EP4655697A1 - Verfahren, kontrollinstanz und computerprogrammprodukt zur kontrolle eines zugriffs auf strukturierte daten oder auf funktionen einer industriellen automatisierungsanordnung - Google Patents

Verfahren, kontrollinstanz und computerprogrammprodukt zur kontrolle eines zugriffs auf strukturierte daten oder auf funktionen einer industriellen automatisierungsanordnung

Info

Publication number
EP4655697A1
EP4655697A1 EP24713924.9A EP24713924A EP4655697A1 EP 4655697 A1 EP4655697 A1 EP 4655697A1 EP 24713924 A EP24713924 A EP 24713924A EP 4655697 A1 EP4655697 A1 EP 4655697A1
Authority
EP
European Patent Office
Prior art keywords
data
access
functions
confidentiality
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP24713924.9A
Other languages
English (en)
French (fr)
Inventor
Annemarie Breu
Lukas Kohler
Tobias Siegel
Joseph Tylka
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Publication of EP4655697A1 publication Critical patent/EP4655697A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Definitions

  • the invention relates to a method for controlling access to structured data or to functions of an industrial automation arrangement according to the preamble of patent claim 1, a control instance for controlling access to structured data or to functions of an industrial automation arrangement according to the preamble of patent claim 11, and a computer program product for controlling access to structured data or to functions of an industrial automation arrangement according to the preamble of patent claim 12.
  • edge computing e.g. in manufacturing, buildings, etc.
  • large amounts of data are generated and automatically transferred to local (on-device), on-premise (on-site) and cloud (e.g. Internet) hosted databases.
  • on-device on-premise
  • cloud e.g. Internet
  • customers require strict access control policies enforced throughout the data flow.
  • the present invention deals with the configuration and implementation of such data classification policies in industrial automation arrangements, in particular in industrial edge and cloud computing systems/infrastructures.
  • State-of-the-art database technologies enable access and authorization per database.
  • the databases are usually structured in semantic data models that represent a hierarchical asset structure.
  • Access control in database technologies is known in the state of the art.
  • Most modern databases e.g. PostgreSQL, MongoDB, InfluxDB, etc.
  • DBMS database management system
  • the underlying data structures offered within the database e.g. sub-databases, resources, buckets, tags, data points, shards, etc.
  • LDAP Lightweight Directory Access Protocol
  • Additional security features such as authorization tokens, Transport Layer Security / Secure Sockets Layer (TLS/SSL) encryption, etc. are standard features of such databases.
  • these features are mainly aimed at user access control - to moderate who can access which data -; However, they do not address a security/sensitivity classification of the data structures themselves.
  • Corporate classification levels for business documents are also known.
  • Corporate software such as the Microsoft Office suite may support company-specific sensitivity/classification levels.
  • the "Information Protection" function of MS Office assigns a company-specific sensitivity or confidentiality classification to the current document (e.g. Word, Excel, PowerPoint, etc.).
  • the data itself receives a "sensitivity classification”
  • the assigned classification is tied to the document in question.
  • the permissions or restrictions thus classified with the document in question apply to any use of (only this) document and are both binding and the same for all users of the document.
  • SCADA Supervisory Control and Data Access
  • SCADA systems offer user management tools to authorize which users can access the system and with which authorizations.
  • Siemens WinCC for example, login access and function/operation authorizations can be assigned per user, as shown in the table in Figure 1.
  • files, data streams or data objects e.g. variables, assets, functions, applications
  • data can be classified according to their required level of protection. This data classification is taken into account in an entire application, which can extend across many devices and organizational units, so that users can only access and influence objects of a certain classification based on their authorization level (e.g. read and write).
  • authorization level e.g. read and write
  • the central point of the classification system is to control the data or "assets" themselves.
  • the concept works both in a system that does not have a classic (personal) user management system and in systems that manage human or non-technical users.
  • Managing access to certain classifications requires a link to the system's user management system, but here a user is generally seen as an entity that uses or accesses the data or function or generally the "asset”, and can therefore also be an (external) device, service or other "data sink”.
  • the administrator can assign to each user (in the general sense) which classifications this user (or alternatively all users of a defined group) can access and with which interactions.
  • the data or functions are assigned a classification with a specific confidentiality class (0, ..., 3) from a plurality of confidentiality classes (0, ..., 3), whereby a user or a technical instance is assigned a user class from a number of user classes, whereby, preferably in the manner of a matrix, for many or each of the confidentiality classes (0, ..., 3) and for many or each of the An access authorization is specified for user classes, whereby the access authorization defines the restrictions on access by users or technical entities of the respective user class to the data or functions assigned to the respective confidentiality class (0, 3), and whereby access to the data or functions assigned to the respective confidentiality classes (0, ..., 3) is controlled by the users or technical entities assigned to the respective user classes on the basis of the respectively defined restrictions.
  • user or machine access and authorizations are controlled from the confidentiality classifications of the data or data structures or functions themselves, thus providing a comprehensive approach to automatically determine the authorization of known
  • control instance also called gatekeeper or system-level gatekeeper
  • control instance for controlling access to structured data or functions of an industrial automation arrangement
  • the control instance comprises an input interface for receiving the data to be accessed or an API or the like for accessing functions
  • the control instance is designed to control access to the data or functions according to one of the methods described above
  • the control instance comprises an output interface for accessing the data or functions.
  • the object is achieved by a computer program product for controlling access to structured data or functions of an industrial automation arrangement, wherein the computer program product, when executed on a computer, is designed to carry out one of the methods described in the patent claims.
  • the method or the control instance is particularly advantageously used in an industrial edge device that has access to (confidential) data from an industrial automation arrangement and at the same time has an interface to a public network (Internet, "cloud").
  • the control instance described here can also supplement any firewall by controlling access to data not (only) port-based, but content-based.
  • Industrial edge devices are often equipped with runtime environments for software containers, for example so-called Docker containers, which are managed with an administration system, e.g. Kubernetes.
  • the method or arrangement or service according to the invention can advantageously be encapsulated in its own container and/or run in its own runtime environment and control the data traffic of assigned neighboring containers.
  • a software container that is assigned to other containers or applications to implement a service is sometimes also called a sidecar container.
  • the type of access i.e. data operations
  • the authorizations "read” and “read and write” is differentiated at least between the authorizations "read” and “read and write”. This allows the method to be used in a compatible manner with existing access control procedures.
  • access is preferably denied or another predefined measure is applied so that an administrator or similar does not have to fill in every possible combination of user class and confidentiality class, which saves unnecessary work, especially in the case of a matrix-like recording.
  • the inventive concept advantageously makes it possible to subsequently change the restrictions assigned to a confidentiality class and/or user class, with the changed restrictions being applied to subsequent access to the data concerned. This significantly simplifies general adjustments to the authorizations or restrictions.
  • a significant advantage of the invention is that both the data itself can be classified directly and the classification is first assigned to a variable or a data source and then automatically assigned to all data generated from values of this variable or data source or derived from them.
  • the classification it is also advantageously possible for the classification to be assigned to a data type and automatically assigned to all data of this type.
  • Inheritance to derived structures, data types or the like is also possible, with advantageously combined data or data types or data structures generated from individual data or data types or data structures, each with its own classification, inheriting the strictest of these classifications overall.
  • access to the data assigned to the respective confidentiality classes is controlled by the users assigned to the respective user classes of an external interface of a component of the automation arrangement with the data, in particular in a network interface, another data interface or software for a user interface (BuB - Operating and Monitoring; "HMI” - Human Machine Interface).
  • a component of the automation arrangement with the data, in particular in a network interface, another data interface or software for a user interface (BuB - Operating and Monitoring; "HMI” - Human Machine Interface).
  • HMI Human Machine Interface
  • the assignment of users, which also includes "technical users" in the sense of devices, applications or interfaces, to user classes can come from an internal usage management system.
  • external identity and access management systems IAM - Identity + Access Management
  • LDAP company directories
  • Active Directory Active Directory
  • Classification schemes for user classes can also be derived from company-wide systems such as MS Office and then correlated with authorizations.
  • Figure 1 shows the state of the art with an assignment of users to user groups and assigned authorizations or restrictions using the example of a SCADA system
  • Figure 2 shows an inventive classification of data or data structures with confidentiality classes and the associated user classes and the respectively associated restrictions.
  • the table in Figure 1 shows classic authorization definitions from the state of the art.
  • SCADA Supervisory Control and Data Access
  • SCADA systems offer user management tools to authorize which users are allowed to access the system and with which authorizations.
  • SCADA system Siemens WinCC for example, login, access and function/operation authorizations can be assigned per user, as shown in the table in Figure 1.
  • these authorizations are only implemented at the general system function level and are not tied to a concept of sensitivity or confidentiality classification of the underlying data structures.
  • Figure 2 shows in the top row of an authorization matrix the confidentiality classes 0, ..., 4, which can be directly assigned to the data or data structures or data sources to be protected; of course, system functions (saving, printing, sending, logging on, etc.) can also be classified as data in the broader sense or data operations whose access or use is controlled.
  • the table in Figure 2 shows an example of the assignment of user roles (left-hand column) as user classes and permitted interactions/operations per confidentiality class (subsequent columns), with the restrictions (e.g. hidden - read only, read and write) noted in the fields of the matrix.
  • the information can also be shown or saved in a way other than in a matrix, for example in the form of an XML file with appropriate tags.
  • the classification level of the data structure it is advantageous to implement a web-based user interface. Once entered, the classification level is inherited in an asset hierarchy.
  • subtrees of the data model cannot have a lower (i.e., more permissive) classification level than their parents.
  • Data access is then automatically enforced by a control instance, a so-called "gatekeeper" at the system level, which simply compares the access/authorization level of the current user for a specific operation (e.g. read/write) with the confidentiality or Sensitivity classifications of the relevant data structures.
  • a control instance e.g. read/write
  • Data structures that require a higher authorization level or confidentiality class than the current user or user group has are simply filtered out when a query response is returned to the user.
  • the modification of read-only data for a user is then just as easily prevented by the gatekeeper.
  • the present invention has the following main features:
  • User management in the sense of authorization management for users, devices, services or other entities accessing data is specifically implemented to map access rights to the data classification.
  • a system-level controller or gatekeeper is responsible for moderating or controlling the distribution of data to users or other data sinks by:
  • a filter is used that is adapted to the permissions or restrictions of the user in question.
  • the classification system is not (necessarily) classically user-based (user in the sense of a person). Based on the classification, it should be controlled whether the data can be processed in a certain function or the like or transferred via an interface. This means that the data flows and accesses of the interfaces/functions are controlled.
  • the link to the user exists insofar as the user interface (e.g. HMI - Human Machine Interface) also enables a data flow that must be controlled. This happens analogously to all other interfaces, e.g.:
  • Variable X has classification Y.
  • the data may only be used for reading via the cloud interface.
  • Variable X has classification Y.
  • the data may only be read by user Z via the user interface.
  • the present invention offers a crucial difference to existing similar technologies, namely that user access and permissions are automatically derived and enforced based on the Confidentiality classifications inherent in the data structures themselves. This ensures data confidentiality throughout the entire data flow.
  • Database technologies provide comprehensive user management and access control tools, but the underlying data structures generally do not contain specific sensitivity classification mappings unless they are manually/custom implemented.
  • SCADA / WinCC systems typically support user management and system function authorizations, but do not directly relate to an underlying concept of confidentiality classification of the available data structures.
  • WinCC restricts access only to entire system functions, not selectively within the function.
  • WinCC would only allow or prevent access to the entire data structure; the present invention, on the other hand, selectively controls which data is accessible.
  • Enterprise classification tools such as Microsoft Office's "Information Protection” feature provide a per-document classification of confidentiality, but enforcing who can access these highly sensitive documents depends on employees accurately implementing and adhering to confidentiality and data sharing policies.
  • system-level gatekeeper or gatekeeper for short (control authority; computer program/-
  • a system-level access control program product only needs to compare the user's authorization level from a user class for a desired operation (e.g. read/write) with the sensitivity or confidentiality classification of the data.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren, Kontrollinstanz und Computerprogrammprodukt zur Kontrolle eines Zugriffs auf strukturierte Daten oder auf Funktionen einer industriellen Automatisierungsanordnung Verfahren und Kontrollinstanz zur Kontrolle eines Zugriffs auf strukturierte Daten oder Funktionen einer industriellen Automatisierungsanordnung, wobei der Zugriff auf die Daten oder Funktionen kontrolliert wird. Dabei wird den Daten oder Funktionen eine Klassifizierung mit einer bestimmten Vertraulichkeitsklasse (0, …, 3) aus einer Mehrzahl Vertraulichkeitsklassen (0, …, 3) zugeordnet, wobei einem Nutzer oder einer technischen Instanz eine Nutzerklasse aus einer Anzahl Nutzerklassen zugeordnet wird, wobei, vorzugsweise nach Art einer Matrix, für viele oder jede der Vertraulichkeitsklassen (0, …, 3) und für viele oder jede der Nutzerklassen eine Zugriffsberechtigung festgelegt wird, wobei die Zugriffsberechtigung die Restriktionen des Zugriffs der Nutzer oder technischen Instanz der jeweiligen Nutzerklasse auf die der jeweiligen Vertraulichkeitsklasse (0, …, 3) zugeordneten Daten oder Funktionen definiert, und wobei anhand der jeweils definierten Restriktionen der Zugriff auf die den jeweiligen Vertraulichkeitsklassen (0, …, 3) zugeordneten Daten oder Funktionen durch die den jeweils den Nutzerklassen zugeordneten Nutzern oder technischen Instanzen kontrolliert wird. Damit werden Benutzer- oder Maschinenzugriff und Berechtigungen aus den Vertraulichkeitsklassifizierungen der Daten bzw. Datenstrukturen oder Funktionen selbst gesteuert und somit ein umfassender Ansatz bereitgestellt, um automatisch die Berechtigung bekannter Benutzer oder technischer Entitäten für den Zugriff auf und die Änderung bestimmter Daten oder Datenstrukturen oder Funktionen zu ermitteln.

Description

Beschreibung
Verfahren, Kontrollinstanz und Computerprogrammprodukt zur Kontrolle eines Zugriffs auf strukturierte Daten oder auf Funktionen einer industriellen Automatisierungsanordnung
Die Erfindung betrifft ein Verfahren zur Kontrolle eines Zugriffs auf strukturierte Daten oder auf Funktionen einer industriellen Automatisierungsanordnung gemäß dem Oberbegriff des Patentanspruchs 1, eine Kontrollinstanz zur Kontrolle eines Zugriffs auf strukturierte Daten oder auf Funktionen einer industriellen Automatisierungsanordnung gemäß dem Oberbegriff des Patentanspruchs 11, und Computerprogrammprodukt zur Kontrolle eines Zugriffs auf strukturierte Daten oder auf Funktionen einer industriellen Automatisierungsanordnung gemäß dem Oberbegriff des Patentanspruchs 12.
Mit dem Aufkommen von Edge Computing in der Automatisierung (z. B. in der Fertigung, Gebäu-den usw.) werden große Datenmengen generiert und automatisch in lokale (On-Device) , On- Premise- (am Standort) und Cloud- (z.B. Internet) gehostete Datenbanken übertragen. Für einige sensible Anwendungen, z.B. in der Medizin- und Verteidigungsindustrie, benötigen Kunden strenge Zugriffskontrollrichtlinien, die im gesamten Datenfluss durchgesetzt werden. Die vorliegende Erfindung befasst sich mit der Konfiguration und Implementierung solcher Daten- klassif izierungs-richtlinien in industriellen Automatisierungsanordnungen, insbesondere in industriellen Edge- und Cloud-Computing-Systemen / -Infrastrukturen.
Als repräsentative Implementierung von Klassifikationsstufen verwenden wir hier beispielhaft die folgende Sensitivitäts- skala (im Folgenden auch Vertraulichkeitsklassen genannt) :
0 - Uneingeschränkt;
1 - Eingeschränkt (nur intern) ;
2 - Vertraulich; und
3 - Streng vertraulich. Zu beachten ist, dass diese Skalierung nur als Beispiel oder Standardspezifikation dient. Die vorliegende Erfindung kann leicht erweitert werden, um benutzerdefinierte oder konfigurierbare Empf indlichkeits-skalen bzw. Vertraulichkeitsklassen aufzunehmen. In einem hierarchischen Datenmodell, wie z.B. typischen Asset- / Aspekt- / Variabien-Strukturen, kann dieses Klassifizierungsschema wie in einer Baumstruktur angelegt werden .
Datenbanktechnologien ermöglichen im Stand der Technik den Zugriff und die Autorisierung pro Datenbank. Die Datenbanken sind in der Regel in semantische Datenmodelle strukturiert, die eine hierarchische Asset-Struktur darstellen.
Bekannt ist im Stand der Technik eine Zugriffskontrolle in Datenbanktechnologien. Die meisten modernen Datenbanken (z. B. PostgreSQL, MongoDB, InfluxDB usw.) werden mit einem in- tegrier-ten Datenbankmanagementsystem (DBMS) verteilt, das Zugriffskontrollrichtlinien und Tools bereitstellt . Obwohl die zugrunde liegenden Datenstrukturen, die innerhalb der Datenbank angeboten werden (z. B. Unterdatenbanken, Ressourcen, Buckets, Tags, Datenpunkte, Shards usw.) , von ihrer Implementierung abhängen, wird das DBMS im Allgemeinen Benutzerzugriffsrechte für diese Strukturen bereitstellen und verwalten. Viele Implementierungen unterstützen auch die Integration mit Unternehmensverzeichnissen über Standard-LDAP- Schnittstellen (Lightweight Directory Access Protocol) . Zusätzliche Sicherheitsfunktionen wie Autorisierungstoken, TLS/SSL-Verschlüsselung (Transport Layer Security / Secure Sockets Layer) usw. sind Standardfunktionen solcher Datenbanken. Diese Funktionen zielen jedoch hauptsächlich auf die Benutzerzugrif fskontrolle ab - um zu moderieren, wer auf welche Daten zugreifen kann - ; sie befassen sich jedoch nicht mit einer Sicherheits- / Sensibilitätsklassifizierung der Datenstrukturen selbst.
Bekannt sind auch Unternehmensklassifizierungsstufen für Ge- schäf tsdokumente . Unternehmenssoftware wie die Microsoft Office-Suite unterstützt möglicherweise unternehmensspezifische Empf indlichkeits-/Klassif izierungsstuf en . Innerhalb eines Unternehmens weist die Funktion "Information Protection" von MS Office dem aktuellen Dokument (z.B. Word, Excel, PowerPoint, etc.) eine unternehmensspezifische Sensibilitätsoder Vertraulichkeitsklassifizierung zu. In diesem Fall erhalten die Daten selbst eine „Sensitivity-Klassif izierung" , aber da sie hauptsächlich für lokale und Ad-hoc-f reigegebene Dokumente verwendet werden, kann es keine umfassende Verwaltung des Datenzugriffs auf der Grundlage dieser Empfindlichkeitsklassifizierung geben und die zugeordnete Klassifizierung ist an das gegenständliche Dokument gebunden. Die Berechtigungen oder Restriktionen, die mit dem betreffenden Dokument somit klassifiziert sind, gelten für jegliche Nutzung (nur dieses) Dokumentes und sind für alle Nutzer des Dokumentes sowohl verbindlich als auch gleich. Stattdessen hängt die Frage, wie effektiv ein Unternehmen den Fluss sensibler Daten moderieren kann, entscheidend von der Einhaltung der festgelegten Vertraulichkeitsrichtlinien durch menschliche Mitarbeiter ab, d.h., die Mitarbeiter sind dafür verantwortlich, nicht nur die Klassifizierung korrekt zuzuordnen, sondern auch die Bedingungen zu kennen und durchzusetzen, unter denen sensible Dokumente weitergegeben werden können.
Im industriellen Bereich ist auch eine Zugriffskontrolle in SCADA-Sys fernen (SCADA = Supervisory Control and Data Access) bekannt. Im Allgemeinen bieten SCADA-Systeme Benutzerverwaltungswerkzeuge, um zu autorisieren, welche Benutzer mit welchen Berechtigungen auf das System zu-greifen dürfen. In Siemens WinCC können z.B. Login-Zugriffs- und Funktions-/Be- triebsberechtigungen pro Benutzer vergeben werden, wie in der Tabelle der Figur 1 dargestellt
Die Druckschrift US 2015/0205977 Al - Rundle et al. „COMPARTMENT-BASED DATA SECURITY" schlägt vor, Daten in speziellen Speicherstrukturen („compartments") zu bündeln, denen jeweils eine Klassifizierung zugeordnet ist. Ein Benutzer benötigt dieselbe oder eine höhere Klassifizierung, um auf die Daten der jeweiligen Speicherstruktur zuzugreifen. Die Veröffentlichung EP 3 515 035 Al - Schulz „COMPUTER SYSTEM AND METHOD FOR CONTROLLING ACCESS TO DIGITAL DATA OF A DEVICE" offenbart die Zuordnung von Eigenschaftsinformationen zu einem Benutzer und Zugriffsinformationen zu digitalen Daten, wobei für einen Datenzugriff eines Benutzers dessen Eigenschaf tsinformationen mit den jeweiligen Zugriffsinformationen abgeglichen werden.
Die Publikation Sandhu et al. „Access Control: Principles and Practice" (IEEE COMMUNICATIONS MAGAZINE, IEEE SERVICE CENTER, PISCATAWAY, US, Bd. 32, Nr. 9, 1. September 1994 (1994-09- 01) , Seiten 40-48) offenbart ein rollenbasiertes Zugriffskonzept, bei dem zum Zugriff auf Daten eine Mehrzahl von Regeln („policies") gleichzeitig erfüllt sein müssen.
Es ist also eine Aufgabe der vorliegenden Erfindung, den Zugriff auf Daten im industriellen Umfeld zuverlässiger zu kontrollieren und Zugriffsberechtigungen flexibel an die Bedürfnisse verschiede-er Benutzer und die Vertraulichkeit unterschiedlicher Daten anzupassen.
Im Rahmen der erfindungsgemäßen Lösung dieser Aufgabe können Dateien, Datenströme oder Datenobjekte (z. B. Variablen, Vermögenswerte, Assets, Funktionen, Anwendungen) oder dgl . , kurz: Daten, entsprechend ihrem erforderlichen Schutzniveau klassifiziert werden. Diese Datenklassifizierung wird in einer gesamten Anwendung, die sich über viele Geräte und Organisationseinheiten erstrecken kann, berücksichtigt, so dass Benutzer nur auf Objekte einer bestimmten Klassifizierung basierend auf ihrer Berechtigungsstufe zugreifen und diese beeinflussen können (z.B. lesen und schreiben) . Zu den typischen Benutzerinteraktionen, die verwaltet werden müssen, gehören :
- Anzeigen (Lesen) von Assets / Aspekten / Variablen und insbesondere den damit verknüpften Daten,
- Bearbeiten (Schreiben) von Assets / Aspekten / Variablen und insbesondere den damit verknüpften Daten,
- Export und Import, Sichern und Wiederherstellen.
Der zentrale Punkt des Klassifizierungssystems ist, die Daten oder „Assets" selbst zu kontrollieren. Das Konzept funktioniert sowohl in einem System, welches keine klassische (personenbezogene) Nutzerverwaltung besitzt, also auch in Systemen mit der Verwaltung menschlicher oder nicht-technischer Nutzer (Personen, „user") . Die Verwaltung des Zugriffs auf bestimmte Klassifizierungen erfordert eine Verknüpfung mit der Benutzerverwaltung des Systems, wobei hier aber ein Benutzer (Nutzer, „user") allgemein als eine die Daten oder Funktion oder allgemein das „Asset" nutzende oder zugreifende Entität zu sehen ist, also auch insbesondere ein (externes) Gerät, ein Dienst oder eine andere „Datensenke" sein kann. Auch wenn sich die oft gezeigten Beispiele auf menschliche Nutzer oder allgemein Personen beziehen, denen Rechte, Rollen oder dergleichen zugeordnet sind, bezieht sich die gegenständliche Erfindung allgemein auf Datensenken oder Schnittstellen oder APIs. Der Administrator kann jedem Benutzer (im allgemeinen Sinne) zuweisen, auf welche Klassifizierungen dieser Benutzer (oder alternativ alle Benutzer einer definierten Gruppe) zugreifen kann und mit welchen Interaktionen.
Konkret wird die Aufgabe durch ein Verfahren gemäß Patentanspruch 1, eine Kontrollinstanz gemäß Patentanspruch 11 und durch ein Computerprogrammprodukt gemäß Patentanspruch 12 gelöst.
Dabei wird ein Verfahren zur Kontrolle eines Zugriffs auf strukturierte Daten oder Funktionen einer industriellen Automatisierungsanordnung vorgeschlagen, wobei der Zugriff auf die Daten oder Funktionen kontrolliert wird. Dabei wird den Daten oder Funktionen eine Klassifizierung mit einer bestimmten Vertraulichkeitsklasse (0, ..., 3) aus einer Mehrzahl Vertraulichkeitsklassen (0, ..., 3) zugeordnet, wobei einem Nutzer oder einer technischen Instanz eine Nutzerklasse aus einer Anzahl Nutzerklassen zugeordnet wird, wobei, vorzugsweise nach Art einer Matrix, für viele oder jede der Vertraulichkeitsklassen (0, ..., 3) und für viele oder jede der Nutzerklassen eine Zugriffsberechtigung festgelegt wird, wobei die Zugriffsberechtigung die Restriktionen des Zugriffs der Nutzer oder technischen Instanz der jeweiligen Nutzerklasse auf die der jeweiligen Vertraulichkeitsklasse (0, 3) zugeordneten Daten oder Funktionen definiert, und wobei anhand der jeweils definierten Restriktionen der Zugriff auf die den jeweiligen Vertraulichkeitsklassen (0, ..., 3) zugeordneten Daten oder Funktionen durch die den jeweils den Nutzerklassen zugeordneten Nutzern oder technischen Instanzen kontrolliert wird. Damit werden Benutzer- oder Maschinenzugriff und Berechtigungen aus den Vertraulichkeitsklassifizierungen der Daten bzw. Datenstrukturen oder Funktionen selbst gesteuert und somit ein umfassender Ansatz bereitgestellt, um automatisch die Berechtigung bekannter Benutzer oder technischer Entitäten für den Zugriff auf und die Änderung bestimmter Daten oder Datenstrukturen oder Funktionen zu ermitteln.
Die Aufgabe wird außerdem durch eine Kontrollinstanz (auch Gatekeeper oder system-level Gatekeeper genannt) zur Kontrolle eines Zugriffs auf strukturierte Daten oder Funktionen einer industriellen Automatisierungsanordnung gelöst, wobei die Kontrollinstanz eine Eingangsschnittstelle zum Empfang der zuzugreifenden Daten oder eine API oder dgl . zum Zugriff auf Funktionen umfasst, wobei die Kontrollinstanz zur Kontrolle des Zugriffs auf die Daten oder Funktionen gemäß einem der vorstehend beschriebenen Verfahren ausgebildet ist, und wobei die Kontrollinstanz eine Ausgangsschnittstelle zum Zugriff auf die Daten oder Funktionen umfasst. Damit lassen sich die bereits im Zuge des Verfahrens diskutierten Vorteile erreichen .
Ferner wird die Aufgabe durch ein Computerprogrammprodukt zur Kontrolle eines Zugriffs auf strukturierte Daten oder Funktionen einer industriellen Automatisierungsanordnung gelöst, wobei das Computerprogrammprodukt bei seiner Ausführung auf einem Computer zur Durchführung eines der in den Patentansprüchen beschriebenen Verfahren ausgebildet ist. Besonders vorteilhaft wird das Verfahren bzw. die Kontrollinstanz in einem industriellen Edge-Gerät angewendet, welches Zugriff auf (vertrauliche) Daten einer industriellen Automatisierungsanordnung hat und zugleich eine Schnittstelle zu einem öffentlichen Netzwerk (Internet, „Cloud") aufweist. Die hier beschriebene Kontrollinstanz kann in diesem Fall auch eine etwaige Firewall ergänzen, indem nicht (nur) portbasiert, sondern content-basiert ein Zugriff auf Daten kontrolliert wird. Industrielle Edge-Geräte („Edge Devices") werden oft mit Laufzeitumgebungen für Software-Container, beispielsweise sog. Docker-Container, ausgestattet, die mit einem Administrationssystem, z.B. Kubernetes, verwaltet werden. Industrielle Anwendungen laufen dann gekapselt jeweils in einer Laufzeitumgebung ab. Das erfindungsgemäße Verfahren bzw. die Anordnung oder der Dienst (kurz: die Kontrollinstanz) kann vorteilhaft in einem eigenen Container gekapselt sein und/oder in einer eigenen Laufzeitumgebung ablaufen und den Datenverkehr zugeordneter benachbarter Container kontrollieren. Ein Software-Container, der derart anderen Containern bzw. Anwendungen zur Realisierung eines Dienstes zugeordnet ist, wird manchmal auch als Sidecar-Container bezeichnet.
Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens sind in den abhängigen Patentansprüchen angegeben. Die dabei beschriebenen Merkmale und deren Vorteile gelten sinngemäß auch für die erfindungsgemäße Vorrichtung und das erfindungsgemäße Computerprogrammprodukt. Vorteilhafte Ausgestaltungen können sowohl einzeln, auch als auch in sinnfälliger Kombination miteinander realisiert werden.
In einer vorteilhaften Ausgestaltung wird bei der Weise des Zugriffs, also von Daten-Operationen, zumindest zwischen den Berechtigungen „Lesen" und „Lesen und Schreiben" unterschieden. Damit lässt sich das Verfahren kompatibel mit bestehenden Zugriffskontrollverfahren einsetzen.
Im Falle einer für eine bestimmte Kombination aus Vertraulichkeitsklasse und Nutzerklasse nicht vorhandenen Zugrif fsinformation wird vorteilhaft der Zugriff verweigert oder eine andere vordefinierte Maßnahme angewendet , so dass ein Administrator o . ä . nicht j ede mögliche Kombination aus Nutzerklasse und Vertraulichkeitsklasse befüllen muss , was insbesondere im Falle einer Matrix-ähnlichen Erfassung unnötige Arbeit erspart .
Durch das erfinderische Konzept ist es vorteilhaft möglich, die einer Vertraulichkeitsklasse und/oder Nutzerklasse zugeordneten Restriktionen nachträglich zu verändern, wobei für nachfolgende Zugri f fe auf betrof fene Daten die veränderten Restriktionen angewendet werden . Das vereinfacht generelle Anpassungen der Berechtigungen bzw . Restriktionen erheblich .
Ein wesentlicher Vorteil der Erfindung besteht darin, dass sowohl die Daten selbst direkt klassi fi ziert werden können, als auch die Klassi fi zierung zunächst einer Variablen oder einer Datenquelle zugeordnet wird und danach automatisch allen Daten, die aus Werten dieser Variablen oder Datenquelle erzeugt oder von diesen abgeleitet werden, zugeordnet wird . Dabei ist es auch vorteilhaft möglich, dass die Klassi fi zierung einem Datentyp zugeordnet wird und automatisch allen Daten dieses Typs zugeordnet wird . Auch eine Vererbung an abgeleitete Strukturen, Datentypen oder dgl . ist möglich, wobei vorteilhaft kombinierte Daten oder Datentypen oder Datenstrukturen, die aus einzelnen Daten oder Datentypen oder Datenstrukturen Daten mit j eweils eigener Klassi fi zierung erzeugt werden, insgesamt die strengste dieser Klassi fi zierungen erben .
Vorteilhaft wird der Zugri f f auf die den j eweiligen Vertraulichkeitsklassen zugeordneten Daten durch die den j eweils den Nutzerklassen zugeordneten Nutzern einer Außenschnittstelle einer Komponente der Automatisierungsanordnung mit den Daten, insbesondere in einem Netzwerk- Interface , einer anderen Datenschnittstelle oder einer Software für eine Benutzeroberfläche (BuB - Bedienen und Beobachten; „HMI" - Human Machine Interface ) , kontrolliert . Dadurch wird der interne Datenfluss in einem Gerät oder einer zusammenhängenden Automatisierungsanordnung ( „Domäne" ) nicht durch die Kontrolle gestört und dennoch ein Schutz der Daten durch Zugri f fe von außen, beispielsweise durch andere Geräte , andere Programme , Netzwerkzugri f fe , Zugri f fe durch Bedien- und Beobachtungsgeräte oder dgl . , kontrolliert .
Die Zuordnung von Nutzern, womit auch „technische Nutzer" im Sinne von Geräten, Anwendungen oder Schnittstellen gemeint sind, zu den Nutzerklassen können aus einem internen Nutzungs-Management-System stammen . Alternativ können auch externe Identitäts- und Zugri f fsmanagement-Systeme ( IAM - Identity + Access Management ) wie beispielsweise Firmenverzeichnisse ( LDAP ) oder das aus dem Netzwerkmanagement bekannte Active Directory verwendet werden . Klassi fi zierungsschemata für Nutzerklassen können auch aus unternehmensweiten Systemen wie MS Of fice abgeleitet werden und dann mit Berechtigungen korreliert werden .
Die Erfindung wird nachfolgend anhand der Zeichnungen erläutert .
Dabei zeigen :
Figur 1 den Stand der Technik mit einer Zuordnung von Benutzern (Nutzern) zu Benutzergruppen und zugeordnete Berechtigungen bzw . Restriktionen am Beispiel eines SCADA-Systems , und
Figur 2 eine erfindungsgemäße Klassi fi zierung von Daten bzw . Datenstrukturen mit Vertraulichkeitsklassen und die zugeordneten Nutzerklassen und die j eweils zugeordneten Restriktionen .
In der Tabelle der Figur 1 sind klassische Berechtigungsdefinitionen aus dem Stand der Technik dargestellt . Im industriellen Bereich ist beispielsweise eine Zugri f fskontrolle in SCADA-Sys fernen ( SCADA = Supervisory Control and Data Access ) bekannt . Im Allgemeinen bieten SCADA-Systeme Benutzerverwaltungswerkzeuge , um zu autorisieren, welche Benutzer mit welchen Berechtigungen auf das System zu-grei fen dürfen . Im bekannten SCADA-System Siemens WinCC können z.B. Login-, Zugriffs- und Funktions-/Betriebsberechtigungen pro Benutzer vergeben werden, wie in der Tabelle der Figur 1 dargestellt. Diese Berechtigungen sind jedoch nur auf der allgemeinen Systemfunktionsebene implementiert und nicht an ein Konzept der Sensitivitäts- bzw. Vertraulichkeitsklassifizierung der zugrunde liegenden Datenstrukturen gebunden.
Die Figur 2 zeigt in der oberen Zeile einer Berechtigungsmatrix die Vertraulichkeitsklassen 0, ..., 4, die direkt den zu schützenden Daten oder Datenstrukturen oder Datenquellen zugeordnet werden können; selbstverständlich können auch Systemfunktionen (Speichern, Drucken, Senden, Log-on oder dgl . ) als Daten im weiteren Sinne bzw. Daten-Operationen, deren Zugriffe oder Verwendungen kontrolliert werden, klassifiziert werden. Die in Figur 2 gezeigte Tabelle zeigt dabei ein Beispiel für die Zuweisung von Benutzerrollen (Spalte links) als Nutzerklassen und zulässigen Interaktionen/Operationen pro Vertraulichkeitsklasse (nachfolgende Spalten) , wobei in den Feldern der Matrix die Restriktionen (z.B. Versteckt - Nur lesen, Lesen und Schreiben) vermerkt sind. Selbstverständlich können die Informationen auch anders als in einer Matrix gezeigt oder gespeichert werden, beispielsweise in Form einer XML-Datei mit entsprechenden Tags.
Um die Klassifizierungsebene der Datenstruktur zu konfigurieren, wird vorteilshaft eine webbasierte Benutzeroberfläche implementiert. Nach der Eingabe wird die Klassifizierungsebene in einer Asset-Hierarchie vererbt.
Darüber hinaus können Teilbäume des Datenmodells keine niedrigere (d. h. freizügigere) Klassifizierungsebene als ihre übergeordneten Elemente aufweisen.
Der Datenzugriff wird dann automatisch von einer Kontrollinstanz, einem sog. "Gatekeeper" auf Systemebene erzwungen, der einfach die Zugriffs- / Berechtigungsstufe des aktuellen Benutzers für eine bestimmte Operation (z. B. Lesen / Schreiben) mit den Vertraulichkeits- oder Sensitivitätsklassif izierungen der relevanten Datenstrukturen vergleicht. Datenstrukturen, die eine höhere Berechtigungsstufe oder Vertraulichkeitsklasse erfordern, als der aktuelle Benut zer/Nut zer/User oder die Benutzergruppe besitzt, werden einfach herausgefiltert, wenn eine Abfrageantwort an den Benutzer zurückgegeben wird. Die Änderung von schreibgeschützten Daten für einen Benutzer wird dann auch ebenso leicht vom Gatekeeper verhindert.
Zusammenfassend weist die vorliegende Erfindung die folgenden Hauptmerkmale auf:
• Die Vertraulichkeits- bzw. Sensitivitätsklassif izierung wird als inhärente Eigenschaft jedes Assets / jeder Variablen / jedes Objekts (allg. : Daten) gespeichert.
• Die Benutzerverwaltung (im Sinne einer Berechtigungsverwaltung für Nutzer, Geräte, Dienste oder sonstige auf Daten zugreifende Entitäten) ist speziell implementiert, um Zugriffsrechte auf die Datenklassifizierung abzubilden.
• Eine Kontrollinstanz oder "Gatekeeper" auf Systemebene ist dafür verantwortlich, die Verteilung von Daten an Benutzer oder andere Datensenken zu moderieren bzw. kontrollieren, indem diese:
• Berechtigungen vor der Freigabe von Daten an einen Benutzer überprüft;
• Bei Abfragen an eine Datenbank einen an die Berechtigungen bzw. Restriktionen des betreffenden Nutzers angepassten Filter verwendet; und
• Berechtigungen des Benutzers überprüft, bevor Änderungen an den Daten zugelassen werden.
Obwohl die obige Implementierung eine speziell konfigurierte Zuordnung von Berechtigungen pro Klassifizierung voraussetzt (siehe Tabelle aus Figur 2) , ist auch die Integration mit einem vorhandenen Unternehmensverzeichnis und Klassifizierungsschema möglich.
Das Klassifizierungssystem ist nicht also nicht (zwingend) klassisch nutzerbasiert (Nutzer im Sinne einer Person) . Basierend auf der Klassifikation soll gesteuert werden, ob die Daten in einer gewissen Funktion oder dergleichen verarbeitet oder über ein Interface übertragen werden dürfen. Es geschieht also eine Steuerung der Datenflüsse und Zugriffe der Int er faces /Funktionen .
Die Verknüpfung zum Nutzer (im Sinne einer Person) existiert insofern, als das Nutzerinterface (z.B. HMI - Human Machine Interface) ebenfalls einen Datenfluss ermöglicht, welcher gesteuert werden muss. Dies geschieht analog zu allen anderen Interfaces, z.B. :
- Variable X hat Klassifizierung Y. Die Daten dürfen über das Cloud-Interf ace nur lesend verwendet werden.
- Variable X hat Klassifizierung Y. Die Daten dürfen über das Nutzerinterface von Nutzer Z nur lesend verwendet werden.
Somit gibt es keine spezielle Funktion eines (menschlichen) Nutzers in diesem System, sondern das „HMI" oder ein anderer Zugang ist eines von vielen Interfaces, welche Datenflüsse erlaubt, welche gesteuert werden müssen. Hat ein Produkt keine „humane" Nutzerverwaltung, ändert sich in diesem Konzept im Prinzip nichts. Wesentlich ist also eine Zugriffskontrolle auf Daten, Datenquellen, Funktionen, Schnittstellen, Anwendungen oder andere „Assets" durch humane Nutzer oder technische Instanzen, wobei letztere wiederum Geräte, Anwendungen, Schnittstellen, Funktionen oder andere Entitäten sein können .
Die vorliegende Erfindung bietet einen entscheidenden Unterschied zu bestehenden ähnlichen Technologien, nämlich dass Benutzerzugriff und Berechtigungen automatisch abgeleitet und erzwungen werden, basierend auf der Vertraulichkeitsklassifizierungen, die den Datenstrukturen selbst innewohnen. Somit ist die Vertraulichkeit der Daten im gesamten Datenfluss gewährleistet.
Im Vergleich:
• Datenbanktechnologien bieten umfassende Benut zerverwal- tungs- und Zugriffskontrollwerkzeuge, aber die zugrunde liegenden Datenstrukturen enthalten im Allgemeinen keine spezifischen Vertraulichkeitsklassifizierungszuordnungen, es sei denn, sie werden manuell / benutzerdefiniert implementiert.
• Ebenso unterstützen SCADA / WinCC Systeme in der Regel Benutzerverwaltung und Systemfunktionsberechtigungen, stellen jedoch keinen direkten Bezug zu einem zugrunde liegenden Konzept der Vertraulichkeitsklassifizierung der verfügbaren Datenstrukturen her. Darüber hinaus beschränkt WinCC den Zugriff nur auf ganze Systemfunktionen, nicht jedoch selektiv innerhalb der Funktion. Ebenso würde WinCC nur den Zugriff auf die gesamte Datenstruktur erlauben oder verhindern; die vorliegende Erfindung hingegen steuert selektiv, welche Daten zugänglich sind.
• Unternehmensklassifizierungstools wie die "Information Protection" -Funktion von Microsoft Office bieten eine Klassifizierung der Vertraulichkeit pro Dokument, aber die Durchsetzung dessen, wer auf diese hochsensiblen Dokumente zugreifen kann, hängt davon ab, dass die Mitarbeiter die Vertraulich- keits- und Datenfreigaberichtlinien genau implementieren und einhalten .
Einfacher ausgedrückt werden nach der vorliegenden Erfindung Benutzerzugriff und Berechtigungen bzw. zulässige Operationen aus den Vertraulichkeitsklassifizierungen der Datenstrukturen selbst gesteuert. Folglich wird ein umfassender Ansatz bereitgestellt, um automatisch die Berechtigung bekannter Benutzer für den Zugriff auf und die Änderung einer bestimmten Datenstruktur zu ermitteln - der "System-level Gatekeeper", kurz Gatekeeper (Kontrollinstanz; Computerprogramm/- Programmprodukt zur Zugriffskontrolle) auf Systemebene muss nur die Berechtigungsstufe des Benutzers aus einer Nutzerklasse für eine gewünschte Operation (z. B. Lesen / Schreiben) mit der Sensitivitäts- bzw. Vertraulichkeitsklassif izie- rung der Daten vergleichen.

Claims

Patentansprüche
1. Verfahren zur Kontrolle eines Zugriffs auf strukturierte Daten oder Funktionen einer industriellen Automatisierungsanordnung, wobei der Zugriff auf die Daten oder Funktionen kontrolliert wird, dadurch gekennzeichnet, dass den Daten oder Funktionen eine Klassifizierung mit einer bestimmten Vertraulichkeitsklasse (0, ..., 3) aus einer Mehrzahl Vertraulichkeitsklassen (0, ..., 3) zugeordnet wird, dass einem Nutzer oder einer technischen Instanz eine Nutzerklasse aus einer Anzahl Nutzerklassen zugeordnet wird, dass, vorzugsweise nach Art einer Matrix, für viele oder jede der Vertraulichkeitsklassen (0, ..., 3) und für viele oder jede der Nutzerklassen eine Zugriffsberechtigung festgelegt wird, wobei die Zugriffsberechtigung die Restriktionen des Zugriffs der Nutzer oder technischen Instanz der jeweiligen Nutzerklasse auf die der jeweiligen Vertraulichkeitsklasse (0, ..., 3) zugeordneten Daten oder Funktionen definiert, und dass anhand der jeweils definierten Restriktionen der Zugriff auf die den jeweiligen Vertraulichkeitsklassen (0, ..., 3) zugeordneten Daten oder Funktionen durch die den jeweils den Nutzerklassen zugeordneten Nutzern oder technischen Instanzen kontrolliert wird.
2. Verfahren nach Patentanspruch 1, dadurch gekennzeichnet, dass bei den Zugriffsberechtigungen zumindest zwischen den Berechtigungen „Lesen" und „Lesen und Schreiben" als zulässige Operationen zu den Daten unterschieden wird.
3. Verfahren nach einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass im Falle einer für eine bestimmte Kombination aus Vertraulichkeitsklasse (0, ..., 3) und Nutzerklasse nicht vorhandenen Zugriffsberechtigung der Zugriff verweigert wird.
4. Verfahren nach einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass die einer Vertraulichkeitsklasse (0, ..., 3) und/oder Nutzerklasse zugeordneten Restriktionen nachträglich verändert werden, wobei für nachfolgende Zugriffe auf betroffene Daten oder Funktionen die veränderten Restriktionen angewendet werden .
5. Verfahren nach einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass die Vertraulichkeitsklasse (0, ..., 3) einer Variablen oder einer Datenquelle zugeordnet wird und automatisch allen Daten, die aus Werten dieser Variablen oder Datenquelle erzeugt oder von diesen abgeleitet werden, zugeordnet wird.
6. Verfahren nach einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass die Vertraulichkeitsklasse (0, ..., 3) einem Datentyp zugeordnet wird und automatisch allen Daten dieses Typs zugeordnet wird .
7. Verfahren nach einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass die jeweilige Vertraulichkeitsklasse (0, ..., 3) zusammen mit den jeweiligen Daten gespeichert wird.
8. Verfahren nach Patentanspruch 7, dadurch gekennzeichnet, dass die Vertraulichkeitsklasse (0, ..., 3) als Meta-Information mit einem Datensatz oder einem Datenstrom gespeichert, vorzugsweise diesem vorangestellt wird.
9. Verfahren nach einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass kombinierte Daten oder Datentypen oder Datenstrukturen, die aus einzelnen Daten oder Datentypen oder Datenstrukturen Daten mit jeweils eigener Vertraulichkeitsklasse (0, ..., 3) erzeugt werden, insgesamt die strengste dieser Vertraulichkeitsklassen (0, ..., 3) erben.
10. Verfahren nach einem der vorhergehenden Patentansprüche, dadurch gekennzeichnet, dass der Zugriff auf die den jeweiligen Vertraulichkeitsklassen (0, ..., 3) zugeordneten Daten durch die den jeweils den Nutzerklassen zugeordneten Nutzern einer Außenschnittstelle einer Komponente der Automatisierungsanordnung mit den Daten, insbesondere in einem Netzwerk-Interface, einer anderen Datenschnittstelle oder einer Software für eine Benutzeroberfläche, kontrolliert wird.
11. Kontrollinstanz zur Kontrolle eines Zugriffs auf strukturierte Daten oder Funktionen einer industriellen Automatisierungsanordnung, dadurch gekennzeichnet, dass die Kontrollinstanz eine Eingangsschnittstelle zum Empfang der zuzugreifenden Daten oder eine Zugriffsschnittstelle, insbesondere ein API, zum Zugriff auf die Funktionen, umfasst, die Kontrollinstanz zur Kontrolle des Zugriffs auf die Daten oder Funktionen gemäß einem der vorstehend beschriebenen Verfahren ausgebildet ist, und die Kontrollinstanz eine Ausgangsschnittstelle zum Zugriff auf die Daten oder die Funktionen umfasst.
12. Computerprogrammprodukt zur Kontrolle eines Zugriffs auf strukturierte Daten oder auf Funktionen einer industriellen Automatisierungsanordnung, dadurch gekennzeichnet, dass das Computerprogrammprodukt bei seiner Ausführung auf einem Computer zur Durchführung eines der Verfahren gemäß Patentansprüchen 1 bis 10 ausgebildet ist.
EP24713924.9A 2023-04-11 2024-03-05 Verfahren, kontrollinstanz und computerprogrammprodukt zur kontrolle eines zugriffs auf strukturierte daten oder auf funktionen einer industriellen automatisierungsanordnung Pending EP4655697A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP23167273.4A EP4446921A1 (de) 2023-04-11 2023-04-11 Verfahren, kontrollinstanz und computerprogrammprodukt zur kontrolle eines zugriffs auf strukturierte daten oder auf funktionen einer industriellen automatisierungsanordnung
PCT/EP2024/055647 WO2024213312A1 (de) 2023-04-11 2024-03-05 Verfahren, kontrollinstanz und computerprogrammprodukt zur kontrolle eines zugriffs auf strukturierte daten oder auf funktionen einer industriellen automatisierungsanordnung

Publications (1)

Publication Number Publication Date
EP4655697A1 true EP4655697A1 (de) 2025-12-03

Family

ID=85985225

Family Applications (2)

Application Number Title Priority Date Filing Date
EP23167273.4A Withdrawn EP4446921A1 (de) 2023-04-11 2023-04-11 Verfahren, kontrollinstanz und computerprogrammprodukt zur kontrolle eines zugriffs auf strukturierte daten oder auf funktionen einer industriellen automatisierungsanordnung
EP24713924.9A Pending EP4655697A1 (de) 2023-04-11 2024-03-05 Verfahren, kontrollinstanz und computerprogrammprodukt zur kontrolle eines zugriffs auf strukturierte daten oder auf funktionen einer industriellen automatisierungsanordnung

Family Applications Before (1)

Application Number Title Priority Date Filing Date
EP23167273.4A Withdrawn EP4446921A1 (de) 2023-04-11 2023-04-11 Verfahren, kontrollinstanz und computerprogrammprodukt zur kontrolle eines zugriffs auf strukturierte daten oder auf funktionen einer industriellen automatisierungsanordnung

Country Status (3)

Country Link
EP (2) EP4446921A1 (de)
CN (1) CN120937007A (de)
WO (1) WO2024213312A1 (de)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10242222B2 (en) * 2014-01-14 2019-03-26 Baker Hughes, A Ge Company, Llc Compartment-based data security
EP3515035B1 (de) * 2018-01-23 2021-06-02 ABB Schweiz AG Computersystem und verfahren zur steuerung des zugriffs auf digitale daten einer vorrichtung

Also Published As

Publication number Publication date
WO2024213312A1 (de) 2024-10-17
EP4446921A1 (de) 2024-10-16
CN120937007A (zh) 2025-11-11

Similar Documents

Publication Publication Date Title
DE69601149T2 (de) Systen und Verfahren zum Implementieren einer hierarchischen Politik für die Administration eines Computersystems
DE112020001688B4 (de) Richtlinienbasiertes auslösen einer überarbeitung von zugriffssteuerungsinformationen
DE69934894T2 (de) Verfahren und vorrichtung zur wahlweisen einstellung des zugangs zu anwendungsmerkmalen
EP2843585B1 (de) Verfahren und System zum Bereitstellen von anonymisierten Daten aus einer Datenbank
DE112010003464B4 (de) Modifikation von Zugangskontrolllisten
DE69730321T2 (de) Verfahren und vorrichtung zum schützen von daten mit mehreren auf datenelementebene anwendbaren verschlüsselungsstufen
DE69832946T2 (de) Verteiltes System und Verfahren zur Steuerung des Zugriffs auf Netzmittel und Ereignismeldungen
DE102020133597A1 (de) Personalprofile und fingerabdruckauthentifizierung für configuration engineering- und laufzeitanwendungen
DE202018006346U1 (de) Gemeinsames Nutzen bzw. Teilen von Daten in einem mandantenfähigen Datenbanksystem
DE112013000473T5 (de) Verfahren zum Optimieren der Verarbeitung von Daten mit eingeschränktem Zugriff
DE19963673A1 (de) Verfahren, Systeme und Computerprogrammprodukte zur Dokumentenverwaltung für Software-Entwicklungssysteme
EP4016338A1 (de) Zugriffskontrolle auf in einer cloud gespeicherte daten
EP3767505B1 (de) Verfahren und system zur bereitstellung von sicherheitsinformationen über einen anwendungscontainer für ein industrielles edge-gerät
DE102006012311A1 (de) Verfahren und Vorrichtung zur Pseudonymisierung von digitalen Daten
DE102008019103A1 (de) Verfahren und Vorrichtung zum Umschlüsseln bei einer verschlüsselungsbasierten Zugriffskontrolle auf eine Datenbank
EP3539044A1 (de) Zugriffskontrolle auf datenobjekte
EP3539045B1 (de) System mit zertifikat-basierter zugriffskontrolle
DE102004047146A1 (de) Rechteverwaltung
DE60017438T2 (de) System zur betriebsmittelzugriffsteuerung
EP3878197B1 (de) Kontrolle von zugriffsrechten in einem vernetzten system mit datenverarbeitung
WO2024213312A1 (de) Verfahren, kontrollinstanz und computerprogrammprodukt zur kontrolle eines zugriffs auf strukturierte daten oder auf funktionen einer industriellen automatisierungsanordnung
DE69520689T2 (de) Verbesserungen an zugangsrechten für oder zu dateien
DE102017202183A1 (de) Zugriffsverwaltungssystem zum Export von Datensätzen
DE10152121B4 (de) Regelbasierte Verarbeitungskontrolle mobiler Information
EP2169588A1 (de) Verfahren zur Gewährleistung von Sicherheit

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20250829

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC ME MK MT NL NO PL PT RO RS SE SI SK SM TR