Beschreibung
Verfahren zur sicheren Auslegung eines Systems , zugehörige Systemkomponente und Software
Die Erfindung betrifft das Gebiet der Sicherheitstechnik und insbesondere die sichere Auslegung von Systemen derart , das s diese bei bewussten Eingriffen unberechtigter Dritter geschützt bleiben . Bei den sicher zu konfigurierenden Systemen kann es sich um Hardware- und/oder Software-Systeme handeln, um Industrieanlagen wie beispielsweise Kraftwerksteuerungen und Automatisierungsanlagen, oder um Steuerungen für die Stromverteilung in Hochspannungsnetzen .
Industrieanlagen, also beispielsweise solche der Automatisie¬ rungstechnik, sind zunehmend komplexere Systeme und sind zu¬ nehmend vernetzte Systeme mit miteinander kommunizierenden Systemkomponenten . Diese Entwicklung macht es unberechtigten Dritten zunehmend einfacher, innerhalb des Systems ausge- tauschte Informationen mitzuhören, Daten zu verändern, Eigenschaften von Systemkomponenten, des Systems oder mit dem System hergestellter Produkte zu beeinflussen . Die wirtschaftlichen Folgen derartiger Industriespionage und Sabotage sind nicht nur kurzfristige Verfügbarkeitsprobleme, sondern auch hohe Schäden an den Systemen sowie Gefährdungen von
Mensch und Umwelt . Darüber hinaus entstehen oft quantifizierbare Produktionsausfälle in Millionenhöhe . Auch angesichts der Trans formation unserer Gesellschaft in eine Wissensgesellschaft, bei der Know-how ein Rohstoff darstellt, der die Position des jeweiligen Unternehmens auf dem Markt prägt, gibt es einen erhöhten Bedarf, einen Abfluss dieses Wissens zu verhindern und es vor Dritten zu schützen .
Eine Industrieanlage, beispielsweise ein Automatisierungs- System, besteht in der Regel aus einer großen Zahl von
Systemkomponenten wie Geräten und Netzwerken . Diese werden häufig von unterschiedlichen Herstellern zugekauft und ein-
gebaut . Zusätzlich gibt es Komponenten des Systembetreibers selbst . Je nach der Sicherheitsphilosophie des jeweiligen Komponentenherstellers ist die mit der Komponente erreichbare Sicherheit unterschiedlich . Dies gilt auch für das Gesamt- System, wobei die mit dem System erreichbare Sicherheit nur schwer definierbar ist . Dies gilt umso mehr, als die Systemkomponenten häufig zu unterschiedlichen Zeitpunkten in das System eingefügt werden und sich mitunter die Vorstellung der jeweiligen Komponentenhersteller betreffend der zu gewähr- leistenden Sicherheit im Laufe der Zeit wandelt .
Ein Gefahrenpotenzial bei Automatisierungssystemen besteht in der Verwendung von Komponenten mit einer Funkschnittstelle, meist unter Verwendung von Plattformen aus der IT-Welt . Zu- sätzliche Angriffspunkte für unberechtigte Dritte, die Si¬ cherheit des Systems zu untergraben, sind die vielfältigen Schnittstellen, die Automatisierungssysteme mit der Bürowelt verzahnen . Beispiele sind Schnittstellen zur Fernwartung des Systems oder Schnittstellen zum Abfragen von Fertigungs- Informationen, damit diese in Darstellungen über Geschäftsabläufe eingebettet werden können .
Der Erfindung liegt das technische Problem zugrunde, ein Ver¬ fahren zur sicheren Auslegung eines Systems , eine zugehörige Systemkomponente und eine zugehörige Software sowie ein
System bereitzustellen, mit denen das Sicherheitsniveau des Systems auf nachvollziehbare Weise transparent gemacht wird .
Ein weiteres technisches Problem besteht darin, aufbauend auf dem transparent gewordenen Sicherheitsniveau das System kon¬ tinuierlich zu überwachen .
Die Lösung dieser und weiterer technischer Probleme erfolgt durch die Merkmale der unabhängigen Ansprüche . Vorteilhafte Weiterbildungen werden durch die abhängigen Ansprüche wiedergegeben oder lassen sich aus der nachfolgenden Beschreibung sowie dem Aus führungsbeispiel entnehmen .
Der Erfindung liegt die Idee zugrunde, dass zur Lösung des oben genannten technischen Problems zur Bestimmung des Sicherheitsniveaus objektive Kriterien herangezogen werden sollten, die das Sicherheitsniveau quantitativ bestimmbar machen .
Objektive Kriterien sind hierbei vordefinierte Forderungen an Systemkomponenten, welche sicherheitsrelevante Funktionalität sie zu gewährleisten haben . Die Festlegung, welche sicher- heitsrelevante Funktionalität eine Systemkomponente bereit¬ stellen muss , sollte bevorzugt branchenübergreifend und am besten durch eine Normierung vorgenommen werden . Beispielsweise kann sie in analoger Weise zu den Safety Integrity Levels (SIL) der IEC 61508 festgelegt werden .
Bei den vorstehend genannten Safety Integrity Levels geht es um den Sicherheitsaspekt, der im Englischen als „Safety" be¬ zeichnet wird, d. h . um die Absicherung eines Systembetrei¬ bers gegenüber Fehlfunktionen und Fehlbedienungen berechtig- ter Dritter . Im Rahmen der vorliegenden Erfindungsbeschreibung geht es jedoch um den Sicherheitsaspekt, der im Englischen mit dem Begriff „Security" bezeichnet wird, d. h . der Abschottung gegenüber Eingriffen unberechtigter Dritter mit Schädigungsabsicht zum Zwecke der Industriespionage, der Schädigung eines Konkurrenten etc .
Die oben genannte Definition der von der Systemkomponente zu gewährleistenden sicherheitsrelevanten Funktionalität führt zur Entstehung von Sicherheitsklassen mit unterschiedlichen Graden an zu erzielender Sicherheit . Dies bedeutet , dass jedem Sicherheitsniveau, welches beispielsweise über ein Pflichtenheft definiert werden könnte, eine von mehreren Sicherheitsklassen zugeordnet ist . Auf diese Weise wird Sicherheit quantifizierbar, und zwar unter Rückgriff auf allgemein gültige Kriterien in Gestalt von Sicherheits¬ klas sen .
Es wird bevorzugt, wenn die Sicherheitsklassen in Zahlen angegeben werden . So können Sicherheitsklas sen zwischen 0 und 10 vorgesehen sein, wobei die Sicherheitsklas se 0 für ein System ohne Schutz und die Sicherheitsklasse 10 für ein System höchster Sicherheit steht .
Das erfindungsgemäße Verfahren sieht zunächst vor, das s die jeweilige Sicherheitsklasse der Systemkomponenten bestimmt wird, und zwar von allen Sicherheitskomponenten . Hierzu mus s die Systemkomponente über ein Merkmal verfügen, das über die Sicherheitsklasse der Systemkomponente aus einer Mehrzahl von Sicherheitsklassen informiert . Dieses Merkmal ist ein Identi¬ fikationsmerkmal, das auf vielfältige Weise abrufbar sein kann . Beispielsweise kann vorgesehen sein, dass die jeweilige Systemkomponente ein optisches Merkmal aufweist, das entspre¬ chend optisch abfragbar ist . So kann ein Strichcode gewählt werden, der von außen lesbar ist . Eine induktive Abfrage des Identifikationsmittels wäre denkbar, wenn in die System¬ komponente eine Spule integriert wäre und die Sicherheits- klas se der Komponente induktiv abgefragt werden kann . Auch möglich ist eine Abfrage per Funk . Beispielsweise kann die Komponente ein RFID (Radio Frequency Identification Device) besitzen, das es auf eine einfache Art und Weise ermöglicht , die Kenndaten der Systemkomponente abzufragen . Handelt es sich bei den Systemkomponenten um elektrische oder elektronische Komponenten, so läs st sich das Identifikationsmittel auch elektronisch abfragen, wenn es über eine geeignete Komponente mit dieser Information verfügt, beispielsweise ein ASIC oder ein EPROM. Insofern residiert die Information in der Hardware oder der Firmware des jeweiligen elektronischen Bauteils . Hierbei ist eine direkte Abfrage der Sicherheits¬ klas se über eine Kommunikations schnittstelle der System¬ komponente möglich .
Die Hinterlegung der Information über die jeweilige Sicherheitsklas se erfolgt zweckmäßigerweise mittels einer beschrei¬ benden Technik, z . B . in Form einer EDD (Electronic Device
p_escription) mittels der Beschreibungssprache EDDL (E_lectro- nic p_evice p_escription L_anguage ) nach IEC 61804. In diesem Fall können die EDD-Informationen über die Kommunikationsschnittstelle ausgelesen werden .
Teilweise haben Systembetreiber einen unterschiedlichen Sicherheitsbedarf für unterschiedliche Systembereiche . So gibt es beispielsweise bei Produktionsanlagen hochsichere Anlagenteile und Anlagenteile, bei denen die Systemsicherheit weniger kritisch ist . Um dem gerecht zu werden wird bevorzugt , das s sich bei einem aus mehreren Systembereichen zusammengesetzten System mit jedem Systembereich eine Sicherheitsklas se aus einer Mehrzahl von Sicherheitsklas sen verknüpfen lässt oder das s jedem Sicherheitsbereich eine Sicher- heitsklas se zugeordnet ist . In diesem Fall können die An¬ strengungen zur Gewährleistung einer Sicherheit für den jeweiligen Tätigkeitsbereich maßgeschneidert und die Kosten für die Gewährleistung der Systemsicherheit begrenzt werden .
Es wird bevorzugt, wenn die Bestimmung der jeweiligen Sicherheitsklas se während des laufenden Betriebs des Systems und damit online erfolgen kann . Hierdurch wird ein transparenter Überblick über das jeweilige aktuelle Sicherheitsniveau des Systems im Produktivbetrieb und damit unter realistischen Umgebungsbedingungen möglich .
In einem zweiten Schritt des erfindungsgemäßen Verfahrens wird bestimmt , welche Sicherheitsklasse das System angesichts der Sicherheitsklassen der Systemkomponenten besitzt . Hierbei ist zu berücksichtigen, dass die Systemkomponenten je nach der Konfiguration des Systems unterschiedlich wechselwirken . Je nachdem, wie Systemkomponenten mit ihrer sicherheitsrelevanten Funktionalität miteinander kombiniert werden, führt dies zu einem Mehr oder zu einem Weniger an Sicherheit, was sich entsprechend auf die Sicherheitsklas se des Systems niederschlägt . Hierbei sind im Wesentlichen zwei Fälle zu unterscheiden :
A) Im einfachsten Fall wird die gleiche Funktionalität zwei¬ mal eingeset zt . In einem Beispiel sind zwei Türen mit ei¬ nem normalen Schlos s hintereinander angeordnet . Durch das Vorsehen zweier derartiger Türen erhöht sich die Sicher- heitsklas se des Gesamtsystems im Wesentlichen nicht .
Lediglich der Zeitaufwand zur Überwindung der Barriere steigt .
B ) Werden Systemkomponenten mit unterschiedlicher s icher- heitstechni scher Funktionalität kombiniert , so addieren sich in der Regel diese Funktionalitäten . Dies führt dazu, das s das Sicherheitsniveau insgesamt gesteigert und dem¬ gemäß eine höhere Sicherheitsklas se erreicht wird . Ein Beispiel wäre die Anordnung zweier Türen hintereinander, bei der die erste Tür ein mechani sches Schlos s aufweist und die zweite Tür nur mit einer Auswei skarte geöffnet werden kann . Die Kombination dieser beiden Türen führt bei einem Gesamtsystem dazu, das s die Sicherheitsklas se höher aus fällt al s die Sicherheitsklas se jeder der beiden Einzeltüren .
Bei der Bestimmung der Sicherheitsklas se des Systems i st auch zu berücksichtigen, das s die Sicherheitsklas se zustandsabhän- gig ist . Hat beispielsweise eine Tür eine Sicherheitsklas se 3 , so gilt dies nur für den verschlos senen Zustand . I st die
Tür geöffnet , liegt kein Schutz vor und die Sicherheit sklas se wäre damit z . B . 0.
Der letztgenannte Umstand macht die Möglichkeit , die Sicher- heit sklas se von Systemkomponenten während des laufenden Betriebs und damit online zu ermitteln, besonders wertvoll . Nur auf diese Wei se kann über die erfas sten Zustände der Systemkomponenten im Produktivbetrieb festgestellt werden, welche Sicherheitsklas se das System besitzt .
Daher ist es besonders wünschenswert , wenn die jeweilige Sicherheitsklas se der Systemkomponente kontinuierlich be-
stimmt wird. Je nach den Besonderheiten des Systems kann es jedoch auch ausreichend sein, wenn diese Bestimmung in vorgegebenen Zeitintervallen vorgenommen wird.
Sind die Sicherheitsklassen der Systemkomponenten bestimmt, so wird darauf aufbauend die Sicherheitsklasse des Systems ermittelt und kann bei Abweichungen vom vorherigen Zustand oder beim Unterschreiten eines vorgegebenen Sicherheitsniveaus eine Warnmeldung an den Systembetreiber ausgegeben werden .
Insbesondere die Erkenntnis , dass die Sicherheitsklasse einer Systemkomponente in hohem Maße zustandsabhängig ist, macht, wie oben ausgeführt, eine kontinuierliche Bestimmung der jeweiligen Sicherheitsklas sen der Komponenten und damit des Gesamtsystems wünschenswert . Dies ist besonders dann leicht realisierbar, wenn diese Bestimmung automatisch erfolgen kann . Insofern wird dem Zustand Rechnung getragen, das s Sicherheit nicht nur eine statische Angelegenheit ist sondern auch zeitlich variieren und vom jeweiligen Zustand der Gesamtanlage bzw . von den Einzelkomponenten abhängen kann .
Die Bestimmung der Sicherheitsklasse der jeweiligen Systemkomponenten und/oder des Systems wird bevorzugterweise mit- tels eines Computerprogramms durchgeführt . Das Computer¬ programm kann in den internen Speicher eines digitalen Computers geladen werden und umfasst Software-Codeabschnitte, mit denen die automatische Abfrage der Sicherheitsklas se durchgeführt wird. Wie allgemein üblich, kann das Computer- programm durch einen Datenträger, wie beispielsweise eine CD oder eine DVD , verkörpert werden, in einem Computerspeicher residieren oder mittels eines elektrischen Trägersignals übertragen werden .
Das Computerprogramm basiert am besten auf einem anlagenspezifischen Sicherheitsmodell . Nach dem Modell ist zunächst die Systemkonfiguration bekannt , wobei diese ggf . aus den
Engineeringdaten der Anlage extrahierbar ist . Im Modell ist der Einfluss einer einzelnen Systemkomponente auf die Sicher¬ heit anderer Systemkomponenten oder auf ganze Systembereiche hinterlegt . Basierend auf dem Sicherheitsmodell berechnet das Programm bei einer Modifikation einer einzelnen Systemkomponente die neue Sicherheitsklasse des Gesamtsystems . Die Modi¬ fikation kann hierbei in einem Austausch der Systemkomponente durch eine solche mit höherer Sicherheitsklas se bestehen . Das Computerprogramm kann Teil eines Programms zur Systemkonzep- tionierung bzw . von Engineering-Software sein .
Die transparente und anhand objektiver Kriterien vorgenommene Bestimmung des Sicherheitsniveaus des Systems erlaubt es , das System in sicherheitstechnischer Hinsicht zu konfigurieren . Hierbei wird in einem ersten Schritt ein Soll-Sicherheits¬ niveau bzw . eine Soll-Sicherheitsklasse vorgegeben . In einem zweiten Schritt wird die Soll-Sicherheitsklas se mit der Ist- Sicherheitsklasse verglichen . Für den Fall, dass die Soll- Sicherheitsklasse des Systems nicht der zuvor bestimmten Ist- Sicherheitsklasse des Systems entspricht, können zwei Ma߬ nahmen vorgesehen sein :
1. Es kann ein Austausch mindestens einer Systemkomponente durch eine andere Systemkomponente vorgenommen werden, wobei die andere Systemkomponente den Anforderungen einer Sicherheitsklas se entspricht, die mit einer höheren Si¬ cherheit einhergeht bzw . eine höhere Sicherheitsklas se besitzt, und/oder
2. es kann eine Rekonfiguration der Systemkomponenten vor- genommen werden,
bis die gewünschte Sicherheitsklasse erreicht ist . Der erst¬ genannte Fall wäre beispielsweise dann einschlägig, wenn bei einer Tür ein Schloss gewählt würde, das eine höhere Sicher- heit verspricht . Der zweitgenannte Fall setzt eine bauliche Änderung des Systems derart voraus , dass ein potenzieller
Angreifer nunmehr ein schwierigeres Hindernis zu überwinden hätte . Dieser Fall ist anlagenspezifisch .
Die im letzten Absatz genannte Konfiguration des Systems kann die Konfiguration eines neuen Systems sein . In diesem Fall erfolgt die Konfiguration bereits in der Entwicklungsphase des Systems und z . B . unter Einsatz bekannter Engineeringsysteme . Die Engineeringsysteme sind dann für die entspre¬ chende sicherheitstechnische Gewährleistung abgewandelt .
Auch kann ein bereits existierendes System bezüglich seiner Sicherheit neu konfiguriert und dieses somit nachgerüstet werden . Hierzu werden sämtliche Komponenten zusätzlich mit dem besagten Merkmal ausgestattet, das über die Sicher- heitsklas se der Systemkomponente informiert . Diese Merkmals¬ ausstattung kann bei elektronischen Baukomponenten durch eine Aktualisierung der Firmware erfolgen .
Nachfolgend soll die vorliegende Erfindung anhand eines Aus- führungsbeispiels in Verbindung mit den Figuren näher erläu¬ tert werden . Hierbei zeigt :
Figur 1 ein aus verschiedenen Systemkomponenten zusammengesetztes Gesamtsystem,
Figur 2 eine Systemkomponente .
Figur 1 zeigt ein aus verschiedenen Systemkomponenten zusammengesetztes System. Bei dem System handelt es sich um eine Industrieanlage, und zwar um eine Automatisierungsanlage 1. Es kann sich bei dem System jedoch auch um ein vernetztes Computersystem, wie insbesondere ein WLAN 1 ' , handeln .
Das System 1 bzw . 1 ' verfügt über Systemkomponenten 2 bzw . 2 ' . Bei einer Automatisierungsanlage 1 sind diese System¬ komponenten beispielsweise Steuerungscomputer, Feldbus se,
Aktoren, Sensoren etc . Bei einem WLAN sind dies im Wesentlichen Computer, Router, Schnittstellen etc .
Jede dieser Systemkomponenten verfügt über ASICs 4 oder EPROMs 4 ' . Bei den ASICs 4 ist die Information über die
Sicherheitsklasse in der Hardware implementiert . Die EPROMs 4 ' besitzen diese Information in ihrer Firmware im Speicherbereich . Hierzu müssen bei einer Binärcodierung lediglich vier Bits für die Aufnahme dieser Information bereitgestellt werden . Die Sicherheitsklassen der Systemkomponenten sind
Zahlen zwischen 0 (kein Schutz ) und 10 (höchstes Sicherheits¬ niveau) .
Die Systemkomponenten sind über Datenleitungen 6 untereinan- der und mit einem Computer 3 verbunden . Der Computer 3 liest die Sicherheitsklassen der Systemkomponenten 2 , 2 ' über die Datenleitungen 6 elektronisch aus und ermittelt das Sicherheitsniveau des Gesamtsystems 1 bzw . 1 ' . Dies geschieht durch Auslesen der EDD-Informationen jeder Systemkomponente über eine Ethernet-Schnittstelle . Hierzu läuft auf dem Computer 3 ein für das System maßgeschneidertes Computerprogramm unter dem Betriebssystem Windows™. Die Abfrage erfolgt automa¬ tisch . Aus den Informationen über die Sicherheitsklasse jeder einzelnen Systemkomponente errechnet das Computerprogramm die Sicherheitsklasse des Gesamtsystems 1 bzw . 1 ' .
Das hierfür eingesetzte Computerprogramm basiert auf einem für das System maßgeschneiderten Sicherheitsmodell , in welchem die Systemkonfiguration hinterlegt ist . Das Sicherheits- modell erlaubt es , den Einfluss einzelner Systemkomponenten auf die Sicherheit des Gesamtsystems zu berechnen . Die Er¬ stellung des Sicherheitsmodells ist als zusätzliche Ebene in die Engineeringtools zur Planung des Systems integriert . Für die bedarfsabhängige bzw . laufende Berechnung der Sicher- heitsklas se des Gesamtsystems wird ein ablauffähiger Code für das Modell erzeugt , welches im Computer 3 zum Ablauf gebracht wird . Das Computerprogramm läuft permanent im Hintergrund des
Computers 3 und bestimmt kontinuierlich die Sicherheitsklas se des Gesamtsystems 1 bzw . 1 ' . Ändert sich die Sicherheits¬ klas se, so wird an den Systemverantwortlichen eine Warnung ausgegeben .
Figur 2 zeigt eine Systemkomponente 2 in Form eines Feldbus¬ geräts , das über ein Merkmal 5 verfügt, das über die Sicher¬ heitsklas se informiert . Bei dem Merkmal 5 handelt es sich um einen Strichcode, der über einen Strichcodeleser ausgelesen werden kann .