WO2006067121A1 - Verfahren zur sicheren auslegung eines systems, zugehörige systemkomponente und software - Google Patents

Verfahren zur sicheren auslegung eines systems, zugehörige systemkomponente und software Download PDF

Info

Publication number
WO2006067121A1
WO2006067121A1 PCT/EP2005/056925 EP2005056925W WO2006067121A1 WO 2006067121 A1 WO2006067121 A1 WO 2006067121A1 EP 2005056925 W EP2005056925 W EP 2005056925W WO 2006067121 A1 WO2006067121 A1 WO 2006067121A1
Authority
WO
WIPO (PCT)
Prior art keywords
security
class
component
components
safety
Prior art date
Application number
PCT/EP2005/056925
Other languages
English (en)
French (fr)
Inventor
Udo Doebrich
Roland Heidel
Edmund Linzenkirchner
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2006067121A1 publication Critical patent/WO2006067121A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Definitions

  • the invention relates to the field of safety engineering and in particular the safe design of systems such that they remain protected during deliberate intervention by unauthorized third parties.
  • the systems to be securely configured may be hardware and / or software systems, industrial equipment such as power plant controllers and automation equipment, or power distribution controllers in high voltage networks.
  • Industrial plants so for example those of automation ⁇ approximately technology, are increasingly complex systems and are taking ⁇ networked systems with communicating system components. This development makes it increasingly easy for unauthorized third parties to listen to information exchanged within the system, to modify data, to influence the properties of system components, the system or products produced by the system.
  • the economic consequences of such industrial espionage and sabotage are not only short-term availability problems, but also high damage to the systems and threats to
  • An industrial plant for example an automation system, usually consists of a large number of
  • System components such as devices and networks. These are often purchased from different manufacturers and built. In addition, there are components of the system operator itself. Depending on the security philosophy of the respective component manufacturer, the security achievable with the component is different. This also applies to the overall system, with the achievable with the system security is difficult to define. This is all the more so since the system components are often inserted into the system at different times and sometimes the idea of the respective component manufacturer regarding the security to be ensured changes over time.
  • the invention is based on the technical problem, a Ver ⁇ drive for the safe design of a system, an associated system component and associated software and a
  • Another technical problem is building to monitor the system con ⁇ continuously on the now transparent level of security.
  • each security level which could be defined, for example, via a specification sheet, is assigned one of several security classes.
  • security can be quantified, with recourse to generally valid criteria in the form of security classes . It is preferred if the security classes are given in numbers.
  • security classes can be provided between 0 and 10, with the security class 0 for a system without protection and the security class 10 for a system of highest security.
  • the method according to the invention initially provides that the respective security class of the system components is determined, namely of all security components.
  • the system component must have a feature that informs about the security class of the system component from a plurality of security classes.
  • This feature is an identi ⁇ fikationsmerkmal that can be retrieved in many ways.
  • the respective system component having an optical characteristic that entspre ⁇ is accordingly optically interrogated.
  • a bar code can be selected that is readable from the outside.
  • An inductive sensor of the identification means would be conceivable if component in the system ⁇ a coil would be integrated and the safety classified se of the component can be queried inductive. Also possible is a query by radio.
  • the component may have a RFID (Radio Frequency Identification Device), which makes it possible in a simple way to query the characteristics of the system component.
  • the identification means can also be interrogated electronically if it has a suitable component with this information, for example an ASIC or an EPROM.
  • the information resides in the hardware or the firmware of the respective electronic component.
  • a direct query of security ⁇ classified se is a communication system ⁇ interface component possible.
  • the deposit of the information about the respective security Klas se is advantageously carried out by means of a beschrei ⁇ reproduced art, for. B. in the form of an EDD (Electronic Device p_escription) using the description language EDDL (E_lectronic p_evice p_escription L_anguage) according to IEC 61804.
  • EDD Electronic Device p_escription
  • EDDL E_lectronic p_evice p_escription L_anguage
  • system operators have different security requirements for different system areas.
  • system operators have different security requirements for different system areas.
  • system safety is less critical.
  • the on ⁇ can efforts to ensure safety for the respective fields, tailored and cost of the guarantee system security are limited.
  • a second step of the method according to the invention it is determined which security class the system has in view of the security classes of the system components.
  • the system components interact differently depending on the configuration of the system. Depending on how system components are combined with their safety-relevant functionality, this leads to more or less security, which is reflected accordingly in the safety class of the system.
  • the security class of the system When determining the security class of the system, it must also be considered that the security class is state-dependent. If, for example, a door has a safety class 3, this only applies to the closed state. Is the
  • the safety class of the system is determined on the basis of this, and a warning message can be issued to the system operator in the event of deviations from the previous state or if a specified safety level is undershot.
  • the recognition that the security class of a system component is highly state-dependent makes, as stated above, a continuous determination of the respective security classes of the components and thus of the overall system desirable. This is particularly easy to implement if this determination can be made automatically.
  • the condition is taken into account that security is not only a static matter but also varies over time and depends on the respective state of the overall system or on the condition. may depend on the individual components.
  • the determination of the security class of the respective system components and / or of the system is preferably carried out by means of a computer program.
  • Can program the computer ⁇ in the internal memory of a digital computer is loaded and includes software code sections with which to automatically obtain security Klas is se performed.
  • the computer program may be embodied by a data carrier such as a CD or a DVD, reside in a computer memory, or transmitted by means of an electrical carrier signal.
  • the computer program is best based on a plant-specific security model. After the model, the system configuration is first known, this possibly. from the Engineering data of the plant is extractable. In the model, the influence of individual system component to the safe ⁇ ness of other system components or entire areas of the system is stored. Based on the security model, the program calculates the new safety class of the entire system when modifying a single system component.
  • the modi ⁇ fication can in this case consist in a replacement of the system component by one with a higherbieklas se.
  • the computer program can be part of a program for system design or programming. of engineering software.
  • the transparent determination of the security level of the system based on objective criteria makes it possible to configure the system from a security point of view.
  • a desired safety level ⁇ respectively.
  • a target safety class specified In a second step, the target safety class is compared with the actual safety class. In the event that the desired safety class of the system does not match the previously determined actual safety class of the system, two level ⁇ measures may be provided:
  • the configuration of the system mentioned in the last paragraph can be the configuration of a new system.
  • the configuration takes place already in the development phase of the system and z. B. using well-known engineering systems.
  • the engineering systems are then modified for entspre ⁇ -reaching safety guarantee.
  • an existing system can be reconfigured in terms of its security and this can be retrofitted.
  • all components are additionally equipped with the said feature, which informs about the security class of the system component.
  • This feature ⁇ equipment can be done in electronic components by updating the firmware.
  • FIG. 1 shows an overall system composed of different system components
  • Figure 2 is a system component.
  • FIG. 1 shows a system composed of different system components.
  • the system is an industrial plant, namely an automation system 1.
  • the system can also be a networked computer system, in particular a WLAN 1 '.
  • the system 1 resp. 1 ' has system components 2 resp. 2 '.
  • this system ⁇ are components, for example, control computer, fieldbus se, Actuators, sensors etc.
  • control computer fieldbus se, Actuators, sensors etc.
  • sensors etc.
  • WLAN wireless local area network
  • Each of these system components has ASICs 4 or EPROMs 4 '.
  • ASICs 4 the information about the ASICs 4
  • the EPROMs 4 have this information in their firmware in the memory area. For this purpose, only four bits must be provided for recording this information in a binary coding.
  • the security classes of the system components are
  • the system components are connected to one another via data lines 6 and to a computer 3.
  • the computer 3 reads the security classes of the system components 2, 2 'electronically via the data lines 6 and determines the security level of the overall system 1 or. 1 ' . This is done by reading the EDD information of each system component via an Ethernet interface. For this purpose, runs on the computer 3, a customized for the system computer program under the operating system Windows TM. The query is automatic ⁇ table. From the information about the security class of each individual system component, the computer program calculates the security class of the entire system 1 resp. 1 ' .
  • the computer program used for this purpose is based on a tailor-made security model for the system, in which the system configuration is stored.
  • the safety model makes it possible to calculate the influence of individual system components on the safety of the overall system.
  • the He ⁇ position of the security model is integrated as an additional layer to the engineering tools for the planning of the system. For the demand-dependent resp.
  • Ongoing calculation of the security class of the overall system generates an executable code for the model, which is executed in the computer 3.
  • the computer program runs permanently in the background of the Computer 3 and continuously determines the security class se of the overall system 1 or. 1 ' .
  • the security ⁇ classified se changes, a warning is issued to the system administrator.
  • Figure 2 shows a system component 2 in the form of a fieldbus ⁇ device that has a feature 5, the information on the safe ⁇ ness classified se.
  • Feature 5 is a bar code that can be read by a bar code reader.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur sicheren Auslegung eines Systems, eine zugehörige Systemkomponente und eine zugehörige Software sowie ein System selbst. Die Sicherheit eines Systems gegenüber bewussten Eingriffen unberechtigter Dritter ist häufig unbekannt. Eine Absicherung gegenüber Industriespionage und Sabotage wird jedoch häufig angestrebt . Aufgabe der Erfindung ist es, das Sicherheitsniveau eines Systems auf nachvollziehbare Weise transparent zu machen. Als Lösung wird vorgeschlagen, jede Systemkomponente mit einem Merkmal auszustatten, das über die Sicherheitsklasse der Systemkomponente aus einer Mehrzahl von Sicherheitsklassen informiert. Die Sicherheitsklassen werden bevorzugt durch Normung festgelegt und erlauben eine quantifizierbare Bestimmung des Sicherheitsniveaus des Systems. Darauf aufbauend wird die Sicherheitsklasse des Systems bestimmt, und zwar bevorzugt während des Produktivbetriebs mittels eines Computerprogramms .

Description

Beschreibung
Verfahren zur sicheren Auslegung eines Systems , zugehörige Systemkomponente und Software
Die Erfindung betrifft das Gebiet der Sicherheitstechnik und insbesondere die sichere Auslegung von Systemen derart , das s diese bei bewussten Eingriffen unberechtigter Dritter geschützt bleiben . Bei den sicher zu konfigurierenden Systemen kann es sich um Hardware- und/oder Software-Systeme handeln, um Industrieanlagen wie beispielsweise Kraftwerksteuerungen und Automatisierungsanlagen, oder um Steuerungen für die Stromverteilung in Hochspannungsnetzen .
Industrieanlagen, also beispielsweise solche der Automatisie¬ rungstechnik, sind zunehmend komplexere Systeme und sind zu¬ nehmend vernetzte Systeme mit miteinander kommunizierenden Systemkomponenten . Diese Entwicklung macht es unberechtigten Dritten zunehmend einfacher, innerhalb des Systems ausge- tauschte Informationen mitzuhören, Daten zu verändern, Eigenschaften von Systemkomponenten, des Systems oder mit dem System hergestellter Produkte zu beeinflussen . Die wirtschaftlichen Folgen derartiger Industriespionage und Sabotage sind nicht nur kurzfristige Verfügbarkeitsprobleme, sondern auch hohe Schäden an den Systemen sowie Gefährdungen von
Mensch und Umwelt . Darüber hinaus entstehen oft quantifizierbare Produktionsausfälle in Millionenhöhe . Auch angesichts der Trans formation unserer Gesellschaft in eine Wissensgesellschaft, bei der Know-how ein Rohstoff darstellt, der die Position des jeweiligen Unternehmens auf dem Markt prägt, gibt es einen erhöhten Bedarf, einen Abfluss dieses Wissens zu verhindern und es vor Dritten zu schützen .
Eine Industrieanlage, beispielsweise ein Automatisierungs- System, besteht in der Regel aus einer großen Zahl von
Systemkomponenten wie Geräten und Netzwerken . Diese werden häufig von unterschiedlichen Herstellern zugekauft und ein- gebaut . Zusätzlich gibt es Komponenten des Systembetreibers selbst . Je nach der Sicherheitsphilosophie des jeweiligen Komponentenherstellers ist die mit der Komponente erreichbare Sicherheit unterschiedlich . Dies gilt auch für das Gesamt- System, wobei die mit dem System erreichbare Sicherheit nur schwer definierbar ist . Dies gilt umso mehr, als die Systemkomponenten häufig zu unterschiedlichen Zeitpunkten in das System eingefügt werden und sich mitunter die Vorstellung der jeweiligen Komponentenhersteller betreffend der zu gewähr- leistenden Sicherheit im Laufe der Zeit wandelt .
Ein Gefahrenpotenzial bei Automatisierungssystemen besteht in der Verwendung von Komponenten mit einer Funkschnittstelle, meist unter Verwendung von Plattformen aus der IT-Welt . Zu- sätzliche Angriffspunkte für unberechtigte Dritte, die Si¬ cherheit des Systems zu untergraben, sind die vielfältigen Schnittstellen, die Automatisierungssysteme mit der Bürowelt verzahnen . Beispiele sind Schnittstellen zur Fernwartung des Systems oder Schnittstellen zum Abfragen von Fertigungs- Informationen, damit diese in Darstellungen über Geschäftsabläufe eingebettet werden können .
Der Erfindung liegt das technische Problem zugrunde, ein Ver¬ fahren zur sicheren Auslegung eines Systems , eine zugehörige Systemkomponente und eine zugehörige Software sowie ein
System bereitzustellen, mit denen das Sicherheitsniveau des Systems auf nachvollziehbare Weise transparent gemacht wird .
Ein weiteres technisches Problem besteht darin, aufbauend auf dem transparent gewordenen Sicherheitsniveau das System kon¬ tinuierlich zu überwachen .
Die Lösung dieser und weiterer technischer Probleme erfolgt durch die Merkmale der unabhängigen Ansprüche . Vorteilhafte Weiterbildungen werden durch die abhängigen Ansprüche wiedergegeben oder lassen sich aus der nachfolgenden Beschreibung sowie dem Aus führungsbeispiel entnehmen . Der Erfindung liegt die Idee zugrunde, dass zur Lösung des oben genannten technischen Problems zur Bestimmung des Sicherheitsniveaus objektive Kriterien herangezogen werden sollten, die das Sicherheitsniveau quantitativ bestimmbar machen .
Objektive Kriterien sind hierbei vordefinierte Forderungen an Systemkomponenten, welche sicherheitsrelevante Funktionalität sie zu gewährleisten haben . Die Festlegung, welche sicher- heitsrelevante Funktionalität eine Systemkomponente bereit¬ stellen muss , sollte bevorzugt branchenübergreifend und am besten durch eine Normierung vorgenommen werden . Beispielsweise kann sie in analoger Weise zu den Safety Integrity Levels (SIL) der IEC 61508 festgelegt werden .
Bei den vorstehend genannten Safety Integrity Levels geht es um den Sicherheitsaspekt, der im Englischen als „Safety" be¬ zeichnet wird, d. h . um die Absicherung eines Systembetrei¬ bers gegenüber Fehlfunktionen und Fehlbedienungen berechtig- ter Dritter . Im Rahmen der vorliegenden Erfindungsbeschreibung geht es jedoch um den Sicherheitsaspekt, der im Englischen mit dem Begriff „Security" bezeichnet wird, d. h . der Abschottung gegenüber Eingriffen unberechtigter Dritter mit Schädigungsabsicht zum Zwecke der Industriespionage, der Schädigung eines Konkurrenten etc .
Die oben genannte Definition der von der Systemkomponente zu gewährleistenden sicherheitsrelevanten Funktionalität führt zur Entstehung von Sicherheitsklassen mit unterschiedlichen Graden an zu erzielender Sicherheit . Dies bedeutet , dass jedem Sicherheitsniveau, welches beispielsweise über ein Pflichtenheft definiert werden könnte, eine von mehreren Sicherheitsklassen zugeordnet ist . Auf diese Weise wird Sicherheit quantifizierbar, und zwar unter Rückgriff auf allgemein gültige Kriterien in Gestalt von Sicherheits¬ klas sen . Es wird bevorzugt, wenn die Sicherheitsklassen in Zahlen angegeben werden . So können Sicherheitsklas sen zwischen 0 und 10 vorgesehen sein, wobei die Sicherheitsklas se 0 für ein System ohne Schutz und die Sicherheitsklasse 10 für ein System höchster Sicherheit steht .
Das erfindungsgemäße Verfahren sieht zunächst vor, das s die jeweilige Sicherheitsklasse der Systemkomponenten bestimmt wird, und zwar von allen Sicherheitskomponenten . Hierzu mus s die Systemkomponente über ein Merkmal verfügen, das über die Sicherheitsklasse der Systemkomponente aus einer Mehrzahl von Sicherheitsklassen informiert . Dieses Merkmal ist ein Identi¬ fikationsmerkmal, das auf vielfältige Weise abrufbar sein kann . Beispielsweise kann vorgesehen sein, dass die jeweilige Systemkomponente ein optisches Merkmal aufweist, das entspre¬ chend optisch abfragbar ist . So kann ein Strichcode gewählt werden, der von außen lesbar ist . Eine induktive Abfrage des Identifikationsmittels wäre denkbar, wenn in die System¬ komponente eine Spule integriert wäre und die Sicherheits- klas se der Komponente induktiv abgefragt werden kann . Auch möglich ist eine Abfrage per Funk . Beispielsweise kann die Komponente ein RFID (Radio Frequency Identification Device) besitzen, das es auf eine einfache Art und Weise ermöglicht , die Kenndaten der Systemkomponente abzufragen . Handelt es sich bei den Systemkomponenten um elektrische oder elektronische Komponenten, so läs st sich das Identifikationsmittel auch elektronisch abfragen, wenn es über eine geeignete Komponente mit dieser Information verfügt, beispielsweise ein ASIC oder ein EPROM. Insofern residiert die Information in der Hardware oder der Firmware des jeweiligen elektronischen Bauteils . Hierbei ist eine direkte Abfrage der Sicherheits¬ klas se über eine Kommunikations schnittstelle der System¬ komponente möglich .
Die Hinterlegung der Information über die jeweilige Sicherheitsklas se erfolgt zweckmäßigerweise mittels einer beschrei¬ benden Technik, z . B . in Form einer EDD (Electronic Device p_escription) mittels der Beschreibungssprache EDDL (E_lectro- nic p_evice p_escription L_anguage ) nach IEC 61804. In diesem Fall können die EDD-Informationen über die Kommunikationsschnittstelle ausgelesen werden .
Teilweise haben Systembetreiber einen unterschiedlichen Sicherheitsbedarf für unterschiedliche Systembereiche . So gibt es beispielsweise bei Produktionsanlagen hochsichere Anlagenteile und Anlagenteile, bei denen die Systemsicherheit weniger kritisch ist . Um dem gerecht zu werden wird bevorzugt , das s sich bei einem aus mehreren Systembereichen zusammengesetzten System mit jedem Systembereich eine Sicherheitsklas se aus einer Mehrzahl von Sicherheitsklas sen verknüpfen lässt oder das s jedem Sicherheitsbereich eine Sicher- heitsklas se zugeordnet ist . In diesem Fall können die An¬ strengungen zur Gewährleistung einer Sicherheit für den jeweiligen Tätigkeitsbereich maßgeschneidert und die Kosten für die Gewährleistung der Systemsicherheit begrenzt werden .
Es wird bevorzugt, wenn die Bestimmung der jeweiligen Sicherheitsklas se während des laufenden Betriebs des Systems und damit online erfolgen kann . Hierdurch wird ein transparenter Überblick über das jeweilige aktuelle Sicherheitsniveau des Systems im Produktivbetrieb und damit unter realistischen Umgebungsbedingungen möglich .
In einem zweiten Schritt des erfindungsgemäßen Verfahrens wird bestimmt , welche Sicherheitsklasse das System angesichts der Sicherheitsklassen der Systemkomponenten besitzt . Hierbei ist zu berücksichtigen, dass die Systemkomponenten je nach der Konfiguration des Systems unterschiedlich wechselwirken . Je nachdem, wie Systemkomponenten mit ihrer sicherheitsrelevanten Funktionalität miteinander kombiniert werden, führt dies zu einem Mehr oder zu einem Weniger an Sicherheit, was sich entsprechend auf die Sicherheitsklas se des Systems niederschlägt . Hierbei sind im Wesentlichen zwei Fälle zu unterscheiden : A) Im einfachsten Fall wird die gleiche Funktionalität zwei¬ mal eingeset zt . In einem Beispiel sind zwei Türen mit ei¬ nem normalen Schlos s hintereinander angeordnet . Durch das Vorsehen zweier derartiger Türen erhöht sich die Sicher- heitsklas se des Gesamtsystems im Wesentlichen nicht .
Lediglich der Zeitaufwand zur Überwindung der Barriere steigt .
B ) Werden Systemkomponenten mit unterschiedlicher s icher- heitstechni scher Funktionalität kombiniert , so addieren sich in der Regel diese Funktionalitäten . Dies führt dazu, das s das Sicherheitsniveau insgesamt gesteigert und dem¬ gemäß eine höhere Sicherheitsklas se erreicht wird . Ein Beispiel wäre die Anordnung zweier Türen hintereinander, bei der die erste Tür ein mechani sches Schlos s aufweist und die zweite Tür nur mit einer Auswei skarte geöffnet werden kann . Die Kombination dieser beiden Türen führt bei einem Gesamtsystem dazu, das s die Sicherheitsklas se höher aus fällt al s die Sicherheitsklas se jeder der beiden Einzeltüren .
Bei der Bestimmung der Sicherheitsklas se des Systems i st auch zu berücksichtigen, das s die Sicherheitsklas se zustandsabhän- gig ist . Hat beispielsweise eine Tür eine Sicherheitsklas se 3 , so gilt dies nur für den verschlos senen Zustand . I st die
Tür geöffnet , liegt kein Schutz vor und die Sicherheit sklas se wäre damit z . B . 0.
Der letztgenannte Umstand macht die Möglichkeit , die Sicher- heit sklas se von Systemkomponenten während des laufenden Betriebs und damit online zu ermitteln, besonders wertvoll . Nur auf diese Wei se kann über die erfas sten Zustände der Systemkomponenten im Produktivbetrieb festgestellt werden, welche Sicherheitsklas se das System besitzt .
Daher ist es besonders wünschenswert , wenn die jeweilige Sicherheitsklas se der Systemkomponente kontinuierlich be- stimmt wird. Je nach den Besonderheiten des Systems kann es jedoch auch ausreichend sein, wenn diese Bestimmung in vorgegebenen Zeitintervallen vorgenommen wird.
Sind die Sicherheitsklassen der Systemkomponenten bestimmt, so wird darauf aufbauend die Sicherheitsklasse des Systems ermittelt und kann bei Abweichungen vom vorherigen Zustand oder beim Unterschreiten eines vorgegebenen Sicherheitsniveaus eine Warnmeldung an den Systembetreiber ausgegeben werden .
Insbesondere die Erkenntnis , dass die Sicherheitsklasse einer Systemkomponente in hohem Maße zustandsabhängig ist, macht, wie oben ausgeführt, eine kontinuierliche Bestimmung der jeweiligen Sicherheitsklas sen der Komponenten und damit des Gesamtsystems wünschenswert . Dies ist besonders dann leicht realisierbar, wenn diese Bestimmung automatisch erfolgen kann . Insofern wird dem Zustand Rechnung getragen, das s Sicherheit nicht nur eine statische Angelegenheit ist sondern auch zeitlich variieren und vom jeweiligen Zustand der Gesamtanlage bzw . von den Einzelkomponenten abhängen kann .
Die Bestimmung der Sicherheitsklasse der jeweiligen Systemkomponenten und/oder des Systems wird bevorzugterweise mit- tels eines Computerprogramms durchgeführt . Das Computer¬ programm kann in den internen Speicher eines digitalen Computers geladen werden und umfasst Software-Codeabschnitte, mit denen die automatische Abfrage der Sicherheitsklas se durchgeführt wird. Wie allgemein üblich, kann das Computer- programm durch einen Datenträger, wie beispielsweise eine CD oder eine DVD , verkörpert werden, in einem Computerspeicher residieren oder mittels eines elektrischen Trägersignals übertragen werden .
Das Computerprogramm basiert am besten auf einem anlagenspezifischen Sicherheitsmodell . Nach dem Modell ist zunächst die Systemkonfiguration bekannt , wobei diese ggf . aus den Engineeringdaten der Anlage extrahierbar ist . Im Modell ist der Einfluss einer einzelnen Systemkomponente auf die Sicher¬ heit anderer Systemkomponenten oder auf ganze Systembereiche hinterlegt . Basierend auf dem Sicherheitsmodell berechnet das Programm bei einer Modifikation einer einzelnen Systemkomponente die neue Sicherheitsklasse des Gesamtsystems . Die Modi¬ fikation kann hierbei in einem Austausch der Systemkomponente durch eine solche mit höherer Sicherheitsklas se bestehen . Das Computerprogramm kann Teil eines Programms zur Systemkonzep- tionierung bzw . von Engineering-Software sein .
Die transparente und anhand objektiver Kriterien vorgenommene Bestimmung des Sicherheitsniveaus des Systems erlaubt es , das System in sicherheitstechnischer Hinsicht zu konfigurieren . Hierbei wird in einem ersten Schritt ein Soll-Sicherheits¬ niveau bzw . eine Soll-Sicherheitsklasse vorgegeben . In einem zweiten Schritt wird die Soll-Sicherheitsklas se mit der Ist- Sicherheitsklasse verglichen . Für den Fall, dass die Soll- Sicherheitsklasse des Systems nicht der zuvor bestimmten Ist- Sicherheitsklasse des Systems entspricht, können zwei Ma߬ nahmen vorgesehen sein :
1. Es kann ein Austausch mindestens einer Systemkomponente durch eine andere Systemkomponente vorgenommen werden, wobei die andere Systemkomponente den Anforderungen einer Sicherheitsklas se entspricht, die mit einer höheren Si¬ cherheit einhergeht bzw . eine höhere Sicherheitsklas se besitzt, und/oder
2. es kann eine Rekonfiguration der Systemkomponenten vor- genommen werden,
bis die gewünschte Sicherheitsklasse erreicht ist . Der erst¬ genannte Fall wäre beispielsweise dann einschlägig, wenn bei einer Tür ein Schloss gewählt würde, das eine höhere Sicher- heit verspricht . Der zweitgenannte Fall setzt eine bauliche Änderung des Systems derart voraus , dass ein potenzieller Angreifer nunmehr ein schwierigeres Hindernis zu überwinden hätte . Dieser Fall ist anlagenspezifisch .
Die im letzten Absatz genannte Konfiguration des Systems kann die Konfiguration eines neuen Systems sein . In diesem Fall erfolgt die Konfiguration bereits in der Entwicklungsphase des Systems und z . B . unter Einsatz bekannter Engineeringsysteme . Die Engineeringsysteme sind dann für die entspre¬ chende sicherheitstechnische Gewährleistung abgewandelt .
Auch kann ein bereits existierendes System bezüglich seiner Sicherheit neu konfiguriert und dieses somit nachgerüstet werden . Hierzu werden sämtliche Komponenten zusätzlich mit dem besagten Merkmal ausgestattet, das über die Sicher- heitsklas se der Systemkomponente informiert . Diese Merkmals¬ ausstattung kann bei elektronischen Baukomponenten durch eine Aktualisierung der Firmware erfolgen .
Nachfolgend soll die vorliegende Erfindung anhand eines Aus- führungsbeispiels in Verbindung mit den Figuren näher erläu¬ tert werden . Hierbei zeigt :
Figur 1 ein aus verschiedenen Systemkomponenten zusammengesetztes Gesamtsystem,
Figur 2 eine Systemkomponente .
Figur 1 zeigt ein aus verschiedenen Systemkomponenten zusammengesetztes System. Bei dem System handelt es sich um eine Industrieanlage, und zwar um eine Automatisierungsanlage 1. Es kann sich bei dem System jedoch auch um ein vernetztes Computersystem, wie insbesondere ein WLAN 1 ' , handeln .
Das System 1 bzw . 1 ' verfügt über Systemkomponenten 2 bzw . 2 ' . Bei einer Automatisierungsanlage 1 sind diese System¬ komponenten beispielsweise Steuerungscomputer, Feldbus se, Aktoren, Sensoren etc . Bei einem WLAN sind dies im Wesentlichen Computer, Router, Schnittstellen etc .
Jede dieser Systemkomponenten verfügt über ASICs 4 oder EPROMs 4 ' . Bei den ASICs 4 ist die Information über die
Sicherheitsklasse in der Hardware implementiert . Die EPROMs 4 ' besitzen diese Information in ihrer Firmware im Speicherbereich . Hierzu müssen bei einer Binärcodierung lediglich vier Bits für die Aufnahme dieser Information bereitgestellt werden . Die Sicherheitsklassen der Systemkomponenten sind
Zahlen zwischen 0 (kein Schutz ) und 10 (höchstes Sicherheits¬ niveau) .
Die Systemkomponenten sind über Datenleitungen 6 untereinan- der und mit einem Computer 3 verbunden . Der Computer 3 liest die Sicherheitsklassen der Systemkomponenten 2 , 2 ' über die Datenleitungen 6 elektronisch aus und ermittelt das Sicherheitsniveau des Gesamtsystems 1 bzw . 1 ' . Dies geschieht durch Auslesen der EDD-Informationen jeder Systemkomponente über eine Ethernet-Schnittstelle . Hierzu läuft auf dem Computer 3 ein für das System maßgeschneidertes Computerprogramm unter dem Betriebssystem Windows™. Die Abfrage erfolgt automa¬ tisch . Aus den Informationen über die Sicherheitsklasse jeder einzelnen Systemkomponente errechnet das Computerprogramm die Sicherheitsklasse des Gesamtsystems 1 bzw . 1 ' .
Das hierfür eingesetzte Computerprogramm basiert auf einem für das System maßgeschneiderten Sicherheitsmodell , in welchem die Systemkonfiguration hinterlegt ist . Das Sicherheits- modell erlaubt es , den Einfluss einzelner Systemkomponenten auf die Sicherheit des Gesamtsystems zu berechnen . Die Er¬ stellung des Sicherheitsmodells ist als zusätzliche Ebene in die Engineeringtools zur Planung des Systems integriert . Für die bedarfsabhängige bzw . laufende Berechnung der Sicher- heitsklas se des Gesamtsystems wird ein ablauffähiger Code für das Modell erzeugt , welches im Computer 3 zum Ablauf gebracht wird . Das Computerprogramm läuft permanent im Hintergrund des Computers 3 und bestimmt kontinuierlich die Sicherheitsklas se des Gesamtsystems 1 bzw . 1 ' . Ändert sich die Sicherheits¬ klas se, so wird an den Systemverantwortlichen eine Warnung ausgegeben .
Figur 2 zeigt eine Systemkomponente 2 in Form eines Feldbus¬ geräts , das über ein Merkmal 5 verfügt, das über die Sicher¬ heitsklas se informiert . Bei dem Merkmal 5 handelt es sich um einen Strichcode, der über einen Strichcodeleser ausgelesen werden kann .

Claims

Patentansprüche
1. Verfahren zur Bestimmung des Sicherheitsniveaus eines aus einer Mehrzahl von Systemkomponenten ( 2 , 2 ' ) bestehenden Systems ( 1 ) gegenüber bewus sten Eingriffen unberechtigter Dritter in das System, bei dem mit einem Sicherheitsniveau eine Sicherheitsklas se aus einer Mehrzahl von Sicherheits¬ klas sen verknüpft ist , mit folgenden Schritten : a) Bestimmen der jeweiligen Sicherheitsklas se der System- komponenten ( 2 , 2 ' ) , b ) Bestimmen, welche Sicherheitsklas se das System mit den Sicherheitsklas sen der Systemkomponenten erreicht .
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet , das s bei einem aus mehreren Systembereichen zusammengesetzten
System mit jedem Systembereich eine Sicherheitsklas se aus einer Mehrzahl von Sicherheitsklas sen verknüpft ist .
3. Verfahren nach Anspruch 1 oder 2 , dadurch gekennzeichnet , das s die Bestimmung der jeweiligen Sicherheit sklas se der
Systemkomponenten und/oder des Systems automatisch erfolgt .
4. Verfahren nach einem der Ansprüche 1 bis 3 , dadurch gekennzeichnet , das s die Bestimmung der jeweiligen Sicherheit s- klas se der Systemkomponenten mittel s einer Fernabfragung erfolgt .
5. Verfahren nach einem der Ansprüche 1 bis 4 , dadurch gekennzeichnet , das s die j eweilige Sicherheitsklas se der Systemkomponenten elektronisch abgefragt wird .
6. Verfahren nach einem der Ansprüche 1 bis 5 , dadurch gekennzeichnet , das s die j eweilige Sicherheitsklas se der Systemkomponenten in vorgegebenen Zeitintervallen oder kontinuierlich bestimmt wird und darauf aufbauend die Sicherheitsklas se des Systems neu ermittelt wird .
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass für den Fall, dass die gewünschte Sicherheitsklasse des Systems nicht der zuvor bestimmten Sicherheitsklasse des Systems entspricht, cl ) ein Austausch einer Systemkomponente durch eine Systemkomponente, die den Anforderungen einer Sicherheitsklasse entspricht, die mit einer höheren Sicherheit einhergeht, vorgenommen wird und/oder c2 ) eine Rekonfiguration der Systemkomponenten vorgenommen wird, bis die gewünschte Sicherheitsklasse erreicht wird .
8. Verfahren nach Anspruch 7 , dadurch gekennzeichnet, dass ein neues System konfiguriert wird oder dass ein bestehendes System bezüglich seiner Sicherheit neu konfiguriert wird.
9. Verfahren nach einem der Ansprüche 1 bis 8 , dadurch gekennzeichnet, dass die Bestimmung der Sicherheitsklasse der jeweiligen Systemkomponenten und/oder des Systems mittels eines Computerprogramms erfolgt .
10. Verfahren nach einem der Ansprüche 1 bis 9, gekennzeichnet durch seinen Einsatz bei einer Industrieanlage ( 1 ) und insbesondere bei einer Automatisierungsanlage .
11. Verfahren nach einem der Ansprüche 1 bis 10 , gekennzeichnet durch seinen Einsatz bei einem vernetzten Computersystem
( 1 ' ) und insbesondere bei einem WLAN .
12. Verfahren nach einem der Ansprüche 1 bis 10 , gekennzeichnet durch seinen Einsatz bei einem Kraftwerk oder bei einem System zur Stromverteilung in Hochspannungsnetzen .
13. Systemkomponente, dadurch gekennzeichnet, das s sie über ein Merkmal ( 5 ) verfügt, das über die Sicherheitsklasse der Systemkomponente aus einer Mehrzahl von Sicherheitsklassen informiert .
14. Systemkomponente nach Anspruch 13, dadurch gekennzeichnet, dass sie ein Elektrobauteil ( 4 , 4 ' ) besitzt, welches das Merkmal elektronisch auslesbar enthält .
15. System mit mindestens einer Systemkomponente gemäß An¬ spruch 13 oder 14.
16. Computerprogramm, das direkt in den internen Speicher eines digitalen Computers geladen werden kann und Software- Codeabschnitte umfasst , mit denen die Schritte gemäß einem der Ansprüche 1 bis 12 ausgeführt werden, wenn das Produkt auf einem Computer läuft .
17. Computerprogramm nach Anspruch 16, verkörpert auf einem Datenträger, abgelegt in einem Computerspeicher oder übertragen mittels eines elektrischen Trägersignals .
PCT/EP2005/056925 2004-12-20 2005-12-19 Verfahren zur sicheren auslegung eines systems, zugehörige systemkomponente und software WO2006067121A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004061344A DE102004061344A1 (de) 2004-12-20 2004-12-20 Verfahren zur sicheren Auslegung eines Systems, zugehörige Systemkomponente und Software
DE102004061344.3 2004-12-20

Publications (1)

Publication Number Publication Date
WO2006067121A1 true WO2006067121A1 (de) 2006-06-29

Family

ID=36128307

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2005/056925 WO2006067121A1 (de) 2004-12-20 2005-12-19 Verfahren zur sicheren auslegung eines systems, zugehörige systemkomponente und software

Country Status (2)

Country Link
DE (1) DE102004061344A1 (de)
WO (1) WO2006067121A1 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010057908A1 (de) 2008-11-24 2010-05-27 Beckhoff Automation Gmbh Verfahren zum bestimmen einer sicherheitsstufe und sicherheitsmanager
WO2012139638A1 (de) * 2011-04-13 2012-10-18 Siemens Aktiengesellschaft Verfahren zur automatischen ermittlung der fehlerwahrscheinlichkeit einer sicherheitsapplikation
US9062044B2 (en) 2009-10-23 2015-06-23 Janssen Pharmaceutica Nv Disubstituted octahydropyrrolo[3,4-c]pyrroles as orexin receptor modulators
US10828302B2 (en) 2016-03-10 2020-11-10 Janssen Pharmaceutica Nv Methods of treating depression using orexin-2 receptor antagonists
US11059828B2 (en) 2009-10-23 2021-07-13 Janssen Pharmaceutica Nv Disubstituted octahydropyrrolo[3,4-C]pyrroles as orexin receptor modulators

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020006887A1 (de) 2020-11-10 2022-05-12 Airbus Defence and Space GmbH Einfach zertifizierbare und qualifizierbare Computerprogrammstruktur und Computersystem

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020147803A1 (en) * 2001-01-31 2002-10-10 Dodd Timothy David Method and system for calculating risk in association with a security audit of a computer network
WO2002079907A2 (en) * 2001-03-29 2002-10-10 Accenture Llp Overall risk in a system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030210139A1 (en) * 2001-12-03 2003-11-13 Stephen Brooks Method and system for improved security

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020147803A1 (en) * 2001-01-31 2002-10-10 Dodd Timothy David Method and system for calculating risk in association with a security audit of a computer network
WO2002079907A2 (en) * 2001-03-29 2002-10-10 Accenture Llp Overall risk in a system

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010057908A1 (de) 2008-11-24 2010-05-27 Beckhoff Automation Gmbh Verfahren zum bestimmen einer sicherheitsstufe und sicherheitsmanager
CN102224466A (zh) * 2008-11-24 2011-10-19 倍福自动化有限公司 用于确定安全步骤的方法及安全管理器
US9665072B2 (en) 2008-11-24 2017-05-30 Beckhoff Automation Gmbh Method for determining a safety step and safety manager
US9062044B2 (en) 2009-10-23 2015-06-23 Janssen Pharmaceutica Nv Disubstituted octahydropyrrolo[3,4-c]pyrroles as orexin receptor modulators
US11059828B2 (en) 2009-10-23 2021-07-13 Janssen Pharmaceutica Nv Disubstituted octahydropyrrolo[3,4-C]pyrroles as orexin receptor modulators
USRE48841E1 (en) 2009-10-23 2021-12-07 Janssen Pharmaceutica Nv Disubstituted octahydropyrrolo[3,4-c]pyrroles as orexin receptor modulators
US11667644B2 (en) 2009-10-23 2023-06-06 Janssen Pharmaceutica Nv Disubstituted octahydropyrrolo[3,4-c]pyrroles as orexin receptor modulators
WO2012139638A1 (de) * 2011-04-13 2012-10-18 Siemens Aktiengesellschaft Verfahren zur automatischen ermittlung der fehlerwahrscheinlichkeit einer sicherheitsapplikation
US10828302B2 (en) 2016-03-10 2020-11-10 Janssen Pharmaceutica Nv Methods of treating depression using orexin-2 receptor antagonists
US11241432B2 (en) 2016-03-10 2022-02-08 Janssen Pharmaceutica Nv Methods of treating depression using orexin-2 receptor antagonists

Also Published As

Publication number Publication date
DE102004061344A1 (de) 2006-07-06

Similar Documents

Publication Publication Date Title
WO2006067121A1 (de) Verfahren zur sicheren auslegung eines systems, zugehörige systemkomponente und software
EP3379447B1 (de) Verfahren und vorrichtung zum manipulationssicheren speichern von informationen bezüglich objektbezogener massnahmen
DE102011087588A1 (de) Feldgerät für die Automatisierungstechnik
DE102007005638A1 (de) Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskompente einer technischen Anlage
EP3907569A1 (de) Feldgerät mit einem sicherheitsmodul, nachrüstmodul für ein feldgerät, verfahren zur einstellung einer it-sicherheitsstufe und computerprogrammcode
DE112008003195T5 (de) Elektrischer Schaltkreis mit einem physikalischen Übertragungsschicht-Diagnosesystem
EP2444866B1 (de) Bedieneinrichtung zur Bedienung einer Maschine aus der Automatisierungstechnik
EP1282846A2 (de) Smartcards zur authentisierungsprüfung in maschinensteuerungen
WO2007128544A1 (de) Automatisierungssystem mit zugriffschutz für auf feldgeräten gespeicherten parametern
EP2464204A1 (de) Verfahren zum Ermitteln von Geräteinformationen von in einem Schaltschrank eingebauten Geräten
EP3502539A1 (de) Schutzeinrichtung sowie verfahren zum betreiben einer schutzeinrichtung
WO2019091722A1 (de) Iot-computersystem sowie anordnung mit einem solchen iot-computersystem und einem externen system
EP3732608B1 (de) Verfahren zur rechnergestützten parametrierung eines technischen systems
DE102014207874A1 (de) Verfahren zur automatisierten Erstellung eines eine technische Zeichnung charakterisierenden Datensatzes
DE102011081803A1 (de) Verfahren und System zum Bereitstellen von gerätespezifischen Eigenschaftsdaten für ein Automatisierungsgerät einer Automatisierungsanlage
DE102014016819A1 (de) Verfahren und Einrichtung zur Verwaltung und Konfiguration von Feldgeräten einer Automatisierungsanlage
EP4147096A1 (de) Nachrüstmodul für ein feldgerät und modular aufgebautes feldgerät
WO2006056085A1 (de) Zutrittskontrollanlage mit mehreren schliessvorrichtungen
DE102017114010A1 (de) Verfahren zur Prüfung der Integrität einer dedizierten physikalischen Umgebung zum Schutz von Daten
DE102008048551A1 (de) Industrieanlage und Verfahren zum Betrieb einer Industrieanlage
EP2221694B1 (de) Verfahren zur Einräumung einer Berechtigung zur Nutzung einer Funktion in einem mehrere vernetzte Steuerungseinheiten umfassenden industriellen Automatisierungssystem und industrielles Automatisierungssystem
EP4138052B1 (de) Verfahren zur inbetriebnahmevorbereitung eines steuergeräts für zutrittseinrichtungen, zutrittssystem und computerprogrammprodukt
EP4147097A1 (de) Erweiterungsmodul mit manipulationsschutz
WO2019030119A1 (de) Markierung
DE102007062915A1 (de) Verfahren zum Betreiben einer speicherprogrammierbaren Steuerung

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KN KP KR KZ LC LK LR LS LT LU LV LY MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 05850469

Country of ref document: EP

Kind code of ref document: A1

WWW Wipo information: withdrawn in national office

Ref document number: 5850469

Country of ref document: EP