[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE102016205321A1 - Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle - Google Patents

Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle Download PDF

Info

Publication number
DE102016205321A1
DE102016205321A1 DE102016205321.3A DE102016205321A DE102016205321A1 DE 102016205321 A1 DE102016205321 A1 DE 102016205321A1 DE 102016205321 A DE102016205321 A DE 102016205321A DE 102016205321 A1 DE102016205321 A1 DE 102016205321A1
Authority
DE
Germany
Prior art keywords
network
network access
filter
configuration
access point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102016205321.3A
Other languages
English (en)
Inventor
Rainer Falk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102016205321.3A priority Critical patent/DE102016205321A1/de
Priority to PCT/EP2017/053107 priority patent/WO2017167490A1/de
Priority to CN201780020989.4A priority patent/CN109076068A/zh
Priority to US16/087,812 priority patent/US20190098038A1/en
Priority to EP17706174.4A priority patent/EP3417589A1/de
Publication of DE102016205321A1 publication Critical patent/DE102016205321A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Es wird ein Verfahren zum Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle zu einem Netzwerk vorgeschlagen, wobei in einem ersten Schritt eine Konfiguration des Gerätes analysiert wird, wobei in einem zweiten Schritt im Falle einer aufgrund der analysierten Konfiguration erkannten Schwachstelle, insbesondere einer mangelnden Aktualität der Konfiguration, eine Kommunikation über die Netzwerkzugangsstelle mit Hilfe einer auswählbaren Filtervorschrift durch einen Netzwerkzugangsfilter eingeschränkt wird, und wobei die Filtervorschrift topologisch zwischen der Netzwerkzugangsstelle und einer Hauptfunktion des Gerätes angewendet wird. Es wird ein entsprechendes Gerät und ein Computerprogrammprodukt vorgeschlagen. Somit wird eine Art umgekehrtes Network Admission Control Prinzip angewandt. Durch eine Art Reverse Network Admission Control schränkt bei schwacher oder vermuteter nicht aktueller Konfiguration ein Feldgerät selbst seine Kommunikation ein, um die Angriffsfläche zu reduzieren.

Description

  • Komponenten oder Geräte in industriellen Umgebungen wie Automatisierungsanlagen oder Steuerungsanlagen weisen oftmals eine lange Nutzungsdauer auf. Insbesondere Komponenten mit Safety-relevanter Funktionalität, wie beispielsweise das Umsetzen eines Notaus für eine Antriebssteuerungen in kritischen Systemen, sind vor Angriffen aus angeschlossenen offenen Netzen, wie beispielsweise dem Internet oder einem Mobilfunknetz, zu schützen. Dafür ist insbesondere die Verbindung zu Netzwerken auf potentielle Schwachstellen oder Angriffspunkte hin zu überprüfen. Bei erkannten Schwachstellen oder Angriffspunkten ist es in der Realität oftmals nicht möglich, zeitnah ein Beheben beispielsweise eines Fehlers in der Konfiguration des Gerätes sicherzustellen. Insbesondere kann eine Konfiguration veraltet sein und ein Update erforderlich. Ein sogenanntes Patchen, d.h. das Einspielen von Software-Updates, zur Behebung einer erkannten Schwachstelle ist oftmals nur in dafür vorgesehenen Wartungsfenstern möglich, so dass ein Gerät über einen langen Zeitraum in einer veralteten Konfiguration vorliegt.
  • Es ist ein sogenanntes Network Admission Control oder Trusted Network Connect bekannt, bei welchem ein Client bei einer Netzwerkanmeldung Informationen über seine Konfiguration übermittelt. Ein unsicher konfigurierter Client, bei welchem beispielsweise ein Patch fehlt oder ein Virenscanner nicht aktuell oder aktiv ist, kann von außen, d.h. von Seiten eines Netzwerkes, abgewiesen werden oder nur mit einem Quarantänenetzwerk verbunden werden. Das Netzwerk muss dafür eine entsprechende Funktionalität bereitstellen.
  • Es ist eine Aufgabe der vorliegenden Erfindung, eine vereinfachte Absicherung einer Netzwerkverbindung zwischen einem Gerät und einem Netzwerk sicherzustellen.
  • Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen sind in den abhängigen Ansprüchen angegeben.
  • Die Erfindung betrifft ein Verfahren zum Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle zu einem Netzwerk, wobei in einem ersten Schritt eine Konfiguration des Gerätes analysiert wird, wobei in einem zweiten Schritt im Falle einer aufgrund der analysierten Konfiguration erkannten Schwachstelle, insbesondere einer mangelnden Aktualität der Konfiguration, eine Kommunikation über die Netzwerkzugangsstelle mit Hilfe einer auswählbaren Filtervorschrift durch einen Netzwerkzugangsfilter eingeschränkt wird und wobei die Filtervorschrift topologisch zwischen der Netzwerkzugangsstelle und einer Hauptfunktion des Gerätes angewendet wird.
  • Eine Konfiguration des Gerätes ist beispielsweise gekennzeichnet durch eine darauf geladene Software, Konfiguration oder durch seine Firmware. Die Aktualität eines Software-, Konfigurations- oder Firmware-Standes kann insbesondere ein Anhaltspunkt für eine Schwachstelle sein, welche durch IT-Angriffe ausgenutzt werden könnte, beispielsweise um eine Safety-kritische Funktionalität eines Gerätes zu manipulieren. Auch ein Vorhandensein oder eine Aktualität eines Virenscanners kennzeichnet die Konfiguration. Bei der erkannten Schwachstelle kann es sich somit beispielsweise auch um das Fehlen eines Virenscanners handeln.
  • Bei dem Netzwerk handelt es sich insbesondere um ein offenes Netzwerk, wie beispielsweise das Internet oder ein Mobilfunknetz. Insbesondere nutzt das Gerät neben einem geschlossenen Firmennetzwerk zusätzlich das offene Netzwerk.
  • Für die Analyse der Konfiguration des Gerätes wird beispielsweise ein App- oder Device-Manager verwendet. Es wird beispielsweise ein Abgleich mit für das Gerät vorgesehenen Konfigurationseigenschaften, auf welche der Device-Manager zugreifen kann, durchgeführt. Ergibt dieser Abgleich, dass eine Konfiguration als kritisch oder unsicher einzustufen ist, so wird eine Filtervorschrift ausgewählt und mittels eines Netzwerkzugangsfilters angewendet. Eine Filtervorschrift oder Filter Policy kann dabei insbesondere eine Kommunikation sensibler Daten über die Netzwerkzugangsstelle mit dem offenen Netzwerk verhindern. Ebenso kann die Übertragung von Daten aus dem Netzwerk, beispielsweise von Steuerungsbefehlen aus dem Netzwerk an das Gerät, über die Netzwerkzugangsstelle unterbunden werden. Netzwerkbasierte Angriffe werden somit auf vorteilhafte Weise verhindert. Es kann insbesondere eine Netzwerkverbindung dauerhaft gesperrt werden. Ein Freischalten erfolgt dann beispielsweise durch einen Administrator. Eine solche relativ strenge Policy kann bei besonders kritischen Schwachstellen sinnvoll angewendet werden.
  • Insbesondere kann die Filtervorschrift durch den App/ Device-Manager bereitgestellt werden. Beispielsweise wird einem Internet-of-Things-Feldgerät abhängig von bekannten Schwachstellen eine dafür angepasste Filtervorschrift bereitgestellt. Ist ein App/Device-Manager nicht erreichbar, kann eine standardmäßige Filtervorschrift oder eine für die Situation der Nicht-Erreichbarkeit vorgesehene Filtervorschrift angewendet werden.
  • Unter einem Angriff oder netzwerkbasierten Angriff wird beispielsweise das Auslesen oder die Manipulation von sensiblen Daten des Gerätes oder Daten, die für das Gerät bestimmt sind, verstanden oder insbesondere ein Angriff auf einen Sicherheitsmechanismus verstanden wie beispielsweise das Ausschalten eines Sicherheitsmechanismus, der auf dem Gerät implementiert ist. Beispielsweise würden dadurch aus dem Netzwerk über die Netzwerkzugangsstelle übermittelte Daten ohne Sicherheitsprüfung auf dem Feldgerät verarbeitet oder es werden manipulierte Daten verarbeitet. Insbesondere würde ein fehlerhaftes übermitteltes Zertifikat nicht oder ohne Konsequenz geprüft. Ein Angriff ist dann vielversprechend, wenn ein Gerät aufgrund einer fehlerhaften oder veralteten Konfiguration eine Schwachstelle aufweist. Daher ist vor allem der Zustand eines Gerätes mit Schwachstelle zu schützen oder in Phasen mit analysierter Schwachstelle das Gerät besonders vor Angriffen abzuschirmen.
  • Als Schwachstelle wird im Rahmen der vorliegenden Anmeldung ein Zustand des Gerätes verstanden, der potentiell einem Angriff nicht standhält, oder in welchem man das Gerät vorsichtshalber besonders schützen möchte, um eine Angriffsfläche zu reduzieren. Es wird dabei insbesondere angenommen, dass auch bei vorliegender Schwachstelle ein Angriff erfolglos sein kann.
  • Unter einer Hauptfunktion des Gerätes wird die zu schützende Funktion verstanden, welche das Gerät in seiner Rolle innerhalb einer Anlage ausführt. Insbesondere würden sich Angriffe über das Netzwerk auf die Hauptfunktion auswirken und Schaden an dem Gerät verursachen oder eine schadhafte Wechselwirkung mit anderen Geräten verursachen. Eine Hauptfunktion kann sich aus mehreren Funktionen zusammensetzen, die das Gerät innerhalb der Anlage ausführen soll. Eine Hauptfunktion kann insbesondere eine Steuerungs- oder Überwachungsfunktion eines technischen Systems sein, auf das über Aktoren eingewirkt wird oder dessen aktueller Zustand durch Sensoren ermittelt wird.
  • Gemäß dem beschriebenen Verfahren wird beispielsweise bei einem nicht gepatchten System eine Funktionalität, insbesondere die Möglichkeit zum Senden oder Empfangen von Sensorwerten oder Steuerungsbefehlen, eingeschränkt. Es wird auf vorteilhafte Weise zugleich verhindert, dass vorhandene erkannte Schwachstellen über ein Netzwerk ausgenutzt werden können. Somit wird eine Art umgekehrtes Network Admission Control Prinzip angewandt. Durch eine Art Reverse Network Admission Control schränkt bei schwacher oder vermuteter nicht aktueller Konfiguration ein Feldgerät selbst seine Kommunikation ein, um die Angriffsfläche zu reduzieren. Das Verfahren kann auf vorteilhafte Weise auf einem Endgerät wie beispielsweise einem Feldgerät oder einem Internet of Things Feldgerät, realisiert werden, ohne dass speziellen Anforderungen netzwerkseitig nachgekommen werden müsste. Insbesondere für Geräte in der Anwendung in Internet of Things, Industrial Internet, Cyber Physical Systems oder Web of Systems, ist somit eine einfache, leicht nachrüstbare Lösung zur Reduzierung von netzwerkbasierten Angriffen auf ein Feldgerät möglich.
  • Ein Client erkennt somit eine Schwachstelle in der eigenen Konfiguration selbst und leitet eine Einschränkung eines Netzwerkzuganges durch entsprechende Filtervorschriften selbst ein. Die Filtervorschrift wird dabei topologisch zwischen der Hauptfunktion des Gerätes und der Netzwerkzugangsstelle, also clientseitig, angewendet. Die Funktionsweise des Netzwerkes bleibt unberührt, d.h. es muss serverseitig keine Überwachung von Feldgeräten stattfinden und auch kein Blockieren von Datenverbindungen und kein Filtern von Daten.
  • Gemäß einer Ausgestaltung authentisiert sich das Gerät gegenüber dem Netzwerk, insbesondere über ein Network Access Control Verfahren. Dabei kann vorteilhaft ein Verfahren gemäß dem Standard IEEE 802.1X durchgeführt werden.
  • Gemäß einer Weiterbildung authentisiert sich das Gerät gegenüber einem Cloud-Dienst, insbesondere mittels eines TLS-Verfahrens unter Verwendung eines digitalen Gerätezertifikates. Auf vorteilhafte Weise wird das Transport Layer Security Verfahren genutzt, beispielsweise um eine webbasierte gesicherte Verbindung aufzubauen.
  • Gemäß einer Ausgestaltung ist die Filtervorschrift aus einer Anzahl von mehreren Filtervorschriften auswählbar. Insbesondere können je nach erkannter Schwachstelle verschiedene Filter zur Anwendung kommen. Insbesondere ist der Umfang der eingeschränkten Kommunikation abhängig von der Schwere der erkannten Schwachstelle. Beispielsweise werden nur bestimmte Anteile der Netzwerk-Konnektivität eingeschränkt, wenn eine Auswirkung der Schwachstelle bekannt ist und ebenso beispielsweise vollständig blockiert, wenn Auswirkungen einer erkannten Schwachstelle noch unbekannt oder nicht vorhersehbar sind.
  • Gemäß einer Ausgestaltung aktiviert der Netzwerkzugangsfilter gemäß einer festen oder veränderbaren Zuordnungsvorschrift eine der Filtervorschriften. Es können insbesondere mehrere der auswählbaren Filtervorschriften angewendet werden.
  • Gemäß einer Ausgestaltung werden in Abhängigkeit von der ausgewählten Filtervorschrift weitere Sicherheitsregeln des Gerätes angepasst. Beispielsweise können abhängig von der ausgewählten Filter Policy Netzwerkdienste auf dem Feldgerät deaktiviert werden. Beispielsweise können Regeln für ein Mandatory Access Control System, wie SELinux, SMACK oder AppArmor, angepasst werden.
  • Die Erfindung betrifft ferner eine Zugangsvorrichtung zum Schutz vor einem Angriff auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle zu einem Netzwerk, umfassend
    • – eine Komponente zum Analysieren einer Konfiguration,
    • – einen Netzwerkzugangsfilter zum Einschränken einer Kommunikation über die Netzwerkzugangsstelle mit Hilfe einer Filtervorschrift bei einer aufgrund der analysierten Konfiguration erkannten Schwachstelle,
    • – wobei der Netzwerkzugangsfilter topologisch zwischen der Netzwerkzugangsstelle und einer Hauptfunktion des Gerätes vorgesehen ist.
  • Die Komponente und der Netzwerkzugangsfilter können in Software, Hardware oder in einer Kombination aus Soft- und Hardware realisiert und ausgeführt werden. So können die durch diese Einheiten realisierten Schritte als Programm-Code auf einem Speichermedium, insbesondere einer Festplatte, CD-ROM oder einem Speichermodul abgelegt sein, wobei die einzelnen Anweisungen des Programmcodes von mindestens einer Recheneinheit, umfassend einen Prozessor, ausgelesen und verarbeitet werden.
  • Gemäß einer Ausgestaltung ist der Netzwerkzugangsfilter der Zugangsvorrichtung in das Gerät integriert. Gemäß einer Ausgestaltung ist die Komponente in das Gerät integriert. Somit kann auf vorteilhafte Weise die Zugangsvorrichtung auf dem Feldgerät realisiert sein.
  • Gemäß einer Ausgestaltung ist der Netzwerkzugangsfilter separat zu dem Gerät ausgebildet. Gemäß einer Ausgestaltung ist die Komponente separat zu dem Gerät ausgebildet. Somit kann beispielsweise die Zugangsvorrichtung als eine Vorschaltkomponente zu dem Gerät vorgesehen sein. Die Vorschaltkomponente ist somit topologisch zwischen dem Gerät und dem Netzwerk angeordnet.
  • Gemäß einer Weiterbildung weist die Komponente eine lokale Schnittstelle oder eine Netzwerkschnittstelle zum Gerät auf oder eine Kommunikationsschnittstelle zu einem virtuellen Doppel des Gerätes.
  • Die Erfindung betrifft ferner ein Computerprogrammprodukt mit einem Computerprogramm, das Mittel zur Durchführung des oben beschriebenen Verfahrens aufweist, wenn das Computerprogramm auf einer programmgesteuerten Einrichtung zur Ausführung gebracht wird.
  • Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm-Mittel, kann beispielsweise als Speichermedium, wie z.B. Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen. Als programmgesteuerte Einrichtung kommt insbesondere eine Steuereinrichtung, wie zum Beispiel ein Mikroprozessor für eine Smartcard oder dergleichen in Frage.
  • Die Erfindung wird nachfolgend anhand von Ausführungsbeispielen mit Hilfe der Figuren näher erläutert. Es zeigen
  • 1 eine schematische Darstellung einer Zugangsvorrichtung integriert in ein Feldgerät gemäß einer ersten Ausführungsform der Erfindung;
  • 2 eine schematische Darstellung einer Zugangsvorrichtung separat zu einem Feldgerät gemäß einer zweiten Ausführungsform der Erfindung;
  • 3 ein Ablaufdiagramm eines Verfahrens zum Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle gemäß einem weiteren Ausführungsbeispiel der Erfindung.
  • In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist.
  • In 1 ist schematisch eine Realisierung der Erfindung gemäß einem ersten Ausführungsbeispiel der Erfindung in einer Internet of Things- oder IoT-Umgebung dargestellt. Dabei ist ein IoT-Feldgerät 100 vorgesehen, welches als Hauptfunktion 103 eine Antriebssteuerung aufweist. Die Hauptfunktion 103 kommuniziert über das Internet mit einem Cloud-Dienst IoT-Data Management Plattform 301. Beispielsweise werden durch das Feldgerät Daten aus dem Cloud-Dienst angefordert, welche zu Zwecken der Optimierung der Antriebssteuerung durch die Hauptfunktion 103 verarbeitet werden. Das Feldgerät 100 authentisiert sich einerseits gegenüber dem Netzwerk über ein Network Access Control Verfahren, kurz NAC, beispielsweise gemäß dem Standard 802.1X, und authentisiert sich ferner auch gegenüber dem Cloud-Dienst, beispielsweise gemäß dem Transport Layer Security Protokoll, TLS-Protokoll, und eine TLS-Client-Authentisierung oder Verwendung eines digitalen Gerätezertifikates. Die Kommunikation zwischen dem Feldgerät 100 und dem Netzwerk 300 erfolgt über eine Netzwerkschnittstelle 10 oder ein sogenanntes Network Interface.
  • Das Feldgerät 100 verfügt gemäß dem ersten Ausführungsbeispiel der Erfindung über einen Netzwerkzugangsfilter 101 mit mehreren zugeordneten Filtervorschriften 1, 2, 3 oder Filterregeln oder sogenannten Filter Policies. Dem Netzwerkzugangsfilter 101 oder Network Access Filter ist eine Komponente 102 zum Analysieren einer Konfiguration des Feldgerätes 100 zugeordnet. Die Analyse der Konfiguration umfasst dabei beispielsweise die Prüfung der Software-Konfiguration und Firmware-Konfiguration. Insbesondere wird eine Aktualität der Konfiguration überwacht. Sobald erkannt wird, dass beispielsweise nicht das aktuellste Update installiert wurde, wird nach einer Auswahl-Policy 9 der Netzwerkzugangsfilters 101 konfiguriert, eine der Filterregeln 1, 2, 3 zu aktivieren. Die Auswahl-Policy 9 kann dabei für verschiedene Analyseergebnisse einheitliche zu aktivierende Filterregeln festlegen. Insbesondere wird je nach erkanntem Konfigurationsstand eine spezifische Filtervorschrift durch die Auswahl-Policy 9 vorgeschlagen und aktiviert.
  • In dieser Realisierung wird eine Zugangsvorrichtung 200 geschaffen, welche das Feldgerät 100 sowie den Netzwerkzugangsfilter 101 umfasst und damit eine integrierte Lösung bereitstellt zur Einschränkung einer Netzwerk-Konnektivität durch ein Feldgerät selbst. Ein Client erkennt somit eine Schwachstelle in der eigenen Konfiguration selbst und leitet eine Einschränkung eines Netzwerkzuganges durch entsprechende Filtervorschriften selbst ein. Die Filtervorschrift wird dabei topologisch zwischen der Hauptfunktion 103 des Gerätes 100 und der Netzwerkzugangsstelle 10, also clientseitig, angewendet. Die Funktionsweise des Netzwerkes bleibt unberührt, d.h. es muss serverseitig keine Überwachung von Feldgeräten stattfinden und auch kein Blockieren von Datenverbindungen oder Filtern von Daten.
  • Das zweite Ausführungsbeispiel ist schematisch in 2 erläutert. In Abgrenzung zum ersten Ausführungsbeispiel ist hier der Netzwerkzugangsfilter 101 separat zum Gerät 100 ausgebildet. Eine Zugangsvorrichtung 200 umfasst den Netzwerkzugangsfilter 101 sowie die Komponente 102 zur Analyse der Konfiguration des Gerätes 100. Beides ist extern zum Feldgerät 100 vorgesehen. Die Netzwerkzugangsstelle 10 zum Netzwerk 300 ist in diesem Beispiel auf der Zugangsvorrichtung 200 vorgesehen. Zwischen dieser Netzwerkzugangsstelle 10 und der Hauptfunktion 103 des Feldgerätes 100 findet wiederum die ausgewählte Filtervorschrift 1, 2, 3 Anwendung, also clientseitig.
  • Die Zugangsvorrichtung 200, insbesondere die Komponente 102 zum Analysieren der Konfiguration, kann den aktuellen Konfigurationsstand des Feldgerätes 100 auf unterschiedliche Weise ermitteln. Beispielsweise wird eine separate lokale Schnittstelle, wie beispielsweise eine Service-Schnittstelle, insbesondere RS232, SPI, I2C oder USB, genutzt. Alternativ kann eine Netzwerkschnittstelle 10b des Feldgerätes 100, welche nicht direkt zum Netzwerk 300 führt, sondern zunächst zu einer Schnittstelle 10a der Zugangsvorrichtung 200, genutzt werden. Beispielsweise wird ein OPC UA Server oder ein HTTP/CoAP-Server oder ein SNMP-Server auf dem IoT-Feldgerät 100 verwendet.
  • In einer anderen Variante wird eine Kommunikation des Feldgerätes 100 mit einem App- oder Device Manager 302 mitgehört. Eine Schwachstelle wird immer dann erkannt, wenn für einen vorgegebenen Zeitraum keine Kommunikation des Feldgerätes mit einem App oder Device Manager 302 festgestellt werden konnte. Indirekt wird daraus geschlussfolgert, dass eine Konfiguration nicht aktuell genug ist und gegebenenfalls Schwachstellen aufweist. Nachdem das Feldgerät 100 den App- oder Device Manager 302 kontaktiert hat, wird darauf geschlossen, dass die Konfiguration aktuell ist und damit keine Schwachstelle vorliegt. Als Folge wird beispielsweise eine standardmäßig eingeschränkte Kommunikation freigegeben, insbesondere für eine festlegbare Zeitspanne. Alternativ kann eine aktuelle Konfiguration eines Feldgerätes auch von einem dem Feldgerät 100 zugeordneten virtuellen Doppel oder Virtual Twin oder Digital Twin abgefragt werden.
  • Ein Verfahren zum Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes gemäß einem weiteren Ausführungsbeispiel der Erfindung wird anhand des Ablaufdiagramms in 3 erläutert. In Schritt S01 wird der Vorgang gestartet. In Schritt S02 wird eine Filtervorschrift angewendet, welche für eine Phase, in welcher das Gerät auf Schwachstellen untersucht wird, defaultmäßig angewendet wird. Diese initiale Filtervorschrift erlaubt es lediglich, die Aktualität einer Software- oder Firmware-Konfiguration zu prüfen. Dazu wird mit dem App/ Device Manager des Internet of Things Netzwerkes kommuniziert. Dies geschieht in Schritt S1. Abhängig vom Ergebnis der Analyse, welches im Schritt S11 ermittelt wird, wird entweder im Falle einer nicht aktuellen Konfiguration n eine eingeschränkte Filtervorschrift in Schritt S2 aktiviert oder im Fall einer ordnungsgemäßen Konfiguration y in Schritt S2a eine reguläre Filtervorschrift-Operation aktiviert. Im laufenden Betrieb eines Feldgerätes kann das Verfahren wiederholt durchgeführt werden. Insbesondere wird nach einer Phase des Wartens S3 die Konfiguration erneut überprüft S1.
  • Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • Standard IEEE 802.1X [0015]
    • Standard 802.1X [0032]

Claims (13)

  1. Verfahren zum Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes (100) über eine Netzwerkzugangsstelle (10) zu einem Netzwerk (300), – wobei in einem ersten Schritt (S1) eine Konfiguration des Gerätes (100) analysiert wird, – wobei in einem zweiten Schritt (S2) im Falle einer aufgrund der analysierten Konfiguration erkannten Schwachstelle, insbesondere einer mangelnden Aktualität der Konfiguration, eine Kommunikation über die Netzwerkzugangsstelle (10) mit Hilfe einer auswählbaren Filtervorschrift (1) durch einen Netzwerkzugangsfilter (101) eingeschränkt wird, und – wobei die Filtervorschrift (1) topologisch zwischen der Netzwerkzugangsstelle (10) und einer Hauptfunktion des Gerätes (100) angewendet wird.
  2. Verfahren nach Anspruch 1, wobei sich das Gerät (100) gegenüber dem Netzwerk (300) authentisiert, insbesondere über ein Network Access Control Verfahren.
  3. Verfahren nach Anspruch 1 oder 2, wobei sich das Gerät (100) gegenüber einem Cloud-Dienst authentisiert, insbesondere mittels eines TLS-Verfahrens unter Verwendung eines digitalen Gerätezertifikates.
  4. Verfahren nach einem der vorstehenden Ansprüche, wobei die Filtervorschrift (1) aus einer Anzahl von mehreren Filtervorschriften (1, 2, 3) auswählbar ist.
  5. Verfahren nach Anspruch 4, wobei der Netzwerkzugangsfilter (10) gemäß einer festen oder veränderbaren Zuordnungsvorschrift eine der Filtervorschriften (1, 2, 3) aktiviert.
  6. Verfahren nach einem der vorstehenden Ansprüche, wobei in Abhängigkeit von der ausgewählten Filtervorschrift (1, 2, 3) ferner weitere Sicherheitsregeln des Gerätes angepasst werden.
  7. Zugangsvorrichtung (200) zum Schutz vor einem Angriff auf eine Schwachstelle eines Gerätes (100) über eine Netzwerkzugangsstelle (10) zu einem Netzwerk (300), umfassend – eine Komponente (102) zum Analysieren einer Konfiguration, – einen Netzwerkzugangsfilter (101) zum Einschränken einer Kommunikation über die Netzwerkzugangsstelle (10) mit Hilfe einer Filtervorschrift (1) bei einer aufgrund der analysierten Konfiguration erkannten Schwachstelle, – wobei der Netzwerkzugangsfilter (101) topologisch zwischen der Netzwerkzugangsstelle (10) und einer Hauptfunktion des Gerätes (100) vorgesehen ist.
  8. Zugangsvorrichtung (200) nach Anspruch 7, wobei der Netzwerkzugangsfilter (101) in das Gerät (100) integriert ist.
  9. Zugangsvorrichtung (200) nach Anspruch 7 oder 8, wobei die Komponente (102) in das Gerät (100) integriert ist.
  10. Zugangsvorrichtung (200) nach Anspruch 7, wobei der Netzwerkzugangsfilter (101) separat zu dem Gerät (100) ausgebildet ist.
  11. Zugangsvorrichtung (200) nach Anspruch 7, 8 oder 10, wobei die Komponente (102) separat zu dem Gerät (100) ausgebildet ist.
  12. Zugangsvorrichtung (200) nach einem der Ansprüche 7 bis 11, wobei die Komponente (102) eine lokale Schnittstelle oder eine Netzwerkschnittstelle zum Gerät (100) aufweist oder eine Kommunikationsschnittstelle zu einem virtuellen Doppel des Gerätes (100).
  13. Computerprogrammprodukt mit einem Computerprogramm, das Mittel zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 6 aufweist, wenn das Computerprogramm auf einer programmgesteuerten Einrichtung zur Ausführung gebracht wird.
DE102016205321.3A 2016-03-31 2016-03-31 Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle Withdrawn DE102016205321A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102016205321.3A DE102016205321A1 (de) 2016-03-31 2016-03-31 Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle
PCT/EP2017/053107 WO2017167490A1 (de) 2016-03-31 2017-02-13 Reduzieren einer angriffsmöglichkeit auf eine schwachstelle eines gerätes über eine netzwerkzugangsstelle
CN201780020989.4A CN109076068A (zh) 2016-03-31 2017-02-13 减少经由网络接入点对设备弱点的攻击可能性
US16/087,812 US20190098038A1 (en) 2016-03-31 2017-02-13 Reducing a possible attack on a weak point of a device via a network access point
EP17706174.4A EP3417589A1 (de) 2016-03-31 2017-02-13 Reduzieren einer angriffsmöglichkeit auf eine schwachstelle eines gerätes über eine netzwerkzugangsstelle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016205321.3A DE102016205321A1 (de) 2016-03-31 2016-03-31 Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle

Publications (1)

Publication Number Publication Date
DE102016205321A1 true DE102016205321A1 (de) 2017-10-05

Family

ID=58094395

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016205321.3A Withdrawn DE102016205321A1 (de) 2016-03-31 2016-03-31 Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle

Country Status (5)

Country Link
US (1) US20190098038A1 (de)
EP (1) EP3417589A1 (de)
CN (1) CN109076068A (de)
DE (1) DE102016205321A1 (de)
WO (1) WO2017167490A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020249569A1 (de) * 2019-06-13 2020-12-17 Endress+Hauser Process Solutions Ag Verfahren zum Bereitstellen eines digitalen Zwillings für ein nicht digitales Feldgerät der Automatisierungstechnik

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3999917B1 (de) * 2019-08-21 2023-08-02 Siemens Aktiengesellschaft Verfahren und system zur erzeugung einer digitalen darstellung von geräteinformationen in einer cloud-computing-umgebung
PL3813314T3 (pl) * 2019-10-23 2022-08-22 Siemens Aktiengesellschaft System bezpieczeństwa i sposób filtrowania ruchu danych

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7010603B2 (en) * 1998-08-17 2006-03-07 Openwave Systems Inc. Method and apparatus for controlling network connections based on destination locations
US20070143851A1 (en) * 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US8302196B2 (en) * 2007-03-20 2012-10-30 Microsoft Corporation Combining assessment models and client targeting to identify network security vulnerabilities
BR112013007030A2 (pt) * 2010-09-28 2020-06-16 Headwater Partners I Llc Sistema de rede para fornecer mensagens de notificação de serviço de acesso de rede que contêm informações sobre uma atividade de acesso de rede de um dispositivo de usuário final; sistema de rede para classificar uma contabilidade de uso de serviço de rede de acesso por um dispositivo de usuário final; dispositivo de comunicações; e sistema de rede para fornecer controle de serviço de acesso de rede para um dispositivo de usuário final.
KR101248601B1 (ko) * 2011-05-17 2013-03-28 류연식 분산서비스거부 공격 보안 장치 및 좀비 단말기의 탐지 방법
WO2013130568A2 (en) * 2012-02-29 2013-09-06 Good Technology Corporation Method of operating a computing device, computing device and computer program
US8850589B2 (en) * 2012-09-25 2014-09-30 International Business Machines Corporation Training classifiers for program analysis
US9152195B2 (en) * 2013-01-21 2015-10-06 Lenovo (Singapore) Pte. Ltd. Wake on cloud
US9485262B1 (en) * 2014-03-28 2016-11-01 Juniper Networks, Inc. Detecting past intrusions and attacks based on historical network traffic information

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Standard 802.1X
Standard IEEE 802.1X

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020249569A1 (de) * 2019-06-13 2020-12-17 Endress+Hauser Process Solutions Ag Verfahren zum Bereitstellen eines digitalen Zwillings für ein nicht digitales Feldgerät der Automatisierungstechnik

Also Published As

Publication number Publication date
US20190098038A1 (en) 2019-03-28
CN109076068A (zh) 2018-12-21
EP3417589A1 (de) 2018-12-26
WO2017167490A1 (de) 2017-10-05

Similar Documents

Publication Publication Date Title
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE102012109212B4 (de) Methoden, Vorrichtung und Herstellungsprodukte zur Bereitstellung von Firewalls für Prozesssteuerungssysteme
DE112018007217B4 (de) Sicherheitseinrichtung mit einer Angriffs-Detektionseinrichtung und einer Sicherheitsrisikozustand-Bestimmungseinrichtung und eingebettete Einrichtung hierfür
DE112011101943T5 (de) Verfahren und Einheit zum Entschärfen von seitenübergreifenden Sicherheitslücken
EP3430558B1 (de) Erkennen einer abweichung eines sicherheitszustandes einer recheneinrichtung von einem sollsicherheitszustand
WO2017190997A1 (de) Verfahren und integritätsprüfsystem zur rückwirkungsfreien integritätsüberwachung
DE102020211413A1 (de) Betriebsverfahren für eine Ladesäule
WO2017167490A1 (de) Reduzieren einer angriffsmöglichkeit auf eine schwachstelle eines gerätes über eine netzwerkzugangsstelle
EP3095065B1 (de) Vorrichtung und verfahren zum detektieren einer manipulation an einem programmcode
EP3695337B1 (de) Verfahren und bestätigungsvorrichtung zur integritätsbestätigung eines systems
EP3752911A1 (de) Verfahren zum installieren eines programmcodepakets in ein gerät sowie gerät und kraftfahrzeug
DE102013209914A1 (de) Filtern eines Datenpaketes mittels einer Netzwerkfiltereinrichtung
EP3382478B1 (de) Verfahren, computer-programm-produkt und steuereinheit zum steuern von zugriffen auf it-systeme basierende netzwerke, insbesondere eingebettete systeme oder verteilte systeme umfassende automatisierungsnetzwerke, steuerungsnetzwerke oder kontrollnetzwerke
EP1924945B1 (de) Verfahren zur verbesserung der vertrauenswürdigkeit von elektronischen geräten und datenträger dafür
EP1473614A2 (de) Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in einem solchen Computersystem
DE102017209806A1 (de) Verfahren und Vorrichtung zum Erkennen von Angriffen auf einen Feldbus
DE102023102565B4 (de) Verfahren zur Intrusions-Überwachung in einem Computernetzwerk sowie Kraftfahrzeug und Cloud Computing-Infrastruktur
EP3813314A1 (de) Sicherungssystem und verfahren zur filterung eines datenverkehrs
LU500837B1 (de) Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten
EP3382976A1 (de) Schutzeinrichtung, verfahren und gerät enthalten eine schutzeinrichtung zum schutz eines mit dem gerät verbundenen kommunikationsnetzwerks
WO2024105073A1 (de) Überwachungssystem zum nachgelagerten prüfen einer systemintegrität
EP4297335A2 (de) Verfahren zur implementierung und nutzung von kryptografischem material in wenigstens einer systemkomponente eines informationstechnischen systems
EP4287050A1 (de) Überwachung eines anwendungsprogramms in abhängigkeit dessen privilegs
EP3690690A1 (de) Verfahren zum prüfen einer validität von daten und computerimplementierte vorrichtung zum verarbeiten von daten
DE10055118A1 (de) Offenbarendes Verfahren zur Überwachung ausführbarer oder interpretierbarer Daten in digitalen Datenverarbeitungsanlagen mittels gerätetechnischer Einrichtungen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee