-
Die Erfindung betrifft ein Netzwerkgerät für ein Automatisierungsnetzwerk, insbesondere ein Netzwerkgerät zur Verbindung zweier Teilnetzwerke des Automatisierungsnetzwerks.
-
Ein Automatisierungsnetzwerk kann in verschiedene Teilnetzwerke aufgeteilt werden. Beispielsweise ist eine Aufteilung in ein sicheres Teilnetzwerk und in ein unsicheres Teilnetzwerk möglich. In diesem Fall werden Netzwerkgeräte benötigt, die den sicheren Teil des Automatisierungsnetzwerks mit dem unsicheren Teil verbinden. In diesen Netzwerkgeräten werden sogenannte Sicherheitsmodule eingesetzt, um Zugriffe und Datenübertragungen von dem unsicheren Teilnetzwerk zum sicheren Teilnetzwerk zu überwachen und zu kontrollieren. Demgegenüber liegt der Erfindung die Aufgabe zugrunde, ein verbessertes Netzwerkgerät, ein verbessertes Sicherheitsmodul, ein verbessertes Automatisierungsnetzwerk und ein verbessertes Verfahren zur Übertragung von Daten in einem Automatisierungsnetzwerk zu schaffen. Diese Aufgabe wird mit den Merkmalen der unabhängigen Patentansprüche gelöst. Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen gegeben.
-
Die Erfindung betrifft ein Netzwerkgerät für ein Automatisierungsnetzwerk mit Kommunikationsmitteln. Die Kommunikationsmittel ermöglichen eine Kommunikation zwischen zumindest zwei verschiedenen Netzwerkteilnehmern eines ersten und eines zweiten Teilnetzwerkes. Kommunikationsmittel sind außerdem zum Empfang eines Abschaltsignals von dem ersten Teilnetzwerk ausgebildet. Das Netzwerkgerät verbindet also mit anderen Worten das erste mit dem zweiten Teilnetzwerk. Das Netzwerkgerät gehört somit zum ersten und zum zweiten Teilnetzwerk des Automatisierungsnetzwerks.
-
Ein Automatisierungsnetzwerk kann z. B. als industrielles Automatisierungsnetzwerk ausgebildet sein. Solche industriellen Automatisierungsnetzwerke können z. B. zur Steuerung und/oder Regelung von industriellen Anlagen (z. B. Produktionsanlagen, Förderanlagen usw.), Maschinen und/oder Geräten ausgebildet, eingerichtet und/oder vorgesehen sein. Insbesondere können Automatisierungsnetzwerke bzw. industrielle Automatisierungsnetzwerke Echzeit-Kommunikationsprotokolle (z. B. Profinet, Profibus, Real-Time-Ethernet) zur Kommunikation zumindest zwischen den an den Steuerungs- und/oder Regelungsaufgaben beteiligten Komponenten (z. B. zwischen den Steuerungseinheiten und den zu steuernden Anlagen und/oder Maschinen) aufweisen. Die sichere Übertragung von Daten über Speichermedien ist ebenfalls abgedeckt.
-
Weiterhin kann neben einem Echtzeit-Kommunikationsprotokoll aber auch noch mindestens ein weiteres Kommunikationsprotokoll (das z. B. nicht echtzeitfähig zu sein braucht) in dem Automatisierungsnetzwerk bzw. industriellen Automatisierungsnetzwerk vorgesehen sein, z. B. zum Überwachen, Einrichten, Umprogrammieren oder/oder Umparametrieren einer oder mehrerer Steuerungseinheiten im Automatisierungsnetzwerk.
-
Ein Automatisierungsnetzwerk kann z. B. drahtgebundene Kommunikationskomponenten und/oder drahtlose Kommunikationskomponenten umfassen. Außerdem kann ein Automatisierungsnetzwerk zumindest eine Automatisierungseinrichtung umfassen.
-
Eine Automatisierungseinrichtung kann beispielsweise ein Computer, PC und/oder Controller mit Steuerungs-Aufgaben bzw. Steuerungs-Fähigkeiten sein. Insbesondere kann eine Automatisierungseinrichtung beispielsweise eine industrielle Automatisierungseinrichtung sein, die z. B. speziell zur Steuerung und/oder Regelung industrieller Anlagen ausgebildet, eingerichtet und/oder vorgesehen sein kann. Insbesondere können solche Automatisierungseinrichtungen bzw. industriellen Automatisierungseinrichtungen echtzeitfähig sein, d. h. eine Steuerung bzw. Regelung in Echtzeit ermöglichen. Dazu kann die Automatisierungseinrichtung bzw. die industrielle Automatisierungseinrichtung z. B. ein Echtzeitbetriebssystem umfassen und/oder zumindest unter anderem ein echtzeitfähiges Kommunikationsprotokoll zur Kommunikation (z. B. Profinet, Profibus, Real-Time-Ethernet) unterstützen.
-
Ein Automatisierungsnetzwerk umfasst mehrere Sensoren und Aktuatoren. Die Aktuatoren und Sensoren werden von zumindest einer Steuerungseinrichtung gesteuert. Die Aktuatoren, die Sensoren und die zumindest eine Steuerungseinrichtung tauschen Daten miteinander aus. Zum Datenaustausch wird ein Automatisierungsprotokoll verwendet. Die zumindest eine Steuerungseinrichtung steuert die Aktuatoren, die Sensoren und den Datenaustausch so, dass ein maschineller Fertigungsprozess abläuft, in dem z. B. ein Produkt hergestellt wird.
-
Eine industrielle Automatisierungseinrichtung kann z. B. eine speicherprogrammierbare Steuerung, ein Modul oder Teil einer speicherprogrammierbaren Steuerung, eine in einem Computer oder PC integrierte speicherprogrammierbare Steuerung sowie entsprechende Feldgeräte, Sensoren und/oder Aktoren, Ein- und/oder Ausgabegeräte oder Ähnliches zum Anschluss an einer speicherprogrammierbare Steuerung sein oder solche umfassen.
-
Als Automatisierungsprotokoll im Sinne der vorliegenden Erfindung wird jede Art von Protokoll verstanden, das zur Kommunikation mit Automatisierungs-Einrichtungen gemäß der vorliegenden Beschreibung vorgesehen, geeignet und/oder eingerichtet ist. Solche Automatisierungsprotokolle können beispielsweise das Profi-Bus-Protokoll (z. B. gemäß IEC 61158/EN50170), ein Profi-Bus-DP-Protokoll, ein Profi-Bus-PA-Protokoll, ein Profi-Net-Protokoll, ein Profi-Net-IO-Protokoll, ein Protokoll gemäß AS-Interface, ein Protokoll gemäß IO-Link, ein KNX-Protokoll, ein Protokoll gemäß einer Mehrpunkt-Schnittstelle (Multipoint-Interface, MPI), ein Protokoll für eine Punkt-zu-Punkt-Kopplung (Point-to-Point, PtP), ein Protokoll gemäß den Spezifikationen der S7-Kommunikation (welches beispielsweise zur Kommunikation von speicherprogrammierbaren Steuerungen der Firma Siemens vorgesehen und eingerichtet ist) oder auch ein Industrial-Ethernet-Protokoll oder Real-Time-Ethernt-Protokoll bzw. weitere spezifische Protokolle für die Kommunikation mit Automatisierungsgeräten sein. Als Automatisierungsprotokoll im Sinne der vorliegenden Beschreibung können auch beliebige Kombinationen der vorgenannten Protokolle vorgesehen sein.
-
Das Netzwerkgerät umfasst außerdem ein Sicherheitsmodul. Das Sicherheitsmodul ist zur Prüfung ausgebildet, ob eine Kommunikation zwischen einem ersten und einem zweiten der Netzwerkteilnehmer des ersten und des zweiten Teilnetzwerkes über das Netzwerkgerät erlaubt ist. Das Sicherheitsmodul blockiert die Kommunikation, wenn die Kommunikation nicht erlaubt ist. Außerdem ist das Sicherheitsmodul zur Generierung und Sendung von Kontrollnachrichten in regelmäßigen Zeitabständen über das erste Teilnetzwerk ausgebildet. Die Kontrollnachrichten. zeigen eine korrekte Funktion des Sicherheitsmoduls an und werden vorzugsweise an ein anderes Netzwerkgerät im ersten Teilnetzwerk gesendet.
-
Das Netzwerkgerät umfasst außerdem Datenverarbeitungsmittel zur Verarbeitung des Abschaltsignals. Die Datenverarbeitungsmittel sind dazu ausgebildet, die Kommunikationsmittel zur Unterbrechung jeder Kommunikation zwischen einem Teilnehmer des ersten Teilnetzwerks und einem Teilnehmer des zweiten Teilnetzwerks zu unterbrechen. Mit anderen Worten wird eine Verbindung des ersten Teilnetzes mit dem zweiten Teilnetzwerk unterbrochen, wenn das Abschaltsignal durch die Kommunikationsmittel empfangen und durch die Datenverarbeitungsmittel verarbeitet wird.
-
Das Abschaltsignal kann beispielsweise so ausgebildet sein, dass es Instruktionen für die Kommunikationsmittel umfasst, die die Kommunikationsmittel bei Ausführung der Instruktionen zur Unterbrechung jeder Kommunikation zwischen einem Teilnehmer des ersten Netzwerks und einem Teilnehmer des zweiten Netzwerks unterbindet. Beispielsweise können die Kommunikationsmittel einen Prozessor umfassen, der zur Ausführung der Instruktionen ausgebildet ist. Der Prozessor kann beispielsweise Signale, die von dem Netzwerkgerät empfangen werden, verarbeiten und dort enthaltene Instruktionen ausführen.
-
Das Abschaltsignal kann beispielsweise von einem anderen Netzwerkgerät an das Netzwerkgerät gesendet worden sein. Dies kann zum Beispiel vorteilhaft sein, wenn ein Angriff auf das Netzwerkgerät detektiert wurde und jegliche Kommunikation über das Netzwerkgerät als unsicher eingestuft wird. In diesem Fall kann das Netzwerkgerät jegliche Kommunikation nach Empfang des Abschaltsignals unterbinden, um eine Gefährdung des Netzwerks oder einzelner Netzwerkteilnehmer zu verhindern.
-
Das Abschaltsignal kann also auch beispielsweise die Information umfassen, dass ein Angriff auf das Netzwerkgerät detektiert wurde. Die Kommunikationsmittel des Netzwerkgeräts sind in diesem Fall dazu ausgebildet, jegliche Kommunikation zwischen einem Teilnehmer des ersten Netzwerks und einem Teilnehmer des zweiten Netzwerks zu unterbinden, wenn diese Information empfangen und verarbeitet wurde.
-
Durch die regelmäßige Sendung von Kontrollnachrichten, die eine korrekte Funktion des Sicherheitsmoduls anzeigen, kann das Netzwerkgerät beispielsweise einem weiteren Netzwerkgerät anzeigen, dass das Sicherheitsmodul korrekt funktioniert. Sollten diese Kontrollnachrichten ausbleiben, weil eine inkorrekte Funktion des Sicherheitsmoduls vorliegt, werden keine Kontrollnachrichten mehr gesendet. In diesem Fall kann beispielsweise das weitere Netzwerkgerät ein Abschaltsignal an ein erfindungsgemäßes Netzwerkgerät senden, wodurch die Verbindung zwischen dem sicheren und dem unsicheren Teilnetzwerk unterbrochen wird. Dies ist vorteilhaft, wenn beispielsweise aus dem unsicheren Teilnetzwerk ein Angriff auf das Sicherheitsmodul durchgeführt wird. Wenn ein solcher Angriff detektiert wird, wird sofort die Verbindung zwischen dem unsicheren Teilnetzwerk und dem sicheren Teilnetzwerk unterbrochen.
-
Die Unterteilung in ein sicheres und ein unsicheres Teilnetzwerk kann beispielsweise so geschehen, dass das erste Teilnetzwerk eine erste höhere Sicherheitsstufe und das zweite Teilnetzwerk eine zweite, niedrigere Sicherheitsstufe aufweisen.
-
Nach Ausführungsformen der Erfindung umfassen die Kommunikationsmittel zumindest zwei erste Schnittstellen und einen Kopplungsknoten. Das Sicherheitsmodul umfasst eine zweite Schnittstelle zum Anschluss an das Netzwerkgerät und zwei dritte Schnittstellen zum Anschluss an das zweite Teilnetzwerk. Der Anschluss des Sicherheitsmoduls an das zweite Teilnetzwerk kann entweder direkt am Sicherheitsmodul erfolgen oder indirekt über im Netzwerkgerät vorhandene Datenleitungen. Im letzteren Fall umfassen die Kommunikationsmittel zwei dritte Schnittstellen zum Anschluss des Sicherheitsmoduls an die Datenleitungen des Netzwerkgerätes und das Netzwerkgerät umfasst zumindest zwei vierte Schnittstellen zum Anschluss an das zweite Teilnetzwerk.
-
Das Sicherheitsmodul ist zur Weiterleitung von ersten Daten, die über eine der dritten Schnittstellen empfangen wurden, über die zweite Schnittstelle an den Kopplungsknoten ausgebildet. Außerdem ist das Sicherheitsmodul zur Weiterleitung von zweiten Daten, die über die zweite Schnittstelle empfangen wurden, an das zweite Teilnetzwerk über eine der dritten Schnittstellen ausgebildet.
-
Nach Ausführungsformen der Erfindung ist das Sicherheitsmodul zur Herstellung von VPN-Tunneln über die zweite Schnittstelle mit Netzwerkteilnehmern des ersten Teilnetzwerks und/oder zur Verschlüsselung der ersten Daten ausgebildet.
-
Nach Ausführungsformen der Erfindung ist das Sicherheitsmodul dazu ausgebildet, keine Kontrollnachrichten auszugeben, wenn ein Angriff auf das Sicherheitsmodul detektiert wurde.
-
Nach Ausführungsformen der Erfindung umfasst das Sicherheitsmodul einen Prozessor und ist dazu ausgebildet, eine Auslastung des Prozessors zu detektieren, eine Anzahl von aus dem zweiten Teilnetzwerk empfangenen Broadcast-Telegrammen zu detektieren, und/oder den Inhalt der ersten Daten zur analysieren und in eine erste oder in eine zweite Kategorie einzuordnen. Das Sicherheitsmodul ist außerdem dazu ausgebildet, einen Angriff zu detektieren, wenn die Auslastung des Prozessors einen Auslastungs-Schwellwert überschreitet, wenn die Anzahl der Broadcast-Telegramme einen Telegramm-Schwellwert überschreitet, und/oder die Datenmenge der Daten, die in die erste Kategorie eingeordnet wurden, einen Datenmengen-Schwellwert überschreitet.
-
Ein Angriff auf das Sicherheitsmodul kann zum Beispiel dadurch geschehen, dass der Prozessor gezielt durch Anfragen überlastet wird und so die Sicherheit des Sicherheitsmoduls gefährdet wird. Ein solcher Angriff wird detektiert, dadurch dass die Auslastung des Prozessors detektiert wird und mit einem Auslastungs-Schwellwert verglichen wird. Falls der Prozessor diesen Auslastungs-Schwellwert überschreitet, werden keine Kontrollnachrichten mehr ausgegeben. Sollte also der Prozessor so sehr überlastet sein, dass er selbst nicht detektieren kann, dass die Auslastung den Auslastungs-Schwellwert überschritten hat, werden auch automatisch keine Kontrollnachrichten mehr in den regelmäßigen Zeitabständen gesendet. Eine Überlastung des Prozessors wird also dadurch als Angriff detektiert, dass normalerweise in regelmäßigen Zeitabständen die Kontrollnachrichten gesendet werden. Im Falle eines überlasteten Prozessors werden entweder keine Kontrollnachrichten mehr geschickt oder die Kontrollnachrichten in größeren Zeiträumen geschickt.
-
Eine weitere Angriffsmöglichkeit auf das Sicherheitsmodul sind Broadcast-Telegramme. Falls solche Broadcast-Telegramme, die von dem zweiten Teilnetzwerk mit der niedrigeren Sicherheitsstufe an das erste Teilnetzwerk mit der höheren Sicherheitsstufe gesendet werden, einen Telegramm-Schwellwert überschreiten, wird dies ebenfalls als Angriff detektiert und es werden keine Kontrollnachrichten mehr gesendet.
-
Eine weitere Möglichkeit, Angriffe zu detektieren, ist die Analyse der ersten Daten, die über eine der dritten Schnittstellen empfangen wurden und über die zweite Schnittstelle an den Kopplungsknoten ausgegeben werden sollen. Nach der Analyse werden die Daten in eine erste oder in eine zweite Kategorie eingeordnet. Die erste Kategorie umfasst beispielsweise Daten, die normalerweise zwischen dem zweiten Teilnetzwerk und dem ersten Teilnetzwerk ausgetauscht werden. Dies können beispielsweise Steuerungskommandos für eine Maschine des Automatisierungsnetzwerks oder Übertragung von Daten, die für den Produktions- oder Fertigungsprozess relevant sind, sein. In die zweite Kategorie werden Daten eingeordnet, die im normalen üblichen Produktions- oder Fertigungsprozess nicht oder nur selten zwischen dem ersten und dem zweiten Teilnetzwerk ausgetauscht werden. Dies können beispielsweise alle anderen Daten sein oder aber auch nur eine begrenzte Anzahl von Datenarten, wie beispielsweise Lese- oder Schreibzugriffe von einem Teilnehmer des zweiten Teilnetzwerkes an einen Teilnehmer des ersten Teilnetzwerks.
-
Nach Ausführungsformen der Erfindung sind die Kommunikationsmittel dazu ausgebildet, die Kontrollnachrichten an ein weiteres Netzwerkgerät zu übertragen und weitere Kontrollnachrichten von dem weiteren Netzwerkgerät zu empfangen. In diesem Fall befinden sich also zwei erfindungsgemäße Netzwerkgeräte in dem Automatisierungsnetzwerk. Die Datenverarbeitungsmittel sind dazu ausgebildet, ein weiteres Abschaltsignal zu generieren und um die Kommunikationsmittel zur Sendung des weiteren Abschaltsignals an das weitere Netzwerkgerät anzusteuern. Das Netzwerkgerät ist also dazu ausgebildet, ein Abschaltsignal an das weitere Netzwerkgerät auszusenden.
-
Die Verwendung von zwei Netzwerkgeräten nach Ausführungsformen der Erfindung in dem Automatisierungsnetzwerk ist vorteilhaft, da das eine Netzwerkgerät die Verbindung des zweiten Teilnetzwerks mit dem ersten Teilnetzwerk durch das andere Netzwerkgerät unterbrechen kann, wenn ein Angriff auf das Sicherheitsmodul des anderen Netzwerkgeräts detektiert wird.
-
Die beiden Netzwerkgeräte können beide gleichzeitig Daten aus dem ersten Teilnetzwerk in das zweite Teilnetzwerk und umgekehrt übertragen. Alternativ wird ein Netzwerkgerät als sogenannter Master und ein Netzwerkgerät als sogenannter Slawe definiert. Im normalen Betrieb werden Daten durch das Master-Netzwerkgerät übertragen und ein Angriff auf das Sicherheitsmodul des Master-Netzwerkgeräts durch das Slave-Netzwerkgerät detektiert. In diesem Fall sendet das Slave-Netzwerkgerät ein Abschaltsignal an das Master-Netzwerkgerät und kappt somit die Verbindung des zweiten Teilnetzwerks mit dem ersten Teilnetzwerk innerhalb des Master-Netzwerkgeräts. Weitere Datenübertragungen vom zweiten Teilnetzwerk in das erste Teilnetzwerk und umgekehrt finden über das Slave-Netzwerkgerät statt.
-
In einem weiteren Aspekt betrifft die Erfindung ein Sicherheitsmodul für ein Netzwerkgerät in einem Automatisierungsnetzwerk. Das Sicherheitsmodul umfasst eine zweite Schnittstelle zum Anschluss an das Netzwerkgerät und zwei dritte Schnittstellen zum Anschluss an andere Geräte des Automatisierungsnetzwerks. Das Sicherheitsmodul ist zur Weiterleitung von ersten Daten, die über eine der dritten Schnittstellen empfangen wurden, über die zweite Schnittstelle an das Netzwerkgerät ausgebildet. Außerdem ist das Sicherheitsmodul zur Weiterleitung von zweiten Daten, die über die zweite Schnittstelle empfangen wurden, an eines der weiteren Geräte über ein der dritten Schnittstellen ausgebildet.
-
Nach Ausführungsformen der Erfindung weist das Sicherheitsmodul eine vierte Schnittstelle zur Verbindung mit einem weiteren Sicherheitsmodul eines weiteren Netzwerkgeräts auf. Das Sicherheitsmodul ist dazu ausgebildet, im Betriebszustand über die vierte Schnittstelle Kontrollnachrichten in regelmäßigen Zeitabständen an das weitere Sicherheitsmodul zu übertragen. Die Kontrollnachrichten sind ein Hinweis auf den Betriebszustand des Sicherheitsmoduls. Wenn die Kontrollnachrichten ausgesendet werden, befindet sich das Sicherheitsmodul in einem korrekten Betriebszustand. Mit anderen Worten funktioniert das Sicherheitsmodul in diesem Zustand korrekt. Wenn ein Angriff auf das Sicherheitsmodul detektiert wird, werden die Kontrollnachrichten nicht mehr oder in größeren Zeitabständen übertragen.
-
In einem weiteren Aspekt betrifft die Erfindung ein Automatisierungsnetzwerk mit zumindest einem ersten und einem zweiten Netzwerkgerät nach Ausführungsformen der Erfindung.
-
Nach Ausführungsformen der Erfindung umfasst das Automatisierungsnetzwerk ein erstes und ein zweites Teilnetzwerk. Das erste Teilnetzwerk umfasst erste Geräte einer ersten Sicherheitsstufe und das zweite Teilnetzwerk zweite Geräte einer zweiten Sicherheitsstufe. Die erste Sicherheitsstufe ist höher als die zweite Sicherheitsstufe.
-
Die Geräte des zweiten Teilnetzwerks sind jeweils über die dritten Schnittstellen mit dem ersten und/oder dem zweiten Netzwerkgerät verbunden. Die Geräte des ersten Teilnetzwerks sind über die ersten Schnittstellen mit den Netzwerkgeräten verbunden. Das erste Netzwerkgerät ist dazu ausgebildet, erste Kontrollnachrichten in regelmäßigen Abständen an das zweite Netzwerkgerät auszusenden. Das zweite Netzwerkgerät ist dazu ausgebildet, zweite Kontrollnachrichten in regelmäßigen Abständen an das erste Netzwerkgerät auszusenden.
-
Das erste Netzwerkgerät ist dazu ausgebildet, einen Angriff auf das Sicherheitsmodul des zweiten Netzwerkgeräts zu detektieren, wenn die zweite Kontrollnachrichten nicht vom ersten Netzwerkgerät empfangen werden. Das zweite Netzwerkgerät ist dazu ausgebildet, einen Angriff auf das Sicherheitsmodul des ersten Netzwerkgeräts zu detektieren, wenn die ersten Kontrollnachrichten nicht vom zweiten Netzwerkgerät empfangen werden.
-
Das erste Netzwerkgerät ist dazu ausgebildet, ein erstes Abschaltsignal an das zweite Netzwerkgerät zu senden, wenn ein Angriff auf das Sicherheitsmodul des zweiten Netzwerkgeräts detektiert wurde. Das zweite Netzwerkgerät ist bei Empfang des ersten Abschaltsignals zur Unterbrechung jeder Kommunikation zwischen einem Teilnehmer des ersten Teilnetzwerks und einem Teilnehmer des zweiten Teilnetzwerks ausgebildet.
-
Das zweite Netzwerkgerät ist dazu ausgebildet, ein zweites Abschaltsignal an das erste Netzwerkgerät zu senden, wenn ein Angriff auf das Sicherheitsmodul des ersten Netzwerkgeräts detektiert wurde. Das erste Netzwerkgerät ist dazu ausgebildet, jede Kommunikation zwischen einem Teilnehmer des ersten Teilnetzwerks und einem Teilnehmer des zweiten Teilnetzwerks zu unterbrechen, wenn das zweite Abschaltsignal empfangen wird.
-
Nach Ausführungsformen der Erfindung sind das erste und das zweite Netzwerkgerät zur gleichzeitigen Weiterleitung von Daten von den unsicheren Geräten zu den sicheren Geräten und umgekehrt ausgebildet. Dies ist vorteilhaft, da so die zu übertragenden Daten zwischen dem ersten und dem zweiten Netzwerkgerät aufgeteilt werden und eine zu hohe Auslastung eines Netzwerkgeräts vermieden wird. Dies kann beispielsweise dadurch geschehen, dass die Daten durch eine sogenannte zweigeteilte Link Aggregation an das erste und das zweite Netzwerkgerät gesendet werden. In diesem Fall werden die Daten sowohl an das erste als auch an das zweite Netzwerkgerät ausgegeben. Beispielsweise befindet sich im zweiten Teilnetzwerk ein. Netzwerkknoten, an den sowohl das erste als auch das zweite Netzwerkgerät angeschlossen ist. Der Netzwerkknoten sendet die Daten sowohl an das erste Netzwerkgerät als auch an das zweite Netzwerkgerät, weil der Netzwerkknoten durch die Link-Aggregation-Verbindung nicht zwischen dem ersten und dem zweiten Netzwerkgerät unterscheiden kann. Die Daten werden somit sowohl an das erste als auch an das zweite Netzwerkgerät übertragen und eine Überlastung eines der Netzwerkgeräte wird verhindert.
-
In einem weiteren Aspekt betrifft die Erfindung ein Verfahren zur Übertragung von Daten in einem Automatisierungsnetzwerk mit einem ersten Teilnetzwerk einer ersten Sicherheitsstufe, einem zweiten Teilnetzwerk einer zweiten Sicherheitsstufe, einem ersten Netzwerkgerät und einem zweiten Netzwerkgerät. Das erste und das zweite Netzwerkgerät ist jeweils ein Netzwerkgerät nach Ausführungsformen der Erfindung. Die erste Sicherheitsstufe ist höher als die zweite Sicherheitsstufe.
-
Zunächst werden Daten von Teilnehmern des ersten Teilnetzwerks zu Teilnehmern des zweiten Teilnetzwerks und umgekehrt über das erste Netzwerkgerät im korrekten Betriebszustand weitergeleitet. Der korrekte Betriebszustand kann auch so bezeichnet werden, dass das erste Netzwerkgerät korrekt funktioniert. Mit anderen Worten befindet sich das Netzwerkgerät im korrekten Betriebszustand, wenn kein Angriff auf das Sicherheitsmodul detektiert wird.
-
Kontrollnachrichten werden von dem ersten Netzwerkgerät generiert und an das zweite Netzwerkgerät in regelmäßigen Abständen übermittelt. Wenn keine Kontrollnachrichten durch das zweite Netzwerkgerät empfangen werden, detektiert das zweite Netzwerkgerät einen Angriff auf das erste Netzwerkgerät. In diesem Fall werden die Daten von den Teilnehmern des zweiten Teilnetzwerks zu den Teilnehmern des ersten Teilnetzwerks und umgekehrt von dann an durch das zweite Netzwerkgerät weitergeleitet. Außerdem wird die Verbindung zwischen dem ersten Teilnetzwerk und dem zweiten Teilnetzwerk über das erste Netzwerkgerät unterbrochen. Dies geschieht dadurch, dass das zweite Netzwerkgerät ein Abschaltsignal an das erste Netzwerkgerät sendet und das erste Netzwerkgerät sodann diese Verbindung unterbricht.
-
Nach Ausführungsformen der Erfindung werden die Daten von den Teilnehmern des ersten Teilnetzwerks zu den Teilnehmern des zweiten Teilnetzwerks und umgekehrt im korrekten Betriebszustand sowohl über das erste Netzwerkgerät als auch über das zweite Netzwerkgerät weitergeleitet.
-
Nachfolgend werden Ausführungsformen der Erfindung anhand der Figuren näher erläutert. Es zeigen:
-
1 ein Automatisierungsnetzwerk mit einem ersten und einem zweiten Netzwerkgerät;
-
2 ein Automatisierungsnetzwerk mit einem ersten und einem zweiten Netzwerkgerät, wobei die Datenübertragung sowohl über das erste als auch über das zweite Netzwerkgerät erfolgt;
-
3 ein Flussdiagramm eines Verfahrens zur Datenübertragung in einem Automatisierungsnetzwerk nach Ausführungsformen der Erfindung.
-
Elemente der nachfolgenden Figuren, die einander entsprechen, sind mit denselben Bezugszeichen gekennzeichnet.
-
1 ist ein Blockdiagramm eines Automatisierungsnetzwerks 100 mit einem ersten Netzwerkgerät 102 und einem zweiten Netzwerkgerät 104. Das erste Netzwerkgerät 102 umfasst ein Sicherheitsmodul 106 und das zweite Netzwerkgerät 104 umfasst ein zweites Sicherheitsmodul 108.
-
Das Sicherheitsmodul 106 umfasst einen Prozessor 110 und einen Switch 112. Außerdem umfasst das erste Netzwerkgerät 102 einen Switch 114, einen Prozessor 116 und mehrere Netzwerkanschlüsse 118 1-n. Der Prozessor 110 des ersten Sicherheitsmoduls 106 ist über eine Schnittstelle x1 mit dem Switch 114 verbunden. Das Sicherheitsmodul 106 umfasst außerdem zwei Netzwerkanschlüsse 120 und 122. Die Netzwerkanschlüsse 120 und 122 dienen zum Anschluss des Sicherheitsmoduls 106 an ein zweites Teilnetzwerk 103 des Automatisierungsnetzwerks 100, während die Netzwerkanschlüsse 118 1-n zum Anschluss des ersten Netzwerkgeräts 102 an ein erstes Teilnetzwerk 101 des Automatisierungsnetzwerks 100 ausgebildet sind.
-
Das erste und das zweite Sicherheitsmodul 106 und 108 umfassen jeweils einen Netzwerkanschluss 124 zur direkten Kommunikation miteinander. Das Sicherheitsmodul 108 des zweiten Netzwerkgerätes 104 umfasst ebenfalls einen Prozessor 126, einen Switch 128 und Netzwerkanschlüsse 130 und 132.
-
Das zweite Netzwerkgerät 104 umfasst einen Switch 134, einen Prozessor 136 und Netzwerkanschlüsse 138 1-n. Über die Netzwerkanschlüsse 130 und 132 des zweiten Sicherheitsmoduls 108 ist das zweite Netzwerkgerät 104 mit dem zweiten Teilnetzwerk 103 des Automatisierungsnetzwerks 100 verbunden. Über die Netzwerkanschlüsse 138 1-n ist das zweite Netzwerkgerät 104 mit dem ersten Teilnetzwerk 101 des Automatisierungsnetzwerks 100 verbunden.
-
Das erste Teilnetzwerk 101 ist ein Teilnetzwerk mit einer höheren Sicherheitsstufe als das zweite Teilnetzwerk 103. Die höhere Sicherheitsstufe kann beispielsweise dadurch gewährleistet werden, dass Datenübertragungen im ersten Teilnetzwerk nur verschlüsselt und nur durch verifizierte Geräte durchgeführt werden. Datenübertragungen im zweiten Teilnetzwerk 103 hingegen können auch unverschlüsselt und ohne Zugriffsberechtigungen durchgeführt werden. Die Sicherheitsmodule 106 und 108 trennen das erste Teilnetzwerk 101 und das zweite Teilnetzwerk 103 voneinander. Alle Daten, die vom zweiten Teilnetzwerk 103 in das erste Teilnetzwerk 101 übertragen werden und umgekehrt, werden durch die Prozessoren 110 und/oder 126 analysiert und weitergeleitet oder blockiert. Die Daten können beispielsweise blockiert werden, wenn die Daten von einem Netzwerkteilnehmer des zweiten Teilnetzwerks 103 stammen, der nicht zur Kommunikation mit einem Netzwerkteilnehmer des ersten Teilnetzwerks 101 berechtigt ist. Daten, die von dem zweiten Teilnetzwerk 103 an einen Teilnehmer des ersten Teilnetzwerks 101 weitergeleitet werden sollen, gibt das Sicherheitsmodul 106 oder 108 an den Switch 114 oder 134 weiter, der durch den Prozessor 116 oder 136 so gesteuert wird, dass die Daten über den jeweils passenden Netzwerkanschluss 118 i oder 138 i an den jeweiligen Netzwerkteilnehmer des ersten Teilnetzwerks 101 ausgegeben werden. Die Daten können von dem ersten und dem zweiten Netzwerkgerät 102 und 104 ebenfalls von dem ersten Teilnetzwerk 101 über die Netzwerkanschlüsse 118 1-n und 138 1-n empfangen werden. Diese Daten können dann über die Schnittstellen x1 und x2 an die Prozessoren 110 und 126 der Sicherheitsmodule 106 und 108 ausgegeben werden und von dort über die Switches 112 und 128 und die Netzwerkanschlüsse 120, 122, 130 und 132 an das zweite Teilnetzwerk 103 ausgegeben werden.
-
Im korrekten Betriebszustand oder mit anderen Worten ausgedrückt bei korrekter Funktion werden Daten, die von dem zweiten Teilnetzwerk 103 zum ersten Teilnetzwerk 101 übertragen werden sollen, durch das erste Netzwerkgerät 102 vom zweiten Teilnetzwerk 103 an das erste Teilnetzwerk 101 weitergeleitet. Daher kann das Sicherheitsmodul 106 des ersten Netzwerkgeräts 102 auch als Master bezeichnet werden. Solange das erste Sicherheitsmodul 106 korrekt funktioniert, werden Kontrollnachrichten an das zweite Sicherheitsmodul 108 des zweiten Netzwerkgeräts 104 in regelmäßigen Zeitabständen übertragen. Diese Kontrollnachrichten können beispielsweise über die sogenannte Security Standby-Leitung über die Netzwerkanschlüsse 124 übertragen werden. Alternativ oder zusätzlich können die Kontrollnachrichten auch über das erste Teilnetzwerk 101 über die Netzwerkanschlüsse 118 n und 138 1 übertragen werden.
-
Solange die Kontrollnachrichten regelmäßig vom Sicherheitsmodul 106 an das Sicherheitsmodul 108 übertragen werden, wird von einer korrekten Funktion des Sicherheitsmoduls 106 ausgegangen. Sollten die Kontrollnachrichten unregelmäßig, in größeren Zeitabständen oder gar nicht übertragen werden, detektiert der Prozessor 126 des zweiten Sicherheitsmoduls 108, dass ein Angriff auf das Sicherheitsmodul 106 durchgeführt wurde. Ein solcher Angriff kann beispielsweise darin bestehen, dass das Sicherheitsmodul 106 mit Broadcast-Telegrammen überlastet wird. In diesem Fall steigt die Auslastung des Prozessors 110 über einen Auslastungs-Schwellwert an und es werden keine Kontrollnachrichten mehr oder nur Kontrollnachrichten in größeren zeitlichen Abständen an das Sicherheitsmodul 108 übertragen. Falls der Prozessor 110 an seine Auslastungsgrenze stößt, verzögert sich der Versand der Kontrollnachrichten automatisch.
-
Der Versand der Kontrollnachrichten erfolgt bevorzugt über das erste Teilnetzwerk 101 oder die Security Standby-Leitung mit den Netzwerkanschlüssen 124 verschlüsselt und gesichert, damit kein „man in the middle-Angriff” erfolgen kann. Die Kontrollnachrichten können auch über das zweite Teilnetzwerk 103 übermittelt werden. Dies ist allerdings unsicher und somit ein weiterer Angriffspunkt für potenzielle Angreifer.
-
Eine weitere Angriffsmöglichkeit auf das Sicherheitsmodul 106 sind Telegramme an Teilnehmer des ersten Teilnetzwerks 101 von Teilnehmern des zweiten Teilnetzwerks 103 mit schädlichem Inhalt oder die dazu dienen, Daten von den Teilnehmern des ersten Teilnetzwerks 101 auszulesen, für deren Auslesung keine Berechtigung vorliegt. Um einen solchen Angriff zu detektieren, analysiert der Prozessor 110 die vom zweiten Teilnetzwerk 103 an das erste Teilnetzwerk 101 weitergeleiteten Telegramme und teilt diese in zwei Kategorien ein. In die erste Kategorie werden Telegramme mit gewöhnlichem Inhalt eingeteilt. Dies sind Telegramme, die beim gewöhnlichen Produktions- oder Fertigungsprozess vom zweiten Teilnetzwerk 103 an das erste Teilnetzwerk 101 gesendet werden. Dies können beispielsweise Messdaten sein. In die zweite Kategorie werden vom Prozessor 110 Telegramme eingeordnet, deren Inhalt ungewöhnlich ist. Dies bedeutet, dass der Inhalt der Telegramme der zweiten Kategorie im normalen Produktions- oder Fertigungsprozess nicht oder nur selten auftritt. Wenn nun die Anzahl der Telegramme, die in die zweite Kategorie eingeordnet wurden, einen Telegramm-Schwellwert übersteigt, wird ein Angriff auf das Sicherheitsmodul 106 detektiert und die Kontrollnachrichten werden nicht mehr an das Sicherheitsmodul 108 übertragen.
-
Wenn keine Kontrollnachrichten mehr vom Sicherheitsmodul 108 empfangen werden oder die Kontrollnachrichten nur noch in unregelmäßigen Abständen oder in größeren Zeitabständen empfangen werden, detektiert der Prozessor 126 einen Angriff auf das Sicherheitsmodul 106. Der Prozessor 126 sendet dann ein Abschaltsignal an den Prozessor 116. Der Prozessor 116 unterbricht bei Empfang des Abschaltsignals die Verbindung mit dem Sicherheitsmodul 106 über die Schnittstelle x1. Das Abschaltsignal wird über das erste Teilnetzwerk 101 übertragen. Es wird also die Verbindung des ersten Teilnetzwerks 101 mit dem zweiten Teilnetzwerk 103 über das Sicherheitsmodul 106 unterbrochen. Anstelle dieser Verbindung tritt die Verbindung über das zweite Sicherheitsmodul 108. Das zweite Sicherheitsmodul 108 springt also für das abgeschaltete Sicherheitsmodul 106 ein. Die Datenübertragung vom zweiten Teilnetzwerk 103 in das erste Teilnetzwerk 101 und umgekehrt erfolgt nun also über das zweite Netzwerkgerät 104 mit dem zweiten Sicherheitsmodul 108 analog zur Datenübertragung über das erste Netzwerkgerät 102 mit dem ersten Sicherheitsmodul 106.
-
Falls die Ursache des Angriffs auf das Sicherheitsmodul 106 festgestellt wurde und ausgeschlossen werden kann, dass ein weiterer Angriff auf das Sicherheitsmodul 106 erfolgt, kann das erste Netzwerkgerät 102 nun als sogenannter Slave betrieben werden, der beim Ausfall des Sicherheitsmoduls 108 wieder die Datenübertragung übernimmt. Das Sicherheitsmodul 108 wird nach Übernahme der Datenübertragung als sogenannter Master betrieben, wie es zuvor beim Sicherheitsmodul 106 der Fall war. Manuell kann festgelegt werden, welches der beiden Sicherheitsmodule Master und welches Slave ist.
-
2 ist ein Blockdiagramm eines Automatisierungsnetzwerks 100 wie aus 1. Der Unterschied zu 1 ist, dass die Datenübertragung vom zweiten Teilnetzwerk 103 zu den Netzwerkgeräten 102 und 104 und umgekehrt über eine sogenannte Link Aggregation erfolgt. Ein Switch 200 des zweiten Teilnetzwerks 103 ist mit mehreren Netzwerkverbindungen 202 mit den Netzwerkanschlüssen 120, 122, 130 und 132 des ersten Netzwerkgeräts 102 und des zweiten Netzwerkgeräts 104 verbunden. Der Switch 200 gibt die Daten, die an das erste Teilnetzwerk 101 weitergeleitet werden sollen, über die Netzwerkverbindungen 202 an das erste und das zweite Netzwerkgerät 102 und 104. Dabei ist dem Switch 200 nicht bekannt, welche der Netzwerkverbindungen 202 zum ersten Netzwerkgerät 102 und welche zum zweiten Netzwerkgerät 104 führen. Der Switch 200 verteilt das Datenaufkommen auf die vier Netzwerkleitungen 202, sodass sowohl vom ersten als auch vom zweiten Netzwerkgerät 102 und 104 Daten weitergeleitet werden und die Auslastung eines Netzwerkgeräts verringert wird. Anstatt vier Netzwerkleitungen 202 können auch noch mehr Netzwerkverbindungen 202 verwendet werden.
-
Falls nun ein Angriff auf eines der beiden Sicherheitsmodule 106 und 108 detektiert wird, wird ebenso wie für 1 beschrieben, die Verbindung dieses Sicherheitsmoduls mit dem betreffenden Netzwerkgerät unterbrochen. Von da an erfolgt die Datenübertragung wie bereits für 1 beschrieben über ein einzelnes Netzwerkgerät.
-
Im Falle der Link Aggregation kann weder das erste Netzwerkgerät 102 noch das zweite Netzwerkgerät 104 als Master oder Slawe bezeichnet werden. Das erste Sicherheitsmodul 106 sendet Kontrollnachrichten an das zweite Sicherheitsmodul 108 und umgekehrt. Die Detektion eines Angriffs erfolgt wie für 1 beschrieben und auch die Abschaltung eines Sicherheitsmoduls erfolgt analog.
-
3 ist ein Flussdiagramm eines Verfahrens nach Ausführungsformen der Erfindung. Es werden Daten in einem Automatisierungsnetzwerk mit einem ersten Teilnetzwerk einer ersten Sicherheitsstufe, einem zweiten Teilnetzwerk einer zweiten Sicherheitsstufe, einem Netzwerkgerät und einem zweiten. Netzwerkgerät übertragen. Die erste Sicherheitsstufe ist dabei höher als die zweite Sicherheitsstufe.
-
In einem ersten Schritt S1 werden Daten von Teilnehmern des ersten Teilnetzwerks zu Teilnehmern des zweiten Teilnetzwerks und umgekehrt über das erste Netzwerkgerät übertragen. Dies wird als korrekter Betriebszustand oder korrekte Funktion des ersten Netzwerkgeräts und des Sicherheitsmoduls im ersten Netzwerkgerät bezeichnet. Im zweiten Schritt S2 werden Kontrollnachrichten generiert und übermittelt. Die Nachrichten werden von dem ersten Netzwerkgerät an das zweite Netzwerkgerät in regelmäßigen Abständen übermittelt. Dies signalisiert dem zweiten Netzwerkgerät den korrekten Betriebszustand des ersten Netzwerkgeräts. Genauer gesagt signalisieren die Kontrollnachrichten dem Sicherheitsmodul des zweiten Netzwerkgeräts die korrekte Funktion des Sicherheitsmoduls des ersten Netzwerkgeräts.
-
In Schritt S3 wird ein Angriff auf das erste Netzwerkgerät durch das zweite Netzwerkgerät detektiert. Dies geschieht, wenn das zweite Sicherheitsmodul des zweiten Netzwerkgeräts keine Kontrollnachrichten mehr des ersten Sicherheitsmoduls des ersten Netzwerkgeräts empfängt. Das erste Sicherheitsmodul des ersten Netzwerkgeräts übermittelt keine Kontrollnachrichten mehr oder übermittelt die Kontrollnachrichten nur noch in unregelmäßigen oder längeren Zeitabständen als im korrekten Betriebszustand, wenn es überlastet ist oder ein Angriff detektiert wurde. Ein Angriff kann beispielsweise dadurch detektiert werden, dass übertragene Telegramme von dem ersten Teilnetzwerk an das erste Teilnetzwerk analysiert und in zwei Kategorien eingeteilt werden. Die erste Kategorie umfasst dabei Telegramme mit gewöhnlichem Inhalt, was bedeutet, dass diese Telegramme im gewöhnlichen Fertigungs- oder Produktionsprozess übermittelt werden. Die zweite Kategorie umfasst Telegramme, die normalerweise im gewöhnlichen und/oder Fertigungsprozess nicht oder nur selten übermittelt werden. Wenn die Anzahl der Telegramme, die in die zweite Kategorie eingeordnet wurden, einen Telegramm-Schwellwert übersteigen, detektiert das erste Sicherheitsmodul des ersten Netzwerkgeräts einen Angriff und übermittelt keine Kontrollnachrichten mehr an das zweite Sicherheitsmodul des zweiten Netzwerkgeräts.
-
In Schritt S4 wird dann die Weiterleitung der Daten von den Teilnehmern des zweiten Teilnetzwerks zu den Teilnehmern des ersten Teilnetzwerks durch das erste Netzwerkgerät unterbunden, wenn ein Angriff auf das erste Sicherheitsmodul des ersten Netzwerkgeräts detektiert wurde. Dies kann beispielsweise dadurch geschehen, dass das zweite Netzwerkgerät ein Abschaltsignal an das erste Netzwerkgerät übermittelt und das erste Netzwerkgerät daraufhin die Verbindung zwischen dem zweiten Teilnetzwerk und dem ersten Teilnetzwerk über das erste Netzwerkgerät trennt.
-
Die Daten werden dann in Schritt S5 von den Teilnehmern des zweiten Teilnetzwerks zu den Teilnehmern des ersten Teilnetzwerks und umgekehrt durch das zweite Netzwerkgerät weitergeleitet.
-
Bezugszeichenliste
-
- 100
- Automatisierungsnetzwerk
- 101
- erstes Teilnetzwerk
- 102
- erstes Netzwerkgerät
- 103
- zweites Teilnetzwerk
- 104
- zweites Netzwerkgerät
- 106
- erstes Sicherheitsmodul
- 108
- zweites Sicherheitsmodul
- 110
- Prozessor
- 112
- Switch
- 114
- Switch
- 116
- Prozessor
- 1181-n
- Netzwerkanschlüsse
- 120
- Netzwerkanschluss
- 122
- Netzwerkanschluss
- 124
- Netzwerkanschlüsse
- 126
- Prozessor
- 128
- Switch
- 130
- Netzwerkanschluss
- 132
- Netzwerkanschluss
- 134
- Switch
- 136
- Prozessor
- 1381-n
- Netzwerkanschlüsse
- 200
- Switch
- 202
- Netzwerkverbindungen
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-