DE202020005937U1

DE202020005937U1 - Retrofit module for a field device and modular field device

Info

Publication number: DE202020005937U1
Application number: DE202020005937.4U
Authority: DE
Original assignee: Vega Grieshaber KG
Current assignee: Vega Grieshaber KG
Priority date: 2020-05-05
Filing date: 2020-05-05
Publication date: 2023-06-19
Anticipated expiration: 2030-05-06

Abstract

Nachrüstmodul (201, 301, 401) für ein Feldgerät (101, 105, 108, 402) der Prozessautomatisierungtechnik mit einer Feldgeräteelektronik (112, 405) mit wenigstens einer Kommunikationsschnittstelle, dadurch gekennzeichnet, dass das Nachrüstmodul (201, 301, 401) ein Sicherheitsmodul aufweist, wobei das Sicherheitsmodul (401, 409) mit der Feldgeräteelektronik (112, 405) derart zusammenarbeitet, dass eine vorgegebene IT-Sicherheitsstufe (SL) erreicht wird.

Retrofit module (201, 301, 401) for a field device (101, 105, 108, 402) of process automation technology with field device electronics (112, 405) with at least one communication interface, characterized in that the retrofit module (201, 301, 401) has a security module, the security module (401, 409) having the field device electronics (112, 4th 05) works together in such a way that a specified IT security level (SL) is achieved.

Description

Aus dem Stand der Technik sind verschiedene Arten von Feldgeräten bekannt.Various types of field devices are known from the prior art.

Unter dem Begriff Feldgerät werden dabei verschiedene technische Einrichtungen subsummiert, die mit einem Produktionsprozess in direkter Beziehung stehen. Feldgeräte können damit insbesondere Aktoren, Sensoren und Messumformer und/oder Auswertegeräte sein.Various technical devices that are directly related to a production process are subsumed under the term field device. Field devices can thus in particular be actuators, sensors and measuring transducers and/or evaluation devices.

Deutlich von Feldgeräten abzugrenzen sind in der Terminologie, wie sie in der vorliegenden Anmeldung verwendet wird, übergeordnete Einheiten, die dem Bereich der Leitwarten zuzuordnen sind.In the terminology used in the present application, higher-level units, which are to be assigned to the area of control rooms, must be clearly distinguished from field devices.

Bekannte Feldgeräte für die Prozessautomatisierung weisen bislang nur herstellerspezifisch definierte Vorrichtungen und Verfahren zur Umsetzung von Aspekten der IT-Sicherheit auf. Neuere gesetzliche Vorgaben in verschiedenen Ländern fordern, für kritische Infrastruktureinrichtungen (KRITIS) vorgegebene Sicherheitsstufen (Security Level, SL) zu implementieren.Known field devices for process automation have hitherto only had devices and methods defined specifically by the manufacturer for implementing aspects of IT security. Recent legal requirements in various countries require the implementation of specified security levels (Security Level, SL) for critical infrastructure facilities (KRITIS).

Feldgeräte messen als Prozessmessgeräte seit vielen Jahren zuverlässig prozessrelevante Messgrößen von Medien in den unterschiedlichsten Anwendungen. In den Anfangsjahren der Prozessleittechnik wurden die ermittelten Messwerte zumeist in analoger Weise mit Hilfe analoger Schnittstellen, beispielsweise einer 4-20mA Schnittstelle, von einem Prozessmessgerät hin zu einer übergeordneten Einheit bspw. einem Auswertegerät oder einer Prozessleitstelle übertragen. Im Zuge der Digitalisierung wurde dieser Standard durch zusätzliches Einprägen digitaler Signale, beispielsweise nach dem HART-Standard, erweitert, wodurch auch eine bidirektionale Kommunikation zwischen Prozessmessgerät und Prozessleitstelle möglich wurde. Charakteristisch an solchen Prozessleitsystemen war aber, dass die Anlagen im Wesentlichen im Inselbetrieb betrieben wurden. Eine Verbindung zwischen unterschiedlichen Prozessleitsystemen verschiedener Standorte oder verschiedener Firmen oder eine Anbindung der Systeme ans World Wide Web war nicht vorgesehen.As process measuring devices, field devices have been reliably measuring process-relevant measured variables of media in a wide variety of applications for many years. In the early years of process control technology, the measured values determined were usually transmitted in an analog manner using analog interfaces, for example a 4-20mA interface, from a process measuring device to a higher-level unit, e.g. an evaluation device or a process control center. In the course of digitization, this standard was expanded by additional impressing of digital signals, for example according to the HART standard, which also made bidirectional communication between the process measuring device and the process control center possible. However, it was characteristic of such process control systems that the systems were essentially operated in island mode. A connection between different process control systems from different locations or different companies or a connection of the systems to the World Wide Web was not planned.

In den letzten Jahren hat sich insbesondere mit den Ansätzen der vierten industriellen Revolution (Industrie 4.0) die Notwendigkeit herausgestellt, durch einen höheren Grad der Vernetzung ganze Prozessleitsysteme oder aber auch ganze Produktionsstandorte miteinander zu verknüpfen, beispielsweise über das World Wide Web. Die damit einhergehende Vernetzung von Industrial-IT-Systemen und Office-IT-Systemen führt allerdings zu einer Reihe neuer Herausforderungen, insbesondere im Bereich der IT-Security, die eine Fortentwicklung bestehender Geräte und Komponenten zwingend notwendig macht.In recent years, especially with the beginnings of the fourth industrial revolution (Industry 4.0), the need has emerged to link entire process control systems or entire production sites with one another through a higher degree of networking, for example via the World Wide Web. However, the associated networking of industrial IT systems and office IT systems leads to a number of new challenges, especially in the area of IT security, which makes it absolutely necessary to further develop existing devices and components.

Ein weiterer Anwendungsbereich ergibt sich durch seit kurzer Zeit verfügbare autarke Feldgeräte, insbesondere autarke Sensoren. Sensoren, also Feldgeräte dieser Produktfamilie zeichnen sich durch eine besonders einfache Montage ohne Anbringen einer Kommunikations- oder Versorgungsleitung aus. Die von diesen Feldgeräten ermittelten Messwerte werden typischerweise unter Verwendung einer Schmalbandfunktechnologie (LoRa, Sigfox, NB-IOT) in eine Cloud, d. h. auf einen Server im World Wide Web übertragen. Typische Anwendungsszenarien für solche Feldgeräte umfassen Bereiche wie die Hochwasservorhersage, Lagerbestandsverwaltung oder auch andere dezentral verteilte Messaufgaben. Durch die direkte Anbindung ans World Wide Web sind solche Feldgeräte inhärent einer permanenten Bedrohung durch Hackerangriffe aus dem Netz ausgesetzt.A further area of application results from autonomous field devices, in particular autonomous sensors, which have been available for a short time. Sensors, i.e. field devices in this product family, are characterized by particularly simple installation without attaching a communication or supply line. The measured values determined by these field devices are typically transferred to a cloud, i. H. transferred to a server on the World Wide Web. Typical application scenarios for such field devices include areas such as flood forecasting, inventory management or other distributed measurement tasks. Due to the direct connection to the World Wide Web, such field devices are inherently exposed to a permanent threat of hacker attacks from the network.

Um auch zukünftig die Verfügbarkeit von Produktivsystemen zu gewährleisten, werden aktuell von verschiedenen Branchen Standards definiert, die darauf abzielen, die Komponenten von Prozessleitsystemen in Bezug auf ihre Resilienz gegenüber fahrlässig oder mutwillig initiierten äußeren Angriffen zu härten und somit die Verfügbarkeit der Feldgeräte zu erhöhen und damit die Produktivität der Anlagenbetreiber zu sichern.In order to ensure the availability of productive systems in the future, standards are currently being defined by various industries, which aim to harden the components of process control systems in terms of their resilience to external attacks initiated by negligence or willfully, and thus to increase the availability of the field devices and thus secure the productivity of the plant operator.

Darüber hinaus werden auch von Seite der Gesetzgeber neue Anforderungen an die Betreiber und Hersteller von Geräten formuliert, welche das Ziel verfolgen, kritische Infrastruktureinrichtungen (KRITIS) wie beispielsweise Energie (Strom, Gas, Öl), Transport (Luft, Bahn, Wasser, Straße), Trinkwasserversorgung oder auch digitale Infrastruktur widerstandsfähig gegenüber fahrlässigen oder mutwilligen Hackerangriffen zu machen. Beispielhaft hierfür steht die vom Europäischen Parlament beschlossene Richtlinie 2016/1148 (NIS-Richtlinie), welche inzwischen von den Mitgliedsstaaten der Europäischen Union in nationales Recht umgesetzt worden ist.In addition, legislators are formulating new requirements for operators and manufacturers of devices that aim to make critical infrastructure facilities (KRITIS) such as energy (electricity, gas, oil), transport (air, rail, water, road), drinking water supply or digital infrastructure resistant to negligent or malicious hacker attacks. An example of this is Directive 2016/1148 (NIS Directive) passed by the European Parliament, which has meanwhile been implemented into national law by the member states of the European Union.

Abhängig von der Gefährdungslage am jeweiligen Anwendungsort wird in den bislang existierenden Cyber-Security-Normen (z.B. IEC 62443, ISO 27001 ) gefordert, dass die dort eingesetzten Geräte eine standardisierte IT-Sicherheitsstufe, auch Security Level (SL) genannt, erfüllen.Depending on the level of risk at the respective place of use, the existing cyber security standards (e.g. IEC 62443, ISO 27001 ) required that the devices used there meet a standardized IT security level, also known as Security Level (SL).

Die IEC 62443 (Stand_08/2013) zum Beispiel, hat dafür die folgenden Security Levels definiert, die nach den dem Angreifer zur Verfügung stehenden Mitteln, zur Verfügung stehenden materiellen und finanziellen Ressourcen, den technischen Fähigkeiten sowie der zugrundeliegenden Motivation eingeteilt werden. Fähigkeiten des Angreifers Mittel Ressourcen Fähigkeiten Motivation SL0 keine Gefahr der Beeinträchtigung / Manipulation SL1 zufällige / beiläufige Beeinträchtigung / Manipulation SL2 einfach begrenzt allgemein niedrig SL3 ausgefeilt mittel domänenspezifisch mittel SL4 ausgefeilt umfangreich domänenspezifisch hoch For example, IEC 62443 (as of 08/2013) has defined the following security levels, which are classified according to the means available to the attacker, the material and financial resources available, the technical skills and the underlying motivation. Attacker's Abilities Middle resources capabilities motivation SL0 no risk of impairment / manipulation SL1 accidental/casual interference/manipulation SL2 simply limited generally low SL3 sophisticated middle domain specific middle SL4 sophisticated extensive domain specific high

Die Sicherheitsstufe SL0 ist dabei ein rein theoretisches Konstrukt, bei dem keinerlei Beeinträchtigungs- oder Manipulationsrisiko besteht und daher keine Maßnahmen notwendig sind.The security level SL0 is a purely theoretical construct in which there is no risk of impairment or manipulation and therefore no measures are necessary.

Die Sicherheitsstufe SL1 beschreibt die Fähigkeit eines Systems, zufällige und unbeabsichtigte Beeinträchtigungen oder Manipulationen zu vermeiden.The security level SL1 describes the ability of a system to avoid accidental and unintentional impairments or manipulations.

Die Sicherheitsstufe SL2 beschreibt die Fähigkeit eines Systems, beabsichtigte Manipulationen von interessierten Einzelpersonen und Firmen mit generischen Security-Kenntnissen, abzuwehren.Security level SL2 describes the ability of a system to ward off intended manipulations by interested individuals and companies with generic security knowledge.

Die Sicherheitsstufe SL3 beschreibt die Fähigkeit eines Systems, beabsichtigte Manipulationen von Experten und Firmen, die mit klaren Zielen effektive, jedoch kostenorientierte Angriffsszenarien entwickeln und einsetzen, abzuwehren.The security level SL3 describes the ability of a system to ward off intentional manipulations by experts and companies who develop and use effective but cost-oriented attack scenarios with clear goals.

Die Sicherheitsstufe SL4 beschreibt die Fähigkeit eines Systems, beabsichtigte Manipulationen von Organisationen mit Experten, bei denen die Erreichung des spezifisch ausgewählten Angriffsziels um fast jeden Preis im Vordergrund steht, abzuwehren.The security level SL4 describes the ability of a system to ward off intentional manipulations by organizations with experts, in which the achievement of the specifically selected attack target at almost any price is in the foreground.

Für die Hersteller von Feldgeräten, insbesondere auch für die Hersteller von Füllstand- und Drucksensoren, erwächst aus diesen Rahmenbedingungen die Notwendigkeit, die in unterschiedlichen (branchenspezifischen) Normen und Gesetzen verankerten IT-Security Vorgaben umzusetzen.For the manufacturers of field devices, especially for the manufacturers of level and pressure sensors, the need arises from these framework conditions to implement the IT security requirements anchored in various (industry-specific) standards and laws.

Diese Umsetzung erweiterter Maßnahmen macht es regelmäßig erforderlich, zusätzliche Hardwarekomponenten und/oder zusätzliche Softwarekomponenten in die Feldgeräte zu integrieren. Wird für bestehende Geräte die Erfüllung einer Sicherheitsstufe (SL) gefordert, oder ändern sich die Anforderungen zur Erlangung einer Zertifizierung für eine definierte Sicherheitsstufe (SL), so führt dies regelmäßig dazu, die mechanische und elektrische Konstruktion solcher Geräte überarbeiten zu müssen. Bereits ausgelieferte Geräte müssen vom Kunden dann durch die entsprechend zertifizierten Nachfolgegeräte ausgetauscht werden, was zu entsprechenden Kosten und Wartungsaufwand führt.This implementation of extended measures regularly makes it necessary to integrate additional hardware components and/or additional software components into the field devices. If compliance with a security level (SL) is required for existing devices, or if the requirements for obtaining certification for a defined security level (SL) change, this regularly means that the mechanical and electrical construction of such devices has to be revised. Devices that have already been delivered must then be replaced by the customer with the correspondingly certified successor devices, which leads to corresponding costs and maintenance work.

Zudem besteht das Problem, dass branchenspezifische Normen mit den jeweils darin definierten IT-Sicherheitsstufen SL technisch berücksichtigt werden müssen. Außerdem ist den unterschiedlichen Regelungen von Seiten des Gesetzgebers Rechnung zu tragen.There is also the problem that industry-specific standards with the IT security levels SL defined therein must be technically taken into account. In addition, the different regulations on the part of the legislature must be taken into account.

Darüber hinaus besteht auf Seiten der Hersteller das Problem, dass Geräte für unterschiedliche Sicherheitsnormen und unterschiedliche Sicherheitsstufen (SL), ggf. auch entsprechend den unterschiedlichen Normen in verschiedenen Ländern, entwickelt, gefertigt und vertrieben werden müssen.In addition, there is the problem on the part of the manufacturer that devices for different safety standards and different safety levels (SL), possibly also in accordance with the different standards in different countries, have to be developed, manufactured and sold.

Eine naheliegende Lösung besteht darin, Geräte zielgerichtet für die unterschiedlichen Branchen bereitzustellen, welche die jeweils geforderten, branchenspezifischen IT-Sicherheitsstufen SL technisch berücksichtigen. Um für alle möglichen Anwendungsfälle innerhalb beispielsweise einer Raffinerie vorbereitet zu sein, müssen prinzipiell aber auch unterschiedliche Geräte für jede vom Kunden benötigte IT-Sicherheitsstufe bereitgestellt werden. Es ist offensichtlich, dass dieser Ansatz die Vielfalt an Gerätevarianten massiv erhöht, und somit die Entwicklung und Herstellung von entsprechenden Feldgeräten unwirtschaftlich macht. Würde hingegen grundsätzlich nur ein einziges branchenspezifisches Gerät bereitgestellt, welches die höchste Sicherheitsstufe implementiert, würde dies zu hohen Hardwarekosten und hohem Energieverbrauch verbunden mit einer reduzierten Ergonomie bei der Bedienung der Geräte führen.An obvious solution is to provide devices in a targeted manner for the different industries, which technically take into account the respective required, industry-specific IT security levels SL. In order to be prepared for all possible applications within a refinery, for example, different devices must be provided for each IT security required by the customer level to be provided. It is obvious that this approach massively increases the variety of device variants and thus makes the development and manufacture of corresponding field devices uneconomical. If, on the other hand, only a single industry-specific device were provided that implements the highest security level, this would lead to high hardware costs and high energy consumption combined with reduced ergonomics when operating the devices.

Ferner besteht das Problem, dass eine spezifische Umsetzung nur für Neugeräte möglich ist, Bestandsgeräte unter entsprechend erhöhten IT-Sicherheitsanforderungen aber nicht mehr betrieben werden dürfen.There is also the problem that a specific implementation is only possible for new devices, but existing devices may no longer be operated under correspondingly increased IT security requirements.

Es ist die Aufgabe der vorliegenden Erfindung, eine Möglichkeit zu schaffen wie Neugeräte flexibel an unterschiedliche IT-Sicherheitsanforderungen angepasst und auch Bestandsgeräte unter erhöhten IT-Sicherheitsanforderungen weiter betrieben werden können.The object of the present invention is to create a way in which new devices can be flexibly adapted to different IT security requirements and existing devices can also continue to be operated under increased IT security requirements.

Diese Aufgabe wird durch ein Nachrüstmodul mit den Merkmalen des Patentanspruchs 1 gelöst. Vorteilhafte Weiterbildungen sind Gegenstand abhängiger Patentansprüche.This problem is solved by a retrofit module with the features of patent claim 1 . Advantageous developments are the subject of dependent patent claims.

Ein erfindungsgemäßes Nachrüstmodul für ein Feldgerät der Prozessautomatisierungtechnik, wobei das Feldgerät eine Feldgeräteelektronik mit wenigstens einer Kommunikationsschnittstelle aufweist, zeichnet sich dadurch aus, dass das Nachrüstmodul ein Sicherheitsmodul aufweist, wobei das Sicherheitsmodul mit der Feldgeräteelektronik derart zusammenarbeitet, dass eine vorgegebene IT-Sicherheitsstufe erreicht wird.A retrofit module according to the invention for a field device used in process automation technology, the field device having field device electronics with at least one communication interface, is characterized in that the retrofit module has a security module, the security module working together with the field device electronics in such a way that a specified IT security level is achieved.

Mit einem derartigen Nachrüstmodul können sowohl Neugeräte als auch Bestandsgeräte ausgestattet werden. Sowohl Neugeräte als auch Bestandsgeräte könne so je nach Bedarf mit einem angepassten IT-Sicherheitsmodul versehen werden, das eine gewünschte IT-Sicherheitsstufe implementiert.Both new devices and existing devices can be equipped with such a retrofit module. Both new devices and existing devices can be equipped with an adapted IT security module that implements a desired IT security level.

Es ist dadurch möglich, mittels einer Mehrzahl unterschiedlicher Nachrüstmodule sowohl Neugeräte als auch Bestandsgeräte mit unterschiedlichen IT-Sicherheitsstufen auszustatten bzw. zur Verfügung zu stellen, ohne dass es notwendig wäre jeweils ein vollständig neues Gerät, das die jeweilige IT-Sicherheitsstufe implementiert vorzuhalten. Für Hersteller wird es dadurch einfacher angepasste Feldgeräte anzubieten, wobei aber ein Grundgerät identisch bleibt und dies nur durch das entsprechende Nachrüstmodul ergänzt wird. Für Anwender oder Betreiber von Bestandsgeräten wird auf diese Weise die Möglichkeit eröffnet, ihre Bestandsgeräte an geänderte IT-Sicherheitsanforderungen anzupassen, ohne die jeweiligen Bestandsgeräte austauschen zu müssen. Die Bestandsgeräte werden durch ein Nachrüstmodul, das die gewünschte IT-Sicherheitsstufe implementiert, nachgerüstet und so für eine Betrieb unter gesteigerten IT-Sicherheitsanforderungen ertüchtigt.It is thus possible to equip or provide both new devices and existing devices with different IT security levels using a number of different retrofit modules, without it being necessary to provide a completely new device that implements the respective IT security level. This makes it easier for manufacturers to offer adapted field devices, although a basic device remains identical and is only supplemented by the corresponding retrofit module. This opens up the possibility for users or operators of existing devices to adapt their existing devices to changed IT security requirements without having to replace the respective existing devices. The existing devices are retrofitted with a retrofit module that implements the desired IT security level and is thus upgraded for operation under increased IT security requirements.

Grundsätzliche Idee der vorliegenden Erfindung ist es, ein Nachrüstmodul zur Verfügung zu stellen und so Neugeräte oder Bestandsgeräte derart auszugestalten, dass diese befähigt sind, vorgegebene IT-Sicherheitsstufen zu realisieren.The basic idea of the present invention is to provide a retrofit module and thus to design new devices or existing devices in such a way that they are able to implement specified IT security levels.

Ein entsprechendes Nachrüstmodul kann besonders gut bei modularen Feldgeräten zum Einsatz kommen.A corresponding retrofit module can be used particularly well with modular field devices.

Modular aufgebaute Feldgeräte sind aus einem modularen Feldgerätekonzept zusammengestellt. Bei einem modularen Feldgerätekonzept kann aus einer Mehrzahl von kombinierbaren Sensoren, Gehäusen, Elektronikeinheiten und Bedien- und/ oder Anzeigeeinheiten ausgewählt und ein entsprechendes Feldgerät aufgebaut werden. Ein solches modulares Feldgerätekonzept wird bspw. von der Firma Vega Grieshaber KG angeboten. Kombinierbar sind in der Regel ein Sensor, ein entsprechendes Elektronikmodul, das eine Messwertverarbeitung und eine Schnittstelle zu einer Steuerung und ggf. einem verwendeten Feldbus bereitstellt, sowie verschiedene Anzeige- und/oder Bedieneinheiten. Die Sensoren, Elektronikmodule und Anzeige und/oder Bedieneinheiten sind sowohl aneinander als auch an verschiedene verfügbare Gehäuse angepasst.Modular field devices are composed of a modular field device concept. With a modular field device concept, a number of combinable sensors, housings, electronic units and operating and/or display units can be selected and a corresponding field device can be set up. Such a modular field device concept is offered, for example, by the company Vega Grieshaber KG. A sensor, a corresponding electronics module that provides measured value processing and an interface to a controller and, if applicable, a fieldbus that is used, as well as various display and/or operating units can generally be combined. The sensors, electronic modules and display and/or operating units are adapted both to one another and to various available housings.

Das Nachrüstmodul kann eine Mehrzahl von funktionalen Einheiten zur Implementierung der vorgegebenen IT-Sicherheitsstufe aufweisen. Auf diese Weise können mehrere unterschiedliche Nachrüstmodule mit unterschiedlichen funktionalen Einheiten zur Verfügung gestellt werden, die im Zusammenwirken mit einem Feldgerät unterschiedliche IT-Sicherheitsstufen implementieren.The retrofit module can have a plurality of functional units for implementing the specified IT security level. In this way, several different retrofit modules with different functional units can be made available, which implement different IT security levels in interaction with a field device.

Alternativ kann ein Nachrüstmodul derart ausgestaltet sein, dass es in Zusammenwirkung mit einem Feldgerät mehrere unterschiedlichen IT-Sicherheitsstufen implementieren kann. Das bedeutet in diesem Zusammenhang, dass durch wenigstens zwei funktionale Einheiten wenigstens zwei unterschiedliche IT-Sicherheitsstufen implementiert werden können. Je nach den gegebenen Anforderungen können dann einzelne zur Implementierung einer bestimmten IT-Sicherheitsstufe nicht benötigte oder nicht zulässige funktionale Einheiten deaktiviert oder benötiget oder vorgeschriebene funktionalen Einheiten aktiviert werden, sodass mit einem Nachrüstmodul mehrere unterschiedliche IT-Sicherheitsstufen implementiert werden können.Alternatively, a retrofit module can be designed in such a way that it can implement several different IT security levels in cooperation with a field device. That means in this Context that at least two different IT security levels can be implemented by at least two functional units. Depending on the given requirements, individual functional units that are not required or not permitted for the implementation of a specific IT security level can then be deactivated or required, or prescribed functional units can be activated, so that several different IT security levels can be implemented with a retrofit module.

Unter funktionalen Einheiten werden in der vorliegenden Anmeldung in Hardware oder Software implementierte Funktionsblöcke verstanden, die für die Einhaltung der vorgegebenen IT-Sicherheitsstufen ausschlaggebend sind. Insbesondere unterscheiden sich in der Regel die IT-Sicherheitsstufen unterschiedlicher Höhe wenigstens in einer funktionalen Einheit, d. h. dass zur Implementierung der einen IT-Sicherheitsstufe wenigstens eine funktionale Einheit aktiviert oder deaktiviert ist, die zur Implementierung einer anderen IT-Sicherheitsstufe entsprechend nicht aktiviert oder deaktiviert ist.In the present application, functional units are understood to be functional blocks implemented in hardware or software, which are crucial for compliance with the specified IT security levels. In particular, the IT security levels of different levels usually differ at least in one functional unit, i. H. that at least one functional unit is activated or deactivated for the implementation of one IT security level, which is not activated or deactivated accordingly for the implementation of another IT security level.

Die dieser Anmeldung zugrundeliegenden IT-Sicherheitsstufen können verschiedene Aspekte der IT-Sicherheit betreffen und durch verschiedene Maßnahmen, die in der vorliegenden Anmeldung in den funktionalen Einheiten zusammengefasst sind, implementiert werden.The IT security levels on which this application is based can relate to various aspects of IT security and can be implemented by various measures, which are summarized in the functional units in the present application.

Aspekte der IT-Sicherheit, wie sie in den anmeldungsgegenständlichen IT-Sicherheitsstufen implementiert sein können, sind unter anderem verschiedene Stufen der Identifikation und Authentifizierung von Nutzern, Geräten und Software, der Nutzungskontrolle, der Absicherung der Kommunikation des Feldgerätes hinsichtlich Authentifizierung und Integrität sowie bspw. von geforderten Reaktionszeiten.Aspects of IT security, as they can be implemented in the IT security levels that are the subject of the application, include various levels of identification and authentication of users, devices and software, usage control, protection of the communication of the field device with regard to authentication and integrity and, for example, required response times.

Das Nachrüstmodul kann dazu eine erste elektrische Schnittstelle zur Verbindung der Feldgeräteelektronik des Füllstandmessgeräts und ein Kommunikationsmodul zur Verbindung mit einer übergeordneten Einheit aufweisen. Mittels der ersten elektrischen Schnittstelle kann das Nachrüstmodul mit der Feldgeräteelektronik, vorzugsweise einer Kommunikationsschnittstelle, weiter bevorzugt einer verdrahteten Kommunikationsschnittstelle der Feldgeräteelektronik verbunden werden. Mit dem Kommunikationsmodul kann das Nachrüstmodul eine Kommunikation nach außen aufbauen. Nach außen bedeutet in diesem Sinne zu einer Einheit außerhalb des Feldgerätes, insbesondere einer übergeordneten Einheit, einem Bediengerät oder anderen Feldgeräten.For this purpose, the retrofit module can have a first electrical interface for connecting the field device electronics of the filling level measuring device and a communication module for connecting to a higher-level unit. The retrofit module can be connected to the field device electronics, preferably a communication interface, more preferably a wired communication interface of the field device electronics, by means of the first electrical interface. With the communication module, the retrofit module can establish communication to the outside. In this sense, to the outside means to a unit outside the field device, in particular a higher-level unit, an operating device or other field devices.

Übergeordnete Einheiten können in diesem Zusammenhang neben Auswertegeräten und Computern bspw. in einer Leitwarte auch Server in einer LAN- (Local Area Network) oder WAN (Wide Area Network) Umgebung sein. Auch Geräte in Virtuellen Privaten Netzwerken (VPN) sind hiervon erfasst.In this context, in addition to evaluation devices and computers, for example in a control room, higher-level units can also be servers in a LAN (Local Area Network) or WAN (Wide Area Network) environment. This also includes devices in virtual private networks (VPN).

Die erste Schnittstelle des Nachrüstmoduls ist vorzugsweise zur Verbindung mit der Kommunikationsschnittstelle des Feldgeräts ausgebildet. Auf diese Weise wird eine einfache Verbindung des Nachrüstmoduls mit der Feldgeräteelektronik ermöglicht. Ggf. können hierzu vorhandene Steckkontakte oder Anschlussklemmen verwendet werden und so eine unmittelbare Anbindung des Nachrüstmoduls an die Feldgeräteelektronik realisiert werden.The first interface of the retrofit module is preferably designed for connection to the communication interface of the field device. In this way, a simple connection of the retrofit module to the field device electronics is made possible. If necessary, existing plug contacts or connection terminals can be used for this purpose and thus a direct connection of the retrofit module to the field device electronics can be implemented.

Ist die Kommunikationsschnittstelle des Feldgerätes eine verdrahtete Schnittstelle und wird diese auf diese Weise mit dem Nachrüstmodul verbunden, so kann durch eine geeignete Ausgestaltung der Verbindung außerdem erreicht werden, dass von der Kommunikationsschnittstelle des Feldgerätes andere, möglicherweise ungesicherte Kommunikationsverbindungen nach außen aufgebaut werden. Im einfachsten Fall ist ein Steckplatz der Kommunikationsschnittstelle durch das daran angeschlossene Nachrüstmodul belegt und somit keine weitere Anschlussmöglichkeit gegeben.If the communication interface of the field device is a wired interface and this is connected to the retrofit module in this way, a suitable configuration of the connection can also result in other, possibly unsecured, external communication connections being set up from the communication interface of the field device. In the simplest case, a slot in the communication interface is occupied by the retrofit module connected to it and there is therefore no further connection option.

Um eine möglichst große Manipulationssicherheit zu erreichen kann eine Verbindung der ersten Schnittstelle mit der Kommunikationsschnittstelle mechanisch irreversibel ausgestaltet sein. Das bedeutet, dass die Verbindung, wenn sie einmal hergestellt wurde, nicht mehr gelöst werden kann. Bspw. kann die Verbindung nicht ohne die Verbindung zu zerstören, oder zumindest einen detektierbaren Bruch der Sicherheitsstufe gelöst werden.In order to achieve the greatest possible protection against manipulation, a connection between the first interface and the communication interface can be designed to be mechanically irreversible. This means that once the connection is made, it cannot be broken. For example, the connection cannot be released without destroying the connection, or at least a detectable break in the security level.

Dies kann bspw. dadurch erreicht werden, dass eine Verbindung der ersten Schnittstelle mit der Kommunikationsschnittstelle eine Verbindung der Feldgeräteelektronik zu der übergeordneten Einheit irreversibel unterbricht. Wird die Verbindung zu dem Nachrüstmodul wieder gelöst, so ist auch eine direkte Verbindung der Feldgeräteelektronik mit der übergeordneten Einheit unterbrochen, was von dieser bspw. detektiert werden kann.This can be achieved, for example, in that a connection between the first interface and the communication interface irreversibly interrupts a connection between the field device electronics and the superordinate unit. If the connection to the retrofit module is released again, a direct connection between the field device electronics and the superordinate unit is also interrupted, which can be detected by the latter, for example.

Eine Möglichkeit für eine solche irreversible Unterbrechung kann bspw. mittels Schneidklemmen erreicht werden, die eine Kabelverbindung von der Feldgeräteelektronik zu der übergeordneten Einheit unterbricht und gleichzeitig die Verbindung zu dem Nachrüstmodul herstellt. Wird diese Verbindung wieder gelöst, so ist auch die Verbindung von der Feldgeräteelektronik zu der übergeordneten Einheit unterbrochen. Da diese Verbindung nicht ohne weiteres ohne eine kurze Unterbrechung wiederhergestellt werden kann, wird ein Manipulationsversuch erkannt und es kann entsprechend reagiert werden.One possibility for such an irreversible interruption can be achieved, for example, by means of insulation displacement connectors, which interrupt a cable connection from the field device electronics to the superordinate unit and at the same time establish the connection to the retrofit module. If this connection is released again, the connection from the field device electronics to the superordinate unit is also interrupted. Since this connection cannot easily be reestablished without a brief interruption, an attempt at manipulation is recognized and an appropriate response can be made.

Zusätzlich oder alternativ kann das Nachrüstmodul eine mechanische Schnittstelle zur irreversiblen Verbindung mit dem Füllstandmessgerät aufweisen. Eine solche mechanisch irreversible Verbindung stellt sicher, dass die Verbindung zwischen dem Füllstandmessgerät und dem Nachrüstmodul nicht mehr gelöst werden und so das Nachrüstmodul auch nicht mehr entfernt werden kann.In addition or as an alternative, the retrofit module can have a mechanical interface for irreversible connection to the filling level measuring device. Such a mechanically irreversible connection ensures that the connection between the filling level measuring device and the retrofit module can no longer be loosened and the retrofit module can therefore also no longer be removed.

Die mechanisch irreversible Verbindung zwischen dem Nachrüstmodul und dem Feldgerät kann das Nachrüstmodul bspw. in einer Gehäusekammer, in der es angeordnet ist, irreversibel verankern. Das bedeutet, dass das Nachrüstmodul, wenn es einmal vorschriftsgemäß installiert wurde, nicht mehr entfernt werden kann.The mechanically irreversible connection between the retrofit module and the field device can irreversibly anchor the retrofit module, for example, in a housing chamber in which it is arranged. This means that once the retrofit module has been properly installed, it cannot be removed.

Sowohl die vorschriftsgemäße Installation als auch ein möglicherweise unzulässiges Entfernen können mittels entsprechender Kontaktschalter überwacht werden. Ein solcher Sabotagekontakt würde der übergeordneten Einheit dann melden, wenn das Nachrüstmodul widerrechtlich entfernt oder manipuliert wurde. Der widerrechtliche Eingriff wird so erkannt und es können Gegenmaßnahmen ergriffen werden.Both the correct installation and a possibly inadmissible removal can be monitored using appropriate contact switches. Such a sabotage contact would report to the higher-level unit if the retrofit module was unlawfully removed or tampered with. The unlawful interference is thus recognized and countermeasures can be taken.

Die mechanisch irreversible Verbindung kann bspw. als irreversible Rastverbindung und/oder eine irreversible Schraubverbindung und/oder eine irreversible Klebeverbindung ausgebildet sein und/oder eine irreversible Barriere umfassen.The mechanically irreversible connection can be designed, for example, as an irreversible snap-in connection and/or an irreversible screw connection and/or an irreversible adhesive connection and/or comprise an irreversible barrier.

Eine irreversible Barriere kann z. B. ein Gehäusedeckel sein, der eine Gehäusekammer, in der das Nachrüstmodul angeordnet ist, irreversibel verschließt. Dazu kann ein ursprünglicher Gehäusedeckel ausgetauscht und mit einem selbstsichernden Deckel ersetzt werden. Ein selbstsichernder Deckel kann bspw. Rasthaken oder dergleichen aufweisen, die ein Öffnen des Deckels nach einem erstmaligen vollständigen Verschließen, verhindern. Zusätzlich oder alternativ kann der selbstsichernde Deckel eine Verklebung aufweisen, die den Deckel in einer verschraubten Position fixiert.An irreversible barrier can e.g. B. be a housing cover that irreversibly closes a housing chamber in which the retrofit module is arranged. For this purpose, an original housing cover can be exchanged and replaced with a self-locking cover. A self-locking cover can, for example, have latching hooks or the like that prevent the cover from opening after it has been completely closed for the first time. Additionally or alternatively, the self-locking cover can have an adhesive bond that fixes the cover in a screwed position.

In einer Ausgestaltungsform weist das Nachrüstmodul ein Kryptomodul zur Signierung und/oder Verschlüsselung von Daten auf. Durch eine Signatur kann ein Empfänger sicherstellen, dass Daten von einem bestimmten Urheber, hier dem Nachrüstmodul und mittelbar damit von dem damit ausgestatteten Feldgerät stammen. Ferner kann die Datenintegrität sichergestellt werden, d.h. ein Empfänger der Daten kann verifizieren, dass die Daten seit der Signierung durch den Absender, also das Nachrüstmodul, nicht verändert wurden. Insgesamt kann durch ein solches Kryptomodul also die Datenübermittlung von dem Feldgerät, das mit dem Nachrüstmodul ausgestattet ist zu übergeordneten Einheiten sicherer ausgestaltet werden.In one embodiment, the retrofit module has a crypto module for signing and/or encrypting data. A recipient can use a signature to ensure that data originates from a specific originator, here the retrofit module and indirectly from the field device equipped with it. Furthermore, the data integrity can be ensured, i.e. a recipient of the data can verify that the data has not been changed since it was signed by the sender, i.e. the retrofit module. Overall, data transmission from the field device, which is equipped with the retrofit module, to higher-level units can be configured more securely using such a crypto module.

Es sei an dieser Stelle betont, dass das Kryptomodul wir zuvor beschrieben nicht zwingend eine Verschlüsselung bewirkt, sondern auch lediglich das Versehen der versendeten Daten mit einer Signatur eine Aufgabe eines Kryptomoduls gemäß der vorliegenden Anmeldung sein kann.It should be emphasized at this point that the crypto module, as described above, does not necessarily cause encryption, but that the task of a crypto module according to the present application can simply be to provide the sent data with a signature.

Das Kryptomodul kann sowohl als Hardware als auch als Softwaremodul ausgebildet sein, d. h. dass es sowohl durch Hardwarekomponenten, insbesondere einen dedizierten Kryptochip, als auch durch Softwarekomponenten, d. h. als entsprechender Computerprogrammcode, der wenn er von einem Prozessor ausgeführt wird, die Signierung und/oder Verschlüsselung der Daten bewerkstelligt, ausgebildet sein.The crypto module can be designed both as hardware and as a software module, i. H. that there are hardware components, in particular a dedicated crypto chip, as well as software components, d. H. be embodied as corresponding computer program code which, when executed by a processor, effects the signing and/or encryption of the data.

Unter Softwarekomponenten werden in der vorliegenden Anmeldung Teile oder Module von Software verstanden, d. h. Computerprogrammcode, der wenn er von einem Prozessor ausgeführt wird, diesen dazu veranlasst Befehle zur Realisierung der gewünschten Funktionalität der Softwarekomponente, auszuführen.In the present application, software components are understood to mean parts or modules of software, i. H. Computer program code that, when executed by a processor, causes the processor to execute instructions to implement the desired functionality of the software component.

Das Nachrüstmodul kann zusätzlich oder alternativ ein Authentifizierungsmodul aufweisen. Ein Authentifizierungsmodul kann abhängig von dem gewünschten IT-Sicherheitslevel verschiedene Komponenten umfassen. So kann es bspw. eine Nutzer- und Passwortverwaltung, eine Berechtigungsverwaltung, ein Modul für eine Multifaktor-Authentifizierung sowie ggf. notwendige Hardwareschnittstellen dafür aufweisen. Entsprechende Hardwareschnittstellen können bspw. Sensoren für eine Präsenzerkennung, Eingabefelder für eine Pin, Sensoren für biometrische Daten, bspw. Fingerabdrucksensoren oder Retinascanner, und/oder Schnittstellen zum Auslesen von mechanischen Schlüsseln und/oder elektrisch auslesbaren Tokens, insbesondere NFC-Schnittstellen zum Auslesen von NFC-Tokens oder dergleichen sein.The retrofit module can additionally or alternatively have an authentication module. An authentication module can include different components depending on the desired IT security level. For example, it can have user and password management, authorization management, a module for multi-factor authentication and any necessary hardware interfaces for this. Corresponding hardware interfaces can be, for example, sensors for presence detection, input fields for a pin, sensors for biometric data, for example fingerprint sensors or retina scanners, and/or Interfaces for reading mechanical keys and/or electrically readable tokens, in particular NFC interfaces for reading NFC tokens or the like.

Die Nutzerauthentifizierung kann dabei nicht nur eine Authentifizierung von Bedienpersonal umfassen, sondern auch eine Authentifizierung von zugelassenen Bediengeräten und/oder Kommunikationspartnern implementieren.The user authentication can not only include authentication of operating personnel, but also implement authentication of authorized operating devices and/or communication partners.

Das Nachrüstmodul kann ferner eine Authentifizierungsschnittstelle für ein externes, zweites Authentifizierungsmodul aufweisen. Eins solches externes, zweites Authentifizierungsmodul kann bspw. ein Authentifizierungsmodul eines Bediengeräts sein, sodass die Benutzerauthentifizierung an dem Bediengerät auch für das Feldgerät übernommen wird, sofern sich das Bediengerät gegenüber dem Nachrüstmodul hinreichend authentifiziert hat.The retrofit module can also have an authentication interface for an external, second authentication module. Such an external, second authentication module can, for example, be an authentication module of an operating device, so that the user authentication on the operating device is also taken over for the field device if the operating device has sufficiently authenticated itself to the retrofit module.

Eine Authentifizierung kann damit nicht nur für Bedienpersonen sondern auch für Geräte, die mit dem Feldgerät kommunizieren, erfolgen.Authentication can thus take place not only for operators but also for devices that communicate with the field device.

Das Authentifizierungsmodul kann ebenfalls als Hardwarekomponente und soweit keine Hardware notwendig ist, auch als Softwarekomponente ausgestaltet sein.The authentication module can also be configured as a hardware component and, if no hardware is required, also as a software component.

Zusätzlich oder alternativ kann das Nachrüstmodul eine Firewall, insbesondere einen Paketfilter aufweisen. Durch eine Firewall-Funktionalität kann sichergestellt werden, dass nur berechtigte Nutzer eine Verbindung zu dem Nachrüstmodul und damit dem Feldgerät aufbauen können (Verbindungsfilter) oder dass nur unschädliche Pakete das Nachrüstmodul passieren und damit zu dem Feldgerät zur weiteren Verarbeitung vordringen.Additionally or alternatively, the retrofit module can have a firewall, in particular a packet filter. A firewall functionality can ensure that only authorized users can establish a connection to the retrofit module and thus the field device (connection filter) or that only harmless packets pass through the retrofit module and thus reach the field device for further processing.

Das Nachrüstmodul kann in einer Ausgestaltungsform als Anzeige- und/oder Bedienmodul ausgebildet sein, oder alternativ ein solches aufweisen. Insbesondere bei modular aufgebauten Feldgeräten kann so bspw. ein regulär vorhandenes Anzeige- und/oder Bedienmodul durch das Nachrüstmodul, das als Anzeige- und/oder Bedienmodul ausgebildet ist, oder durch ein Anzeige- und/oder Bedienmodul, das das Nachrüstmodul aufweist, ausgetauscht werden.In one embodiment, the retrofit module can be designed as a display and/or operating module, or alternatively have such a module. For example, in the case of modular field devices in particular, a regularly present display and/or operating module can be replaced by the retrofit module, which is designed as a display and/or operating module, or by a display and/or operating module that has the retrofit module.

Insbesondere bei dem modularen Feldgerätesystem der Anmelderin bietet es sich an, das Nachrüstmodul in das bestehende modulare System zu integrieren.In the case of the applicant's modular field device system in particular, it makes sense to integrate the retrofit module into the existing modular system.

Das Sicherheitsmodul kann eine Mehrzahl von funktionalen Einheiten zur Implementierung einer Mehrzahl vorgegebener IT-Sicherheitsstufen unterschiedlicher Höhe aufweisen, wobei das Sicherheitsmodul ein Auswahlelement zur Auswahl einer IT-Sicherheitsstufe aufweist, wobei auf Basis der Auswahl die zur Implementierung der ausgewählten IT-Sicherheitsstufe notwendigen funktionalen Einheiten aktiviert und/oder nicht notwendige funktionale Einheiten deaktiviert werden.The security module can have a plurality of functional units for implementing a plurality of predetermined IT security levels of different levels, the security module having a selection element for selecting an IT security level, the functional units necessary for implementing the selected IT security level being activated and/or functional units which are not necessary being deactivated on the basis of the selection.

Es sei an dieser Stelle angemerkt, dass Aktivieren und Deaktivieren sich auf einen Betrieb, d. h. eingeschalteten Zustand des Nachrüstmoduls bzw. Feldgeräts bezieht und in diesem Zusammenhang, ein persistentes Inbetriebnehmen bzw. Au-ßerbetriebnehmen der jeweiligen funktionalen Einheiten bedeutet. Eine Deaktivierung oder in anderen Worten, ein Ausschalten des gesamten Feldgeräts hat dabei keinen Einfluss auf den Status der funktionalen Einheiten nach einem erneuten Einschalten des Feldgeräts.It should be noted at this point that activation and deactivation relate to an operation, i. H. refers to the switched-on state of the retrofit module or field device and, in this context, means persistent commissioning or decommissioning of the respective functional units. A deactivation or in other words, a switching off of the entire field device has no influence on the status of the functional units after the field device is switched on again.

In einer Ausgestaltung des Nachrüstmoduls ist das Sicherheitsmodul derart ausgebildet, dass eine einmalige Auswahl der IT-Sicherheitsstufe möglich ist. Das bedeutet in diesem Zusammenhang, dass die IT-Sicherheitsstufe, einmalig ausgewählt werden kann und anschließend festgelegt, also unveränderlich ist. Insbesondere kann die IT-Sicherheitsstufe einmalig nutzerseitig ausgewählt werden. Das bedeutet, dass das Nachrüstmodul im Auslieferungszustand keine, oder eine beliebige, herstellerseitig vorgebbare IT-Sicherheitsstufe aufweisen kann, die dann einmalig nutzerseitig verändert werden kann.In one embodiment of the retrofit module, the security module is designed in such a way that the IT security level can be selected once. In this context, this means that the IT security level can be selected once and then fixed, i.e. it cannot be changed. In particular, the IT security level can be selected once by the user. This means that the retrofit module in the delivery state can have no IT security level or any IT security level that can be specified by the manufacturer, which can then be changed once by the user.

Eine einmalig nutzerseitige Auswahl, kann dabei insbesondere bedeuten, dass eine nachträgliche nutzerseitige Veränderung des IT-Sicherheitslevels nicht möglich ist. In bestimmten Ausführungsformen kann zwischen einer nutzerseitigen Veränderung des IT-Sicherheitslevels und einer administratorseitigen Veränderung des IT-Sicherheitslevels unterschieden werden. Das bedeutet, dass in einer Ausführungsform vorgesehen sein kann, dass ein Administrator das IT-Sicherheitslevel auch nach einer erstmaligen Einstellung bei der Inbetriebnahme auch nachträglich noch ändern kann. Hierzu kann aber bspw. vorgesehen sein, dass dies zusätzlich zu einer Authentifizierung als Administrator nur mit einem gerätespezifischen Entsperrcode und/oder mit einer zusätzlichen herstellerseitigen Freigabe erfolgen kann.A one-off selection by the user can mean in particular that it is not possible for the user to subsequently change the IT security level. In certain embodiments, a distinction can be made between a user-side change in the IT security level and an administrator-side change in the IT security level. This means that in one embodiment it can be provided that an administrator can also subsequently change the IT security level even after it has been set for the first time during commissioning. For this purpose, however, it can be provided, for example, that, in addition to authentication as an administrator, this can only be done with a device-specific unlock code and/or with an additional release from the manufacturer.

Zur Sicherstellung, dass das mit dem Nachrüstmodul versehene Feldgerät nur mit der gewünschten Sicherheitsstufe betrieben werden kann, kann das Sicherheitsmodul derart ausgestaltet sein, dass eine Auswahl der IT-Sicherheitsstufe bei einer Inbetriebnahme des mit dem Nachrüstmodul versehenen Feldgeräts möglich und insbesondere erforderlich ist.To ensure that the field device provided with the retrofit module can only be operated with the desired security level, the security module can be configured in such a way that the IT security level can be selected when the field device provided with the retrofit module is put into operation, and in particular is necessary.

Auf diese Weise kann der Betreiber einer Anlage dazu angehalten werden, bei der Inbetriebnahme eines neuen oder nachgerüsteten Feldgeräts die passende Sicherheitsstufe auszuwählen. Diese wird dann mit der Inbetriebnahme eingestellt und festgelegt. Zusätzlich oder alternativ zu dem oben beschriebenen Vorgehen kann ein nachträgliches Verändern der IT-Sicherheitsstufe mit einem Zurücksetzen des Feldgeräts auf Werkseinstellungen, d. h. in den Auslieferungszustand und damit mit einer erneuten Inbetriebnahme verbunden sein.In this way, the operator of a plant can be encouraged to select the appropriate security level when commissioning a new or upgraded field device. This is then set and defined during commissioning. In addition or as an alternative to the procedure described above, the IT security level can be subsequently changed by resetting the field device to the factory settings, i. H. to the delivery status and thus be associated with a renewed start-up.

Eine einmalige Auswahlmöglichkeit kann bspw. dadurch realisiert werden, dass das Auswahlelement mechanisch irreversibel ausgestaltet ist. Eine mechanisch irreversible Ausgestaltung des Auswahlelements kann bspw. durch eine geeignete Verrastung einer einmal getätigten Einstellung erfolgen. Eine solche Verrastung kann z. B. derart ausgestaltet sein, dass eine Veränderung des Auswahlelements nur zu einer höheren IT-Sicherheitsstufe hin möglich ist. Alternativ kann das Auswahlelement auch mechanisch festgesetzt, bspw. verklebt oder anderweitig fixiert werden. Zusätzlich oder alternativ kann ein mechanisches Auswahlelement auch eine Sollbruchstelle aufweisen, d. h., dass das Auswahlelement bei einem erstmaligen nutzerseitigen Einstellen der IT-Sicherheitsstufe bei erfolgter Einstellung an dieser Sollbruchstelle abbricht und damit ein nachträgliches Verändern der IT-Sicherheitsstufe unmöglich macht.A one-off selection option can be realized, for example, by designing the selection element to be mechanically irreversible. A mechanically irreversible configuration of the selection element can be achieved, for example, by suitable latching of a setting once it has been made. Such locking can, for. B. be designed in such a way that a change in the selection element is only possible towards a higher IT security level. Alternatively, the selection element can also be fixed mechanically, for example glued or fixed in some other way. Additionally or alternatively, a mechanical selection element can also have a predetermined breaking point, i. This means that the selection element breaks off at this predetermined breaking point when the user is setting the IT security level for the first time, making it impossible to change the IT security level at a later date.

Zusätzlich oder alternativ kann das Sicherheitsmodul derart ausgestaltet sein, dass eine Auswahl der IT-Sicherheitsstufe elektronisch irreversible ist. Dies kann bspw. dadurch erreicht werden, dass nach einem ersten Auslesen des Auswahlelements die dafür notwendigen elektrischen Verbindungen unterbrochen werden. Dies kann bspw. durch das gezielte Unterbrechen von dort eingebauten Sicherungen oder das anderweitige Zerstören der elektrischen Auslesbarkeit des Auswahlelements erfolgen. Zusätzlich oder alternativ können auch bei der Einstellung der IT-Sicherheitsstufe funktionale Elemente, die zur Implementierung der ausgewählten IT-Sicherheitsstufe deaktiviert werden, durch dauerhafte Unterbrechung der elektrischen Verbindung zu diesen funktionalen Elementen an einer Reaktivierung gehindert werden.Additionally or alternatively, the security module can be designed in such a way that a selection of the IT security level is electronically irreversible. This can be achieved, for example, by interrupting the electrical connections required for this after the selection element has been read out for the first time. This can be done, for example, by deliberately interrupting built-in fuses or destroying the electrical readability of the selection element in some other way. Additionally or alternatively, when setting the IT security level, functional elements that are deactivated to implement the selected IT security level can be prevented from reactivation by permanently interrupting the electrical connection to these functional elements.

Zum Beispiel kann es zur Implementierung einer bestimmten IT-Sicherheitsstufe vorgegeben sein, dass eine Funkschnittstelle außer Betrieb gesetzt wird. In der zuvor beschriebenen Ausführungsform kann eine Reaktivierung der Funkschnittstelle verhindert werden, indem bspw. eine elektrische Verbindung zur Funkschnittstelle dauerhaft unterbrochen, oder bspw. ein Sendeelement gezielt dysfunktional gemacht wird.For example, in order to implement a certain IT security level, it can be stipulated that a radio interface is deactivated. In the embodiment described above, reactivation of the radio interface can be prevented by, for example, permanently interrupting an electrical connection to the radio interface, or, for example, by making a transmission element dysfunctional in a targeted manner.

Zusätzlich oder alternativ kann das Sicherheitsmodul derart ausgestaltet sein, dass eine Auswahl der IT-Sicherheitsstufe softwaretechnisch irreversibel ist. Bspw. kann ein Teil eines Programmcodes, der ein Auslesen des Auswahlelementes und eine Einstellung der IT-Sicherheitsstufe realisiert, nach einer erfolgreichen Einstellung der IT-Sicherheitsstufe gelöscht oder anderweitig derart verändert werden, dass ein erneutes Auslesen des Auswahlelements nicht möglich ist. In dieser Ausführungsform könnte das Auswahlelement dann - sofern eine Veränderung nicht auch an dieser Stelle unterbunden ist - auf die Auswahl einer anderen, gegenüber der eingestellten IT-Sicherheitsstufe verstellt werden, diese geänderte Auswahl wird aber nicht mehr ausgelesen und die IT-Sicherheitsstufe damit nicht verstellt. Additionally or alternatively, the security module can be designed in such a way that a selection of the IT security level is irreversible in terms of software technology. For example, part of a program code that reads out the selection element and sets the IT security level can be deleted after the IT security level has been set successfully or otherwise changed in such a way that the selection element cannot be read out again. In this embodiment, the selection element could then - if a change is not also prevented at this point - be changed to the selection of a different IT security level than the set one, but this changed selection is no longer read out and the IT security level is therefore not changed.

Um sicherzustellen, dass eine einmal ausgewählte IT-Sicherheitsstufe zumindest nicht heruntergesetzt, d. h. nachträglich eine IT-Sicherheitsstufe mit einem niedrigeren IT-Sicherheitslevel ausgewählt wird, kann vorgesehen sein, dass das Nachrüstmodul bei Auslieferung die niedrigste IT-Sicherheitsstufe aufweist und das Sicherheitsmodul derart ausgebildet ist, dass ausschließlich eine Erhöhung der IT-Sicherheitsstufe möglich ist. Diese Funktionalität kann sowohl durch eine geeignete Ausgestaltung der Hardware, bspw. des Auswahlelements, als auch eine geeignete softwaremäßige Implementierung erreicht werden.In order to ensure that once an IT security level has been selected, it is at least not reduced, i. H. If an IT security level with a lower IT security level is subsequently selected, it can be provided that the retrofit module has the lowest IT security level on delivery and the security module is designed in such a way that only an increase in the IT security level is possible. This functionality can be achieved both by a suitable design of the hardware, for example the selection element, and a suitable software implementation.

Alternativ ist es auch möglich, dass das Nachrüstmodul in der höchsten IT-Sicherheitsstufe ausgeliefert wird, und nur eine Erniedrigung der IT-Sicherheitsstufe möglich ist.Alternatively, it is also possible for the retrofit module to be delivered with the highest IT security level, and only a lowering of the IT security level is possible.

Das Auswahlelement kann in einer Ausgestaltungsform als Hardware-Schalter, vorzugsweise als Schiebeschalter oder Drehschalter ausgebildet sein. Durch einen solchen Hardware-Schalter kann eine Auswahl der IT-Sicherheitsstufe intuitiv und anwenderfreundlich erfolgen. Eine in Hardware implementierte Ausgestaltung des Auswahlelements kann einen effektiven Schutz vor netzwerkbasierten Angriffen bilden und somit zur Absicherung des Feldgerätes beitragen.In one embodiment, the selection element can be designed as a hardware switch, preferably as a slide switch or rotary switch. Such a hardware switch can cause an off IT security level can be selected intuitively and user-friendly. An embodiment of the selection element implemented in hardware can provide effective protection against network-based attacks and thus contribute to protecting the field device.

In einer weiteren Ausgestaltungsform kann das Auswahlelement als Auswahlmenü in einer Bedienoberfläche ausgestaltet sein. Typischerweise umfasst der Prozess der Inbetriebnahme des Nachrüstmoduls bzw. des mit dem Nachrüstmodul versehenen Feldgeräts verschiedene Parametrierungsschritte, in die eine Auswahl der IT-Sicherheitsstufe auf diese Weise nahtlos eingefügt werden kann.In a further embodiment, the selection element can be designed as a selection menu in a user interface. Typically, the process of commissioning the retrofit module or the field device provided with the retrofit module includes various parameterization steps into which a selection of the IT security level can be seamlessly inserted in this way.

In einer Ausgestaltungsform des Nachrüstmoduls kann das Auswahlelement einen Multiplexer ansteuern, der mit den funktionalen Einheiten zur Implementierung der IT-Sicherheitsstufe zumindest im Auslieferungszustand verbunden ist. Auf diese Weise können die verschiedenen funktionalen Einheiten zur Implementierung der IT-Sicherheitsstufe über eine geeignete Ansteuerung des Multiplexers aktiviert oder deaktiviert werden.In one embodiment of the retrofit module, the selection element can control a multiplexer that is connected to the functional units for implementing the IT security level, at least in the delivery state. In this way, the various functional units for implementing the IT security level can be activated or deactivated via a suitable control of the multiplexer.

Ferner kann das Nachrüstmodul auch ein Firmware-Update für das vorhandene Feldgerät umfassen. Durch ein solches Firmware-Update für das Feldgerät kann bspw. sichergestellt werden, dass bspw. die Feldgeräteelektronik - abhängig von der ausgewählten Sicherheitsstufe - nur noch bestimmte Kommunikationswege, Gegenstellen, oder Anbaumodule akzeptiert, und/oder eine Deinstallation des Nachrüstmoduls verweigert wird.Furthermore, the retrofit module can also include a firmware update for the existing field device. Such a firmware update for the field device can, for example, ensure that, for example, the field device electronics—depending on the selected security level—only accept certain communication paths, remote stations, or add-on modules, and/or deinstallation of the retrofit module is refused.

Erfindungsgemäß ist auch ein modulares Feldgerät der Prozessautomatisierungtechnik mit einer Feldgeräteelektronik mit wenigstens einer Kommunikationsschnittstelle, wobei das Feldgerät ein Nachrüstmodul gemäß einem der vorhergehenden Ansprüche aufweist, das mit der Kommunikationsschnittstelle der Feldgeräteelektronik verbunden ist.According to the invention is also a modular field device of process automation technology with field device electronics with at least one communication interface, wherein the field device has a retrofit module according to one of the preceding claims, which is connected to the communication interface of the field device electronics.

Die vorliegende Erfindung wird nachfolgend anhand von Ausführungsbeispielen unter Bezug auf die beigefügten Figuren eingehend erläutert. Es zeigen:

1 zwei Feldgeräte gemäß dem Stand der Technik,
2 ein Ausführungsbeispiel gemäß der vorliegenden Anmeldung,
3 ein drittes Ausführungsbeispiel eines Feldgeräts gemäß der vorliegenden Anmeldung mit einem Nachrüstmodul und
4 ein Ausführungsbeispiel für ein Verfahren gemäß der vorliegenden Anmeldung.

The present invention is explained in detail below using exemplary embodiments with reference to the attached figures. Show it:

1 two state-of-the-art field devices,
2 an embodiment according to the present application,
3 a third embodiment of a field device according to the present application with a retrofit module and
4 an embodiment of a method according to the present application.

Die nachfolgend dargestellten Ausführungsbeispiele von Feldgeräten zeigen beispielhafte Implementierungen für die Umsetzung von IT-Sicherheitsstufen SL anhand der Definitionen der Norm IEC 62443. Die Beispiele sollen rein exemplarischen Charakter zur Verdeutlichung der grundsätzlichen Strukturen und Abläufe haben, und schließen die Übertragung auf andere existierende oder zukünftig entstehende Normen mit vergleichbaren Konzepten zur standardisierten Definition von Sicherheitsstufen gemäß dem Verständnis der vorliegenden Erfindung grundsätzlich mit ein. Es kann insbesondere vorgesehen sein, in zukünftigen Normen bestehende IT-Sicherheitsstufen SL zusammenzufassen, um beispielsweise eine Neudefinition von IT- Sicherheitsstufen SL gemäß dem Schema BASIC (entsprechend SL0 + SL1), SUBSTANTIAL (entsprechend SL2 + SL3) und HIGH (entsprechend SL4) vornehmen. Die Anwendung der vorliegenden Erfindung im Kontext neu definierter Sicherheitsstufen kann von einem Fachmann in naheliegender Art und Weise realisiert werden, weshalb auch zukünftige Neudefinitionen von Sicherheitsstufen im Kontext der vorliegenden Erfindung mit abgedeckt sein sollen.The exemplary embodiments of field devices shown below show exemplary implementations for the implementation of IT security levels SL based on the definitions of the standard IEC 62443. The examples are intended to be purely exemplary in nature to illustrate the basic structures and processes, and basically include the transfer to other existing or future standards with comparable concepts for the standardized definition of security levels according to the understanding of the present invention. In particular, provision may be made to combine existing IT security levels SL in future standards, for example in order to redefine IT security levels SL according to the BASIC (corresponding to SL0 + SL1), SUBSTANTIAL (corresponding to SL2 + SL3) and HIGH (corresponding to SL4) scheme. The application of the present invention in the context of newly defined security levels can be implemented in an obvious manner by a person skilled in the art, which is why future redefinitions of security levels in the context of the present invention should also be covered.

1 zeigt in den 1a) und 1b) zwei Feldgeräte 101, 102 gemäß dem Stand der Technik. 1 shows in the 1a) and 1b) two field devices 101, 102 according to the prior art.

1a) zeigt einen drahtgebunden betriebenes Feldgerät 101, das als Radarfüllstandmessgerät ausgebildet ist. Das Feldgerät 101 bezieht seine für den Betrieb notwendige Energie über eine Kabelverbindung 104, üblicherweise eine analoge oder digitale Verbindung 104. Das Feldgerät 101 ist vorliegend als Zweileiter-Feldgerät ausgebildet. 1a) shows a wired field device 101, which is designed as a radar level gauge. The field device 101 obtains the energy it needs for operation via a cable connection 104, usually an analog or digital connection 104. In the present case, the field device 101 is designed as a two-wire field device.

Unter einem Zweileiter-Feldgerät gemäß der vorliegenden Erfindung wird ein Feldgerät verstanden das über zwei Leitungen mit einer übergeordneten Einheit verbunden ist, wobei über diese beiden Leitungen sowohl eine Energieversorgung als auch eine Messwertübermittlung stattfindet.A two-wire field device according to the present invention is understood to mean a field device that is connected to a higher-level unit via two lines, both power supply and measured value transmission taking place via these two lines.

Die Energie- und/oder Signalübertragung zwischen dem Zweileiter-Feldgerät und der übergeordneten Einheiten erfolgt dabei nach dem bekannten 4 mA bis 20 mA Standard, bei dem eine 4 mA bis 20 mA Stromschleife, d. h. eine Zweidrahtleitung zwischen dem Feldgerät und der übergeordneten Einheit ausgebildet ist. Zusätzlich zu der analogen Übertragung von Signalen besteht die Möglichkeit, dass die Messgeräte gemäß verschiedenen anderen Protokollen, insbesondere digitalen Protokollen, weitere Informationen an die übergeordnete Einheit übermitteln oder von dieser empfangen. Beispielhaft seien hierfür das HART-Protokoll oder das Profibus-PA-Protokoll genannt. Es kann sich bei der Schnittstelle beispielsweise auch um eine IO-Link Schnittstelle handeln.The energy and/or signal transmission between the two-wire field device and the higher-level units takes place according to the known 4 mA to 20 mA standard, in which a 4 mA to 20 mA current loop, i.e. a two-wire line, is formed between the field device and the higher-level unit. In addition to the analogue transmission of signals, there is the possibility that the measuring devices transmit further information to or receive from the higher-level unit according to various other protocols, in particular digital protocols. Examples of this are the HART protocol or the Profibus-PA protocol. The interface can also be an IO-Link interface, for example.

Die Energieversorgung dieser Feldgeräte erfolgt ebenfalls über das 4 mA bis 20 mA Stromsignal, sodass neben der Zweidrahtleitung keine zusätzliche Versorgungsleitung notwendig ist.These field devices are also supplied with energy via the 4 mA to 20 mA current signal, so that no additional supply line is required in addition to the two-wire line.

Das drahtgebunden betriebene Feldgerät 101 nutzt also die Schnittstelle 104 zur Übermittlung seines Messwertes nach außen hin. Das Feldgerät 101 weist in der dargestellten Ausführungsform ein Anzeige- und Bedienmodul 103 zur Ermöglichung einer Interaktion mit einem Benutzer auf. Das Anzeige- und Bedienmodul 103 bezieht seine zum Betrieb erforderliche Energie über die Schnittstelle 102. Darüber hinaus nutzt das Nachrüstmodul 103 die Schnittstelle 102 zur Kommunikation mit einer Feldgerätelektronik des Feldgeräts 101.The wired field device 101 thus uses the interface 104 to transmit its measured value to the outside. In the embodiment shown, the field device 101 has a display and operating module 103 for enabling interaction with a user. The display and operating module 103 obtains the energy required for operation via the interface 102. In addition, the retrofit module 103 uses the interface 102 to communicate with field device electronics of the field device 101.

1b) zeigt ein autonom arbeitendes Feldgerät 105, welches die für den Betrieb des Feldgeräts 105 erforderliche Energie aus einer integrierten Batterie 106 beziehen, und einen ermittelten Messwert über eine Drahtlosschnittstelle 107 nach au-ßen hin bereitstellet. 1b) 10 shows an autonomously operating field device 105, which obtains the energy required for the operation of the field device 105 from an integrated battery 106 and provides a determined measured value to the outside via a wireless interface 107.

Autonom arbeitende Feldgeräte 105 sind autarke Messanordnungen, insbesondere autarke Füllstand- oder Grenzstandsensoren. Die autarken Füllstand- oder Grenzstandsensoren sind vorzugsweise als Radarsensoren ausgebildet und weisen - um die Autarkie der Sensoren sicher zu stellen - neben einem Messaufnehmer zur Erfassung von Messdaten eine Übermittlungseinrichtung zur, vorzugsweise drahtlosen, Übermittlung erfasster Messdaten oder Messwerte und eine eigene Energieversorgung auf. Die Übermittlungseinrichtung kann bevorzugt ein Funkmodul für eine Schmalbandfunktechnologie (LoRa, Sigfox, LTE-M, NB-IOT) sein, das die Messdaten oder Messwerte in eine Cloud, d. h. auf einen Server im World Wide Web überträgt. Die Energieversorgung ist vorzugsweise als Batterie oder Akkumulator ausgebildet und kann zusätzlich ein Energy-Harvesting-Modul umfassen.Autonomously operating field devices 105 are self-sufficient measuring arrangements, in particular self-sufficient level or limit sensors. The self-sufficient filling level or point level sensors are preferably designed as radar sensors and, in order to ensure the self-sufficiency of the sensors, have, in addition to a sensor for acquiring measurement data, a transmission device for preferably wireless transmission of acquired measurement data or measurement values, and their own power supply. The transmission device can preferably be a radio module for narrowband radio technology (LoRa, Sigfox, LTE-M, NB-IOT), which transfers the measurement data or measurement values to a cloud, i. H. transferred to a server on the World Wide Web. The energy supply is preferably designed as a battery or accumulator and can also include an energy harvesting module.

Das vorliegend dargestellte autonome Feldgerät 105 weist ein komplett hermetisch geschlossenes Gehäuse 108 auf. Das autonome Feldgerät 105 weist ein drahtlos arbeitendes Anzeige- und Bedienmodul 109 zur Ermöglichung einer Anzeige und/oder Bedienung auf. Sowohl die von dem Anzeige- und Bedienmodul 109 benötigte Energie als auch die erforderlichen Daten werden drahtlos zwischen dem autarken Feldgerät 105 und dem Anzeige- und Bedienmodul 109 ausgetauscht, beispielsweise unter Verwendung einer RFID Technologie.The autonomous field device 105 presented here has a completely hermetically sealed housing 108 . The autonomous field device 105 has a wireless display and operating module 109 to enable display and/or operation. Both the energy required by the display and control module 109 and the required data are exchanged wirelessly between the autonomous field device 105 and the display and control module 109, for example using RFID technology.

Diese bekannten Feldgeräte 101, 105 werden seit Jahren in großen Stückzahlen produziert, und haben eine bedeutende Verbreitung im Markt gefunden. Bisher bekannte Feldgeräte 101, 105 weisen bislang keine technischen Einrichtungen zur Erfüllung der Anforderungen zur Erlangung einer definierten IT-Sicherheitsstufe (SL) auf.These known field devices 101, 105 have been produced in large numbers for years and have become widespread on the market. Previously known field devices 101, 105 have not yet had any technical devices to meet the requirements for obtaining a defined IT security level (SL).

2 zeigt ein erstes erfindungsgemäßes Nachrüstmodul 201, welches nach Einbau in ein bekanntes Feldgerät 101 im Zusammenspiel mit diesem eine technische Vorrichtung ergibt, um die Anforderungen zur Erlangung einer definierten IT-Sicherheitsstufe (SL) zu implementieren. 2 shows a first retrofit module 201 according to the invention, which, after installation in a known field device 101 in interaction with this, results in a technical device in order to implement the requirements for achieving a defined IT security level (SL).

Das Nachrüstmodul 201 weist hierzu in Hardware implementierte spezialisierte funktionale Einheiten 202 auf, die zur Erreichung der IT-Sicherheitsstufe notwendig sind. Im Zusammenwirken mit in Software implementierten funktionalen Einheiten 203 und Hard- und Softwareeinheiten 110 der Feldgeräteelektronik 112 des Feldgeräts 101 werden die Vorgaben umsetzt, die notwendig sind, um eine der oben definierten IT-Sicherheitsstufen SL1, SL2, SL3 oder SL4 zu erreichen.For this purpose, the retrofit module 201 has specialized functional units 202 implemented in hardware, which are necessary to achieve the IT security level. In interaction with software-implemented functional units 203 and hardware and software units 110 of the field device electronics 112 of the field device 101, the specifications are implemented that are necessary to achieve one of the IT security levels SL1, SL2, SL3 or SL4 defined above.

Anhand des Beispiels einer Nutzerauthentifizierung wird nachfolgend das den Ausführungsbeispielen zugrundeliegende Prinzip näher erläutert.The principle on which the exemplary embodiments are based is explained in more detail below using the example of user authentication.

Soll ein existierendes Feldgerät 101 beispielsweise befähigt werden, die Anforderungen zur Erlangung der Sicherheitsstufe SL2 zu erfüllen, so muss ein Mechanismus zur Verwaltung einer vorgebbaren Liste von Benutzern mit zugehörigen Passwörtern und individuellen Zugriffsrechten im Feldgerät hinterlegt sein. Auf diese Weise soll ein unautorisierter Zugriff auf die Einstellungen des Feldgeräts 101 verhindert werden.If an existing field device 101 is to be enabled, for example, to meet the requirements for obtaining security level SL2, then a mechanism for managing a specifiable List of users with associated passwords and individual access rights can be stored in the field device. In this way, unauthorized access to the settings of the field device 101 is to be prevented.

Da das ursprüngliche Feldgerät 101 keine Hard- und Softwareeinheiten 110 zur Umsetzung einer Benutzerverwaltung aufweist, wird dieses mit einem Nachrüstmodul 201 versehen, das vorliegend als Anzeige- und Bedienmodul ausgestaltet ist. Das Nachrüstmodul ist derart ausgestaltet, dass es eine über die Tastatur 204 initiierte Benutzeranmeldung durch Abarbeitung einer in Software implementierten, in der funktionalen Einheit 203 hinterlegte Anmelderoutine unter Verwendung einer vorab abgespeicherten Liste zugelassener Benutzer, die in der in der Hardware implementierten funktionalen Einheit 202 persistent abgespeichert sind, ausführt. Eine Anmeldung des Benutzers wird nur dann akzeptiert, wenn der Benutzer bekannt, d. h. in der hardwaremäßig hinterlegten Liste enthalten ist, und das dem Benutzer zugeordnete gültige Passwort eingegeben hat. Ist beides erfolgt, wird im Zusammenspiel der Tastatur 204 und der Anzeige 205 eine autorisierte Bedienung des Feldgeräts 101 freigegeben, zu welcher das Anzeige- und Bedienmodul 103, 109 in bekannter Art und Weise mit dem Feldgerät 101 über die Schnittstelle 102 kommuniziert.Since the original field device 101 has no hardware and software units 110 for implementing user administration, it is provided with a retrofit module 201, which is designed here as a display and operating module. The retrofit module is designed in such a way that it executes a user login initiated via the keyboard 204 by processing a login routine implemented in software and stored in the functional unit 203 using a previously stored list of authorized users that is persistently stored in the functional unit 202 implemented in the hardware. A registration of the user will only be accepted if the user is known, i. H. is contained in the list stored in the hardware and has entered the valid password assigned to the user. If both have taken place, the interaction of the keyboard 204 and the display 205 enables authorized operation of the field device 101, for which the display and operating module 103, 109 communicates with the field device 101 via the interface 102 in a known manner.

Im Rahmen eines modularen Feldgerätekonzepts werden weitere Nachrüstmodule 201 vom Hersteller bereitgestellt, mit welchen die Anforderungen anderer IT-Sicherheitsstufen erfüllt werden. So kann ein alternatives Nachrüstmodul 201 zur Erlangung der Sicherheitsstufe SL3 bereits in Hard- und Software implementierte funktionale Einheiten zur Realisierung einer Multifaktorauthentifizierung aufweisen. Zusätzlich zu der Tastatur 204 kann dies beispielsweise eine (hier nicht grafisch dargestellte) NFC Schnittstelle sein, mit welcher die Präsenz eines NFC-Tokens zusätzlich verifiziert werden kann.As part of a modular field device concept, further retrofit modules 201 are provided by the manufacturer, with which the requirements of other IT security levels are met. An alternative retrofit module 201 for obtaining security level SL3 can thus have functional units already implemented in hardware and software for realizing multi-factor authentication. In addition to the keyboard 204, this can, for example, be an NFC interface (not shown graphically here) with which the presence of an NFC token can also be verified.

Die Montage des Nachrüstmoduls 201 gemäß dem vorliegend dargestellten Ausführungsbeispiel ist persistent ausgestaltet, d. h. dass ein nachträgliches Entfernen des Nachrüstmoduls 201 dauerhaft verhindert wird.The assembly of the retrofit module 201 according to the exemplary embodiment presented here is designed to be persistent, i. H. that subsequent removal of the retrofit module 201 is permanently prevented.

Es wird so verhindert, dass die mittels des Nachrüstmoduls 201 erreichte IT-Sicherheitsstufe SL des aktualisierten Gesamtgerätes 101, 201 nachträglich unberechtigterweise durch unbefugtes Demontieren des Nachrüstmoduls 201 wieder deaktiviert wird. Hierfür wird eine unbefugte Demontage durch mechanische Sicherungsmechanismen unterbunden. Zum einen ist das Nachrüstmodul 201 mit der Feldgeräteelektronik 112 des Feldgeräts 101, durch eine umlaufende Verklebung 206 verbunden. Zum anderen wird die gewünschte Persistenz elektronisch sichergestellt. Das Nachrüstmodul 201 modifiziert bei einem erstmaligen Verbinden mit der Feldgeräteelektronik 112 des Feldgeräts 101 eine Firmware 111 des Feldgeräts 101 derart, dass diese fortan nur noch Daten mit genau diesem Nachrüstmodul 201 austauscht, und bei einem nicht vorhandenen Nachrüstmodul 201 oder bei einem Austausch gegen ein nicht authentifiziertes Nachrüstmodul 201 den Betrieb einstellt, um nach außen hin einen Fehler zu signalisieren, beispielsweise durch das Ausgeben eines Statussignals für einen ungültigen Messwert.This prevents the IT security level SL of the updated overall device 101, 201 achieved by means of the retrofit module 201 from being subsequently deactivated again without authorization by unauthorized dismantling of the retrofit module 201. For this purpose, unauthorized dismantling is prevented by mechanical security mechanisms. On the one hand, the retrofit module 201 is connected to the field device electronics 112 of the field device 101 by a circumferential adhesive bond 206 . On the other hand, the desired persistence is electronically ensured. When connecting to the field device electronics 112 of the field device 101 for the first time, the retrofit module 201 modifies a firmware 111 of the field device 101 in such a way that from now on it only exchanges data with precisely this retrofit module 201, and if the retrofit module 201 is not present or if it is replaced with an unauthenticated retrofit module 201, the operation stops in order to signal an error to the outside, for example by outputting a status signal s for an invalid reading.

In einer weiteren Ausführungsform kann zusätzlich oder alternativ vorgesehen sein, den Deckel 207 durch einen mechanisch modifizierten Deckel zu ersetzen, welcher ein Aufschrauben nach einmaligem Schließen mechanisch verhindert, sodass ein Zugriff auf das Nachrüstmodul 201 verhindert wird.In a further embodiment, provision can additionally or alternatively be made to replace the cover 207 with a mechanically modified cover which mechanically prevents it from being unscrewed after it has been closed once, so that access to the retrofit module 201 is prevented.

3 zeigt ein weiteres Ausführungsbeispiel eines Nachrüstmoduls 301 zur Erlangung einer definierten IT-Sicherheitsstufe (SL). Wie aus der Grafik ersichtlich, wird hier beispielhaft ein autarkes Feldgerät 105 durch ein Nachrüstmodul 301 befähigt, erweiterte Anforderungen im Hinblick auf die Erreichung einer IT-Sicherheitsstufe (SL) zu erfüllen. 3 shows a further exemplary embodiment of a retrofit module 301 for obtaining a defined IT security level (SL). As can be seen from the graphic, a self-sufficient field device 105 is enabled by a retrofit module 301 to meet extended requirements with regard to achieving an IT security level (SL).

Die Hardwareeinheiten 302, 304, 306 realisieren im Zusammenwirken mit den Softwareeinheiten 303, 305, 307 eine definierte Menge an Funktionalitäten, welche zur Erlangung mehrerer sich unterscheidender IT-Sicherheitsstufen (SL) erforderlich sind. Über einen Selektor 308 kann vom Anwender eine definierte IT-Sicherheitsstufe (SL) eingestellt werden. Beispielsweise wird in einer ersten Position des Selektors 308 von einer Selektionseinheit 309, beispielsweise einem Multiplexer, die Sicherheitsfunktion des Hardwarebausteins 302 im Zusammenspiel mit den Softwareeinheiten 303 aktiviert. Gleichzeitig können die Einheiten 304, 305, 306, 307 deaktiviert werden. Somit wird das Nachrüstmodul 301 befähigt, im Zusammenspiel mit dem Feldgerät 105 die Anforderungen gemäß einer ersten IT-Sicherheitsstufe (SL) zu implementieren. Wird hingegen die Selektionseinheit 309 in einer zweiten Position aktiviert, so können die Einheiten 302, 303, 306, 307 deaktiviert und die Einheiten 304, 305 zur Erfüllung der Anforderungen einer zweiten IT-Sicherheitsstufe (SL) aktiviert sein. Nach diesem Schema ist es möglich, ein Nachrüstmodul bereitzustellen, welches bestehende Sensoren derart erweitert, dass diese im Zusammenspiel mit dem Nachrüstmodul die Anforderungen gemäß einer in dem Nachrüstmodul 301 wählbaren IT-Sicherheitsstufe SL erfüllen.In cooperation with the software units 303, 305, 307, the hardware units 302, 304, 306 implement a defined set of functionalities which are required to obtain a number of different IT security levels (SL). A defined IT security level (SL) can be set by the user via a selector 308 . For example, in a first position of the selector 308, the safety function of the hardware module 302 in interaction with the software units 303 is activated by a selection unit 309, for example a multiplexer. At the same time, the units 304, 305, 306, 307 can be deactivated. The retrofit module 301 is thus enabled, in interaction with the field device 105, to implement the requirements according to a first IT security level (SL). If, on the other hand, the selection unit 309 is activated in a second position, the units 302, 303, 306, 307 can be deactivated and the units 304, 305 can be activated to meet the requirements of a second IT security level (SL). According to this scheme, it is possible to provide a retrofit module, which best Current sensors are expanded in such a way that, in conjunction with the retrofit module, they meet the requirements according to an IT security level SL that can be selected in the retrofit module 301.

Es sei an dieser Stelle darauf hingewiesen, dass die hier beschriebene Wählbarkeit der IT-Sicherheitsstufe SL sowohl mit drahtgebundenen Nachrüstmodulen 201 als auch mit drahtlos arbeitenden Nachrüstmodulen 301 erreicht werden kann.It should be noted at this point that the ability to select the IT security level SL described here can be achieved both with wired retrofit modules 201 and with wireless retrofit modules 301 .

4 zeigt eine weitere Variante eines Nachrüstmoduls 401. 4 shows another variant of a retrofit module 401.

Eine Vielzahl an Feldgeräten in der Prozessindustrie wird mit sogenannten Zweikammergehäusen 402 ausgeliefert, welche die Möglichkeit bieten, in einer zweiten Gehäusekammer 403 Komponenten zum Blitzschutz oder für den Explosionsschutz unterzubringen. Diese Komponenten sind gehäuseintern über zumindest eine Drahtverbindung 404 mit der eigentlichen Feldgeräteelektronik 405 verbunden. A large number of field devices in the process industry are supplied with so-called two-chamber housings 402, which offer the possibility of accommodating components for lightning protection or explosion protection in a second housing chamber 403. Inside the housing, these components are connected to the actual field device electronics 405 via at least one wire connection 404 .

Das in der 4 dargestellte Nachrüstmodul 401 weist, wie auch die Nachrüstmodule 201, 301, Hard- und Softwareeinheiten 202, 203 auf, welche im Zusammenspiel mit der Feldgeräteelektronik 405 geeignet sind, die Anforderungen zur Erreichung einer definierten IT-Sicherheitsstufe SL umzusetzen. Das Nachrüstmodul 401 weist hierzu zumindest zwei drahtgebundene Schnittstellen auf, und lässt sich auf diese Weise in den Versorgungsstrang zwischen der Kommunikationsleitung 406 und der Feldgerätelektronik 405 einbauen.That in the 4 The retrofit module 401 shown has, like the retrofit modules 201, 301, hardware and software units 202, 203 which, in combination with the field device electronics 405, are suitable for implementing the requirements for achieving a defined IT security level SL. For this purpose, the retrofit module 401 has at least two wired interfaces, and in this way can be installed in the supply line between the communication line 406 and the field device electronics 405 .

Potentielle IT-relevante Sicherheitsattacken können in einer Vielzahl an Geräten im Wesentlichen nur über eine drahtgebundene Schnittstelle erfolgen. Es ist daher ein effektiver Ansatz, die Kommunikationsleitung 406 aufzutrennen, und ein Nachrüstmodul 401 in der zweiten Sensorkammer einzubauen. Das Nachrüstmodul 401 weist im gezeigten Ausführungsbeispiel eine drahtgebundene Ausgangsleitung 404 mit vordefinierter Länge auf, welche derart ausgeführt ist, dass die ursprüngliche Kontaktierungsschnittstelle 407 eines bestehenden Gerätes zu verbinden. Es kann ergänzend oder alternativ vorgesehen sein, dass das Nachrüstmodul 401 nicht wieder entfernbar (mechanisch persistent) am Feldgerät 402 befestigt ist. Im vorliegenden Ausführungsbeispiel ist das Nachrüstmodul 401 durch mit Klebstoff fixierbare Sicherheitsschraubverbinder in dem Gehäuse 402 des Feldgeräts befestigt.Potential IT-relevant security attacks can essentially only take place in a large number of devices via a wired interface. It is therefore an effective approach to split the communication line 406 and install an upgrade module 401 in the second sensor chamber. In the exemplary embodiment shown, the retrofit module 401 has a wired output line 404 with a predefined length, which is designed in such a way that the original contacting interface 407 of an existing device can be connected. In addition or as an alternative, it can be provided that the retrofit module 401 is fixed to the field device 402 in such a way that it cannot be removed again (mechanically persistent). In the present exemplary embodiment, the retrofit module 401 is fastened in the housing 402 of the field device by means of safety screw connectors that can be fixed with adhesive.

Zudem kann vorgesehen sein, den (nicht dargestellten) Originalgehäusedeckel durch einen selbstverklebenden und damit nicht wieder entfernbaren Gehäusedeckel 408 zu ersetzen.Provision can also be made to replace the original housing cover (not shown) with a self-adhesive housing cover 408 that cannot be removed again.

Das Nachrüstmodul 401 übernimmt abhängig von der erforderlichen IT-Sicherheitsstufe SL vielfältige Sicherheitsfunktionen für das Feldgerät 301, also beispielsweise die Nutzerverwaltung, Authentifizierung, Verschlüsselung oder auch andere Funktionen, die gemäß der gewünschten IT-Sicherheitsstufe SL von der jeweiligen Norm verlangt werden können. Es kann insbesondere auch vorgesehen sein, dass das Nachrüstmodul 401 als Firewall agiert, und die eingehenden Datenpakete fortlaufend kontrolliert und ggf. abweist.Depending on the required IT security level SL, the retrofit module 401 assumes a variety of security functions for the field device 301, for example user management, authentication, encryption or other functions that can be required by the respective standard according to the desired IT security level SL. In particular, it can also be provided that the retrofit module 401 acts as a firewall and continuously monitors and, if necessary, rejects the incoming data packets.

Es kann entsprechend der vorliegenden Anmeldung vorgesehen sein, abhängig von der gewünschten IT-Sicherheitsstufe SL verschiedene Nachrüstmodule 401 für eine Nachrüstung beim Kunden oder im Werk bereitzustellen. Zusätzlich oder alternativ kann ein Sicherheitsmodul derart ausgestaltet sein, dass es gemäß den obigen Ausführungsbeispielen einstellbar ist, und somit unterschiedliche IT-Sicherheitsstufen SL realisiert.According to the present application, provision can be made for various retrofit modules 401 to be provided for retrofitting at the customer or in the factory, depending on the desired IT security level SL. Additionally or alternatively, a security module can be designed in such a way that it can be adjusted according to the above exemplary embodiments, and thus implements different IT security levels SL.

Ein auf diese Weise nachgerüsteter Sensor kann anschließend über die Kommunikationsleitung 406 nur noch über das Nachrüstmodul 401 und die darin enthaltene funktionale Module 203, die vorliegend als Zusatzsoftware ausgestaltet sind, von außen erreicht werden. Ein unbefugter Zugriff und eine Manipulation am Montageort kann durch das Verkleben des Gehäusedeckels 408 zuverlässig unterbunden werden.A sensor that has been retrofitted in this way can then only be reached from the outside via the communication line 406 via the retrofit module 401 and the functional modules 203 contained therein, which are designed here as additional software. Unauthorized access and manipulation at the installation site can be reliably prevented by gluing the housing cover 408 together.

Weiterhin kann es zur Realisierung höherer IT-Sicherheitsstufen (SL) beispielsweise erforderlich sein, sich vor dem Zugriff auf das Feldgerät 402 über eine Multifaktorauthentifizierung zu authentifizieren. Bei einer Multifaktorauthentifizierung kann es erforderlich sein, zwei oder mehrere Sicherheitsmerkmale aus den Gruppen Kenntnis, Besitz oder Gegenwart zu kombinieren, um eine besonders zuverlässige Authentifizierung zu gewährleisten. So kann es beispielsweise erforderlich sein, ein Sicherheitsmerkmal „Kenntnis“ in Form eines geheimen Passwortes drahtgebunden über eine Schnittstelle in ein erstes Nachrüstmodul 401 zu übertragen, und zusätzlich den Besitz eines benutzerspezifischen Tokens (z.B. RFID-Chip, Passworttresor, U2F Modul) am Sensor durch Aufstecken eines zweiten Sicherheitsmoduls 409, welches den Token oder zumindest eine Schnittstelle zum Auslesen eines Tokens beinhaltet, nachzuweisen. Auf diese Weise kann durch erfindungsgemäße Kombination eines ersten Nachrüstmodul 401 und eines zweiten Sicherheitsmoduls 409 eine höhere IT-Sicherheitsstufe SL erreicht werden. Es kann ergänzend oder alternativ auch vorgesehen sein, die Feldgerätelektronik 405 durch eingespielte Software derart zu modifizieren, dass diese eine direkte Kommunikation des ersten Nachrüstmodul 401 mit dem zweiten Sicherheitsmodul 409 ermöglicht, um spezifische Anforderungen einer Sicherheitsebene umzusetzen.Furthermore, in order to implement higher IT security levels (SL), it may be necessary, for example, to authenticate oneself via multi-factor authentication before accessing the field device 402 . In multifactor authentication, it may be necessary to combine two or more security features from the groups of knowledge, possession or presence in order to ensure a particularly reliable authentication. For example, it may be necessary to transmit a security feature "knowledge" in the form of a secret password by wire via an interface to a first retrofit module 401, and also to prove ownership of a user-specific token (e.g. RFID chip, password safe, U2F module) on the sensor by plugging in a second security module 409, which contains the token or at least one interface for reading a token. In this way, by fictional appropriate combination of a first retrofit module 401 and a second security module 409 a higher IT security level SL can be achieved. In addition or as an alternative, the field device electronics 405 can also be modified using installed software in such a way that it enables direct communication between the first retrofit module 401 and the second security module 409 in order to implement specific requirements of a security level.

Ergänzend soll darauf hingewiesen werden, dass in den erfindungsgemäßen Sicherheitsmodulen 201, 301, 401 und 409 eine Vielzahl von Hard- und Softwareeinheiten zur Umsetzung spezifischer Sicherheitsfunktionen enthalten sein können. Explizit erwähnt seien an dieser Stelle Hard- und Softwareeinheiten zum Umsetzen von Anforderungen betreffend

- das Logging und Monitoring von Sensorereignissen und Anmeldeversuchen
- die Authentifizierung von externen Geräten und Benutzern durch Kenntnis, beispielsweise mit Hilfe der Eingabe einer Geheimzahl, eines Passwortes oder einer PIN
- die Authentifizierung von externen Geräten und Benutzern durch Besitz, beispielsweise mit mechanischen Schlüsseln und/oder elektronisch auslesbaren Token (RFID, NFC, U2F)
- die Authentifizierung von externen Geräten und Benutzern durch Gegenwart, beispielsweise mit Hilfe eines Touchpanels und einer Handschriftenerkennungssoftware, eines Mikrofons und einer Stimmerkennungssoftware, eines Scanners und einer Fingerabdruckerkennungssoftware
- die Nutzerverwaltung und die Verwaltung der Rechte der jeweiligen Nutzer
- die mechanische Integrität des Sensors, beispielsweise durch Versiegelungs- oder Verklebevorrichtungen
- die Sicherstellung der mechanischen und/oder elektronischen Persistenz von Nachrüstmodulen
- den funktionalen Ablauf des ursprünglichen Sensors, beispielsweise durch das Vorhalten von spezifischen Softwareupdates

In addition, it should be pointed out that the

security modules

201, 301, 401 and 409 according to the invention can contain a large number of hardware and software units for implementing specific security functions. Hardware and software units for the implementation of requirements should be mentioned explicitly at this point

- logging and monitoring of sensor events and login attempts
- the authentication of external devices and users by knowledge, for example by entering a secret number, a password or a PIN
- the authentication of external devices and users through possession, e.g. with mechanical keys and/or electronically readable tokens (RFID, NFC, U2F)
- the authentication of external devices and users by presence, for example using a touch panel and handwriting recognition software, a microphone and voice recognition software, a scanner and fingerprint recognition software
- User administration and administration of the rights of the respective users
- the mechanical integrity of the sensor, for example by means of sealing or bonding devices
- Ensuring the mechanical and/or electronic persistence of retrofit modules
- the functional process of the original sensor, for example by providing specific software updates

BezugszeichenlisteReference List

101, 105, 108, 402101, 105, 108, 402: Feldgerätfield device
102102: Schnittstelleinterface
103, 109103, 109: Anzeige- und BedienmodulDisplay and adjustment module
104104: Kabelverbindungcable connection
106106: Batteriebattery
107107: Drahtlosschnittstellewireless interface
108108: GehäuseHousing
110110: Hard- und Softwareeinheitenhardware and software units
111111: Firmwarefirmware
112, 405112, 405: Feldgerätelektronik field device electronics
201, 301, 401201, 301, 401: Nachrüstmodulretrofit module
202202: funktionale Einheitfunctional unit
203203: funktionale Einheitfunctional unit
204204: TastaturKeyboard
205205: AnzeigeAdvertisement
206206: Verklebungbonding
207207: Deckel Lid
302, 304, 306302, 304, 306: Hardwareeinheitenhardware units
303, 305, 307303, 305, 307: Softwareeinheitensoftware units
308308: Selektorselector
309309: Selektionseinheit selection unit
402402: Zweikammergehäusetwo-chamber housing
403403: Gehäusekammerhousing chamber
404404: Drahtverbindungwire connection
405405: Sensorelektroniksensor electronics
406406: Kommunikationsleitungcommunication line
407407: Kontaktierungsschnittstellecontacting interface
408408: Gehäusedeckelhousing cover
409409: zweites Sicherheitsmodulsecond security module
SLSL: IT-SicherheitsstufeIT security level

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents cited by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturNon-patent Literature Cited

ISO 27001 [0010]

Claims

Retrofit module (201, 301, 401) for a field device (101, 105, 108, 402) in process automation technology with field device electronics (112, 405) with at least one communication interface, characterized in that the retrofit module (201, 301, 401) has a security module, the security module (401, 409) having the field device electronics (112, 405) works together in such a way that a specified IT security level (SL) is achieved.

Retrofit module (201, 301, 401) according to claim 1 , characterized in that the retrofit module (201, 301, 401) has a first electrical interface (102) for connecting the field device electronics (112, 405) of the fill level measuring device and a communication module for connection to a higher-level unit.

Retrofit module (201, 301, 401) according to claim 2 , characterized in that the first interface (102) for connection to the communication interface of the field device (101, 105, 108, 402) is designed.

Retrofit module (201, 301, 401) according to claim 2 or 3 , characterized in that one connection of the first interface (102) to the communication interface is designed to be mechanically irreversible.

Retrofit module (201, 301, 401) according to one of claims 2 until 4 , characterized in that a connection between the first interface (102) and the communication interface irreversibly interrupts a connection between the field device electronics (112, 405) and the superordinate unit.

Retrofit module (201, 301, 401) according to one of the preceding claims, characterized in that the retrofit module (201, 301, 401) has a mechanical interface (102) for irreversible connection to the field device (101, 105, 108, 402).

Retrofit module (201, 301, 401) according to claim 6 , characterized in that the retrofit module (201, 301, 401) comprises an irreversible locking connection and/or an irreversible screw connection and/or an irreversible adhesive connection and/or an irreversible barrier.

Retrofit module (201, 301, 401) according to one of the preceding claims, characterized in that the retrofit module (201, 301, 401) has a crypto module for signing and/or encrypting data.

Retrofit module (201, 301, 401) according to one of the preceding claims, characterized in that the retrofit module (201, 301, 401) has an authentication module.

Retrofit module (201, 301, 401) according to one of the preceding claims, characterized in that the retrofit module (201, 301, 401) has an authentication interface for an external, second authentication module.

Retrofit module (201, 301, 401) according to one of the preceding claims, characterized in that the retrofit module (201, 301, 401) has a firewall, in particular a packet filter.

Retrofit module (201, 301, 401) according to one of the preceding claims, characterized in that the retrofit module (201, 301, 401) is designed as a display and/or operating module (103, 109).

Retrofit module (201, 301, 401) according to one of the preceding claims, characterized in that the security module has a plurality of functional units for implementing a plurality of predetermined IT security levels (SL) of different levels, wherein the security module has a selection element for selecting an IT security level (SL), the functional units necessary for implementing the selected IT security level (SL) being activated and/or functional units which are not necessary being deactivated on the basis of the selection.

Retrofit module (201, 301, 401) according to Claim 13 , characterized in that the security module is designed in such a way that a one-time selection of the IT security level (SL) is possible.

Retrofit module (201, 301, 401) according to one of the preceding claims, characterized in that the security module is designed in such a way that the IT security level (SL) can be selected when the retrofit module (201, 301, 401) is put into operation.

Modular field device for process automation technology with field device electronics (112, 405) with at least one communication interface, characterized in that the field device (101, 105, 108, 402) has a retrofit module (201, 301, 401) according to one of the preceding claims, which is connected to the communication interface of the field device electronics (112).