EP4591195A1 - Überwachungssystem zum nachgelagerten prüfen einer systemintegrität - Google Patents

Überwachungssystem zum nachgelagerten prüfen einer systemintegrität

Info

Publication number
EP4591195A1
EP4591195A1 EP23813579.2A EP23813579A EP4591195A1 EP 4591195 A1 EP4591195 A1 EP 4591195A1 EP 23813579 A EP23813579 A EP 23813579A EP 4591195 A1 EP4591195 A1 EP 4591195A1
Authority
EP
European Patent Office
Prior art keywords
components
change
integrity
reconfigurable
designed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP23813579.2A
Other languages
English (en)
French (fr)
Inventor
Rainer Falk
Christian Peter Feist
Peter Hornung
Martin Mantel
Stefan Pyka
Franz Sperl
Thomas Zeschg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Publication of EP4591195A1 publication Critical patent/EP4591195A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates

Definitions

  • the present invention relates to a monitoring system for checking an integrity of a reconfigurable system.
  • the invention also relates to a higher-level system and an associated method.
  • IDS intrusion detection systems
  • HIDS host-based intrusion detection system
  • NIDS network-based intrusion detection system
  • An IDS can generally recognize a change in behavior (anomaly-based IDS) or a known attack pattern (signature-based IDS) as an attack.
  • Restore points are known for operating systems such as Microsoft Windows. If a Windows system is not working correctly, a user or administrator can return to an earlier, functional configuration state.
  • the object of the invention is to provide a solution for improved protection of the system integrity of dynamically reconfigurable systems, in particular automation systems and industrial systems.
  • the invention relates to a monitoring system for checking an integrity of a reconfigurable system, wherein the reconfigurable system has a plurality of components
  • the monitoring system comprising: a receiving unit, designed to receive a plurality of data sets, wherein each data set of the plurality of data sets originates from one of the components of the plurality of components of the reconfigurable system, wherein each data set of the plurality of data sets describes at least one configuration change that has taken place on a respective component of the plurality of components of the reconfigurable system by means of change information, wherein the change information indicates a type of the at least one configuration change that has taken place, a testing unit designed to check the admissibility of the respective configuration change that has taken place on the basis of the change information by checking the admissibility of whether the type of the at least one configuration change that has taken place is permissible and/or plausible, and an output unit designed to provide an output depending on a result of the checking.
  • the admissibility check is not based on comparing the actual configuration with a fixed, specified target configuration, but on checking whether the configuration changes made are permissible and/or plausible.
  • the type of at least one configuration change that occurred describes a type of change that occurred in a configuration of at least one component of the plurality of components of the reconfigurable system.
  • the type of change indicates how the configuration was changed.
  • the type of change indicates in particular which functional category of the configuration was changed.
  • a functional category of the configuration includes in particular security functions, network functions, control functions, communication functions, management functions, and/or identification functions.
  • a positive result of checking the admissibility of the respective configuration change means that a configuration change made to one of the components of the majority of the components of the reconfigurable system is permissible. This means that the respective component is intact. If all components of the majority of components are intact, it is concluded that the entire reconfigurable system is intact.
  • the output unit is designed to provide the output depending on the integrity of the respective components and/or the reconfigurable system.
  • a negative result of the check of the admissibility of the respective configuration change means that a configuration change made to one of the components of the majority of the components of the reconfigurable system is not permissible. This means that the respective component is not intact. If there is no integrity for at least one component of the majority of components, it is concluded that the entire reconfigurable system is not intact.
  • the output unit is designed to give the output depending on the lack of integrity of the respective components and/or the reconfigurable system.
  • the reconfigurable system is designed in particular as a cyber-physical system (CPS).
  • CPS cyber-physical system
  • a plurality is to be understood as a plural.
  • a plurality is not to be understood as a larger proportion of a certain number.
  • a plurality means in particular at least 3, preferably more than 10, particularly preferably more than 50 or more than 100. This applies both to the plurality of components and to the plurality of data sets.
  • the components of the majority of components of the reconfigurable system are designed to provide the majority of data sets.
  • the majority of data sets are each particularly privacy-protected to protect know-how, in particular through anonymization, pseudonymization, through the use of verifiable credentials/verifiable presentations, or through privacy-protecting cryptographic methods such as homomorphic encryption or secure multiparty computation.
  • Each data record of the plurality of data records is created and provided in particular by the affected component itself, by an additional component associated with the affected component or by an app of the affected component.
  • An additional component or app can repeatedly determine the configuration of a component, in particular via OPC UA or via NETCONF, and confirm the changes identified in a cryptographically protected manner compared to previously identified configurations.
  • additional information can be determined and confirmed if necessary, in particular what led to the configuration change, in particular which authentication credential and/or which communication protocol and/or which device interface was used for a configuration change (identifier or authentication credential/certificate for remote access, in particular via HTTPS, NETCONF/TLS, NETCONF/ssh, OPC UA).
  • the confirmation of integrity is particularly privacy-protected in order to protect know-how, in particular through anonymization, pseudonymization, through the use of verifiable credentials/verifiable presentations, or through privacy-protecting cryptographic methods such as homomorphic encryption or secure multiparty computation.
  • a reconfigurable system in particular a cyber-physical system
  • the plant operator several machine manufacturers of the production machines used, several device manufacturers of the automation components used, an integrator, an IT department or an IoT cloud provider in particular have a legitimate interest in system integrity monitoring.
  • they are each only responsible for a sub-area (area of responsibility, AOR). It is therefore still proposed to filter the majority of data records according to different areas of responsibility and to make them available to a respective AOR monitoring system for checking.
  • An AOR monitoring system in turn confirms whether the changes checked are permissible from the respective responsibility perspective.
  • a Cyber Physical System (CPS) overall picture is determined, which indicates from the perspective of which AOR areas of responsibility the integrity of the system is given.
  • This information is provided in particular to a production planning system or a production data management system. Production planning for further production processes or the release of manufactured products or subsequent tests on the manufactured products can be carried out depending on whether the CPS or the CPS areas used for this purpose, in particular production machines, are or were in an acceptable condition during production.
  • the information can also be passed on to a CPS component management system, in particular a unified device management system (common device management), in order to initiate a rollback of configuration changes that are not recognized as acceptable.
  • one idea of the invention is a monitoring system, in particular an integrity monitoring system, for industrial automation systems, which records the majority of data records and thus the change information of the majority of components.
  • the monitoring system checks the admissibility of the changes to the majority of the components of the reconfigurable system.
  • One aspect of the invention therefore consists in a monitoring system which reliably records configuration changes that have taken place and subsequently checks the type of configuration changes that have taken place using a program code, in particular using a smart contract. Subsequent means that the configuration changes have already taken place at the time of the check.
  • An integrity monitoring system for a reconfigurable system is thus proposed, which allows configuration changes by not recognizing changes as inadmissible before they are implemented, as is the case with known integrity monitoring tools (File Integrity Monitoring (FIM), Intrusion Detection System (IDS)), but by monitoring and plausibility-checking the type of observable changes.
  • File Integrity Monitoring File Integrity Monitoring
  • IDS Intrusion Detection System
  • this can be understood as a type of distributed ledger (“blockchain”), in which transactions (here: configuration changes of the reconfigurable system) are first recorded in a transaction database. Only subsequently is it checked whether these transactions, which are already in the database (because they were recorded first), are permissible according to a smart contract.
  • a conventional security approach is access control that tightly controls access so that only permitted actions can be carried out.
  • Another conventional approach is to detect deviations from a reference state defined as integral (set up or taught) as manipulation.
  • Such conventional security approaches assume a fixed configuration. The disadvantage is that they are therefore not suitable if configuration changes are to be made regularly in order to flexibly adapt a production system to different requirements. If set up restrictively, such security approaches would hinder flexible configuration adaptation or reconfiguration of industrial automation and control systems (in general: Industrial IoT or Cyber Physical Systems). They are therefore only useful for static industrial systems. For systems that are to be dynamically reconfigurable, however, extensive changes must be permitted.
  • the reconfigurable system is designed as: a cyber-physical system and/or an Internet of Things system and/or an industrial system and/or an automation system and/or a manufacturing system and/or a control system and/or a robot and/or a production machine and/or a driverless transport system.
  • the receiving unit is additionally designed to retrieve the plurality of data records.
  • the majority of data records can be retrieved in particular from a database by the receiving unit.
  • the majority of data records and thus the change information of the majority of components are stored in particular in a database (also referred to as a CPS Component Configuration Change Database), in particular in a relational database, in an object database or in a distributed transaction database (also referred to as a distributed ledger and/or blockchain).
  • a database also referred to as a CPS Component Configuration Change Database
  • a relational database in particular in a relational database
  • object database in an object database or in a distributed transaction database (also referred to as a distributed ledger and/or blockchain).
  • a distributed transaction database also referred to as a distributed ledger and/or blockchain
  • the majority of data records each have cryptographic protection.
  • the initiator of the at least one configuration change can also be designated as the executor of the at least one configuration change.
  • the monitoring system checks the admissibility of the configuration changes made to the majority of the components of the reconfigurable system. In addition to the type of at least one configuration change made, it can be evaluated when and/or by whom and/or at what location which change was made to a respective component of the reconfigurable system.
  • This has the advantage that further information is included in order to check the admissibility and the result of the check is more reliable.
  • the admissibility of a single configuration change can be checked.
  • the admissibility of a sequence of several configuration changes can also be checked.
  • the type of at least one configuration change made includes:
  • the testing unit is designed to test the change information of a first configuration change of a first component of the plurality of components in connection with the change information of a second configuration change of a second component of the plurality of components.
  • the at least one configuration change of a component can be recognized as inadmissible on its own, but in addition its effect on the reconfigurable system, in particular inconsistencies between the components and a further configuration change, can be recognized and assessed as inadmissible.
  • the test unit is thus particularly designed to check whether the components have been consistently reconfigured, in particular during a production setup phase.
  • testing unit is specifically designed to check whether configuration changes serve different purposes and/or are divided into different change processes. Inconsistencies in these criteria can be used to identify an impermissible configuration.
  • test unit is designed: a program code, in particular Smart Contract and/or use an artificial intelligence-based algorithm and/or at least one security policy to check admissibility.
  • the validation of configuration changes is therefore carried out in particular by a smart contract, i.e. generally by a program code. This checks according to definable criteria, which means that a configuration change to the CPS is permissible.
  • the admissibility of configuration changes that have been made is checked by an algorithm based on artificial intelligence, i.e. AI-based, in particular by training permissible configuration changes in a training phase based on criteria and detecting impermissible changes in the productive phase and, if necessary, prohibiting them, i.e. recognizing them as impermissible.
  • AI-based artificial intelligence
  • the admissibility of configuration changes that have been made is checked by an algorithm based on artificial intelligence, i.e. AI-based, in particular by training permissible configuration changes in a training phase based on criteria and detecting impermissible changes in the productive phase and, if necessary, prohibiting them, i.e. recognizing them as impermissible.
  • test unit is designed:
  • test unit is also designed
  • the monitoring system classifies components of the plurality of components and/or the reconfigurable system not only as integer or non-integer, but also provides an evaluation of the integrity, in particular in the form of a trustworthiness measure.
  • a higher evaluation means a higher probability of integrity.
  • a comparatively low evaluation means a lower probability of integrity.
  • the evaluation contains information as to which configuration change or which combination of changes changes, particularly in reference to the change(s), have led to the lower integrity rating.
  • the evaluation and/or the trustworthiness measure can be determined for the reconfigurable system as a whole. Likewise, several trustworthiness measures can be determined for different sub-areas of the reconfigurable system. The sub-areas can be fixed, but preferably the sub-areas are determined dynamically, each of which has a uniform trustworthiness measure.
  • the output is as:
  • a corresponding output is given in one embodiment.
  • an alarm is triggered or production is stopped.
  • a cryptographically protected integrity confirmation in particular an integrity attestation, is optionally created, which confirms that the reconfigurable system is currently or has been in a permissible, integral state within a defined period of time.
  • the integrity confirmation is formed and output by the output unit.
  • an integrity confirmation also referred to as integrity attestation, is formed and output in particular by a downstream integrity confirmation unit, in particular a CPS system integrity attestor. In the case of a downstream integrity confirmation unit, this receives the result of the admissibility check, which is formed by the check unit.
  • the invention also includes a higher-level system comprising: a monitoring system according to one of the preceding claims and a reconfigurable system, wherein the reconfigurable system has the plurality of components.
  • the majority of components are designed to provide the majority of data sets.
  • the components are designed in particular as automation components.
  • a unit for determining configuration changes and in particular for cryptographically protected confirmation of the detected configuration changes is provided on the components.
  • the higher-level system also has:
  • the invention also includes a method for testing an integrity of a reconfigurable system, wherein the reconfigurable system has a plurality of components, comprising the steps: receiving a plurality of data records, wherein each data record of the plurality of data records originates from one of the components of the plurality of components of the reconfigurable system, wherein each data record of the plurality of data records describes at least one configuration change that has occurred on a respective component of the plurality of components of the reconfigurable system by means of change information, wherein the change information in each case indicates a type of the at least one configuration change that has occurred, checking the admissibility of the respective configuration change that has occurred based on the change information, and outputting an output depending on a result of the checking.
  • a further development of the invention relates to a method according to the invention for checking an integrity of a reconfigurable system by means of a monitoring system according to the invention.
  • Fig. 1 is a schematic representation of a higher-level system comprising, among other things, a monitoring system according to the invention and
  • Fig. 2 is a flow diagram of the method according to the invention. DETAILED DESCRIPTION OF THE INVENTION
  • Fig. 1 shows a higher-level system comprising: a monitoring system 1 according to the invention, divided into two monitoring systems 1 for different sub-areas of a reconfigurable system 2, the reconfigurable system 2, wherein the reconfigurable system 2 has the plurality of components 21, the plurality of components 21 is connected to a database 3 via a gateway 22 and a network 5, the database 3, designed to provide the plurality of data sets 23 to the monitoring systems 1 (stored over time t) and to receive the plurality of data sets 23 from the reconfigurable system 2, wherein each data set of the plurality of data sets 23 describes at least one configuration change that has taken place on a respective component 21 of the plurality of components 21 of the reconfigurable system 2 by means of change information, wherein the change information in each case indicates a type of the at least one configuration change that has taken place, and an attestation 4, designed to Integrity attestation 41 depending on an output of the monitoring system 1.
  • Fig. 1 therefore shows in particular an implementation example with three CPS components 21 in an automation network 2.
  • two system integrity monitoring units 1 are shown for two different areas of responsibility.
  • An area of responsibility can be given, for example, by a subset of the CPS components 21 and/or by the type, ie the functional category, of configuration changes that have been made.
  • the proposed monitoring system 1, also known as integrity monitoring system 1 can be understood as a type of distributed ledger (blockchain) in which a smart contract checks the admissibility of a sequence of transactions recorded in the data sets 23.
  • blockchain distributed ledger
  • the configuration changes have already been made and the corresponding transactions are already stored in the database 3.
  • their admissibility is only checked later. In this case, multiple checks can also be carried out according to the different areas of responsibility, i.e. by a plurality of "smart contracts". A result of the check is provided.
  • an integrity attestation 41 is optionally determined by an attestation 4 to indicate whether the configuration changes already made were permissible according to the transactions stored in the database 3 or whether this was not the case.
  • the integrity attestation 41 it can be specified in particular which functional areas, in particular for which production machines or which production lines (area of responsibility) of the reconfigurable system 2 the configuration changes applied to the functional areas were permissible.
  • Fig. 2 shows a method for checking an integrity of a reconfigurable system 2, wherein the reconfigurable system 2 has a plurality of components, comprising the steps:
  • Step S1 receiving a plurality of data records, wherein each data record 23 of the plurality of data records originates from one of the components 21 of the plurality of components of the reconfigurable system 2, wherein each data record 23 of the plurality of data records contains at least one configuration change made to a respective component 21 of the plurality of components of the reconfigurable system by means of change information, the change information specifying a type of the at least one configuration change that has taken place, - step S2: checking the admissibility of the respective configuration change that has taken place based on the change information, the checking comprising checking whether the type of the at least one configuration change that has taken place is permissible and/or plausible, and - step S3: issuing an output depending on a result of the checking.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Alarm Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Überwachungssystem (1) zum Prüfen einer Integrität eines rekonfigurierbaren Systems (2), wobei das rekonfigurierbare System (2) eine Mehrzahl an Komponenten (21) aufweist, das Überwachungssystem (1) aufweisend: - eine Empfangseinheit, ausgebildet eine Mehrzahl an Da- tensätzen zu empfangen, wobei jeder Datensatz (23) der Mehrzahl an Datensätzen von einer der Komponenten (21) der Mehrzahl an Komponen- ten des rekonfigurierbaren Systems (2) stammt, wobei jeder Datensatz (23) der Mehrzahl an Datensätzen mindestens eine erfolgte Konfigurationsänderung an je- weils einer Komponente (21) der Mehrzahl der Komponenten des rekonfigurierbaren Systems (2) durch eine Änderungs- information beschreibt, wobei die Änderungsinf ormation jeweils eine Art der min- destens einen erfolgten Konfigurationsänderung angibt, - eine Prüfeinheit, ausgebildet eine Zulässigkeit der je- weils erfolgten Konfigurationsänderung anhand der Ände- rungsinf ormation zu prüfen, und eine Ausgabeeinheit, ausgebildet in Abhängigkeit eines Ergebnisses des Prüfens eine Ausgabe zu geben. Außerdem betrifft die Erfindung übergeordnetes System und ein zugehöriges Verfahren.

Description

Beschreibung
Überwachungssystem zum nachgelagerten Prüfen einer Systemintegrität
Unabhängig vom grammatikalischen Geschlecht eines bestimmten Begriffes sind Personen mit männlicher, weiblicher oder anderer Geschlechteridentität mit umfasst.
HINTERGRUND DER ERFINDUNG
Gebiet der Erfindung
Die vorliegende Erfindung betrifft ein Überwachungssystem zum Prüfen einer Integrität eines rekonfigurierbaren Systems. Die Erfindung betrifft außerdem ein übergeordnetes System und ein zugehöriges Verfahren.
Beschreibung des Stands der Technik
Eine flexible Produktion, insbesondere im Rahmen von Industrie 4.0, soll eine schnelle Anpassung von Automatisierungslösungen, insbesondere Automatisierungsfunktionen, an sich ändernde Rahmenbedingungen ermöglichen. Dies soll auch durch eine zunehmende Digitalisierung unter Nutzung von offenen Compute-Plattf ormen für die Realisierung von virtualisierten Automatisierungsfunktionen ermöglicht werden. Die Anpassung vorhandener Automatisierungsfunktionen und die Einführung neuer Automatisierungsfunktionen sollen künftig schneller erfolgen .
Automatisierungssysteme werden daher regelmäßig Änderungen unterworfen sein. Als Konsequenz für den Schutz der Integrität des Automatisierungssystems und der darin enthaltenen Komponenten ergibt sich, dass ein Verhindern von Änderungen, um Integrität sicherzustellen, kein sinnvolles Vorgehen ist, da dann auch keine Änderung der Automatisierungsfunktionen möglich wäre. Es sind Intrusion Detection Systeme IDS bekannt, die Angriffe erkennen. Diese können die Konfiguration auf Hosts (HIDS, host-based intrusion detection system) oder die Netzwerkkommunikation (NIDS, network-based intrusion detection system) analysieren. Ein IDS kann allgemein eine Änderung des Verhaltens (Anomaly-based IDS) oder ein bekanntes Angriffsmuster (Signature-based IDS) als Angriff erkennen.
Es sind Lösungen für ein File Integrity Monitoring (FIM) bekannt, die Änderungen an einem Dateisystem erkennen.
Bei Distributed Ledgern (Blockchain) ist bekannt, dass durch einen Programmcode (Smart Contract) festgelegt ist, ob eine Transaktion zulässig ist, d.h. ob abstrakt ein bestimmtes Ändern des in dem Distributed Ledger verwalteten Zustands zulässig ist.
Von Rainer Falk, Steffen Fries, „System Integrity Monitoring for Industrial Cyber Physical Systems”, International Journal on Advances in Security, vol 11 no 1 & 2, year 2018, http://www.iariajournals.org/security ist ein Integritäts- überwachungssystem für cyber-physische Systeme bekannt. Dabei ist auch bekannt, die Integrität des Cyber Physical Systems (CPS) in der realen, physikalischen Welt durch sogenannte „Trusted Sensors” zu ermitteln. Diese liefern vertrauenswürdige physikalische Messdaten, die für einen Quervergleich mit dem in einem Automatisierungssystem des CPS vorliegenden Prozessabbild verwendet werden können.
Von Rainer Falk, Steffen, Fries, "Enhancing the Resilience of Cyber-Physical Systems by Protecting the Physical-World Interface", International Journal on Advances in Security, vol 13 no 1 & 2, year 2020, http://www.iaria ournals.org/security ist bekannt, dass bei einem dynamisch rekonfigurierten cyberphysischen System auch dessen Integritätsüberwachungssystem entsprechend an die jeweils aktuelle Konfiguration (Referenz- Policy) angepasst werden muss (siehe Abschnitt IV. C „Policy Adaptation for Dynamically Reconfigurable CPS”) .
Bei Betriebssystemen wie z.B. Microsoft Windows sind Wiederherstellpunkte bekannt. Ein Nutzer bzw. Administrator kann bei einem nicht korrekt funktionierenden Windows-System auf einen früheren, funktionsfähigen Konfigurationsstand zurückkehren .
Die Aufgabe der Erfindung besteht darin, eine Lösung für einen verbesserten Schutz der Systemintegrität von dynamisch rekonfigurierbaren Systemen, insbesondere Automatisierungssysteme und industrielle Systeme, bereitzustellen.
ZUSAMMENFASSUNG DER ERFINDUNG
Die Erfindung ergibt sich aus den Merkmalen der unabhängigen Ansprüche. Vorteilhafte Weiterbildungen und Ausgestaltungen sind Gegenstand der abhängigen Ansprüche. Ausgestaltungen, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung und den Zeichnungen.
Die Erfindung betrifft ein Überwachungssystem zum Prüfen einer Integrität eines rekonfigurierbaren Systems, wobei das rekonfigurierbare System eine Mehrzahl an Komponenten aufweist, das Überwachungssystem aufweisend: eine Empfangseinheit, ausgebildet eine Mehrzahl an Datensätzen zu empfangen, wobei jeder Datensatz der Mehrzahl an Datensätzen von einer der Komponenten der Mehrzahl an Komponenten des rekonfigurierbaren Systems stammt, wobei jeder Datensatz der Mehrzahl an Datensätzen mindestens eine erfolgte Konfigurationsänderung an jeweils einer Komponente der Mehrzahl der Komponenten des rekonfigurierbaren Systems durch eine Änderungsinf ormation beschreibt , wobei die Änderungsinf ormation jeweils eine Art der mindestens einen erfolgten Konfigurationsänderung angibt, eine Prüfeinheit, ausgebildet eine Zulässigkeit der jeweils erfolgten Konfigurationsänderung anhand der Änderungsinf ormation, durch ein Prüfen der Zulässigkeit, ob die Art der mindestens einen erfolgten Konfigurationsänderung zulässig und/oder plausibel ist, zu prüfen, und eine Ausgabeeinheit, ausgebildet in Abhängigkeit eines Ergebnisses des Prüfens eine Ausgabe zu geben.
Das Prüfen der Zulässigkeit basiert nicht auf dem Vergleich der Ist-Konfiguration mit einer festen, vorgegebenen Soll- Konfiguration, sondern auf einem Prüfen, ob die vorgenommenen Konfigurationsänderungen zulässig und/oder plausibel sind.
Die Art der mindestens einen erfolgten Konfigurationsänderung beschreibt eine Art einer erfolgten Änderung einer Konfiguration mindestens einer Komponente der Mehrzahl an Komponenten des rekonfigurierbaren Systems. Die Art der Änderung gibt an, auf welche Weise die Konfiguration geändert wurde. Zusätzlich gibt die Art der Änderung insbesondere an, welche funktionale Kategorie der Konfiguration geändert wurde. Eine funktionale Kategorie der Konfiguration umfassen insbesondere, Sicher- heitsf unktionen, Netzwerkfunktionen, Steuerfunktionen, Kommunikationsfunktionen, Verwaltungsfunktionen, und/oder Identifizierungsfunktionen.
Ein positives Ergebnis des Prüfens der Zulässigkeit der jeweils erfolgten Konfigurationsänderung bedeutet, dass eine an einer der Komponenten der Mehrzahl der Komponenten des rekonfigurierbaren Systems erfolgte Konfigurationsänderung zulässig ist. Damit besteht Integrität der jeweiligen Komponente. Liegt für alle Komponenten der Mehrzahl an Komponenten Integrität vor, wird auf Integrität des gesamten rekonfigurierbaren Systems geschlossen. Die Ausgabeeinheit ist ausgebildet die Ausgabe in Abhängigkeit der Integrität der jeweiligen Komponenten und/oder des rekonfigurierbaren Systems zu geben. Ein negatives Ergebnis des Prüfens der Zulässigkeit der jeweils erfolgten Konfigurationsänderung bedeutet, dass eine an einer der Komponenten der Mehrzahl der Komponenten des rekonfigurierbaren Systems erfolgte Konfigurationsänderung unzulässig ist. Damit besteht keine Integrität der jeweiligen Komponente. Liegt für mindestens eine Komponente der Mehrzahl an Komponenten keine Integrität vor, wird auf mangelnde Integrität des gesamten rekonfigurierbaren Systems geschlossen. Die Ausgabeeinheit ist ausgebildet die Ausgabe in Abhängigkeit der nicht vorhandenen Integrität der jeweiligen Komponenten und/oder des rekonfigurierbaren Systems zu geben.
Das rekonfigurierbare System ist insbesondere als ein Cyber- Physical-System (CPS) ausgebildet.
Unter Mehrzahl ist im Sinne der Erfindung ein Plural zu erstehen. Mehrzahl ist im Sinne der Erfindung nicht als ein größerer Anteil einer bestimmten Anzahl zu verstehen. Mehrzahl bedeutet im Sinne der Erfindung insbesondere mindestens 3, vorzugsweise mehr als 10, besonders bevorzugt mehr als 50 oder mehr als 100. Dies gilt sowohl für die Mehrzahl an Komponenten als auch für die Mehrzahl an Datensätzen.
Die Komponenten der Mehrzahl an Komponenten des rekonfigurierbaren Systems sind ausgebildet, die Mehrzahl an Datensätze bereitzustellen. Die Mehrzahl an Datensätzen ist zum Know- How-Schutz jeweils insbesondere Privacy-geschützt , insbesondere durch Anonymisierung, Pseudonymisierung, durch Nutzung von Verifiable Credentials / Verifiable Presentations, oder durch Privacy-schützende Kryptoverf ahren wie homomorphe Verschlüsselung oder Secure Multiparty Computation.
Jeder Datensatz der Mehrzahl an Datensätzen wird insbesondere durch die betroffene Komponente selbst, durch eine der betroffenen Komponente zugehörige Zusatzkomponente oder durch eine App der betroffenen Komponente gebildet und bereitgestellt. Eine Zusatzkomponente oder App kann dazu wiederholt die Konfiguration einer Komponente ermitteln, insbesondere über OPC UA oder über NETCONF, und die ermittelten Änderungen gegenüber zurückliegend ermittelten Konfigurationen kryptographisch geschützt bestätigen. Bei einer Überwachung von Konfigurationsänderungen auf einer Komponente selbst kann ggf. Zusatzinformation ermittelt und bestätigt werden, insbesondere was zu der Konfigurationsänderung geführt hat, insbesondere welches Authentisierungscredential und/oder welches Kommunikationsprotokoll und/oder welche Geräteschnittstelle bei einer Konfigurationsänderung angewandt wurde (Identifier oder Authentisierungs-Credential/Zertif ikat bei einem Remote- Zugang, insbesondere über HTTPS, NETCONF/TLS, NETCONF/ssh, OPC UA) .
Die Integritätsbestätigung ist zum Know-How-Schutz insbesondere Privacy-geschützt , insbesondere durch Anonymisierung, Pseudonymisierung, durch Nutzung von Verifiable Credentials/ Verifiable Presentations, oder durch Privacy-schütztende Kryptoverf ahren wie homomorphe Verschlüsselung oder Secure Multiparty Computation.
Bezügliche einem rekonfigurierbaren System, insbesondere Cy- ber-Physical-System, haben insbesondere der Anlagenbetreiber, mehrere Maschinenbauer der verwendeten Produktionsmaschinen, mehrere Gerätehersteller der verwendeten Automatisierungskomponenten, ein Integrator, eine IT-Abteilung oder ein loT- Cloud-Provider ein berechtigtes Interesse an einer Systemintegritätsüberwachung. Sie sind jedoch jeweils nur für einen Teilbereich zuständig (area of responsibility, AOR) . Daher wird weiterhin vorgeschlagen, die Mehrzahl an Datensätze gemäß unterschiedlicher Verantwortungsbereiche zu filtern und einem jeweiligen AOR-Überwachungssystem zum Prüfen bereitzustellen. Ein AOR-Überwachungssystem bestätigt wiederum, ob die überprüften Änderungen aus der jeweiligen Verantwortungsperspektive zulässig sind.
Daraus wird ein Cyber Physical System (CPS) Gesamtbild ermittelt, das angibt, aus Sicht von welchen AOR- Verantwortungsbereichen die Integrität des Systems gegeben ist. Diese Information wird insbesondere einem Produktionsplanungssystem oder einem Produktionsdaten-Verwaltungssystem bereitgestellt. Die Produktionsplanung für weitere Produktionsvorgänge oder die Freigabe von erzeugten Produkten oder nachgelagerte Prüfungen an den erzeugten Produkten kann abhängig davon vorgenommen werden, ob bei der Produktion das dafür verwendete CPS bzw. die dafür verwendeten CPS-Bereiche , insbesondere Produktionsmaschinen, in einem zulässigen Zustand sind beziehungsweise waren. Auch kann die Information an ein CPS-Komponentenmanagementsystem übergeben werden, insbesondere ein vereinheitlichtes Gerätemanagementsystem (common device management) , um ein Rollback von nicht als zulässig erkannten Konfigurationsänderungen zu veranlassen.
Zusammengefasst ist eine Idee der Erfindung, ein Überwa- chungssystem, insbesondere Integritätsüberwachungssystem, für industrielle Automatisierungssysteme, welches die Mehrzahl an Datensätze und damit die Änderungsinf ormationen der Mehrzahl an Komponenten erfasst. Das Überwachungssystem überprüft die Zulässigkeit der Änderungen der Mehrzahl der Komponenten des rekonfigurierbaren Systems.
Ein Aspekt der Erfindung besteht somit in einem Überwachungssystem, welches erfolgte Konfigurationsänderungen verlässlich erfasst, und die Art der erfolgten Konfigurationsänderungen durch einen Programmcode, insbesondere durch einen Smart Contract, nachgelagert überprüft. Nachgelagert bedeutet, dass die Konfigurationsänderungen zu dem Zeitpunkt der Prüfung bereits erfolgt sind.
Es wird somit eine Integritätsüberwachungssystem für ein rekonfigurierbares System vorgeschlagen, welches Konfigurationsänderungen zulässt, indem es nicht wie bekannte Integri- tätsüberwachungswerkzeuge (File Integrity Monitoring (FIM) , Intrusion Detection System (IDS) ) Änderungen vor deren Durchführung als unzulässig erkennt, sondern indem es die Art der beobachtbaren Änderungen überwacht und plausibilisiert . Abstrakt kann dies als eine Art Distributed Ledger („Blockchain") verstanden werden, bei dem jedoch Transaktionen (hier: Konfigurationsänderungen des rekonfigurierbaren Systems) in einer Transaktionsdatenbank zuerst erfasst werden. Erst nachträglich wird überprüft, ob diese bereits (weil zuerst erfasst) in der Datenbank vorliegenden Transaktionen gemäß eines Smart Contracts zulässig sind.
Daraus ergibt sich für ein Cyber Physical System (CPS) , das unter verteilter Kontrolle (Distributed Ledger, Blockchain) liegt, der Vorteil, dass Wiederherstellpunkte , ermöglichen, bei Problemen oder unzulässigen Manipulationen auf einen früheren, noch funktionsfähigen Konfigurationsstand des CPSs zurückkehren .
Ein herkömmlicher Security-Ansatz ist eine Zugriffskontrolle, die Zugriffe eng kontrolliert, sodass nur zulässige Aktionen durchführbar sind. Ein weiterer herkömmlicher Ansatz besteht darin, Abweichungen von einem als integer definierten Referenzzustand (eingerichtet oder angelernt) als Manipulation zu erkennen. Solche herkömmlichen Security-Ansätze gehen von einer festen Konfiguration aus. Der Nachteil ist, dass sie daher nicht geeignet sind, wenn Konfigurationsänderungen regelmäßig erfolgen sollen, um ein Produktionssystem flexibel an unterschiedliche Anforderungen anzupassen. Solche Security- Ansätze würden, wenn sie restriktiv eingerichtet sind, eine flexible Konfigurationsanpassung beziehungsweise Rekonfiguration von industriellen Automatisierungs- und Steuerungs Systemen (im Allgemeinen: Industrial loT oder Cyber Physical Systems) behindern. Sie sind deshalb nur bei statischen industriellen Systemen sinnvoll. Bei Systemen, die dynamisch rekonfigurierbar sein sollen, müssen hingegen weitreichende Änderungen zugelassen werden.
In der vorliegenden Anmeldung wird hingegen als komplementärer Security-Ansatz vorgeschlagen, die erfolgten Konfigurationsänderungen verlässlich zu erfassen und nachgelagert die Zulässigkeit der erfolgten Änderungen zu überprüfen. In einer Weiterbildung der Erfindung ist das rekonf igurierbare System ausgebildet als : ein Cyber-Physical-System und/oder ein Internet-of-Things-System und/oder ein industrielles System und/oder ein Automatis ierungs system und/oder ein Fertigungs system und/oder ein Steuerungs system und/oder ein Roboter und/oder eine Produktionsmaschine und/oder ein führerloses Transportsystem .
In einer weiteren Weiterbildung der Erfindung ist die Empfangseinheit zusät zlich ausgebildet die Mehrzahl an Datensätze abzurufen .
Die Mehrzahl an Datensätze i st insbe sondere von einer Datenbank durch die Empfangseinheit abrufbar . Die Mehrzahl an Datensätze und somit die Änderungs inf ormationen der Mehrzahl an Komponenten werden insbesondere in einer Datenbank ( auch als CPS Component Conf iguration Change Databa se be zeichenbar ) festgehalten , insbesondere in einer relationalen Datenbank , in einer Obj e ktdatenbank oder in einer verteilten Transaktionsdatenbank ( auch als Distributed Ledger und/oder Blockchain bezeichenbar ) . Es liegt somit eine Historie der erfolgten Änderungen an der Mehrzahl an Komponenten des re konfigurierbaren Systems vor .
In einer weiteren Weiterbildung der Erfindung weist die Mehrzahl an Datensätzen j eweils einen kryptographi schen Schutz auf .
Dies hat den Vorteil , das s die Mehrzahl an Datensät ze gegen Manipulation geschützt sind und somit von einer validen Änderungsinf ormation ausgegangen wird . In einer weiteren Weiterbildung der Erfindung gibt die Änderung s information :
- Einen Zeitpunkt und/oder
- einen zeitlichen Beginn und/oder
- einen zeitlichen Abschluss und/oder
- einen Initiator und/oder
- einen Ort einer Initiation der mindestens einen erfolgten Konfigurationsänderung an.
Der Initiator der mindestens einen erfolgten Konfigurationsänderung ist auch als Ausführer der mindestens einen erfolgten Konfigurationsänderung bezeichenbar .
Das Überwachungssystem überprüft erfindungsgemäß die Zulässigkeit der jeweils erfolgten Konfigurationsänderungen an der Mehrzahl der Komponenten des rekonfigurierbaren Systems . Dazu kann zusätzlich zu der Art der mindestens einen erfolgten Konfigurationsänderung ausgewertet werden, wann und/oder durch wen und/oder an welchem Ort welche Änderung an einer jeweiligen Komponente des rekonfigurierbaren Systems erfolgt ist. Dies hat den Vorteil, dass weitere Informationen einbezogen werden, um die Zulässigkeit zu prüfen und das Ergebnis des Prüfens belastbarer ist. Dabei kann die Zulässigkeit einer einzelnen Konfigurationsänderung überprüft werden. Ebenso kann die Zulässigkeit einer Folge von mehreren Konfigurationsänderungen überprüft werden.
In einer weiteren Weiterbildung der Erfindung umfasst die Art der mindestens einen erfolgten Konfigurationsänderung:
- eine sicherheitsbezogene Änderung und/oder
- eine geänderte Netzwerkkonfiguration und/oder
- eine Änderung an einer industriellen Projektierung und/ oder
- ein Einspielen eines Updates. In einer weiteren Weiterbildung der Erfindung ist die Prüfeinheit ausgebildet , die Änderungsinf ormation einer ersten erfolgten Konfigurationsänderung einer ersten Komponente der Mehrzahl an Komponenten im Zusammenhang mit der Änderungsin- formation einer zweiten erfolgten Konfigurationsänderung einer zweiten Komponente der Mehrzahl an Komponenten zu prüfen .
Erfindungsgemäß ist die mindestens eine erfolgte Konfigurationsänderung einer Komponente für sich allein bereit s al s unzulä s sig erkennbar , zusätzlich i st aber auch deren Auswirkung auf das rekonfigurierbare System, indem insbesondere Inkonsistenzen zwi schen den Komponenten und einer weiteren erfolgten Konfigurationsänderung erkennbar und als unzulä s sig bewertbar . Somit ist die Prüfeinheit insbesondere ausgebildet zu prüfen , ob die Komponenten konsistent rekonfiguriert wurden , insbesondere während einer Einrichtungsphase einer Produktion .
Es wird zusät zlich insbesondere geprüft , ob Änderungen an den Komponenten , welche mögliche Auswirkungen auf das gesamte rekonf igurierbare System haben , insbesondere geänderte Netzwerkkonfiguration , inhaltlich konsistent sind und auf konsis tente Art vorgenommen werden . Dadurch kann insbesondere erkannt werden , ob gleichartige oder ähnliche Änderungen innerhalb eine s definierten Zeitraums auf mehreren Komponenten angewendet werden .
Außerdem ist die Prüfeinheit insbesondere ausgebildet zu prüfen , ob erfolgte Konfigurationsänderung einem unterschiedlichen Zwecken dienen und/oder auf unterschiedliche Änderungs- Vorgänge aufgeteilt sind . Durch Inkonsistenten in diesen Kriterien ist insbesondere eine unzuläs sige Konfiguration erkennbar .
In einer weiteren Weiterbildung der Erfindung ist die Prüfeinheit ausgebildet : einen Programmcode , insbesondere Smart Contract und/oder einen auf künstlicher Intelligenz basierenden Algorithmus und/oder mindestens eine Sicherheitsrichtlinie heranzuziehen, um die Zulässigkeit zu prüfen.
Das Prüfen der Zulässigkeit von erfolgten Konfigurationsänderungen erfolgt somit insbesondere durch einen Smart Contract, d.h. generell durch einen Programmcode. Dieser überprüft nach definierbaren Kriterien, wodurch eine zulässige Konfigurationsänderung des CPS gegeben ist.
Alternativ oder zusätzlich erfolgt das Prüfen der Zulässigkeit von erfolgten Konfigurationsänderungen durch einen auf künstlicher Intelligenz basierenden Algorithmus, d.h. AI- basiert, insbesondere indem zulässige Konfigurationsänderungen in einer Anlernphase anhand von Kriterien trainiert werden und unzulässige Änderungen in der produktiven Phase erkannt und gegebenenfalls verboten werden, d.h. als unzulässig erkannt werden.
In einer weiteren Weiterbildung der Erfindung ist die Prüfeinheit ausgebildet:
- eine Auswirkung der mindestens einen erfolgten Konfigurationsänderung und/oder
- ein verändertes Eingabe verhalten und/oder Ausgabeverhalten der Mehrzahl an Komponenten durch die mindestens eine erfolgte Konfigurationsänderung, insbesondere eine funktionale Änderung, eine Perf ormance-Änderung und/oder eine Änderung des Echtzeitverhaltens und/oder
- einen Zweck der mindestens einen erfolgten Konfigurationsänderung heranzuziehen, um die Zulässigkeit zu prüfen.
Es wird somit weiterhin vorgeschlagen, das Eingabeverhalten und/oder ein Ausgabeverhalten der Mehrzahl an Komponenten be- züglich der Mehrzahl an Datensätzen zu ermitteln. Dies kann direkt an Ein-/Ausgabeschnittstellen oder an einem Datenbus ermittelt werden. Ein verändertes Eingabeverhalten und/oder ein Ausgabeverhalten ist selbst dann erkennbar, wenn es zu unbeabsichtigten, nicht vorhergesehenen indirekten Auswirkungen auf manche Automatisierungsfunktionen kommt. Es wird also sowohl das Ein-/Ausgabeverhalten des CPS bzw. der darin vorhandenen Komponenten überwacht, wie auch die erfolgten Konfigurationsänderungen an Komponenten des CPS. Mit dieser Information wird insbesondere ermittelt, welche Konfigurationsänderung zu einem unerwünschten Ein-/Ausgabeverhalten geführt hat. Insbesondere wird durch einen zusätzlichen Quervergleich der erfassten Konfigurationsänderungen der CPS-Komponenten und des Ein-/Ausgabeverhaltens von CPS-Automatisierungs- /Steuerungsf unktionen erkannt, welche Änderungen zu einem unzulässigen CPS-Verhalten geführt haben könnten. Anschließend erfolgt insbesondere automatisch ein Roll-Back auf eine korrekt funktionierende Version.
In einer weiteren Weiterbildung der Erfindung ist die Prüfeinheit außerdem ausgebildet,
- eine Bewertung einer Integrität der jeweiligen Komponente der Mehrzahl an Komponenten und/oder
- eine Bewertung einer Integrität des rekonfigurierbaren Systems anhand der Änderungsinf ormation zu erstellen.
Nach dieser Ausführungsform klassifiziert das Überwachungssystem Komponenten der Mehrzahl an Komponenten und/oder das rekonfigurierbare System nicht nur als integer oder nicht integer, sondern gibt zusätzlich eine Bewertung der Integrität an, insbesondere in Form eines Vertrauenswürdigkeitsmaßes. Eine höhere Bewertung bedeutet eine höhere Wahrscheinlichkeit für Integrität. Eine verglichen niedrige Bewertung bedeutet eine niedrigere Wahrscheinlichkeit für Integrität. Zusätzlich ist in der Bewertung insbesondere eine Information enthalten, welche Konfigurationsänderung oder welche Kombination an Än- derungen, insbesondere als Referenz auf die Änderun (en) , zu der niedrigeren Bewertung der Integrität geführt haben.
Die Bewertung und/oder das Vertrauenswürdigkeitsmaß ist für das rekonfigurierbare System als Ganzes ermittelbar. Ebenso sind, mehrere Vertrauenswürdigkeitsmaße für unterschiedliche Teilbereiche des rekonfigurierbaren Systems zu ermittelbar. Die Teilbereiche können fest vorgegeben sein, vorzugsweise werden jedoch die Teilbereiche dynamisch ermittelt, die jeweils ein einheitliches Vertrauenswürdigkeitsmaß aufweisen.
In einer weiteren Weiterbildung der Erfindung ist die Ausgabe als :
- eine Integritätsbestätigung und/oder
- eine kryptographisch geschützte Integritätsbestätigung und/ oder
- eine Integritätsbewertung und/oder
- eine Warnmeldung und/oder
- ein Warnsignal und/oder
- ein Alarm und/oder
- ein Befehl eines Produktionsstopps ausgebildet .
Falls die Änderung als nicht zulässig erkannt wird, erfolgt in einer Ausführungsform eine entsprechende Ausgabe. Alternativ oder zusätzlich wird ein Alarm ausgelöst oder Produktionsstopp eingeleitet.
Wenn die Änderungen als zulässig erkannt wurden, wird optional eine kryptographisch geschützte Integritätsbestätigung, insbesondere Integritätsattestierung gebildet, die bestätigt, dass sich das rekonfigurierbare System aktuell oder in einem definierten Zeitraum in einem zulässigen, integren Zustand befindet, beziehungsweise befunden hat. Die Integritätsbestätigung wird nach dieser Ausführungsform durch die Ausgabeeinheit gebildet und ausgegeben. Alternativ oder zusätzlich wird eine Integritätsbestätigung, auch als Integritätsattestierung bezeichenbar , insbesondere durch eine nachgelagerte Integritätsbestätigungseinheit, insbesondere einen CPS-System-Integritätsattestierer , gebildet und ausgegeben. Im Falle einer nachgelagerten Integritätsbestätigungseinheit erhält diese das Ergebnis des Prüfens der Zulässigkeit, welches von der Prüfeinheit gebildet wird.
Die Erfindung umfasst außerdem ein übergeordnetes System aufweisend : ein Überwachungssystem nach einem der vorherigen Ansprüche und ein rekonfigurierbares System, wobei das rekonfigurierbare System die Mehrzahl an Komponenten aufweist.
Die Mehrzahl an Komponenten ist ausgebildet, die Mehrzahl an Datensätzen bereitzustellen. Die Komponenten sind insbesondere als Automatisierungs komponenten ausgebildet. Dazu wird auf den Komponenten eine Einheit zum Ermitteln von Konfigurationsänderungen und insbesondere zum kryptographisch geschützten Bestätigen der erkannten Konfigurationsänderungen vorgesehen .
In einer weiteren Weiterbildung der Erfindung weist das übergeordnete System außerdem auf:
- eine Datenbank, ausgebildet die Mehrzahl an Datensätzen bereitzustellen und/oder
- ein Attestieren, ausgebildet eine Integritätsattestierung in Abhängigkeit der Ausgabe zu erstellen.
Die Erfindung umfasst außerdem ein Verfahren zum Prüfen einer Integrität eines rekonfigurierbaren Systems, wobei das rekonfigurierbare System eine Mehrzahl an Komponenten aufweist, mit den Schritten: ein Empfangen einer Mehrzahl an Datensätzen, wobei jeder Datensatz der Mehrzahl an Datensätzen von einer der Komponenten der Mehrzahl an Komponenten des rekonfigurierbaren Systems stammt, wobei jeder Datensatz der Mehrzahl an Datensätzen mindestens eine erfolgte Konfigurationsänderung an jeweils einer Komponente der Mehrzahl der Komponenten des rekonfigurierbaren Systems durch eine Änderungsinf ormation beschreibt , wobei die Änderungsinf ormation jeweils eine Art der mindestens einen erfolgten Konfigurationsänderung angibt, ein Prüfen einer Zulässigkeit der jeweils erfolgten Konfigurationsänderung anhand der Änderungsinf ormation zu prüfen, und ein Ausgeben einer Ausgabe in Abhängigkeit eines Ergebnisses des Prüfens.
Eine weitere Weiterbildung der Erfindung betrifft ein erfindungsgemäßes Verfahren zum Prüfen einer Integrität eines rekonfigurierbaren Systems durch ein erfindungsgemäßes Überwa- chungs system.
KURZE BESCHREIBUNG DER ZEICHNUNGEN
Die Besonderheiten und Vorteile der Erfindung werden aus den nachfolgenden Erläuterungen mehrerer Ausführungsbeispiele anhand der schematischen Zeichnungen ersichtlich.
Es zeigen
Fig. 1 eine schematische Darstellung eines übergeordneten Systems aufweisend u.a. ein erfindungsgemäßes Überwachungssystem und
Fig . 2 ein Ablauf diagramm des erfindungsgemäßen Verfah- rens . DETAILLIERTE BESCHREIBUNG DER ERFINDUNG
Fig. 1 zeigt ein übergeordnetes System aufweisend: ein erfindungsgemäßes Überwachungssystem 1, aufgeteilt in zwei Überwachungssysteme 1 für unterschiedliche Teilbereiche eines rekonfigurierbaren Systems 2, das rekonfigurierbares System 2, wobei das rekonfigurierbare System 2 die Mehrzahl an Komponenten 21 aufweist, die Mehrzahl an Komponenten 21 ist über ein Gateway 22 und ein Netzwerk 5 mit einer Datenbank 3 verbunden, die Datenbank 3, ausgebildet die Mehrzahl an Datensätzen 23 an die Überwachungssysteme 1 bereitzustellen (gespeichert über die Zeit t) und die Mehrzahl an Datensätzen 23 von dem rekonfigurierbaren Systems 2 zu empfangen, wobei jeder Datensatz der Mehrzahl an Datensätzen 23 mindestens eine erfolgte Konfigurationsänderung an jeweils einer Komponente 21 der Mehrzahl der Komponenten 21 des rekonfigurierbaren Systems 2 durch eine Ände- rungsinf ormation beschreibt, wobei die Änderungsinf ormation jeweils eine Art der mindestens einen erfolgten Konfigurationsänderung angibt, und ein Attestieren 4, ausgebildet eine Integritätsattestierung 41 in Abhängigkeit einer Ausgabe des Überwachungssystems 1 zu erstellen.
Fig. 1 zeigt somit insbesondere ein Realisierungsbeispiel mit drei CPS-Komponenten 21 in einem Automatisierungsnetzwerk 2. Außerdem sind zwei Systemintegritätsüberwachungseinheiten 1 für zwei unterschiedliche Verantwortungsbereiche gezeigt. Ein Verantwortungsbereich kann beispielsweise durch eine Teilmenge der CPS-Komponenten 21 gegeben sein, und/oder durch die Art, d.h. die funktionale Kategorie, von erfolgten Konfigurationsänderungen. Anschaulich kann das vorgeschlagene Überwachungssystems 1, auch Integritätsüberwachungs system 1, als eine Art Distributed Ledger (Blockchain) verstanden werden, bei dem ein Smart Contract die Zulässigkeit einer Folge von Transaktionen, erfasst in den Datensätzen 23, überprüft. Die Konfigurationsänderungen sind aber bereits erfolgt und die entsprechenden Transaktionen sind bereits in der Datenbank 3 hinterlegt. Deren Zulässigkeit wird, anders als bei einer bekannten Blockchain / Distributed Ledger, jedoch erst nachgelagert überprüft. Dabei kann weiterhin eine mehrfache Überprüfung entsprechend der unterschiedlichen Verantwortungsbereiche erfolgen, d.h. durch eine Mehrzahl von „Smart Contracts”. Es wird ein Ergebnis der Überprüfung bereitgestellt.
Aus dem Ergebnis der Überprüfung wird optional durch einen Attestieren 4 eine Integritätsattestierung 41 ermittelt, um anzuzeigen, dass die bereits erfolgten Konfigurationsänderungen, entsprechend der in der Datenbank 3 hinterlegten Transaktionen zulässig waren oder ob dies nicht der Fall war. In der Integritätsattestierung 41 kann insbesondere angegeben werden, welche Funktionsbereiche, insbesondere für welche Produktionsmaschinen oder welche Fertigungslinien (Area of Responsibility) des rekonfigurierbaren Systems 2 die für die Funktionsbereiche angewendeten Konfigurationsänderungen zulässig waren.
Fig. 2 zeigt ein Verfahren zum Prüfen einer Integrität eines rekonfigurierbaren Systems 2, wobei das rekonfigurierbare System 2 eine Mehrzahl an Komponenten aufweist, mit den Schritten:
Schritt Sl: ein Empfangen einer Mehrzahl an Datensätzen, wobei jeder Datensatz 23 der Mehrzahl an Datensätzen von einer der Komponenten 21 der Mehrzahl an Komponenten des rekonfigurierbaren Systems 2 stammt, wobei jeder Datensatz 23 der Mehrzahl an Datensätzen mindestens eine erfolgte Konfigurationsänderung an jeweils einer Komponente 21 der Mehrzahl der Komponenten des rekonfigurierbaren Systems durch eine Änderungsin- formation beschreibt, wobei die Änderungsinf ormation jeweils eine Art der mindestens einen erfolgten Konfigurationsänderung angibt, - Schritt S2 : ein Prüfen einer Zulässigkeit der jeweils erfolgten Konfigurationsänderung anhand der Änderungsin- formation, wobei das Prüfen ein Prüfen, ob die Art der mindestens einen erfolgten Konfigurationsänderung zulässig und/oder plausibel ist, umfasst, und - Schritt S3: ein Ausgeben einer Ausgabe in Abhängigkeit eines Ergebnisses des Prüfens.
Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, ist die Erfindung durch die offenbarten Beispiele nicht eingeschränkt und andere Variationen können vom Fachmann daraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims

Patentansprüche
1. Überwachungssystem (1) zum Prüfen einer Integrität eines rekonfigurierbaren Systems (2) , wobei das rekonfigurierbare System (2) eine Mehrzahl an Komponenten (21) aufweist, das Überwachungssystem (1) aufweisend: eine Empfangseinheit, ausgebildet eine Mehrzahl an Datensätzen zu empfangen, wobei jeder Datensatz (23) der Mehrzahl an Datensätzen von einer der Komponenten (21) der Mehrzahl an Komponenten des rekonfigurierbaren Systems (2) stammt, wobei jeder Datensatz (23) der Mehrzahl an Datensätzen mindestens eine erfolgte Konfigurationsänderung an jeweils einer Komponente (21) der Mehrzahl der Komponenten des rekonfigurierbaren Systems (2) durch eine Änderungsinformation beschreibt, wobei die Änderungsinf ormation jeweils eine Art der mindestens einen erfolgten Konfigurationsänderung angibt, eine Prüfeinheit, ausgebildet eine Zulässigkeit der jeweils erfolgten Konfigurationsänderung anhand der Änderungsinf ormation, durch ein Prüfen der Zulässigkeit, ob die Art der mindestens einen erfolgten Konfigurationsänderung zulässig und/oder plausibel ist, zu prüfen, und eine Ausgabeeinheit, ausgebildet in Abhängigkeit eines Ergebnisses des Prüfens eine Ausgabe zu geben.
2. Überwachungssystem (1) nach Anspruch 1, wobei das rekonfigurierbare System (2) ausgebildet ist als: ein Cyber-Physical-System und/oder ein Internet-of-Things-System und/oder ein industrielles System und/oder ein Automatisierungssystem und/oder ein Fertigungssystem und/oder ein Steuerungssystem und/oder ein Roboter und/oder eine Produktionsmaschine und/oder ein führerloses Transportsystem .
3. Überwachungssystem (1) nach einem der vorhergehenden Ansprüche , wobei die Empfangseinheit zusätzlich ausgebildet ist die Mehrzahl an Datensätzen abzurufen.
4. Überwachungssystem (1) nach einem der vorhergehenden Ansprüche , wobei die Mehrzahl an Datensätzen jeweils einen kryptographischen Schutz aufweist.
5. Überwachungssystem (1) nach einem der vorhergehenden Ansprüche , wobei die Änderungsinf ormation :
- Einen Zeitpunkt und/oder
- einen zeitlichen Beginn und/oder
- einen zeitlichen Abschluss und/oder
- einen Initiator und/oder
- einen Ort einer Initiation der mindestens einen erfolgten Konfigurationsänderung angibt.
6. Überwachungssystem (1) nach einem der vorhergehenden Ansprüche , wobei die Art der mindestens einen erfolgten Konfigurationsänderung :
- eine sicherheitsbezogene Änderung und/oder
- eine geänderte Netzwerkkonfiguration und/oder
- eine Änderung an einer industriellen Pro ektierung und/ oder
- ein Einspielen eines Updates umfasst .
7. Überwachungssystem (1) nach einem der vorhergehenden Ansprüche , wobei die Prüfeinheit ausgebildet ist, die Änderungsinf ormation einer ersten erfolgten Konfigurationsänderung einer ersten Komponente (21) der Mehrzahl an Komponenten im Zusammenhang mit der Änderungsinf ormation einer zweiten erfolgten Konfigurationsänderung einer zweiten Komponente (21) der Mehrzahl an Komponenten zu prüfen.
8. Überwachungssystem (1) nach einem der vorhergehenden Ansprüche , wobei die Prüfeinheit ausgebildet ist,
- einen Programmcode, insbesondere Smart Contract und/oder
- einen auf künstlicher Intelligenz basierenden Algorithmus und/oder
- mindestens eine Sicherheitsrichtlinie heranzuziehen, um die Zulässigkeit zu prüfen.
9. Überwachungssystem (1) nach einem der vorhergehenden Ansprüche , wobei die Prüfeinheit ausgebildet ist,
- eine Auswirkung der mindestens einen erfolgten Konfigurationsänderung und/oder
- ein verändertes Eingabe verhalten und/oder Ausgabeverhalten der Mehrzahl an Komponenten durch die mindestens eine erfolgte Konfigurationsänderung, insbesondere eine funktionale Änderung, eine Perf ormance-Änderung und/oder eine Änderung des Echtzeitverhaltens und/oder
- einen Zweck der mindestens einen erfolgten Konfigurationsänderung heranzuziehen, um die Zulässigkeit zu prüfen.
10. Überwachungssystem (1) nach einem der vorhergehenden Ansprüche , wobei die Prüfeinheit außerdem ausgebildet ist,
- eine Bewertung einer Integrität der jeweiligen Komponente (21) der Mehrzahl an Komponenten und/oder
- eine Bewertung einer Integrität des rekonfigurierbaren Systems (2) anhand der Änderungsinf ormation zu erstellen.
11. Überwachungssystem (1) nach einem der vorhergehenden Ansprüche , wobei die Ausgabe als: - eine Integritätsbestätigung und/oder
- eine kryptographisch geschützte Integritätsbestätigung und/ oder
- eine Integritätsbewertung und/oder
- eine Warnmeldung und/oder
- ein Warnsignal und/oder
- ein Alarm und/oder
- ein Befehl eines Produktionsstopps ausgebildet ist.
12. Übergeordnetes System aufweisend: ein Überwachungssystem (1) nach einem der vorherigen Ansprüche und ein rekonfigurierbares System (2) , wobei das rekonfigurierbare System (2) die Mehrzahl an Komponenten aufweist .
13. Übergeordnetes System nach Anspruch 12, außerdem aufweisend:
- eine Datenbank (3) , ausgebildet die Mehrzahl an Datensätzen bereitzustellen und/oder
- ein Attestieren (4) , ausgebildet eine Integritätsattestierung (41) in Abhängigkeit der Ausgabe zu erstellen.
14. Verfahren zum Prüfen einer Integrität eines rekonfigurierbaren Systems (2) , wobei das rekonfigurierbare System (2) eine Mehrzahl an Komponenten aufweist, mit den Schritten: ein Empfangen (Sl) einer Mehrzahl an Datensätzen, wobei jeder Datensatz (23) der Mehrzahl an Datensätzen von einer der Komponenten (21) der Mehrzahl an Komponenten des rekonfigurierbaren Systems (2) stammt, wobei jeder Datensatz (23) der Mehrzahl an Datensätzen mindestens eine erfolgte Konfigurationsänderung an jeweils einer Komponente (21) der Mehrzahl der Komponenten des rekonfigurierbaren Systems durch eine Änderungsin- formation beschreibt, wobei die Änderungsinf ormation jeweils eine Art der mindestens einen erfolgten Konfigurationsänderung angibt, ein Prüfen (S2) einer Zulässigkeit der jeweils erfolgten Konfigurationsänderung anhand der Änderungsinf ormation, wobei das Prüfen ein Prüfen, ob die Art der mindestens einen erfolgten Konfigurationsänderung zulässig und/oder plausibel ist, umfasst und ein Ausgeben (S3) einer Ausgabe in Abhängigkeit eines Ergebnisses des Prüfens.
15. Verfahren zum Prüfen einer Integrität eines rekonfigurierbaren Systems (2) nach Anspruch 14 durch ein Überwa- chungssystem (1) nach einem der Ansprüche 1 bis 11.
EP23813579.2A 2022-11-16 2023-11-15 Überwachungssystem zum nachgelagerten prüfen einer systemintegrität Pending EP4591195A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP22207862.8A EP4372589A1 (de) 2022-11-16 2022-11-16 Überwachungssystem zum nachgelagerten prüfen einer systemintegrität
PCT/EP2023/081839 WO2024105073A1 (de) 2022-11-16 2023-11-15 Überwachungssystem zum nachgelagerten prüfen einer systemintegrität

Publications (1)

Publication Number Publication Date
EP4591195A1 true EP4591195A1 (de) 2025-07-30

Family

ID=84360179

Family Applications (2)

Application Number Title Priority Date Filing Date
EP22207862.8A Withdrawn EP4372589A1 (de) 2022-11-16 2022-11-16 Überwachungssystem zum nachgelagerten prüfen einer systemintegrität
EP23813579.2A Pending EP4591195A1 (de) 2022-11-16 2023-11-15 Überwachungssystem zum nachgelagerten prüfen einer systemintegrität

Family Applications Before (1)

Application Number Title Priority Date Filing Date
EP22207862.8A Withdrawn EP4372589A1 (de) 2022-11-16 2022-11-16 Überwachungssystem zum nachgelagerten prüfen einer systemintegrität

Country Status (3)

Country Link
EP (2) EP4372589A1 (de)
CN (1) CN120303662A (de)
WO (1) WO2024105073A1 (de)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7017040B2 (en) * 2003-12-04 2006-03-21 Intel Corporation BIOS update file
US10291506B2 (en) * 2015-03-04 2019-05-14 Fisher-Rosemount Systems, Inc. Anomaly detection in industrial communications networks
IN2015CH02758A (de) * 2015-06-01 2015-07-17 Wipro Ltd
EP3258661B1 (de) * 2016-06-16 2020-11-18 ABB Schweiz AG Detektion von abnormalen konfigurationsänderungen
CN112181509B (zh) * 2019-07-02 2025-02-07 施耐德电气美国股份有限公司 确保在模块化设备和外部系统之间的数据一致性

Also Published As

Publication number Publication date
EP4372589A1 (de) 2024-05-22
WO2024105073A1 (de) 2024-05-23
CN120303662A (zh) 2025-07-11

Similar Documents

Publication Publication Date Title
EP3488556B1 (de) Sicheres konfigurieren eines gerätes
DE112004000428B4 (de) Verfahren und Systeme zum Verwalten von Sicherheitsrichtlinien
DE102021126869B4 (de) Berechtigungen für Backup-bezogene Operationen
EP2299650A1 (de) Verfahren zur Anomalie-Erkennung in einem Kontrollnetzwerk
DE10393571T5 (de) Verfahren und System zum Validieren logischer End-to-End-Zugriffspfade in Storage Area Netzwerken
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE202024106330U1 (de) Intelligentes System zur Verbesserung der Datenintegrität durch Blockchain-Basierte Verträge
EP4154139B1 (de) Erweiterte integritätsüberwachung eines containerabbildes
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
EP3430558B1 (de) Erkennen einer abweichung eines sicherheitszustandes einer recheneinrichtung von einem sollsicherheitszustand
WO2016005273A1 (de) Verfahren zum erkennen eines angriffs auf eine mit einem kommunikationsnetzwerk verbundene arbeitsumgebung
EP3451624A1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
DE102023103676A1 (de) Angriffswegerstellungsverfahren und Angriffswegerstellungsvorrichtung
EP4463784B1 (de) Dynamische integritätsüberwachung einer auf einem gastrechner ausgeführten container-laufzeitumgebung
DE102021109515A1 (de) Verfahren und system zur erleichterung eines selbstheilenden netzwerks
WO2024105073A1 (de) Überwachungssystem zum nachgelagerten prüfen einer systemintegrität
EP3417589A1 (de) Reduzieren einer angriffsmöglichkeit auf eine schwachstelle eines gerätes über eine netzwerkzugangsstelle
DE202023100942U1 (de) System für sichere Datenkommunikation in Smart Home-Umgebungen durch maschinelles Lernen
EP3339994A1 (de) Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und vorrichtung
EP1643336A1 (de) Eindeutige Produktidentifikation
EP0567492B1 (de) Verfahren und anordnung zur überwachung von rechnermanipulationen
EP4614368A1 (de) System und verfahren zur bestimmung von it-sicherheitsrelevanten erkennungslücken einer it-betriebsumgebung
EP3105703B1 (de) Verfahren und system zum sichern von datenbankrelationen vor unberechtigtem zugriff
EP4345665A1 (de) Detektieren eines angriffs auf ein zu schützendes computersystem
DE112024000423T5 (de) Informationsverarbeitungsvorrichtung

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20250423

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC ME MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)