can be installed in the supply line between the communication line 406 and the field device electronics 405.
- the retrofit module 401 has a wired output line 404 with a predefined length, which is designed in such a way that the original contacting interface 407 of an existing device is connected.
- the retrofit module 401 is attached to the field device 402 in a non-removable manner (mechanically persistent).
- the retrofit module 401 is fastened by security screw connectors fi xable with adhesive in the housing 402 of the field device.
- the retrofit module 401 takes on a variety of security functions for the field device 301 depending on the required IT security level SL, for example user management, authentication, encryption or other functions that may be required by the respective standard according to the desired IT security level SL. In particular, provision can also be made for the retrofit module 401 to act as a firewall and to continuously monitor and, if necessary, reject the incoming data packets.
- a security module can be designed in such a way that it can be set in accordance with the above exemplary embodiments, and thus different IT security levels SL are implemented.
- a sensor retrofitted in this way can then only be reached from the outside via the communication line 406 via the retrofit module 401 and the functional modules 203 contained therein, which are designed as additional software in the present case. Unauthorized access and manipulation at the installation site can be reliably prevented by gluing the housing cover 408.
- SL IT security levels
- multi-factor authentication it may be necessary to combine two or more security features from the groups knowledge, possession or presence in order to ensure particularly reliable authentication. For example, it may be necessary to transfer a security feature "knowledge" in the form of a secret password wired to a first retrofit module 401 via an interface, and also to have a user-specific token (e.g. RFID chip, password safe, U2F module) on the sensor by attaching a second security module 409, which contains the token or at least an interface for reading a token.
- a security feature "knowledge” in the form of a secret password wired to a first retrofit module 401 via an interface
- a user-specific token e.g. RFID chip, password safe, U2F module
- a higher IT security level SL can be achieved by combining a first retrofit module 401 and a second security module 409 according to the invention
- the field device electronics 405 can also be modified by imported software in such a way that it enables direct communication between the first retrofit module 401 and the second security module 409 in order to implement specific requirements of a security level.
- the security modules 201, 301, 401 and 409 according to the invention can contain a large number of hardware and software units for implementing specific security functions. Hardware and software units for implementing requirements are explicitly mentioned at this point - the logging and monitoring of sensor events and login attempts
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
- Small-Scale Networks (AREA)
- Programmable Controllers (AREA)
Abstract
Die vorliegende Erfindung beschreibt ein Nachrüstmodul für ein Feldgerät der Prozessautomatisierungtechnik mit einer Feldgeräteelektronik mit wenigstens einer Kommunikationsschnittstelle, dadurch gekennzeichnet, dass das Nachrüstmodul ein Sicherheitsmodul aufweist, wobei das Sicherheitsmodul mit der Feldgeräteelektronik derart zusammenarbeitet, dass eine vorgegebene IT-Sicherheitsstufe erreicht wird.
Description
Nachrüstmodul für ein Feldgerät und modular aufgebautes Feldgerät
Aus dem Stand der Technik sind verschiedene Arten von Feldgeräten bekannt.
Unter dem Begriff Feldgerät werden dabei verschiedene technische Einrichtungen subsummiert, die mit einem Produktionsprozess in direkter Beziehung stehen. Feldgeräte können damit insbesondere Aktoren, Sensoren und Messumformer und/oder Auswertegeräte sein.
Deutlich von Feldgeräten abzugrenzen sind in der Terminologie, wie sie in der vor liegenden Anmeldung verwendet wird, übergeordnete Einheiten, die dem Bereich der Leitwarten zuzuordnen sind.
Bekannte Feldgeräte für die Prozessautomatisierung weisen bislang nur hersteller spezifisch definierte Vorrichtungen und Verfahren zur Umsetzung von Aspekten der IT-Sicherheit auf. Neuere gesetzliche Vorgaben in verschiedenen Ländern for dern, für kritische Infrastruktureinrichtungen (KRITIS) vorgegebene Sicherheits stufen (Security Level, SL) zu implementieren.
Feldgeräte messen als Prozessmessgeräte seit vielen Jahren zuverlässig prozess relevante Messgrößen von Medien in den unterschiedlichsten Anwendungen. In den Anfangsjahren der Prozessleittechnik wurden die ermittelten Messwerte zu meist in analoger Weise mit Hilfe analoger Schnittstellen, beispielsweise einer 4- 20mA Schnittstelle, von einem Prozessmessgerät hin zu einer übergeordneten Ein heit bspw. einem Auswertegerät oder einer Prozessleitstelle übertragen. Im Zuge der Digitalisierung wurde dieser Standard durch zusätzliches Einprägen digitaler Signale, beispielsweise nach dem HART-Standard, erweitert, wodurch auch eine bidirektionale Kommunikation zwischen Prozessmessgerät und Prozessleitstelle möglich wurde. Charakteristisch an solchen Prozessleitsystemen war aber, dass die Anlagen im Wesentlichen im Inselbetrieb betrieben wurden. Eine Verbindung zwischen unterschiedlichen Prozessleitsystemen verschiedener Standorte oder verschiedener Firmen oder eine Anbindung der Systeme ans World Wide Web war nicht vorgesehen.
In den letzten Jahren hat sich insbesondere mit den Ansätzen der vierten indust riellen Revolution (Industrie 4.0) die Notwendigkeit herausgestellt, durch einen
höheren Grad der Vernetzung ganze Prozessleitsysteme oderaberauch ganze Pro duktionsstandorte miteinander zu verknüpfen, beispielsweise über das World Wide Web. Die damit einhergehende Vernetzung von Industrial-IT-Systemen und Office- IT-Systemen führt allerdings zu einer Reihe neuer Herausforderungen, insbeson dere im Bereich der IT-Security, die eine Fortentwicklung bestehender Geräte und Komponenten zwingend notwendig macht.
Ein weiterer Anwendungsbereich ergibt sich durch seit kurzer Zeit verfügbare au tarke Feldgeräte, insbesondere autarke Sensoren. Sensoren, also Feldgeräte die ser Produktfamilie zeichnen sich durch eine besonders einfache Montage ohne An bringen einer Kommunikations- oder Versorgungsleitung aus. Die von diesen Feld geräten ermittelten Messwerte werden typischerweise unter Verwendung einer Schmalbandfunktechnologie (LoRa, Sigfox, NB-IOT) in eine Cloud, d. h. auf einen Server im World Wide Web übertragen. Typische Anwendungsszenarien für solche Feldgeräte umfassen Bereiche wie die Hochwasservorhersage, Lagerbestandsver waltung oder auch andere dezentral verteilte Messaufgaben. Durch die direkte An bindung ans World Wide Web sind solche Feldgeräte inhärent einer permanenten Bedrohung durch Hackerangriffe aus dem Netz ausgesetzt.
Um auch zukünftig die Verfügbarkeit von Produktivsystemen zu gewährleisten, werden aktuell von verschiedenen Branchen Standards definiert, die darauf abzie len, die Komponenten von Prozessleitsystemen in Bezug auf ihre Resilienz gegen über fahrlässig oder mutwillig initiierten äußeren Angriffen zu härten und somit die Verfügbarkeit der Feldgeräte zu erhöhen und damit die Produktivität der Anlagen betreiber zu sichern.
Darüber hinaus werden auch von Seite der Gesetzgeber neue Anforderungen an die Betreiber und Hersteller von Geräten formuliert, welche das Ziel verfolgen, kritische Infrastruktureinrichtungen (KRITIS) wie beispielsweise Energie (Strom, Gas, Öl), Transport (Luft, Bahn, Wasser, Straße), Trinkwasserversorgung oder auch digitale Infrastruktur widerstandsfähig gegenüber fahrlässigen oder mutwil ligen Hackerangriffen zu machen. Beispielhaft hierfür steht die vom Europäischen Parlament beschlossene Richtlinie 2016/1148 (NIS-Richtlinie), welche inzwischen von den Mitgliedsstaaten der Europäischen Union in nationales Recht umgesetzt worden ist.
Abhängig von der Gefährdungslage am jeweiligen Anwendungsort wird in den bis lang existierenden Cyber-Security-Normen (z.B. IEC 62443, ISO 27001) gefordert, dass die dort eingesetzten Geräte eine standardisierte IT-Sicherheitsstufe, auch Security Level (SL) genannt, erfüllen.
Die IEC 62443 (Stand_08/2013) zum Beispiel, hat dafür die folgenden Security Levels definiert, die nach den dem Angreifer zur Verfügung stehenden Mitteln, zur Verfügung stehenden materiellen und finanziellen Ressourcen, den technischen Fähigkeiten sowie der zugrundeliegenden Motivation eingeteilt werden.
Die Sicherheitsstufe SLO ist dabei ein rein theoretisches Konstrukt, bei dem kei nerlei Beeinträchtigungs- oder Manipulationsrisiko besteht und daher keine Maß nahmen notwendig sind.
Die Sicherheitsstufe SL1 beschreibt die Fähigkeit eines Systems, zufällige und un beabsichtigte Beeinträchtigungen oder Manipulationen zu vermeiden.
Die Sicherheitsstufe SL2 beschreibt die Fähigkeit eines Systems, beabsichtigte Ma- nipulationen von interessierten Einzelpersonen und Firmen mit generischen Security- Kenntnissen, abzuwehren.
Die Sicherheitsstufe SL3 beschreibt die Fähigkeit eines Systems, beabsichtigte Ma nipulationen von Experten und Firmen, die mit klaren Zielen effektive, jedoch kos- tenorientierte Angriffsszenarien entwickeln und einsetzen, abzuwehren.
Die Sicherheitsstufe SL4 beschreibt die Fähigkeit eines Systems, beabsichtigte Ma nipulationen von Organisationen mit Experten, bei denen die Erreichung des spe zifisch ausgewählten Angriffsziels um fast jeden Preis im Vordergrund steht, abzu wehren.
Für die Hersteller von Feldgeräten, insbesondere auch für die Hersteller von Füll stand- und Drucksensoren, erwächst aus diesen Rahmenbedingungen die Notwen digkeit, die in unterschiedlichen (branchenspezifischen) Normen und Gesetzen verankerten IT-Security Vorgaben umzusetzen.
Diese Umsetzung erweiterter Maßnahmen macht es regelmäßig erforderlich, zu sätzliche Hardwarekomponenten und/oder zusätzliche Softwarekomponenten in die Feldgeräte zu integrieren. Wird für bestehende Geräte die Erfüllung einer Si cherheitsstufe (SL) gefordert, oder ändern sich die Anforderungen zur Erlangung einer Zertifizierung für eine definierte Sicherheitsstufe (SL), so führt dies regelmä ßig dazu, die mechanische und elektrische Konstruktion solcher Geräte überarbei ten zu müssen. Bereits ausgelieferte Geräte müssen vom Kunden dann durch die entsprechend zertifizierten Nachfolgegeräte ausgetauscht werden, was zu entspre chenden Kosten und Wartungsaufwand führt.
Zudem besteht das Problem, dass branchenspezifische Normen mit den jeweils darin definierten IT-Sicherheitsstufen SL technisch berücksichtigt werden müssen. Außerdem ist den unterschiedlichen Regelungen von Seiten des Gesetzgebers Rechnung zu tragen.
Darüber hinaus besteht auf Seiten der Hersteller das Problem, dass Geräte für unterschiedliche Sicherheitsnormen und unterschiedliche Sicherheitsstufen (SL), ggf. auch entsprechend den unterschiedlichen Normen in verschiedenen Ländern, entwickelt, gefertigt und vertrieben werden müssen.
Eine naheliegende Lösung besteht darin, Geräte zielgerichtet für die unterschied lichen Branchen bereitzustellen, welche die jeweils geforderten, branchenspezifi schen IT-Sicherheitsstufen SL technisch berücksichtigen. Um für alle möglichen Anwendungsfälle innerhalb beispielsweise einer Raffinerie vorbereitet zu sein, müssen prinzipiell aber auch unterschiedliche Geräte für jede vom Kunden benö tigte IT-Sicherheitsstufe bereitgestellt werden. Es ist offensichtlich, dass dieser
Ansatz die Vielfalt an Gerätevarianten massiv erhöht, und somit die Entwicklung und Herstellung von entsprechenden Feldgeräten unwirtschaftlich macht. Würde hingegen grundsätzlich nur ein einziges branchenspezifisches Gerät bereitgestellt, welches die höchste Sicherheitsstufe implementiert, würde dies zu hohen Hard warekosten und hohem Energieverbrauch verbunden mit einer reduzierten Ergo nomie bei der Bedienung der Geräte führen.
Ferner besteht das Problem, dass eine spezifische Umsetzung nur für Neugeräte möglich ist, Bestandsgeräte unter entsprechend erhöhten IT- Sicherheitsanforderungen aber nicht mehr betrieben werden dürfen.
Es ist die Aufgabe der vorliegenden Erfindung, eine Möglichkeit zu schaffen wie Neugeräte flexibel an unterschiedliche IT-Sicherheitsanforderungen angepasst und auch Bestandsgeräte unter erhöhten IT-Sicherheitsanforderungen weiter betrie ben werden können.
Diese Aufgabe wird durch ein Nachrüstmodul mit den Merkmalen des Patentan spruchs 1 gelöst. Vorteilhafte Weiterbildungen sind Gegenstand abhängiger Pa tentansprüche.
Ein erfindungsgemäßes Nachrüstmodul für ein Feldgerät der Prozessautomatisie rungtechnik, wobei das Feldgerät eine Feldgeräteelektronik mit wenigstens einer Kommunikationsschnittstelle aufweist, zeichnet sich dadurch aus, dass das Nach rüstmodul ein Sicherheitsmodul aufweist, wobei das Sicherheitsmodul mit der Feldgeräteelektronik derart zusammenarbeitet, dass eine vorgegebene IT- Sicherheitsstufe erreicht wird.
Mit einem derartigen Nachrüstmodul können sowohl Neugeräte als auch Bestands geräte ausgestattet werden. Sowohl Neugeräte als auch Bestandsgeräte könne so je nach Bedarf mit einem angepassten IT-Sicherheitsmodul versehen werden, das eine gewünschte IT-Sicherheitsstufe implementiert.
Es ist dadurch möglich, mittels einer Mehrzahl unterschiedlicher Nachrüstmodule sowohl Neugeräte als auch Bestandsgeräte mit unterschiedlichen IT- Sicherheitsstufen auszustatten bzw. zur Verfügung zu stellen, ohne dass es not wendig wäre jeweils ein vollständig neues Gerät, das die jeweilige IT-
Sicherheitsstufe implementiert vorzuhalten. Für Hersteller wird es dadurch einfa cher angepasste Feldgeräte anzubieten, wobei aber ein Grundgerät identisch bleibt und dies nur durch das entsprechende Nachrüstmodul ergänzt wird. Für Anwender oder Betreiber von Bestandsgeräten wird auf diese Weise die Möglichkeit eröffnet, ihre Bestandsgeräte an geänderte IT-Sicherheitsanforderungen anzupassen, ohne die jeweiligen Bestandsgeräte austauschen zu müssen. Die Bestandsgeräte wer den durch ein Nachrüstmodul, das die gewünschte IT-Sicherheitsstufe implemen tiert, nachgerüstet und so für eine Betrieb unter gesteigerten IT- Sicherheitsanforderungen ertüchtigt.
Grundsätzliche Idee der vorliegenden Erfindung ist es, ein Nachrüstmodul zur Ver fügung zu stellen und so Neugeräte oder Bestandsgeräte derart auszugestalten, dass diese befähigt sind, vorgegebene IT-Sicherheitsstufen zu realisieren.
Ein entsprechendes Nachrüstmodul kann besonders gut bei modularen Feldgeräten zum Einsatz kommen.
Modular aufgebaute Feldgeräte sind aus einem modularen Feldgerätekonzept zu sammengestellt. Bei einem modularen Feldgerätekonzept kann aus einer Mehrzahl von kombinierbaren Sensoren, Gehäusen, Elektronikeinheiten und Bedien- und/ oder Anzeigeeinheiten ausgewählt und ein entsprechendes Feldgerät aufgebaut werden. Ein solches modulares Feldgerätekonzept wird bspw. von der Firma Vega Grieshaber KG angeboten. Kombinierbar sind in der Regel ein Sensor, ein entspre chendes Elektronikmodul, das eine Messwertverarbeitung und eine Schnittstelle zu einer Steuerung und ggf. einem verwendeten Feldbus bereitstellt, sowie verschie dene Anzeige- und/oder Bedieneinheiten. Die Sensoren, Elektronikmodule und An zeige und/oder Bedieneinheiten sind sowohl aneinander als auch an verschiedene verfügbare Gehäuse angepasst.
Das Nachrüstmodul kann eine Mehrzahl von funktionalen Einheiten zur Implemen tierung der vorgegebenen IT-Sicherheitsstufe aufweisen. Auf diese Weise können mehrere unterschiedliche Nachrüstmodule mit unterschiedlichen funktionalen Ein heiten zur Verfügung gestellt werden, die im Zusammenwirken mit einem Feldge rät unterschiedliche IT-Sicherheitsstufen implementieren.
Alternativ kann ein Nachrüstmodul derart ausgestaltet sein, dass es in Zusammen wirkung mit einem Feldgerät mehrere unterschiedlichen IT-Sicherheitsstufen im plementieren kann. Das bedeutet in diesem Zusammenhang, dass durch wenigs tens zwei funktionale Einheiten wenigstens zwei unterschiedliche IT- Sicherheitsstufen implementiert werden können. Je nach den gegebenen Anforde rungen können dann einzelne zur Implementierung einer bestimmten IT- Sicherheitsstufe nicht benötigte oder nicht zulässige funktionale Einheiten deakti viert oder benötiget oder vorgeschriebene funktionalen Einheiten aktiviert werden, sodass mit einem Nachrüstmodul mehrere unterschiedliche IT-Sicherheitsstufen implementiert werden können.
Unter funktionalen Einheiten werden in der vorliegenden Anmeldung in Hardware oder Software implementierte Funktionsblöcke verstanden, die für die Einhaltung der vorgegebenen IT-Sicherheitsstufen ausschlaggebend sind. Insbesondere un terscheiden sich in der Regel die IT-Sicherheitsstufen unterschiedlicher Höhe we nigstens in einer funktionalen Einheit, d. h. dass zur Implementierung der einen IT-Sicherheitsstufe wenigstens eine funktionale Einheit aktiviert oder deaktiviert ist, die zur Implementierung einer anderen IT-Sicherheitsstufe entsprechend nicht aktiviert oder deaktiviert ist.
Die dieser Anmeldung zugrundeliegenden IT-Sicherheitsstufen können verschie dene Aspekte der IT-Sicherheit betreffen und durch verschiedene Maßnahmen, die in der vorliegenden Anmeldung in den funktionalen Einheiten zusammengefasst sind, implementiert werden.
Aspekte der IT-Sicherheit, wie sie in den anmeldungsgegenständlichen IT- Sicherheitsstufen implementiert sein können, sind unter anderem verschiedene Stufen der Identifikation und Authentifizierung von Nutzern, Geräten und Soft ware, der Nutzungskontrolle, der Absicherung der Kommunikation des Feldgerätes hinsichtlich Authentifizierung und Integrität sowie bspw. von geforderten Reakti onszeiten.
Das Nachrüstmodul kann dazu eine erste elektrische Schnittstelle zur Verbindung der Feldgeräteelektronik des Füllstandmessgeräts und ein Kommunikationsmodul zur Verbindung mit einer übergeordneten Einheit aufweisen. Mittels der ersten elektrischen Schnittstelle kann das Nachrüstmodul mit der Feldgeräteelektronik,
vorzugsweise einer Kommunikationsschnittstelle, weiter bevorzugt einer verdrah teten Kommunikationsschnittstelle der Feldgeräteelektronik verbunden werden. Mit dem Kommunikationsmodul kann das Nachrüstmodul eine Kommunikation nach außen aufbauen. Nach außen bedeutet in diesem Sinne zu einer Einheit au ßerhalb des Feldgerätes, insbesondere einer übergeordneten Einheit, einem Be diengerät oder anderen Feldgeräten.
Übergeordnete Einheiten können in diesem Zusammenhang neben Auswertegerä ten und Computern bspw. in einer Leitwarte auch Server in einer LAN- (Local Area Network) oder WAN (Wide Area Network) Umgebung sein. Auch Geräte in Virtuel len Privaten Netzwerken (VPN) sind hiervon erfasst.
Die erste Schnittstelle des Nachrüstmoduls ist vorzugsweise zur Verbindung mit der Kommunikationsschnittstelle des Feldgeräts ausgebildet. Auf diese Weise wird eine einfache Verbindung des Nachrüstmoduls mit der Feldgeräteelektronik er möglicht. Ggf. können hierzu vorhandene Steckkontakte oder Anschlussklemmen verwendet werden und so eine unmittelbare Anbindung des Nachrüstmoduls an die Feldgeräteelektronik realisiert werden.
Ist die Kommunikationsschnittstelle des Feldgerätes eine verdrahtete Schnittstelle und wird diese auf diese Weise mit dem Nachrüstmodul verbunden, so kann durch eine geeignete Ausgestaltung der Verbindung außerdem erreicht werden, dass von der Kommunikationsschnittstelle des Feldgerätes andere, möglicherweise ungesi cherte Kommunikationsverbindungen nach außen aufgebaut werden. Im einfachs ten Fall ist ein Steckplatz der Kommunikationsschnittstelle durch das daran ange schlossene Nachrüstmodul belegt und somit keine weitere Anschlussmöglichkeit gegeben.
Um eine möglichst große Manipulationssicherheit zu erreichen kann eine Verbin dung der ersten Schnittstelle mit der Kommunikationsschnittstelle mechanisch ir reversibel ausgestaltet sein. Das bedeutet, dass die Verbindung, wenn sie einmal hergestellt wurde, nicht mehr gelöst werden kann. Bspw. kann die Verbindung nicht ohne die Verbindung zu zerstören, oder zumindest einen detektierbaren Bruch der Sicherheitsstufe gelöst werden.
Dies kann bspw. dadurch erreicht werden, dass eine Verbindung der ersten Schnittstelle mit der Kommunikationsschnittstelle eine Verbindung der Feldgerä teelektronik zu der übergeordneten Einheit irreversibel unterbricht. Wird die Ver bindung zu dem Nachrüstmodul wieder gelöst, so ist auch eine direkte Verbindung der Feldgeräteelektronik mit der übergeordneten Einheit unterbrochen, was von dieser bspw. detektiert werden kann.
Eine Möglichkeit für eine solche irreversible Unterbrechung kann bspw. mittels Schneidklemmen erreicht werden, die eine Kabelverbindung von der Feldgerä teelektronik zu der übergeordneten Einheit unterbricht und gleichzeitig die Verbin dung zu dem Nachrüstmodul herstellt. Wird diese Verbindung wieder gelöst, so ist auch die Verbindung von der Feldgeräteelektronik zu der übergeordneten Einheit unterbrochen. Da diese Verbindung nicht ohne weiteres ohne eine kurze Unterbre chung wiederhergestellt werden kann, wird ein Manipulationsversuch erkannt und es kann entsprechend reagiert werden.
Zusätzlich oder alternativ kann das Nachrüstmodul eine mechanische Schnittstelle zur irreversiblen Verbindung mit dem Füllstandmessgerät aufweisen. Eine solche mechanisch irreversible Verbindung stellt sicher, dass die Verbindung zwischen dem Füllstandmessgerät und dem Nachrüstmodul nicht mehr gelöst werden und so das Nachrüstmodul auch nicht mehr entfernt werden kann.
Die mechanisch irreversible Verbindung zwischen dem Nachrüstmodul und dem Feldgerät kann das Nachrüstmodul bspw. in einer Gehäusekammer, in der es an geordnet ist, irreversibel verankern. Das bedeutet, dass das Nachrüstmodul, wenn es einmal vorschriftsgemäß installiert wurde, nicht mehr entfernt werden kann.
Sowohl die vorschriftsgemäße Installation als auch ein möglicherweise unzulässi ges Entfernen können mittels entsprechender Kontaktschalter überwacht werden. Ein solcher Sabotagekontakt würde der übergeordneten Einheit dann melden, wenn das Nachrüstmodul widerrechtlich entfernt oder manipuliert wurde. Der wi derrechtliche Eingriff wird so erkannt und es können Gegenmaßnahmen ergriffen werden.
Die mechanisch irreversible Verbindung kann bspw. als irreversible Rastverbin dung und/oder eine irreversible Schraubverbindung und/odereine irreversible Kle beverbindung ausgebildet sein und/oder eine irreversible Barriere umfassen.
Eine irreversible Barriere kann z. B. ein Gehäusedeckel sein, der eine Gehäuse kammer, in der das Nachrüstmodul angeordnet ist, irreversibel verschließt. Dazu kann ein ursprünglicher Gehäusedeckel ausgetauscht und mit einem selbstsichern den Deckel ersetzt werden. Ein selbstsichernder Deckel kann bspw. Rasthaken o- der dergleichen aufweisen, die ein Öffnen des Deckels nach einem erstmaligen vollständigen Verschließen, verhindern. Zusätzlich oder alternativ kann der selbst sichernde Deckel eine Verklebung aufweisen, die den Deckel in einer verschraub ten Position fixiert.
In einer Ausgestaltungsform weist das Nachrüstmodul ein Kryptomodul zur Sig nierung und/oder Verschlüsselung von Daten auf. Durch eine Signatur kann ein Empfänger sicherstellen, dass Daten von einem bestimmten Urheber, hier dem Nachrüstmodul und mittelbar damit von dem damit ausgestatteten Feldgerät stammen. Ferner kann die Datenintegrität sichergestellt werden, d.h. ein Empfän ger der Daten kann verifizieren, dass die Daten seit der Signierung durch den Ab sender, also das Nachrüstmodul, nicht verändert wurden. Insgesamt kann durch ein solches Kryptomodul also die Datenübermittlung von dem Feldgerät, das mit dem Nachrüstmodul ausgestattet ist zu übergeordneten Einheiten sicherer ausge staltet werden.
Es sei an dieser Stelle betont, dass das Kryptomodul wir zuvor beschrieben nicht zwingend eine Verschlüsselung bewirkt, sondern auch lediglich das Versehen der versendeten Daten mit einer Signatur eine Aufgabe eines Kryptomoduls gemäß der vorliegenden Anmeldung sein kann.
Das Kryptomodul kann sowohl als Hardware als auch als Softwaremodul ausgebil det sein, d. h. dass es sowohl durch Hardwarekomponenten, insbesondere einen dedizierten Kryptochip, als auch durch Softwarekomponenten, d. h. als entspre chender Computerprogrammcode, der wenn er von einem Prozessor ausgeführt wird, die Signierung und/oder Verschlüsselung der Daten bewerkstelligt, ausgebil det sein.
Unter Softwarekomponenten werden in der vorliegenden Anmeldung Teile oder Module von Software verstanden, d. h. Computerprogrammcode, der wenn er von einem Prozessor ausgeführt wird, diesen dazu veranlasst Befehle zur Realisierung der gewünschten Funktionalität der Softwarekomponente, auszuführen.
Das Nachrüstmodul kann zusätzlich oder alternativ ein Authentifizierungsmodul aufweisen. Ein Authentifizierungsmodul kann abhängig von dem gewünschten IT- Sicherheitslevel verschiedene Komponenten umfassen. So kann es bspw. eine Nut zer- und Passwortverwaltung, eine Berechtigungsverwaltung, ein Modul für eine Multifaktor-Authentifizierung sowie ggf. notwendige Hardwareschnittstellen dafür aufweisen. Entsprechende Hardwareschnittstellen können bspw. Sensoren für eine Präsenzerkennung, Eingabefelder für eine Pin, Sensoren für biometrische Daten, bspw. Fingerabdrucksensoren oder Retinascanner, und/oder Schnittstellen zum Auslesen von mechanischen Schlüsseln und/oder elektrisch auslesbaren Tokens, insbesondere NFC-Schnittstellen zum Auslesen von NFC-Tokens oder dergleichen sein.
Die Nutzerauthentifizierung kann dabei nicht nur eine Authentifizierung von Be dienpersonal umfassen, sondern auch eine Authentifizierung von zugelassenen Be diengeräten und/oder Kommunikationspartnern implementieren.
Das Nachrüstmodul kann ferner eine Authentifizierungsschnittstelle für ein exter nes, zweites Authentifizierungsmodul aufweisen. Eins solches externes, zweites Authentifizierungsmodul kann bspw. ein Authentifizierungsmodul eines Bedienge räts sein, sodass die Benutzerauthentifizierung an dem Bediengerät auch für das Feldgerät übernommen wird, sofern sich das Bediengerät gegenüber dem Nach rüstmodul hinreichend authentifiziert hat.
Eine Authentifizierung kann damit nicht nur für Bedienpersonen sondern auch für Geräte, die mit dem Feldgerät kommunizieren, erfolgen.
Das Authentifizierungsmodul kann ebenfalls als Hardwarekomponente und soweit keine Hardware notwendig ist, auch als Softwarekomponente ausgestaltet sein.
Zusätzlich oder alternativ kann das Nachrüstmodul eine Firewall, insbesondere ei nen Paketfilter aufweisen. Durch eine Firewall-Funktionalität kann sichergestellt
werden, dass nur berechtigte Nutzer eine Verbindung zu dem Nachrüstmodul und damit dem Feldgerät aufbauen können (Verbindungsfilter) oder dass nur unschäd liche Pakete das Nachrüstmodul passieren und damit zu dem Feldgerät zur weite ren Verarbeitung Vordringen.
Das Nachrüstmodul kann in einer Ausgestaltungsform als Anzeige- und/oder Be dienmodul ausgebildet sein, oder alternativ ein solches aufweisen. Insbesondere bei modular aufgebauten Feldgeräten kann so bspw. ein regulär vorhandenes An zeige- und/oder Bedienmodul durch das Nachrüstmodul, das als Anzeige- und/oder Bedienmodul ausgebildet ist, oder durch ein Anzeige- und/oder Bedienmodul, das das Nachrüstmodul aufweist, ausgetauscht werden.
Insbesondere bei dem modularen Feldgerätesystem der Anmelderin bietet es sich an, das Nachrüstmodul in das bestehende modulare System zu integrieren.
Das Sicherheitsmodul kann eine Mehrzahl von funktionalen Einheiten zur Imple mentierung einer Mehrzahl vorgegebener IT-Sicherheitsstufen unterschiedlicher Höhe aufweisen, wobei das Sicherheitsmodul ein Auswahlelement zur Auswahl ei ner IT-Sicherheitsstufe aufweist, wobei auf Basis der Auswahl die zur Implemen tierung der ausgewählten IT-Sicherheitsstufe notwendigen funktionalen Einheiten aktiviert und/oder nicht notwendige funktionale Einheiten deaktiviert werden.
Es sei an dieser Stelle angemerkt, dass Aktivieren und Deaktivieren sich auf einen Betrieb, d. h. eingeschalteten Zustand des Nachrüstmoduls bzw. Feldgeräts be zieht und in diesem Zusammenhang, ein persistentes Inbetriebnehmen bzw. Au ßerbetriebnehmen der jeweiligen funktionalen Einheiten bedeutet. Eine Deaktivie rung oder in anderen Worten, ein Ausschalten des gesamten Feldgeräts hat dabei keinen Einfluss auf den Status der funktionalen Einheiten nach einem erneuten Einschalten des Feldgeräts.
In einer Ausgestaltung des Nachrüstmoduls ist das Sicherheitsmodul derart aus gebildet, dass eine einmalige Auswahl der IT-Sicherheitsstufe möglich ist. Das be deutet in diesem Zusammenhang, dass die IT-Sicherheitsstufe, einmalig ausge wählt werden kann und anschließend festgelegt, also unveränderlich ist. Insbeson dere kann die IT-Sicherheitsstufe einmalig nutzerseitig ausgewählt werden. Das bedeutet, dass das Nachrüstmodul im Auslieferungszustand keine, oder eine
beliebige, herstellerseitig vorgebbare IT-Sicherheitsstufe aufweisen kann, die dann einmalig nutzerseitig verändert werden kann.
Eine einmalig nutzerseitige Auswahl, kann dabei insbesondere bedeuten, dass eine nachträgliche nutzerseitige Veränderung des IT-Sicherheitslevels nicht möglich ist. In bestimmten Ausführungsformen kann zwischen einer nutzerseitigen Verände rung des IT-Sicherheitslevels und einer administratorseitigen Veränderung des IT- Sicherheitslevels unterschieden werden. Das bedeutet, dass in einer Ausführungs form vorgesehen sein kann, dass ein Administrator das IT-Sicherheitslevel auch nach einer erstmaligen Einstellung bei der Inbetriebnahme auch nachträglich noch ändern kann. Hierzu kann aber bspw. vorgesehen sein, dass dies zusätzlich zu einer Authentifizierung als Administrator nur mit einem gerätespezifischen Ent sperrcode und/oder mit einer zusätzlichen herstellerseitigen Freigabe erfolgen kann.
Zur Sicherstellung, dass das mit dem Nachrüstmodul versehene Feldgerät nur mit der gewünschten Sicherheitsstufe betrieben werden kann, kann das Sicherheits modul derart ausgestaltet sein, dass eine Auswahl der IT-Sicherheitsstufe bei einer Inbetriebnahme des mit dem Nachrüstmodul versehenen Feldgeräts möglich und insbesondere erforderlich ist.
Auf diese Weise kann der Betreiber einer Anlage dazu angehalten werden, bei der Inbetriebnahme eines neuen oder nachgerüsteten Feldgeräts die passende Sicher heitsstufe auszuwählen. Diese wird dann mit der Inbetriebnahme eingestellt und festgelegt. Zusätzlich oder alternativ zu dem oben beschriebenen Vorgehen kann ein nachträgliches Verändern der IT-Sicherheitsstufe mit einem Zurücksetzen des Feldgeräts auf Werkseinstellungen, d. h. in den Auslieferungszustand und damit mit einer erneuten Inbetriebnahme verbunden sein.
Eine einmalige Auswahlmöglichkeit kann bspw. dadurch realisiert werden, dass das Auswahlelement mechanisch irreversibel ausgestaltet ist. Eine mechanisch ir reversible Ausgestaltung des Auswahlelements kann bspw. durch eine geeignete Verrastung einer einmal getätigten Einstellung erfolgen. Eine solche Verrastung kann z. B. derart ausgestaltet sein, dass eine Veränderung des Auswahlelements nur zu einer höheren IT-Sicherheitsstufe hin möglich ist. Alternativ kann das Aus wahlelement auch mechanisch festgesetzt, bspw. verklebt oder anderweitig fixiert
werden. Zusätzlich oder alternativ kann ein mechanisches Auswahlelement auch eine Sollbruchstelle aufweisen, d. h., dass das Auswahlelement bei einem erstma ligen nutzerseitigen Einstellen der IT-Sicherheitsstufe bei erfolgter Einstellung an dieser Sollbruchstelle abbricht und damit ein nachträgliches Verändern der IT- Sicherheitsstufe unmöglich macht.
Zusätzlich oder alternativ kann das Sicherheitsmodul derart ausgestaltet sein, dass eine Auswahl der IT-Sicherheitsstufe elektronisch irreversible ist. Dies kann bspw. dadurch erreicht werden, dass nach einem ersten Auslesen des Auswahlelements die dafür notwendigen elektrischen Verbindungen unterbrochen werden. Dies kann bspw. durch das gezielte Unterbrechen von dort eingebauten Sicherungen oder das anderweitige Zerstören der elektrischen Auslesbarkeit des Auswahlelements erfolgen. Zusätzlich oder alternativ können auch bei der Einstellung der IT- Sicherheitsstufe funktionale Elemente, die zur Implementierung der ausgewählten IT-Sicherheitsstufe deaktiviert werden, durch dauerhafte Unterbrechung der elektrischen Verbindung zu diesen funktionalen Elementen an einer Reaktivierung gehindert werden.
Zum Beispiel kann es zur Implementierung einer bestimmten IT-Sicherheitsstufe vorgegeben sein, dass eine Funkschnittstelle außer Betrieb gesetzt wird. In der zuvor beschriebenen Ausführungsform kann eine Reaktivierung der Funkschnitt stelle verhindert werden, indem bspw. eine elektrische Verbindung zur Funk schnittstelle dauerhaft unterbrochen, oder bspw. ein Sendeelement gezielt dys funktional gemacht wird.
Zusätzlich oder alternativ kann das Sicherheitsmodul derart ausgestaltet sein, dass eine Auswahl der IT-Sicherheitsstufe softwaretechnisch irreversibel ist. Bspw. kann ein Teil eines Programmcodes, der ein Auslesen des Auswahlelementes und eine Einstellung der IT-Sicherheitsstufe realisiert, nach einer erfolgreichen Einstel lung der IT-Sicherheitsstufe gelöscht oder anderweitig derart verändert werden, dass ein erneutes Auslesen des Auswahlelements nicht möglich ist. In dieser Aus führungsform könnte das Auswahlelement dann - sofern eine Veränderung nicht auch an dieser Stelle unterbunden ist - auf die Auswahl einer anderen, gegenüber der eingestellten IT-Sicherheitsstufe verstellt werden, diese geänderte Auswahl wird aber nicht mehr ausgelesen und die IT-Sicherheitsstufe damit nicht verstellt.
Um sicherzustellen, dass eine einmal ausgewählte IT-Sicherheitsstufe zumindest nicht heruntergesetzt, d. h. nachträglich eine IT-Sicherheitsstufe mit einem nied rigeren IT-Sicherheitslevel ausgewählt wird, kann vorgesehen sein, dass das Nach rüstmodul bei Auslieferung die niedrigste IT-Sicherheitsstufe aufweist und das Si cherheitsmodul derart ausgebildet ist, dass ausschließlich eine Erhöhung der IT- Sicherheitsstufe möglich ist. Diese Funktionalität kann sowohl durch eine geeig nete Ausgestaltung der Hardware, bspw. des Auswahlelements, als auch eine ge eignete softwaremäßige Implementierung erreicht werden.
Alternativ ist es auch möglich, dass das Nachrüstmodul in der höchsten IT- Sicherheitsstufe ausgeliefert wird, und nur eine Erniedrigung der IT- Sicherheitsstufe möglich ist.
Das Auswahlelement kann in einer Ausgestaltungsform als Hardware-Schalter, vorzugsweise als Schiebeschalter oder Drehschalter ausgebildet sein. Durch einen solchen Hardware-Schalter kann eine Auswahl der IT-Sicherheitsstufe intuitiv und anwenderfreundlich erfolgen. Eine in Hardware implementierte Ausgestaltung des Auswahlelements kann einen effektiven Schutz vor netzwerkbasierten Angriffen bilden und somit zur Absicherung des Feldgerätes beitragen.
In einer weiteren Ausgestaltungsform kann das Auswahlelement als Auswahlmenü in einer Bedienoberfläche ausgestaltet sein. Typischerweise umfasst der Prozess der Inbetriebnahme des Nachrüstmoduls bzw. des mit dem Nachrüstmodul verse henen Feldgeräts verschiedene Parametrierungsschritte, in die eine Auswahl der IT-Sicherheitsstufe auf diese Weise nahtlos eingefügt werden kann.
In einer Ausgestaltungsform des Nachrüstmoduls kann das Auswahlelement einen Multiplexer ansteuern, der mit den funktionalen Einheiten zur Implementierung der IT-Sicherheitsstufe zumindest im Auslieferungszustand verbunden ist. Auf diese Weise können die verschiedenen funktionalen Einheiten zur Implementie rung der IT-Sicherheitsstufe über eine geeignete Ansteuerung des Multiplexers ak tiviert oder deaktiviert werden.
Ferner kann das Nachrüstmodul auch ein Firmware-Update für das vorhandene Feldgerät umfassen. Durch ein solches Firmware-Update für das Feldgerät kann bspw. sichergestellt werden, dass bspw. die Feldgeräteelektronik - abhängig von
der ausgewählten Sicherheitsstufe - nur noch bestimmte Kommunikationswege, Gegenstellen, oder Anbaumodule akzeptiert, und/oder eine Deinstallation des Nachrüstmoduls verweigert wird.
Erfindungsgemäß ist auch ein modulares Feldgerät der Prozessautomatisierung technik mit einer Feldgeräteelektronik mit wenigstens einer Kommunikations schnittstelle, wobei das Feldgerät ein Nachrüstmodul gemäß einem der vorherge henden Ansprüche aufweist, das mit der Kommunikationsschnittstelle der Feldge räteelektronik verbunden ist.
Die vorliegende Erfindung wird nachfolgend anhand von Ausführungsbeispielen unter Bezug auf die beigefügten Figuren eingehend erläutert. Es zeigen:
Figur 1 zwei Feldgeräte gemäß dem Stand der Technik,
Figur 2 ein Ausführungsbeispiel gemäß der vorliegenden Anmeldung,
Figur 3 ein drittes Ausführungsbeispiel eines Feldgeräts gemäß der vorliegen den Anmeldung mit einem Nachrüstmodul und
Figur 4 ein Ausführungsbeispiel für ein Verfahren gemäß der vorliegenden Anmeldung.
Die nachfolgend dargestellten Ausführungsbeispiele von Feldgeräten zeigen bei spielhafte Implementierungen für die Umsetzung von IT-Sicherheitsstufen SL an hand der Definitionen der Norm IEC 62443. Die Beispiele sollen rein exemplari schen Charakter zur Verdeutlichung der grundsätzlichen Strukturen und Abläufe haben, und schließen die Übertragung auf andere existierende oder zukünftig ent stehende Normen mit vergleichbaren Konzepten zur standardisierten Definition von Sicherheitsstufen gemäß dem Verständnis der vorliegenden Erfindung grund sätzlich mit ein. Es kann insbesondere vorgesehen sein, in zukünftigen Normen bestehende IT-Sicherheitsstufen SL zusammenzufassen, um beispielsweise eine Neudefinition von IT- Sicherheitsstufen SL gemäß dem Schema BASIC (entspre chend SLO + SL1), SUBSTANTIAL (entsprechend SL2 + SL3) und HIGH (entspre chend SL4) vornehmen. Die Anwendung der vorliegenden Erfindung im Kontext neu definierter Sicherheitsstufen kann von einem Fachmann in naheliegender Art
und Weise realisiert werden, weshalb auch zukünftige Neudefinitionen von Sicher heitsstufen im Kontext der vorliegenden Erfindung mit abgedeckt sein sollen.
Figur 1 zeigt in den Teilfiguren la) und lb) zwei Feldgeräte 101, 102 gemäß dem Stand der Technik.
Figur la) zeigt einen drahtgebunden betriebenes Feldgerät 101, das als Radarfüll standmessgerät ausgebildet ist. Das Feldgerät 101 bezieht seine für den Betrieb notwendige Energie über eine Kabelverbindung 104, üblicherweise eine analoge oder digitale Verbindung 104. Das Feldgerät 101 ist vorliegend als Zweileiter-Feld gerät ausgebildet.
Unter einem Zweileiter-Feldgerät gemäß der vorliegenden Erfindung wird ein Feld gerät verstanden das über zwei Leitungen mit einer übergeordneten Einheit ver bunden ist, wobei über diese beiden Leitungen sowohl eine Energieversorgung als auch eine Messwertübermittlung stattfindet.
Die Energie- und/oder Signalübertragung zwischen dem Zweileiter-Feldgerät und der übergeordneten Einheiten erfolgt dabei nach dem bekannten 4 mA bis 20 mA Standard, bei dem eine 4 mA bis 20 mA Stromschleife, d. h. eine Zweidrahtleitung zwischen dem Feldgerät und der übergeordneten Einheit ausgebildet ist. Zusätzlich zu der analogen Übertragung von Signalen besteht die Möglichkeit, dass die Mess geräte gemäß verschiedenen anderen Protokollen, insbesondere digitalen Proto kollen, weitere Informationen an die übergeordnete Einheit übermitteln oder von dieser empfangen. Beispielhaft seien hierfür das HART- Protokoll oder das Profibus- PA-Protokoll genannt. Es kann sich bei der Schnittstelle beispielsweise auch um eine IO-Link Schnittstelle handeln.
Die Energieversorgung dieser Feldgeräte erfolgt ebenfalls über das 4 mA bis 20 mA Stromsignal, sodass neben der Zweidrahtleitung keine zusätzliche Versorgungslei tung notwendig ist.
Das drahtgebunden betriebene Feldgerät 101 nutzt also die Schnittstelle 104 zur Übermittlung seines Messwertes nach außen hin. Das Feldgerät 101 weist in der dargestellten Ausführungsform ein Anzeige- und Bedienmodul 103 zur Ermögli chung einer Interaktion mit einem Benutzer auf. Das Anzeige- und Bedienmodul
103 bezieht seine zum Betrieb erforderliche Energie über die Schnittstelle 102. Darüber hinaus nutzt das Nachrüstmodul 103 die Schnittstelle 102 zur Kommuni kation mit einer Feldgerätelektronik des Feldgeräts 101.
Figur lb) zeigt ein autonom arbeitendes Feldgerät 105, welches die für den Betrieb des Feldgeräts 105 erforderliche Energie aus einer integrierten Batterie 106 bezie hen, und einen ermittelten Messwert über eine Drahtlosschnittstelle 107 nach au ßen hin bereitstellet.
Autonom arbeitende Feldgeräte 105 sind autarke Messanordnungen, insbesondere autarke Füllstand- oder Grenzstandsensoren. Die autarken Füllstand- oder Grenz standsensoren sind vorzugsweise als Radarsensoren ausgebildet und weisen - um die Autarkie der Sensoren sicher zu stellen - neben einem Messaufnehmer zur Erfassung von Messdaten eine Übermittlungseinrichtung zur, vorzugsweise draht losen, Übermittlung erfasster Messdaten oder Messwerte und eine eigene Energie versorgung auf. Die Übermittlungseinrichtung kann bevorzugt ein Funkmodul für eine Schmalbandfunktechnologie (LoRa, Sigfox, LTE-M, NB-IOT) sein, das die Messdaten oder Messwerte in eine Cloud, d. h. auf einen Server im World Wide Web überträgt. Die Energieversorgung ist vorzugsweise als Batterie oder Akkumu lator ausgebildet und kann zusätzlich ein Energy-Harvesting-Modul umfassen.
Das vorliegend dargestellte autonome Feldgerät 105 weist ein komplett hermetisch geschlossenes Gehäuse 108 auf. Das autonome Feldgerät 105 weist ein drahtlos arbeitendes Anzeige- und Bedienmodul 109 zur Ermöglichung einer Anzeige und/oder Bedienung auf. Sowohl die von dem Anzeige- und Bedienmodul 109 be nötigte Energie als auch die erforderlichen Daten werden drahtlos zwischen dem autarken Feldgerät 105 und dem Anzeige- und Bedienmodul 109 ausgetauscht, beispielsweise unter Verwendung einer RFID Technologie.
Diese bekannten Feldgeräte 101, 105 werden seit Jahren in großen Stückzahlen produziert, und haben eine bedeutende Verbreitung im Markt gefunden. Bisher bekannte Feldgeräte 101, 105 weisen bislang keine technischen Einrichtungen zur Erfüllung der Anforderungen zur Erlangung einer definierten IT-Sicherheitsstufe (SL) auf.
Figur 2 zeigt ein erstes erfindungsgemäßes Nachrüstmodul 201, welches nach Ein bau in ein bekanntes Feldgerät 101 im Zusammenspiel mit diesem eine technische Vorrichtung ergibt, um die Anforderungen zur Erlangung einer definierten IT- Sicherheitsstufe (SL) zu implementieren.
Das Nachrüstmodul 201 weist hierzu in Hardware implementierte spezialisierte funktionale Einheiten 202 auf, die zur Erreichung der IT-Sicherheitsstufe notwen dig sind. Im Zusammenwirken mit in Software implementierten funktionalen Ein heiten 203 und Hard- und Softwareeinheiten 110 der Feldgeräteelektronik 112 des Feldgeräts 101 werden die Vorgaben umsetzt, die notwendig sind, um eine der oben definierten IT-Sicherheitsstufen SL1, SL2, SL3 oder SL4 zu erreichen.
Anhand des Beispiels einer Nutzerauthentifizierung wird nachfolgend das den Aus führungsbeispielen zugrundeliegende Prinzip näher erläutert.
Soll ein existierendes Feldgerät 101 beispielsweise befähigt werden, die Anforde rungen zur Erlangung der Sicherheitsstufe SL2 zu erfüllen, so muss ein Mechanis mus zur Verwaltung einer vorgebbaren Liste von Benutzern mit zugehörigen Pass wörtern und individuellen Zugriffsrechten im Feldgerät hinterlegt sein. Auf diese Weise soll ein unautorisierter Zugriff auf die Einstellungen des Feldgeräts 101 ver hindert werden.
Da das ursprüngliche Feldgerät 101 keine Hard- und Softwareeinheiten 110 zur Umsetzung einer Benutzerverwaltung aufweist, wird dieses mit einem Nachrüst modul 201 versehen, das vorliegend als Anzeige- und Bedienmodul ausgestaltet ist. Das Nachrüstmodul ist derart ausgestaltet, dass es eine über die Tastatur 204 initiierte Benutzeranmeldung durch Abarbeitung einer in Software implementier ten, in der funktionalen Einheit 203 hinterlegte Anmelderoutine unter Verwendung einer vorab abgespeicherten Liste zugelassener Benutzer, die in der in der Hard ware implementierten funktionalen Einheit 202 persistent abgespeichert sind, aus führt. Eine Anmeldung des Benutzers wird nur dann akzeptiert, wenn der Benutzer bekannt, d. h. in der hardwaremäßig hinterlegten Liste enthalten ist, und das dem Benutzer zugeordnete gültige Passwort eingegeben hat. Ist beides erfolgt, wird im Zusammenspiel der Tastatur 204 und der Anzeige 205 eine autorisierte Bedienung des Feldgeräts 101 freigegeben, zu welcher das Anzeige- und Bedienmodul 103,
109 in bekannter Art und Weise mit dem Feldgerät 101 über die Schnittstelle 102 kommuniziert.
Im Rahmen eines modularen Feldgerätekonzepts werden weitere Nachrüstmodule 201 vom Hersteller bereitgestellt, mit welchen die Anforderungen anderer IT- Sicherheitsstufen erfüllt werden. So kann ein alternatives Nachrüstmodul 201 zur Erlangung der Sicherheitsstufe SL3 bereits in Hard- und Software implementierte funktionale Einheiten zur Realisierung einer Multifaktorauthentifizierung aufwei sen. Zusätzlich zu der Tastatur 204 kann dies beispielsweise eine (hier nicht gra fisch dargestellte) NFC Schnittstelle sein, mit welcher die Präsenz eines NFC- Tokens zusätzlich verifiziert werden kann.
Die Montage des Nachrüstmoduls 201 gemäß dem vorliegend dargestellten Aus führungsbeispiel ist persistent ausgestaltet, d. h. dass ein nachträgliches Entfernen des Nachrüstmoduls 201 dauerhaft verhindert wird.
Es wird so verhindert, dass die mittels des Nachrüstmoduls 201 erreichte IT- Sicherheitsstufe SL des aktualisierten Gesamtgerätes 101, 201 nachträglich unbe rechtigterweise durch unbefugtes Demontieren des Nachrüstmoduls 201 wieder deaktiviert wird. Hierfür wird eine unbefugte Demontage durch mechanische Si cherungsmechanismen unterbunden. Zum einen ist das Nachrüstmodul 201 mit der Feldgeräteelektronik 112 des Feldgeräts 101, durch eine umlaufende Verkle bung 206 verbunden. Zum anderen wird die gewünschte Persistenz elektronisch sichergestellt. Das Nachrüstmodul 201 modifiziert bei einem erstmaligen Verbin den mit der Feldgeräteelektronik 112 des Feldgeräts 101 eine Firmware 111 des Feldgeräts 101 derart, dass diese fortan nur noch Daten mit genau diesem Nach rüstmodul 201 austauscht, und bei einem nicht vorhandenen Nachrüstmodul 201 oder bei einem Austausch gegen ein nicht authentifiziertes Nachrüstmodul 201 den Betrieb einstellt, um nach außen hin einen Fehler zu signalisieren, beispielsweise durch das Ausgeben eines Statussignals für einen ungültigen Messwert.
In einer weiteren Ausführungsform kann zusätzlich oder alternativ vorgesehen sein, den Deckel 207 durch einen mechanisch modifizierten Deckel zu ersetzen, welcher ein Aufschrauben nach einmaligem Schließen mechanisch verhindert, so- dass ein Zugriff auf das Nachrüstmodul 201 verhindert wird.
Figur 3 zeigt ein weiteres Ausführungsbeispiel eines Nachrüstmoduls 301 zur Er langung einer definierten IT-Sicherheitsstufe (SL). Wie aus der Grafik ersichtlich, wird hier beispielhaft ein autarkes Feldgerät 105 durch ein Nachrüstmodul 301 befähigt, erweiterte Anforderungen im Hinblick auf die Erreichung einer IT- Sicherheitsstufe (SL) zu erfüllen.
Die Hardwareeinheiten 302, 304, 306 realisieren im Zusammenwirken mit den Softwareeinheiten 303, 305, 307 eine definierte Menge an Funktionalitäten, wel che zur Erlangung mehrerer sich unterscheidender IT-Sicherheitsstufen (SL) er forderlich sind. Über einen Selektor 308 kann vom Anwender eine definierte IT- Sicherheitsstufe (SL) eingestellt werden. Beispielsweise wird in einer ersten Posi tion des Selektors 308 von einer Selektionseinheit 309, beispielsweise einem Mul tiplexer, die Sicherheitsfunktion des Hardwarebausteins 302 im Zusammenspiel mit den Softwareeinheiten 303 aktiviert. Gleichzeitig können die Einheiten 304, 305, 306, 307 deaktiviert werden. Somit wird das Nachrüstmodul 301 befähigt, im Zusammenspiel mit dem Feldgerät 105 die Anforderungen gemäß einer ersten IT- Sicherheitsstufe (SL) zu implementieren. Wird hingegen die Selektionseinheit 309 in einer zweiten Position aktiviert, so können die Einheiten 302, 303, 306, 307 deaktiviert und die Einheiten 304, 305 zur Erfüllung der Anforderungen einer zwei ten IT-Sicherheitsstufe (SL) aktiviert sein. Nach diesem Schema ist es möglich, ein Nachrüstmodul bereitzustellen, welches bestehende Sensoren derart erweitert, dass diese im Zusammenspiel mit dem Nachrüstmodul die Anforderungen gemäß einer in dem Nachrüstmodul 301 wählbaren IT-Sicherheitsstufe SL erfüllen.
Es sei an dieser Stelle darauf hingewiesen, dass die hier beschriebene Wählbarkeit der IT-Sicherheitsstufe SL sowohl mit drahtgebundenen Nachrüstmodulen 201 als auch mit drahtlos arbeitenden Nachrüstmodulen 301 erreicht werden kann.
Figur 4 zeigt eine weitere Variante eines Nachrüstmoduls 401.
Eine Vielzahl an Feldgeräten in der Prozessindustrie wird mit sogenannten Zwei kammergehäusen 402 ausgeliefert, welche die Möglichkeit bieten, in einer zweiten Gehäusekammer 403 Komponenten zum Blitzschutz oder für den Explosionsschutz unterzubringen. Diese Komponenten sind gehäuseintern über zumindest eine Drahtverbindung 404 mit der eigentlichen Feldgeräteelektronik 405 verbunden.
Das in der Figur 4 dargestellte Nachrüstmodul 401 weist, wie auch die Nachrüst- module 201, 301, Hard- und Softwareeinheiten 202, 203 auf, welche im Zusam menspiel mit der Feldgeräteelektronik 405 geeignet sind, die Anforderungen zur Erreichung einer definierten IT-Sicherheitsstufe SL umzusetzen. Das Nachrüstmo dul 401 weist hierzu zumindest zwei drahtgebundene Schnittstellen auf, und lässt sich auf diese Weise in den Versorgungsstrang zwischen der Kommunikationslei tung 406 und der Feldgerätelektronik 405 einbauen.
Potentielle IT-relevante Sicherheitsattacken können in einer Vielzahl an Geräten im Wesentlichen nur über eine drahtgebundene Schnittstelle erfolgen. Es ist daher ein effektiver Ansatz, die Kommunikationsleitung 406 aufzutrennen, und ein Nach rüstmodul 401 in der zweiten Sensorkammer einzubauen. Das Nachrüstmodul 401 weist im gezeigten Ausführungsbeispiel eine drahtgebundene Ausgangsleitung 404 mit vordefinierter Länge auf, welche derart ausgeführt ist, dass die ursprüngliche Kontaktierungsschnittstelle 407 eines bestehenden Gerätes zu verbinden. Es kann ergänzend oder alternativ vorgesehen sein, dass das Nachrüstmodul 401 nicht wieder entfernbar (mechanisch persistent) am Feldgerät 402 befestigt ist. Im vor liegenden Ausführungsbeispiel ist das Nachrüstmodul 401 durch mit Klebstoff fi xierbare Sicherheitsschraubverbinder in dem Gehäuse 402 des Feldgeräts befes tigt.
Zudem kann vorgesehen sein, den (nicht dargestellten) Originalgehäusedeckel durch einen selbstverklebenden und damit nicht wieder entfernbaren Gehäusede ckel 408 zu ersetzen.
Das Nachrüstmodul 401 übernimmt abhängig von der erforderlichen IT- Sicherheitsstufe SL vielfältige Sicherheitsfunktionen für das Feldgerät 301, also beispielsweise die Nutzerverwaltung, Authentifizierung, Verschlüsselung oderauch andere Funktionen, die gemäß der gewünschten IT-Sicherheitsstufe SL von der jeweiligen Norm verlangt werden können. Es kann insbesondere auch vorgesehen sein, dass das Nachrüstmodul 401 als Firewall agiert, und die eingehenden Daten pakete fortlaufend kontrolliert und ggf. abweist.
Es kann entsprechend der vorliegenden Anmeldung vorgesehen sein, abhängig von der gewünschten IT-Sicherheitsstufe SL verschiedene Nachrüstmodule 401 für eine Nachrüstung beim Kunden oder im Werk bereitzustellen. Zusätzlich oder
alternativ kann ein Sicherheitsmodul derart ausgestaltet sein, dass es gemäß den obigen Ausführungsbeispielen einstellbar ist, und somit unterschiedliche IT- Sicherheitsstufen SL realisiert.
Ein auf diese Weise nachgerüsteter Sensor kann anschließend über die Kommuni kationsleitung 406 nur noch über das Nachrüstmodul 401 und die darin enthaltene funktionale Module 203, die vorliegend als Zusatzsoftware ausgestaltet sind, von außen erreicht werden. Ein unbefugter Zugriff und eine Manipulation am Montage ort kann durch das Verkleben des Gehäusedeckels 408 zuverlässig unterbunden werden.
Weiterhin kann es zur Realisierung höherer IT-Sicherheitsstufen (SL) beispiels weise erforderlich sein, sich vor dem Zugriff auf das Feldgerät 402 über eine Mul- tifaktorauthentifizierung zu authentifizieren. Bei einer Multifaktorauthentifizierung kann es erforderlich sein, zwei oder mehrere Sicherheitsmerkmale aus den Grup pen Kenntnis, Besitz oder Gegenwart zu kombinieren, um eine besonders zuver lässige Authentifizierung zu gewährleisten. So kann es beispielsweise erforderlich sein, ein Sicherheitsmerkmal „Kenntnis" in Form eines geheimen Passwortes drahtgebunden über eine Schnittstelle in ein erstes Nachrüstmodul 401 zu über tragen, und zusätzlich den Besitz eines benutzerspezifischen Tokens (z.B. RFID- Chip, Passworttresor, U2F Modul) am Sensor durch Aufstecken eines zweiten Si cherheitsmoduls 409, welches den Token oder zumindest eine Schnittstelle zum Auslesen eines Tokens beinhaltet, nachzuweisen. Auf diese Weise kann durch er findungsgemäße Kombination eines ersten Nachrüstmodul 401 und eines zweiten Sicherheitsmoduls 409 eine höhere IT-Sicherheitsstufe SL erreicht werden. Es kann ergänzend oder alternativ auch vorgesehen sein, die Feldgerätelektronik 405 durch eingespielte Software derart zu modifizieren, dass diese eine direkte Kom munikation des ersten Nachrüstmodul 401 mit dem zweiten Sicherheitsmodul 409 ermöglicht, um spezifische Anforderungen einer Sicherheitsebene umzusetzen.
Ergänzend soll darauf hingewiesen werden, dass in den erfindungsgemäßen Si cherheitsmodulen 201, 301, 401 und 409 eine Vielzahl von Hard- und Softwareein heiten zur Umsetzung spezifischer Sicherheitsfunktionen enthalten sein können. Explizit erwähnt seien an dieser Stelle Hard- und Softwareeinheiten zum Umsetzen von Anforderungen betreffend
- das Logging und Monitoring von Sensorereignissen und Anmeldeversuchen
- die Authentifizierung von externen Geräten und Benutzern durch Kenntnis, beispielsweise mit Hilfe der Eingabe einer Geheimzahl, eines Passwortes o- der einer PIN - die Authentifizierung von externen Geräten und Benutzern durch Besitz, bei spielsweise mit mechanischen Schlüsseln und/oder elektronisch auslesbaren Token (RFID, NFC, U2F)
- die Authentifizierung von externen Geräten und Benutzern durch Gegen wart, beispielsweise mit Hilfe eines Touchpanels und einer Handschriftener- kennungssoftware, eines Mikrofons und einer Stimmerkennungssoftware, eines Scanners und einer Fingerabdruckerkennungssoftware
- die Nutzerverwaltung und die Verwaltung der Rechte der jeweiligen Nutzer
- die mechanische Integrität des Sensors, beispielsweise durch Versiege- lungs- oder Verklebevorrichtungen - die Sicherstellung der mechanischen und/oder elektronischen Persistenz von Nachrüstmodulen
- den funktionalen Ablauf des ursprünglichen Sensors, beispielsweise durch das Vorhalten von spezifischen Softwareupdates
Bezugszeichenliste , 105, 108, 402 Feldgerät
Schnittstelle , 109 Anzeige- und Bedienmodul
Kabelverbindung
Batterie
Drahtlosschnittstelle
Gehäuse
Hard- und Softwareeinheiten Firmware , 405 Feldgerätelektronik , 301, 401 Nachrüstmodul funktionale Einheit funktionale Einheit
Tastatur
Anzeige
Verklebung
Deckel , 304, 306 Hardwareeinheiten , 305, 307 Softwareeinheiten
Selektor
Selektionseinheit
Zwei kam mergehäuse
Gehäusekammer
Drahtverbindung
Sensorelektronik
Kommunikationsleitung
Kontaktierungsschnittstelle
Gehäusedeckel zweites Sicherheitsmodul
SL IT-Sicherheitsstufe
Claims
1. Nachrüstmodul (201, 301, 401) für ein Feldgerät (101, 105, 108, 402) der Prozessautomatisierungtechnik mit einer Feldgeräteelektronik (112, 405) mit wenigstens einer Kommunikationsschnittstelle, dadurch gekennzeichnet, dass das Nachrüstmodul (201, 301, 401) ein Sicherheitsmodul aufweist, wobei das Sicherheitsmodul (401, 409) mit der Feldgeräteelektronik (112, 405) derart zusammenarbeitet, dass eine vorgegebene IT-Sicherheitsstufe (SL) erreicht wird.
2. Nachrüstmodul (201, 301, 401) gemäß Anspruch 1, dadurch gekennzeichnet, dass das Nachrüstmodul (201, 301, 401) eine erste elektrische Schnittstelle (102) zur Verbindung der Feldgeräteelektronik (112, 405) des Füllstand messgeräts und ein Kommunikationsmodul zur Verbindung mit einer über geordneten Einheit aufweist.
3. Nachrüstmodul (201, 301, 401) gemäß Anspruch 2, dadurch gekennzeichnet, dass die erste Schnittstelle (102) zur Verbindung mit der Kommunikations schnittstelle des Feldgeräts (101, 105, 108, 402) ausgebildet ist.
4. Nachrüstmodul (201, 301, 401) gemäß Anspruch 2 oder 3, dadurch gekennzeichnet, dass die eine Verbindung der ersten Schnittstelle (102) mit der Kommunikati onsschnittstelle mechanisch irreversibel ausgestaltet ist.
5. Nachrüstmodul (201, 301, 401) gemäß einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass eine Verbindung der ersten Schnittstelle (102) mit der Kommunikations schnittstelle eine Verbindung der Feldgeräteelektronik (112, 405) zu der übergeordneten Einheit irreversibel unterbricht.
6. Nachrüstmodul (201, 301, 401) gemäß einem der vorhergehenden An sprüche, dadurch gekennzeichnet, dass das Nachrüstmodul (201, 301, 401) eine mechanische Schnittstelle (102) zur irreversiblen Verbindung mit dem Feldgerät (101, 105, 108, 402) auf weist.
7. Nachrüstmodul (201, 301, 401) gemäß Anspruch 6, dadurch gekennzeichnet, dass das Nachrüstmodul (201, 301, 401) eine irreversible Rastverbindung und/oder eine irreversible Schraubverbindung und/oder eine irreversible Klebeverbindung und/oder eine irreversible Barriere umfasst.
8. Nachrüstmodul (201, 301, 401) gemäß einem der vorhergehenden An sprüche, dadurch gekennzeichnet, dass das Nachrüstmodul (201, 301, 401) ein Kryptomodul zur Signierung und/oder Verschlüsselung von Daten aufweist.
9. Nachrüstmodul (201, 301, 401) gemäß einem der vorhergehenden An sprüche, dadurch gekennzeichnet, dass das Nachrüstmodul (201, 301, 401) ein Authentifizierungsmodul aufweist.
10. Nachrüstmodul (201, 301, 401) gemäß einem der vorhergehenden An sprüche, dadurch gekennzeichnet, dass das Nachrüstmodul (201, 301, 401) eine Authentifizierungsschnittstelle für ein externes, zweites Authentifizierungsmodul aufweist.
11. Nachrüstmodul (201, 301, 401) gemäß einem der vorhergehenden An sprüche, dadurch gekennzeichnet, dass das Nachrüstmodul (201, 301, 401) eine Firewall, insbesondere einen
Paketfilter aufweist.
12. Nachrüstmodul (201, 301, 401) gemäß einem der vorhergehenden An sprüche, dadurch gekennzeichnet, dass das Nachrüstmodul (201, 301, 401) als Anzeige- und/oder Bedienmodul (103, 109) ausgebildet ist.
13. Nachrüstmodul (201, 301, 401) gemäß einem der vorhergehenden An sprüche, dadurch gekennzeichnet, dass das Sicherheitsmodul eine Mehrzahl von funktionalen Einheiten zur Imple mentierung einer Mehrzahl vorgegebener IT-Sicherheitsstufen (SL) unter schiedlicher Höhe aufweist, wobei das Sicherheitsmodul ein Auswahlelement zur Auswahl einer IT- Sicherheitsstufe (SL) aufweist, wobei auf Basis der Auswahl die zur Imple mentierung der ausgewählten IT-Sicherheitsstufe (SL) notwendigen funkti onalen Einheiten aktiviert und/oder nicht notwendige funktionale Einheiten deaktiviert werden.
14. Nachrüstmodul (201, 301, 401) gemäß Patentanspruch 13, dadurch gekennzeichnet, dass das Sicherheitsmodul derart ausgebildet ist, dass eine einmalige Auswahl der IT-Sicherheitsstufe (SL) möglich ist.
15. Nachrüstmodul (201, 301, 401) gemäß einem der vorhergehenden Pa tentansprüche, dadurch gekennzeichnet, dass das Sicherheitsmodul derart ausgestaltet ist, dass eine Auswahl der IT- Sicherheitsstufe (SL) bei einer Inbetriebnahme des Nachrüstmoduls (201, 301, 401) möglich ist.
16. Modular aufgebautes Feldgerät der Prozessautomatisierungtechnik mit ei ner Feldgeräteelektronik (112, 405) mit wenigstens einer Kommunikati onsschnittstelle,
dadurch gekennzeichnet, dass das Feldgerät (101, 105, 108, 402) ein Nachrüstmodul (201, 301, 401) gemäß einem der vorhergehenden Ansprüche aufweist, das mit der Kom munikationsschnittstelle der Feldgeräteelektronik (112) verbunden ist.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2020/062429 WO2021223854A1 (de) | 2020-05-05 | 2020-05-05 | Nachrüstmodul für ein feldgerät und modular aufgebautes feldgerät |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EP4147096A1 true EP4147096A1 (de) | 2023-03-15 |
Family
ID=70554073
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| EP20724081.3A Pending EP4147096A1 (de) | 2020-05-05 | 2020-05-05 | Nachrüstmodul für ein feldgerät und modular aufgebautes feldgerät |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230189459A1 (de) |
| EP (1) | EP4147096A1 (de) |
| CN (1) | CN115485631A (de) |
| WO (1) | WO2021223854A1 (de) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4279881A1 (de) * | 2022-05-20 | 2023-11-22 | VEGA Grieshaber KG | Sichere inbetriebnahme und betrieb eines füllstandmessgeräts via service- und nachrüst-modul |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2611662B (en) * | 2018-10-01 | 2023-10-18 | Fisher Rosemount Systems Inc | Wireless protocol converter for field devices |
-
2020
- 2020-05-05 US US17/919,685 patent/US20230189459A1/en active Pending
- 2020-05-05 WO PCT/EP2020/062429 patent/WO2021223854A1/de unknown
- 2020-05-05 CN CN202080100375.9A patent/CN115485631A/zh active Pending
- 2020-05-05 EP EP20724081.3A patent/EP4147096A1/de active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| CN115485631A (zh) | 2022-12-16 |
| WO2021223854A1 (de) | 2021-11-11 |
| US20230189459A1 (en) | 2023-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3582033B1 (de) | Verfahren zur gesicherten bedienung eines feldgeräts | |
| EP3907569A1 (de) | Feldgerät mit einem sicherheitsmodul, nachrüstmodul für ein feldgerät, verfahren zur einstellung einer it-sicherheitsstufe und computerprogrammcode | |
| WO2007036178A1 (de) | Verfahren zum ausführen einer geschützten funktion eines elektrischen feldgerätes und elektrisches feldgerät | |
| DE10124800A1 (de) | Prozessautomatisierungssystem und Prozessgerät für ein Prozessautomatisierungssystem | |
| WO2006125404A1 (de) | Verfahren zum einstellen eines elektrischen feldgerätes | |
| WO2020212051A1 (de) | Industrielles automatisierungsgerät umfassend eine überwachungseinheit zur überprüfung und überwachung eines integritätszustandes des industriellen automatisierungsgerätes | |
| WO2014037586A2 (de) | Steckteil zur bildung einer steckverbindung | |
| DE102017102677A1 (de) | Verfahren zur Authentifizierung eines Feldgeräts der Automatisierungstechnik | |
| EP2548358B1 (de) | Verfahren zur dynamischen autorisierung eines mobilen kommunikationsgerätes | |
| EP4147096A1 (de) | Nachrüstmodul für ein feldgerät und modular aufgebautes feldgerät | |
| WO2020011777A1 (de) | Verfahren zur einrichtung eines berechtigungsnachweises für ein erstes gerät | |
| WO2012139902A1 (de) | Verfahren und kommunikationseinrichtung zum kryptographischen schützen einer feldgerät-datenkommunikation | |
| EP3707878A1 (de) | Iot-computersystem sowie anordnung mit einem solchen iot-computersystem und einem externen system | |
| EP2707782B1 (de) | Verfahren und system zum bereitstellen von gerätespezifischen eigenschaftsdaten für ein automatisierungsgerät einer automatisierungsanlage | |
| WO2006067121A1 (de) | Verfahren zur sicheren auslegung eines systems, zugehörige systemkomponente und software | |
| DE202020005937U1 (de) | Nachrüstmodul für ein Feldgerät und modular aufgebautes Feldgerät | |
| WO2013189998A1 (de) | Fluchttürsteuerung, sowie korrespondierendes verfahren und system | |
| EP3642812A1 (de) | Verfahren zur prüfung der integrität einer dedizierten physikalischen umgebung zum schutz von daten | |
| EP4147097A1 (de) | Erweiterungsmodul mit manipulationsschutz | |
| EP2721803B1 (de) | Verfahren und vorrichtung zur gesicherten veränderung einer konfigurationseinstellung eines netzwerkgerätes | |
| EP4138052B1 (de) | Verfahren zur inbetriebnahmevorbereitung eines steuergeräts für zutrittseinrichtungen, zutrittssystem und computerprogrammprodukt | |
| EP3816946A1 (de) | Zutrittskontrollsystem für ein gebäude sowie ein entsprechendes verfahren | |
| WO2009100733A1 (de) | Sichere übermittlung von daten an ein feldgerät | |
| EP3478541B1 (de) | Sicherheitseinrichtung und verfahren zum betreiben eines systems | |
| EP3298464A1 (de) | Fernwartungssystem mit einer mobilen fernwartungseinheit und ein konfigurationsverfahren |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: UNKNOWN |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE |
|
| PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE |
|
| 17P | Request for examination filed |
Effective date: 20220921 |
|
| AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR |
|
| DAV | Request for validation of the european patent (deleted) | ||
| DAX | Request for extension of the european patent (deleted) | ||
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: EXAMINATION IS IN PROGRESS |
|
| 17Q | First examination report despatched |
Effective date: 20240419 |