DE102011003310A1 - Netzwerkgerät für ein Automatisierungsnetzwerk - Google Patents

Netzwerkgerät für ein Automatisierungsnetzwerk Download PDF

Info

Publication number
DE102011003310A1
DE102011003310A1 DE201110003310 DE102011003310A DE102011003310A1 DE 102011003310 A1 DE102011003310 A1 DE 102011003310A1 DE 201110003310 DE201110003310 DE 201110003310 DE 102011003310 A DE102011003310 A DE 102011003310A DE 102011003310 A1 DE102011003310 A1 DE 102011003310A1
Authority
DE
Germany
Prior art keywords
network device
subnetwork
security module
network
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201110003310
Other languages
English (en)
Inventor
Jörg Krüger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE201110003310 priority Critical patent/DE102011003310A1/de
Priority to DE201220000035 priority patent/DE202012000035U1/de
Priority to CN 201220028564 priority patent/CN202856779U/zh
Publication of DE102011003310A1 publication Critical patent/DE102011003310A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die Erfindung betrifft ein Netzwerkgerät (102; 104) für ein Automatisierungsnetzwerk (100) mit Kommunikationsmitteln (114; 118i-n) zur Ermöglichung einer Kommunikation zwischen zumindest zwei verschiedenen Netzwerkteilnehmern eines ersten und eines zweiten Teilnetzwerks, einem Sicherheitsmodul (106; 108), wobei das Sicherheitsmodul zur Generierung und Sendung von Kontrollnachrichten in regelmäßigen Zeitabständen über das erste Teilnetzwerk ausgebildet ist, und wobei die Kontrollnachrichten eine korrekte Funktion des Sicherheitsmoduls anzeigen, und Datenverarbeitungsmitteln (116) zur Verarbeitung des Abschaltsignals, um die Kommunikationsmittel zur Unterbrechung jeder Kommunikation zwischen einem Teilnehmer des ersten Teilnetzwerks und einem Teilnehmer des zweiten Teilnetzwerks anzusteuern.

Description

  • Die Erfindung betrifft ein Netzwerkgerät für ein Automatisierungsnetzwerk, insbesondere ein Netzwerkgerät zur Verbindung zweier Teilnetzwerke des Automatisierungsnetzwerks.
  • Ein Automatisierungsnetzwerk kann in verschiedene Teilnetzwerke aufgeteilt werden. Beispielsweise ist eine Aufteilung in ein sicheres Teilnetzwerk und in ein unsicheres Teilnetzwerk möglich. In diesem Fall werden Netzwerkgeräte benötigt, die den sicheren Teil des Automatisierungsnetzwerks mit dem unsicheren Teil verbinden. In diesen Netzwerkgeräten werden sogenannte Sicherheitsmodule eingesetzt, um Zugriffe und Datenübertragungen von dem unsicheren Teilnetzwerk zum sicheren Teilnetzwerk zu überwachen und zu kontrollieren. Demgegenüber liegt der Erfindung die Aufgabe zugrunde, ein verbessertes Netzwerkgerät, ein verbessertes Sicherheitsmodul, ein verbessertes Automatisierungsnetzwerk und ein verbessertes Verfahren zur Übertragung von Daten in einem Automatisierungsnetzwerk zu schaffen. Diese Aufgabe wird mit den Merkmalen der unabhängigen Patentansprüche gelöst. Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen gegeben.
  • Die Erfindung betrifft ein Netzwerkgerät für ein Automatisierungsnetzwerk mit Kommunikationsmitteln. Die Kommunikationsmittel ermöglichen eine Kommunikation zwischen zumindest zwei verschiedenen Netzwerkteilnehmern eines ersten und eines zweiten Teilnetzwerkes. Kommunikationsmittel sind außerdem zum Empfang eines Abschaltsignals von dem ersten Teilnetzwerk ausgebildet. Das Netzwerkgerät verbindet also mit anderen Worten das erste mit dem zweiten Teilnetzwerk. Das Netzwerkgerät gehört somit zum ersten und zum zweiten Teilnetzwerk des Automatisierungsnetzwerks.
  • Ein Automatisierungsnetzwerk kann z. B. als industrielles Automatisierungsnetzwerk ausgebildet sein. Solche industriellen Automatisierungsnetzwerke können z. B. zur Steuerung und/oder Regelung von industriellen Anlagen (z. B. Produktionsanlagen, Förderanlagen usw.), Maschinen und/oder Geräten ausgebildet, eingerichtet und/oder vorgesehen sein. Insbesondere können Automatisierungsnetzwerke bzw. industrielle Automatisierungsnetzwerke Echzeit-Kommunikationsprotokolle (z. B. Profinet, Profibus, Real-Time-Ethernet) zur Kommunikation zumindest zwischen den an den Steuerungs- und/oder Regelungsaufgaben beteiligten Komponenten (z. B. zwischen den Steuerungseinheiten und den zu steuernden Anlagen und/oder Maschinen) aufweisen. Die sichere Übertragung von Daten über Speichermedien ist ebenfalls abgedeckt.
  • Weiterhin kann neben einem Echtzeit-Kommunikationsprotokoll aber auch noch mindestens ein weiteres Kommunikationsprotokoll (das z. B. nicht echtzeitfähig zu sein braucht) in dem Automatisierungsnetzwerk bzw. industriellen Automatisierungsnetzwerk vorgesehen sein, z. B. zum Überwachen, Einrichten, Umprogrammieren oder/oder Umparametrieren einer oder mehrerer Steuerungseinheiten im Automatisierungsnetzwerk.
  • Ein Automatisierungsnetzwerk kann z. B. drahtgebundene Kommunikationskomponenten und/oder drahtlose Kommunikationskomponenten umfassen. Außerdem kann ein Automatisierungsnetzwerk zumindest eine Automatisierungseinrichtung umfassen.
  • Eine Automatisierungseinrichtung kann beispielsweise ein Computer, PC und/oder Controller mit Steuerungs-Aufgaben bzw. Steuerungs-Fähigkeiten sein. Insbesondere kann eine Automatisierungseinrichtung beispielsweise eine industrielle Automatisierungseinrichtung sein, die z. B. speziell zur Steuerung und/oder Regelung industrieller Anlagen ausgebildet, eingerichtet und/oder vorgesehen sein kann. Insbesondere können solche Automatisierungseinrichtungen bzw. industriellen Automatisierungseinrichtungen echtzeitfähig sein, d. h. eine Steuerung bzw. Regelung in Echtzeit ermöglichen. Dazu kann die Automatisierungseinrichtung bzw. die industrielle Automatisierungseinrichtung z. B. ein Echtzeitbetriebssystem umfassen und/oder zumindest unter anderem ein echtzeitfähiges Kommunikationsprotokoll zur Kommunikation (z. B. Profinet, Profibus, Real-Time-Ethernet) unterstützen.
  • Ein Automatisierungsnetzwerk umfasst mehrere Sensoren und Aktuatoren. Die Aktuatoren und Sensoren werden von zumindest einer Steuerungseinrichtung gesteuert. Die Aktuatoren, die Sensoren und die zumindest eine Steuerungseinrichtung tauschen Daten miteinander aus. Zum Datenaustausch wird ein Automatisierungsprotokoll verwendet. Die zumindest eine Steuerungseinrichtung steuert die Aktuatoren, die Sensoren und den Datenaustausch so, dass ein maschineller Fertigungsprozess abläuft, in dem z. B. ein Produkt hergestellt wird.
  • Eine industrielle Automatisierungseinrichtung kann z. B. eine speicherprogrammierbare Steuerung, ein Modul oder Teil einer speicherprogrammierbaren Steuerung, eine in einem Computer oder PC integrierte speicherprogrammierbare Steuerung sowie entsprechende Feldgeräte, Sensoren und/oder Aktoren, Ein- und/oder Ausgabegeräte oder Ähnliches zum Anschluss an einer speicherprogrammierbare Steuerung sein oder solche umfassen.
  • Als Automatisierungsprotokoll im Sinne der vorliegenden Erfindung wird jede Art von Protokoll verstanden, das zur Kommunikation mit Automatisierungs-Einrichtungen gemäß der vorliegenden Beschreibung vorgesehen, geeignet und/oder eingerichtet ist. Solche Automatisierungsprotokolle können beispielsweise das Profi-Bus-Protokoll (z. B. gemäß IEC 61158/EN50170), ein Profi-Bus-DP-Protokoll, ein Profi-Bus-PA-Protokoll, ein Profi-Net-Protokoll, ein Profi-Net-IO-Protokoll, ein Protokoll gemäß AS-Interface, ein Protokoll gemäß IO-Link, ein KNX-Protokoll, ein Protokoll gemäß einer Mehrpunkt-Schnittstelle (Multipoint-Interface, MPI), ein Protokoll für eine Punkt-zu-Punkt-Kopplung (Point-to-Point, PtP), ein Protokoll gemäß den Spezifikationen der S7-Kommunikation (welches beispielsweise zur Kommunikation von speicherprogrammierbaren Steuerungen der Firma Siemens vorgesehen und eingerichtet ist) oder auch ein Industrial-Ethernet-Protokoll oder Real-Time-Ethernt-Protokoll bzw. weitere spezifische Protokolle für die Kommunikation mit Automatisierungsgeräten sein. Als Automatisierungsprotokoll im Sinne der vorliegenden Beschreibung können auch beliebige Kombinationen der vorgenannten Protokolle vorgesehen sein.
  • Das Netzwerkgerät umfasst außerdem ein Sicherheitsmodul. Das Sicherheitsmodul ist zur Prüfung ausgebildet, ob eine Kommunikation zwischen einem ersten und einem zweiten der Netzwerkteilnehmer des ersten und des zweiten Teilnetzwerkes über das Netzwerkgerät erlaubt ist. Das Sicherheitsmodul blockiert die Kommunikation, wenn die Kommunikation nicht erlaubt ist. Außerdem ist das Sicherheitsmodul zur Generierung und Sendung von Kontrollnachrichten in regelmäßigen Zeitabständen über das erste Teilnetzwerk ausgebildet. Die Kontrollnachrichten. zeigen eine korrekte Funktion des Sicherheitsmoduls an und werden vorzugsweise an ein anderes Netzwerkgerät im ersten Teilnetzwerk gesendet.
  • Das Netzwerkgerät umfasst außerdem Datenverarbeitungsmittel zur Verarbeitung des Abschaltsignals. Die Datenverarbeitungsmittel sind dazu ausgebildet, die Kommunikationsmittel zur Unterbrechung jeder Kommunikation zwischen einem Teilnehmer des ersten Teilnetzwerks und einem Teilnehmer des zweiten Teilnetzwerks zu unterbrechen. Mit anderen Worten wird eine Verbindung des ersten Teilnetzes mit dem zweiten Teilnetzwerk unterbrochen, wenn das Abschaltsignal durch die Kommunikationsmittel empfangen und durch die Datenverarbeitungsmittel verarbeitet wird.
  • Das Abschaltsignal kann beispielsweise so ausgebildet sein, dass es Instruktionen für die Kommunikationsmittel umfasst, die die Kommunikationsmittel bei Ausführung der Instruktionen zur Unterbrechung jeder Kommunikation zwischen einem Teilnehmer des ersten Netzwerks und einem Teilnehmer des zweiten Netzwerks unterbindet. Beispielsweise können die Kommunikationsmittel einen Prozessor umfassen, der zur Ausführung der Instruktionen ausgebildet ist. Der Prozessor kann beispielsweise Signale, die von dem Netzwerkgerät empfangen werden, verarbeiten und dort enthaltene Instruktionen ausführen.
  • Das Abschaltsignal kann beispielsweise von einem anderen Netzwerkgerät an das Netzwerkgerät gesendet worden sein. Dies kann zum Beispiel vorteilhaft sein, wenn ein Angriff auf das Netzwerkgerät detektiert wurde und jegliche Kommunikation über das Netzwerkgerät als unsicher eingestuft wird. In diesem Fall kann das Netzwerkgerät jegliche Kommunikation nach Empfang des Abschaltsignals unterbinden, um eine Gefährdung des Netzwerks oder einzelner Netzwerkteilnehmer zu verhindern.
  • Das Abschaltsignal kann also auch beispielsweise die Information umfassen, dass ein Angriff auf das Netzwerkgerät detektiert wurde. Die Kommunikationsmittel des Netzwerkgeräts sind in diesem Fall dazu ausgebildet, jegliche Kommunikation zwischen einem Teilnehmer des ersten Netzwerks und einem Teilnehmer des zweiten Netzwerks zu unterbinden, wenn diese Information empfangen und verarbeitet wurde.
  • Durch die regelmäßige Sendung von Kontrollnachrichten, die eine korrekte Funktion des Sicherheitsmoduls anzeigen, kann das Netzwerkgerät beispielsweise einem weiteren Netzwerkgerät anzeigen, dass das Sicherheitsmodul korrekt funktioniert. Sollten diese Kontrollnachrichten ausbleiben, weil eine inkorrekte Funktion des Sicherheitsmoduls vorliegt, werden keine Kontrollnachrichten mehr gesendet. In diesem Fall kann beispielsweise das weitere Netzwerkgerät ein Abschaltsignal an ein erfindungsgemäßes Netzwerkgerät senden, wodurch die Verbindung zwischen dem sicheren und dem unsicheren Teilnetzwerk unterbrochen wird. Dies ist vorteilhaft, wenn beispielsweise aus dem unsicheren Teilnetzwerk ein Angriff auf das Sicherheitsmodul durchgeführt wird. Wenn ein solcher Angriff detektiert wird, wird sofort die Verbindung zwischen dem unsicheren Teilnetzwerk und dem sicheren Teilnetzwerk unterbrochen.
  • Die Unterteilung in ein sicheres und ein unsicheres Teilnetzwerk kann beispielsweise so geschehen, dass das erste Teilnetzwerk eine erste höhere Sicherheitsstufe und das zweite Teilnetzwerk eine zweite, niedrigere Sicherheitsstufe aufweisen.
  • Nach Ausführungsformen der Erfindung umfassen die Kommunikationsmittel zumindest zwei erste Schnittstellen und einen Kopplungsknoten. Das Sicherheitsmodul umfasst eine zweite Schnittstelle zum Anschluss an das Netzwerkgerät und zwei dritte Schnittstellen zum Anschluss an das zweite Teilnetzwerk. Der Anschluss des Sicherheitsmoduls an das zweite Teilnetzwerk kann entweder direkt am Sicherheitsmodul erfolgen oder indirekt über im Netzwerkgerät vorhandene Datenleitungen. Im letzteren Fall umfassen die Kommunikationsmittel zwei dritte Schnittstellen zum Anschluss des Sicherheitsmoduls an die Datenleitungen des Netzwerkgerätes und das Netzwerkgerät umfasst zumindest zwei vierte Schnittstellen zum Anschluss an das zweite Teilnetzwerk.
  • Das Sicherheitsmodul ist zur Weiterleitung von ersten Daten, die über eine der dritten Schnittstellen empfangen wurden, über die zweite Schnittstelle an den Kopplungsknoten ausgebildet. Außerdem ist das Sicherheitsmodul zur Weiterleitung von zweiten Daten, die über die zweite Schnittstelle empfangen wurden, an das zweite Teilnetzwerk über eine der dritten Schnittstellen ausgebildet.
  • Nach Ausführungsformen der Erfindung ist das Sicherheitsmodul zur Herstellung von VPN-Tunneln über die zweite Schnittstelle mit Netzwerkteilnehmern des ersten Teilnetzwerks und/oder zur Verschlüsselung der ersten Daten ausgebildet.
  • Nach Ausführungsformen der Erfindung ist das Sicherheitsmodul dazu ausgebildet, keine Kontrollnachrichten auszugeben, wenn ein Angriff auf das Sicherheitsmodul detektiert wurde.
  • Nach Ausführungsformen der Erfindung umfasst das Sicherheitsmodul einen Prozessor und ist dazu ausgebildet, eine Auslastung des Prozessors zu detektieren, eine Anzahl von aus dem zweiten Teilnetzwerk empfangenen Broadcast-Telegrammen zu detektieren, und/oder den Inhalt der ersten Daten zur analysieren und in eine erste oder in eine zweite Kategorie einzuordnen. Das Sicherheitsmodul ist außerdem dazu ausgebildet, einen Angriff zu detektieren, wenn die Auslastung des Prozessors einen Auslastungs-Schwellwert überschreitet, wenn die Anzahl der Broadcast-Telegramme einen Telegramm-Schwellwert überschreitet, und/oder die Datenmenge der Daten, die in die erste Kategorie eingeordnet wurden, einen Datenmengen-Schwellwert überschreitet.
  • Ein Angriff auf das Sicherheitsmodul kann zum Beispiel dadurch geschehen, dass der Prozessor gezielt durch Anfragen überlastet wird und so die Sicherheit des Sicherheitsmoduls gefährdet wird. Ein solcher Angriff wird detektiert, dadurch dass die Auslastung des Prozessors detektiert wird und mit einem Auslastungs-Schwellwert verglichen wird. Falls der Prozessor diesen Auslastungs-Schwellwert überschreitet, werden keine Kontrollnachrichten mehr ausgegeben. Sollte also der Prozessor so sehr überlastet sein, dass er selbst nicht detektieren kann, dass die Auslastung den Auslastungs-Schwellwert überschritten hat, werden auch automatisch keine Kontrollnachrichten mehr in den regelmäßigen Zeitabständen gesendet. Eine Überlastung des Prozessors wird also dadurch als Angriff detektiert, dass normalerweise in regelmäßigen Zeitabständen die Kontrollnachrichten gesendet werden. Im Falle eines überlasteten Prozessors werden entweder keine Kontrollnachrichten mehr geschickt oder die Kontrollnachrichten in größeren Zeiträumen geschickt.
  • Eine weitere Angriffsmöglichkeit auf das Sicherheitsmodul sind Broadcast-Telegramme. Falls solche Broadcast-Telegramme, die von dem zweiten Teilnetzwerk mit der niedrigeren Sicherheitsstufe an das erste Teilnetzwerk mit der höheren Sicherheitsstufe gesendet werden, einen Telegramm-Schwellwert überschreiten, wird dies ebenfalls als Angriff detektiert und es werden keine Kontrollnachrichten mehr gesendet.
  • Eine weitere Möglichkeit, Angriffe zu detektieren, ist die Analyse der ersten Daten, die über eine der dritten Schnittstellen empfangen wurden und über die zweite Schnittstelle an den Kopplungsknoten ausgegeben werden sollen. Nach der Analyse werden die Daten in eine erste oder in eine zweite Kategorie eingeordnet. Die erste Kategorie umfasst beispielsweise Daten, die normalerweise zwischen dem zweiten Teilnetzwerk und dem ersten Teilnetzwerk ausgetauscht werden. Dies können beispielsweise Steuerungskommandos für eine Maschine des Automatisierungsnetzwerks oder Übertragung von Daten, die für den Produktions- oder Fertigungsprozess relevant sind, sein. In die zweite Kategorie werden Daten eingeordnet, die im normalen üblichen Produktions- oder Fertigungsprozess nicht oder nur selten zwischen dem ersten und dem zweiten Teilnetzwerk ausgetauscht werden. Dies können beispielsweise alle anderen Daten sein oder aber auch nur eine begrenzte Anzahl von Datenarten, wie beispielsweise Lese- oder Schreibzugriffe von einem Teilnehmer des zweiten Teilnetzwerkes an einen Teilnehmer des ersten Teilnetzwerks.
  • Nach Ausführungsformen der Erfindung sind die Kommunikationsmittel dazu ausgebildet, die Kontrollnachrichten an ein weiteres Netzwerkgerät zu übertragen und weitere Kontrollnachrichten von dem weiteren Netzwerkgerät zu empfangen. In diesem Fall befinden sich also zwei erfindungsgemäße Netzwerkgeräte in dem Automatisierungsnetzwerk. Die Datenverarbeitungsmittel sind dazu ausgebildet, ein weiteres Abschaltsignal zu generieren und um die Kommunikationsmittel zur Sendung des weiteren Abschaltsignals an das weitere Netzwerkgerät anzusteuern. Das Netzwerkgerät ist also dazu ausgebildet, ein Abschaltsignal an das weitere Netzwerkgerät auszusenden.
  • Die Verwendung von zwei Netzwerkgeräten nach Ausführungsformen der Erfindung in dem Automatisierungsnetzwerk ist vorteilhaft, da das eine Netzwerkgerät die Verbindung des zweiten Teilnetzwerks mit dem ersten Teilnetzwerk durch das andere Netzwerkgerät unterbrechen kann, wenn ein Angriff auf das Sicherheitsmodul des anderen Netzwerkgeräts detektiert wird.
  • Die beiden Netzwerkgeräte können beide gleichzeitig Daten aus dem ersten Teilnetzwerk in das zweite Teilnetzwerk und umgekehrt übertragen. Alternativ wird ein Netzwerkgerät als sogenannter Master und ein Netzwerkgerät als sogenannter Slawe definiert. Im normalen Betrieb werden Daten durch das Master-Netzwerkgerät übertragen und ein Angriff auf das Sicherheitsmodul des Master-Netzwerkgeräts durch das Slave-Netzwerkgerät detektiert. In diesem Fall sendet das Slave-Netzwerkgerät ein Abschaltsignal an das Master-Netzwerkgerät und kappt somit die Verbindung des zweiten Teilnetzwerks mit dem ersten Teilnetzwerk innerhalb des Master-Netzwerkgeräts. Weitere Datenübertragungen vom zweiten Teilnetzwerk in das erste Teilnetzwerk und umgekehrt finden über das Slave-Netzwerkgerät statt.
  • In einem weiteren Aspekt betrifft die Erfindung ein Sicherheitsmodul für ein Netzwerkgerät in einem Automatisierungsnetzwerk. Das Sicherheitsmodul umfasst eine zweite Schnittstelle zum Anschluss an das Netzwerkgerät und zwei dritte Schnittstellen zum Anschluss an andere Geräte des Automatisierungsnetzwerks. Das Sicherheitsmodul ist zur Weiterleitung von ersten Daten, die über eine der dritten Schnittstellen empfangen wurden, über die zweite Schnittstelle an das Netzwerkgerät ausgebildet. Außerdem ist das Sicherheitsmodul zur Weiterleitung von zweiten Daten, die über die zweite Schnittstelle empfangen wurden, an eines der weiteren Geräte über ein der dritten Schnittstellen ausgebildet.
  • Nach Ausführungsformen der Erfindung weist das Sicherheitsmodul eine vierte Schnittstelle zur Verbindung mit einem weiteren Sicherheitsmodul eines weiteren Netzwerkgeräts auf. Das Sicherheitsmodul ist dazu ausgebildet, im Betriebszustand über die vierte Schnittstelle Kontrollnachrichten in regelmäßigen Zeitabständen an das weitere Sicherheitsmodul zu übertragen. Die Kontrollnachrichten sind ein Hinweis auf den Betriebszustand des Sicherheitsmoduls. Wenn die Kontrollnachrichten ausgesendet werden, befindet sich das Sicherheitsmodul in einem korrekten Betriebszustand. Mit anderen Worten funktioniert das Sicherheitsmodul in diesem Zustand korrekt. Wenn ein Angriff auf das Sicherheitsmodul detektiert wird, werden die Kontrollnachrichten nicht mehr oder in größeren Zeitabständen übertragen.
  • In einem weiteren Aspekt betrifft die Erfindung ein Automatisierungsnetzwerk mit zumindest einem ersten und einem zweiten Netzwerkgerät nach Ausführungsformen der Erfindung.
  • Nach Ausführungsformen der Erfindung umfasst das Automatisierungsnetzwerk ein erstes und ein zweites Teilnetzwerk. Das erste Teilnetzwerk umfasst erste Geräte einer ersten Sicherheitsstufe und das zweite Teilnetzwerk zweite Geräte einer zweiten Sicherheitsstufe. Die erste Sicherheitsstufe ist höher als die zweite Sicherheitsstufe.
  • Die Geräte des zweiten Teilnetzwerks sind jeweils über die dritten Schnittstellen mit dem ersten und/oder dem zweiten Netzwerkgerät verbunden. Die Geräte des ersten Teilnetzwerks sind über die ersten Schnittstellen mit den Netzwerkgeräten verbunden. Das erste Netzwerkgerät ist dazu ausgebildet, erste Kontrollnachrichten in regelmäßigen Abständen an das zweite Netzwerkgerät auszusenden. Das zweite Netzwerkgerät ist dazu ausgebildet, zweite Kontrollnachrichten in regelmäßigen Abständen an das erste Netzwerkgerät auszusenden.
  • Das erste Netzwerkgerät ist dazu ausgebildet, einen Angriff auf das Sicherheitsmodul des zweiten Netzwerkgeräts zu detektieren, wenn die zweite Kontrollnachrichten nicht vom ersten Netzwerkgerät empfangen werden. Das zweite Netzwerkgerät ist dazu ausgebildet, einen Angriff auf das Sicherheitsmodul des ersten Netzwerkgeräts zu detektieren, wenn die ersten Kontrollnachrichten nicht vom zweiten Netzwerkgerät empfangen werden.
  • Das erste Netzwerkgerät ist dazu ausgebildet, ein erstes Abschaltsignal an das zweite Netzwerkgerät zu senden, wenn ein Angriff auf das Sicherheitsmodul des zweiten Netzwerkgeräts detektiert wurde. Das zweite Netzwerkgerät ist bei Empfang des ersten Abschaltsignals zur Unterbrechung jeder Kommunikation zwischen einem Teilnehmer des ersten Teilnetzwerks und einem Teilnehmer des zweiten Teilnetzwerks ausgebildet.
  • Das zweite Netzwerkgerät ist dazu ausgebildet, ein zweites Abschaltsignal an das erste Netzwerkgerät zu senden, wenn ein Angriff auf das Sicherheitsmodul des ersten Netzwerkgeräts detektiert wurde. Das erste Netzwerkgerät ist dazu ausgebildet, jede Kommunikation zwischen einem Teilnehmer des ersten Teilnetzwerks und einem Teilnehmer des zweiten Teilnetzwerks zu unterbrechen, wenn das zweite Abschaltsignal empfangen wird.
  • Nach Ausführungsformen der Erfindung sind das erste und das zweite Netzwerkgerät zur gleichzeitigen Weiterleitung von Daten von den unsicheren Geräten zu den sicheren Geräten und umgekehrt ausgebildet. Dies ist vorteilhaft, da so die zu übertragenden Daten zwischen dem ersten und dem zweiten Netzwerkgerät aufgeteilt werden und eine zu hohe Auslastung eines Netzwerkgeräts vermieden wird. Dies kann beispielsweise dadurch geschehen, dass die Daten durch eine sogenannte zweigeteilte Link Aggregation an das erste und das zweite Netzwerkgerät gesendet werden. In diesem Fall werden die Daten sowohl an das erste als auch an das zweite Netzwerkgerät ausgegeben. Beispielsweise befindet sich im zweiten Teilnetzwerk ein. Netzwerkknoten, an den sowohl das erste als auch das zweite Netzwerkgerät angeschlossen ist. Der Netzwerkknoten sendet die Daten sowohl an das erste Netzwerkgerät als auch an das zweite Netzwerkgerät, weil der Netzwerkknoten durch die Link-Aggregation-Verbindung nicht zwischen dem ersten und dem zweiten Netzwerkgerät unterscheiden kann. Die Daten werden somit sowohl an das erste als auch an das zweite Netzwerkgerät übertragen und eine Überlastung eines der Netzwerkgeräte wird verhindert.
  • In einem weiteren Aspekt betrifft die Erfindung ein Verfahren zur Übertragung von Daten in einem Automatisierungsnetzwerk mit einem ersten Teilnetzwerk einer ersten Sicherheitsstufe, einem zweiten Teilnetzwerk einer zweiten Sicherheitsstufe, einem ersten Netzwerkgerät und einem zweiten Netzwerkgerät. Das erste und das zweite Netzwerkgerät ist jeweils ein Netzwerkgerät nach Ausführungsformen der Erfindung. Die erste Sicherheitsstufe ist höher als die zweite Sicherheitsstufe.
  • Zunächst werden Daten von Teilnehmern des ersten Teilnetzwerks zu Teilnehmern des zweiten Teilnetzwerks und umgekehrt über das erste Netzwerkgerät im korrekten Betriebszustand weitergeleitet. Der korrekte Betriebszustand kann auch so bezeichnet werden, dass das erste Netzwerkgerät korrekt funktioniert. Mit anderen Worten befindet sich das Netzwerkgerät im korrekten Betriebszustand, wenn kein Angriff auf das Sicherheitsmodul detektiert wird.
  • Kontrollnachrichten werden von dem ersten Netzwerkgerät generiert und an das zweite Netzwerkgerät in regelmäßigen Abständen übermittelt. Wenn keine Kontrollnachrichten durch das zweite Netzwerkgerät empfangen werden, detektiert das zweite Netzwerkgerät einen Angriff auf das erste Netzwerkgerät. In diesem Fall werden die Daten von den Teilnehmern des zweiten Teilnetzwerks zu den Teilnehmern des ersten Teilnetzwerks und umgekehrt von dann an durch das zweite Netzwerkgerät weitergeleitet. Außerdem wird die Verbindung zwischen dem ersten Teilnetzwerk und dem zweiten Teilnetzwerk über das erste Netzwerkgerät unterbrochen. Dies geschieht dadurch, dass das zweite Netzwerkgerät ein Abschaltsignal an das erste Netzwerkgerät sendet und das erste Netzwerkgerät sodann diese Verbindung unterbricht.
  • Nach Ausführungsformen der Erfindung werden die Daten von den Teilnehmern des ersten Teilnetzwerks zu den Teilnehmern des zweiten Teilnetzwerks und umgekehrt im korrekten Betriebszustand sowohl über das erste Netzwerkgerät als auch über das zweite Netzwerkgerät weitergeleitet.
  • Nachfolgend werden Ausführungsformen der Erfindung anhand der Figuren näher erläutert. Es zeigen:
  • 1 ein Automatisierungsnetzwerk mit einem ersten und einem zweiten Netzwerkgerät;
  • 2 ein Automatisierungsnetzwerk mit einem ersten und einem zweiten Netzwerkgerät, wobei die Datenübertragung sowohl über das erste als auch über das zweite Netzwerkgerät erfolgt;
  • 3 ein Flussdiagramm eines Verfahrens zur Datenübertragung in einem Automatisierungsnetzwerk nach Ausführungsformen der Erfindung.
  • Elemente der nachfolgenden Figuren, die einander entsprechen, sind mit denselben Bezugszeichen gekennzeichnet.
  • 1 ist ein Blockdiagramm eines Automatisierungsnetzwerks 100 mit einem ersten Netzwerkgerät 102 und einem zweiten Netzwerkgerät 104. Das erste Netzwerkgerät 102 umfasst ein Sicherheitsmodul 106 und das zweite Netzwerkgerät 104 umfasst ein zweites Sicherheitsmodul 108.
  • Das Sicherheitsmodul 106 umfasst einen Prozessor 110 und einen Switch 112. Außerdem umfasst das erste Netzwerkgerät 102 einen Switch 114, einen Prozessor 116 und mehrere Netzwerkanschlüsse 118 1-n. Der Prozessor 110 des ersten Sicherheitsmoduls 106 ist über eine Schnittstelle x1 mit dem Switch 114 verbunden. Das Sicherheitsmodul 106 umfasst außerdem zwei Netzwerkanschlüsse 120 und 122. Die Netzwerkanschlüsse 120 und 122 dienen zum Anschluss des Sicherheitsmoduls 106 an ein zweites Teilnetzwerk 103 des Automatisierungsnetzwerks 100, während die Netzwerkanschlüsse 118 1-n zum Anschluss des ersten Netzwerkgeräts 102 an ein erstes Teilnetzwerk 101 des Automatisierungsnetzwerks 100 ausgebildet sind.
  • Das erste und das zweite Sicherheitsmodul 106 und 108 umfassen jeweils einen Netzwerkanschluss 124 zur direkten Kommunikation miteinander. Das Sicherheitsmodul 108 des zweiten Netzwerkgerätes 104 umfasst ebenfalls einen Prozessor 126, einen Switch 128 und Netzwerkanschlüsse 130 und 132.
  • Das zweite Netzwerkgerät 104 umfasst einen Switch 134, einen Prozessor 136 und Netzwerkanschlüsse 138 1-n. Über die Netzwerkanschlüsse 130 und 132 des zweiten Sicherheitsmoduls 108 ist das zweite Netzwerkgerät 104 mit dem zweiten Teilnetzwerk 103 des Automatisierungsnetzwerks 100 verbunden. Über die Netzwerkanschlüsse 138 1-n ist das zweite Netzwerkgerät 104 mit dem ersten Teilnetzwerk 101 des Automatisierungsnetzwerks 100 verbunden.
  • Das erste Teilnetzwerk 101 ist ein Teilnetzwerk mit einer höheren Sicherheitsstufe als das zweite Teilnetzwerk 103. Die höhere Sicherheitsstufe kann beispielsweise dadurch gewährleistet werden, dass Datenübertragungen im ersten Teilnetzwerk nur verschlüsselt und nur durch verifizierte Geräte durchgeführt werden. Datenübertragungen im zweiten Teilnetzwerk 103 hingegen können auch unverschlüsselt und ohne Zugriffsberechtigungen durchgeführt werden. Die Sicherheitsmodule 106 und 108 trennen das erste Teilnetzwerk 101 und das zweite Teilnetzwerk 103 voneinander. Alle Daten, die vom zweiten Teilnetzwerk 103 in das erste Teilnetzwerk 101 übertragen werden und umgekehrt, werden durch die Prozessoren 110 und/oder 126 analysiert und weitergeleitet oder blockiert. Die Daten können beispielsweise blockiert werden, wenn die Daten von einem Netzwerkteilnehmer des zweiten Teilnetzwerks 103 stammen, der nicht zur Kommunikation mit einem Netzwerkteilnehmer des ersten Teilnetzwerks 101 berechtigt ist. Daten, die von dem zweiten Teilnetzwerk 103 an einen Teilnehmer des ersten Teilnetzwerks 101 weitergeleitet werden sollen, gibt das Sicherheitsmodul 106 oder 108 an den Switch 114 oder 134 weiter, der durch den Prozessor 116 oder 136 so gesteuert wird, dass die Daten über den jeweils passenden Netzwerkanschluss 118 i oder 138 i an den jeweiligen Netzwerkteilnehmer des ersten Teilnetzwerks 101 ausgegeben werden. Die Daten können von dem ersten und dem zweiten Netzwerkgerät 102 und 104 ebenfalls von dem ersten Teilnetzwerk 101 über die Netzwerkanschlüsse 118 1-n und 138 1-n empfangen werden. Diese Daten können dann über die Schnittstellen x1 und x2 an die Prozessoren 110 und 126 der Sicherheitsmodule 106 und 108 ausgegeben werden und von dort über die Switches 112 und 128 und die Netzwerkanschlüsse 120, 122, 130 und 132 an das zweite Teilnetzwerk 103 ausgegeben werden.
  • Im korrekten Betriebszustand oder mit anderen Worten ausgedrückt bei korrekter Funktion werden Daten, die von dem zweiten Teilnetzwerk 103 zum ersten Teilnetzwerk 101 übertragen werden sollen, durch das erste Netzwerkgerät 102 vom zweiten Teilnetzwerk 103 an das erste Teilnetzwerk 101 weitergeleitet. Daher kann das Sicherheitsmodul 106 des ersten Netzwerkgeräts 102 auch als Master bezeichnet werden. Solange das erste Sicherheitsmodul 106 korrekt funktioniert, werden Kontrollnachrichten an das zweite Sicherheitsmodul 108 des zweiten Netzwerkgeräts 104 in regelmäßigen Zeitabständen übertragen. Diese Kontrollnachrichten können beispielsweise über die sogenannte Security Standby-Leitung über die Netzwerkanschlüsse 124 übertragen werden. Alternativ oder zusätzlich können die Kontrollnachrichten auch über das erste Teilnetzwerk 101 über die Netzwerkanschlüsse 118 n und 138 1 übertragen werden.
  • Solange die Kontrollnachrichten regelmäßig vom Sicherheitsmodul 106 an das Sicherheitsmodul 108 übertragen werden, wird von einer korrekten Funktion des Sicherheitsmoduls 106 ausgegangen. Sollten die Kontrollnachrichten unregelmäßig, in größeren Zeitabständen oder gar nicht übertragen werden, detektiert der Prozessor 126 des zweiten Sicherheitsmoduls 108, dass ein Angriff auf das Sicherheitsmodul 106 durchgeführt wurde. Ein solcher Angriff kann beispielsweise darin bestehen, dass das Sicherheitsmodul 106 mit Broadcast-Telegrammen überlastet wird. In diesem Fall steigt die Auslastung des Prozessors 110 über einen Auslastungs-Schwellwert an und es werden keine Kontrollnachrichten mehr oder nur Kontrollnachrichten in größeren zeitlichen Abständen an das Sicherheitsmodul 108 übertragen. Falls der Prozessor 110 an seine Auslastungsgrenze stößt, verzögert sich der Versand der Kontrollnachrichten automatisch.
  • Der Versand der Kontrollnachrichten erfolgt bevorzugt über das erste Teilnetzwerk 101 oder die Security Standby-Leitung mit den Netzwerkanschlüssen 124 verschlüsselt und gesichert, damit kein „man in the middle-Angriff” erfolgen kann. Die Kontrollnachrichten können auch über das zweite Teilnetzwerk 103 übermittelt werden. Dies ist allerdings unsicher und somit ein weiterer Angriffspunkt für potenzielle Angreifer.
  • Eine weitere Angriffsmöglichkeit auf das Sicherheitsmodul 106 sind Telegramme an Teilnehmer des ersten Teilnetzwerks 101 von Teilnehmern des zweiten Teilnetzwerks 103 mit schädlichem Inhalt oder die dazu dienen, Daten von den Teilnehmern des ersten Teilnetzwerks 101 auszulesen, für deren Auslesung keine Berechtigung vorliegt. Um einen solchen Angriff zu detektieren, analysiert der Prozessor 110 die vom zweiten Teilnetzwerk 103 an das erste Teilnetzwerk 101 weitergeleiteten Telegramme und teilt diese in zwei Kategorien ein. In die erste Kategorie werden Telegramme mit gewöhnlichem Inhalt eingeteilt. Dies sind Telegramme, die beim gewöhnlichen Produktions- oder Fertigungsprozess vom zweiten Teilnetzwerk 103 an das erste Teilnetzwerk 101 gesendet werden. Dies können beispielsweise Messdaten sein. In die zweite Kategorie werden vom Prozessor 110 Telegramme eingeordnet, deren Inhalt ungewöhnlich ist. Dies bedeutet, dass der Inhalt der Telegramme der zweiten Kategorie im normalen Produktions- oder Fertigungsprozess nicht oder nur selten auftritt. Wenn nun die Anzahl der Telegramme, die in die zweite Kategorie eingeordnet wurden, einen Telegramm-Schwellwert übersteigt, wird ein Angriff auf das Sicherheitsmodul 106 detektiert und die Kontrollnachrichten werden nicht mehr an das Sicherheitsmodul 108 übertragen.
  • Wenn keine Kontrollnachrichten mehr vom Sicherheitsmodul 108 empfangen werden oder die Kontrollnachrichten nur noch in unregelmäßigen Abständen oder in größeren Zeitabständen empfangen werden, detektiert der Prozessor 126 einen Angriff auf das Sicherheitsmodul 106. Der Prozessor 126 sendet dann ein Abschaltsignal an den Prozessor 116. Der Prozessor 116 unterbricht bei Empfang des Abschaltsignals die Verbindung mit dem Sicherheitsmodul 106 über die Schnittstelle x1. Das Abschaltsignal wird über das erste Teilnetzwerk 101 übertragen. Es wird also die Verbindung des ersten Teilnetzwerks 101 mit dem zweiten Teilnetzwerk 103 über das Sicherheitsmodul 106 unterbrochen. Anstelle dieser Verbindung tritt die Verbindung über das zweite Sicherheitsmodul 108. Das zweite Sicherheitsmodul 108 springt also für das abgeschaltete Sicherheitsmodul 106 ein. Die Datenübertragung vom zweiten Teilnetzwerk 103 in das erste Teilnetzwerk 101 und umgekehrt erfolgt nun also über das zweite Netzwerkgerät 104 mit dem zweiten Sicherheitsmodul 108 analog zur Datenübertragung über das erste Netzwerkgerät 102 mit dem ersten Sicherheitsmodul 106.
  • Falls die Ursache des Angriffs auf das Sicherheitsmodul 106 festgestellt wurde und ausgeschlossen werden kann, dass ein weiterer Angriff auf das Sicherheitsmodul 106 erfolgt, kann das erste Netzwerkgerät 102 nun als sogenannter Slave betrieben werden, der beim Ausfall des Sicherheitsmoduls 108 wieder die Datenübertragung übernimmt. Das Sicherheitsmodul 108 wird nach Übernahme der Datenübertragung als sogenannter Master betrieben, wie es zuvor beim Sicherheitsmodul 106 der Fall war. Manuell kann festgelegt werden, welches der beiden Sicherheitsmodule Master und welches Slave ist.
  • 2 ist ein Blockdiagramm eines Automatisierungsnetzwerks 100 wie aus 1. Der Unterschied zu 1 ist, dass die Datenübertragung vom zweiten Teilnetzwerk 103 zu den Netzwerkgeräten 102 und 104 und umgekehrt über eine sogenannte Link Aggregation erfolgt. Ein Switch 200 des zweiten Teilnetzwerks 103 ist mit mehreren Netzwerkverbindungen 202 mit den Netzwerkanschlüssen 120, 122, 130 und 132 des ersten Netzwerkgeräts 102 und des zweiten Netzwerkgeräts 104 verbunden. Der Switch 200 gibt die Daten, die an das erste Teilnetzwerk 101 weitergeleitet werden sollen, über die Netzwerkverbindungen 202 an das erste und das zweite Netzwerkgerät 102 und 104. Dabei ist dem Switch 200 nicht bekannt, welche der Netzwerkverbindungen 202 zum ersten Netzwerkgerät 102 und welche zum zweiten Netzwerkgerät 104 führen. Der Switch 200 verteilt das Datenaufkommen auf die vier Netzwerkleitungen 202, sodass sowohl vom ersten als auch vom zweiten Netzwerkgerät 102 und 104 Daten weitergeleitet werden und die Auslastung eines Netzwerkgeräts verringert wird. Anstatt vier Netzwerkleitungen 202 können auch noch mehr Netzwerkverbindungen 202 verwendet werden.
  • Falls nun ein Angriff auf eines der beiden Sicherheitsmodule 106 und 108 detektiert wird, wird ebenso wie für 1 beschrieben, die Verbindung dieses Sicherheitsmoduls mit dem betreffenden Netzwerkgerät unterbrochen. Von da an erfolgt die Datenübertragung wie bereits für 1 beschrieben über ein einzelnes Netzwerkgerät.
  • Im Falle der Link Aggregation kann weder das erste Netzwerkgerät 102 noch das zweite Netzwerkgerät 104 als Master oder Slawe bezeichnet werden. Das erste Sicherheitsmodul 106 sendet Kontrollnachrichten an das zweite Sicherheitsmodul 108 und umgekehrt. Die Detektion eines Angriffs erfolgt wie für 1 beschrieben und auch die Abschaltung eines Sicherheitsmoduls erfolgt analog.
  • 3 ist ein Flussdiagramm eines Verfahrens nach Ausführungsformen der Erfindung. Es werden Daten in einem Automatisierungsnetzwerk mit einem ersten Teilnetzwerk einer ersten Sicherheitsstufe, einem zweiten Teilnetzwerk einer zweiten Sicherheitsstufe, einem Netzwerkgerät und einem zweiten. Netzwerkgerät übertragen. Die erste Sicherheitsstufe ist dabei höher als die zweite Sicherheitsstufe.
  • In einem ersten Schritt S1 werden Daten von Teilnehmern des ersten Teilnetzwerks zu Teilnehmern des zweiten Teilnetzwerks und umgekehrt über das erste Netzwerkgerät übertragen. Dies wird als korrekter Betriebszustand oder korrekte Funktion des ersten Netzwerkgeräts und des Sicherheitsmoduls im ersten Netzwerkgerät bezeichnet. Im zweiten Schritt S2 werden Kontrollnachrichten generiert und übermittelt. Die Nachrichten werden von dem ersten Netzwerkgerät an das zweite Netzwerkgerät in regelmäßigen Abständen übermittelt. Dies signalisiert dem zweiten Netzwerkgerät den korrekten Betriebszustand des ersten Netzwerkgeräts. Genauer gesagt signalisieren die Kontrollnachrichten dem Sicherheitsmodul des zweiten Netzwerkgeräts die korrekte Funktion des Sicherheitsmoduls des ersten Netzwerkgeräts.
  • In Schritt S3 wird ein Angriff auf das erste Netzwerkgerät durch das zweite Netzwerkgerät detektiert. Dies geschieht, wenn das zweite Sicherheitsmodul des zweiten Netzwerkgeräts keine Kontrollnachrichten mehr des ersten Sicherheitsmoduls des ersten Netzwerkgeräts empfängt. Das erste Sicherheitsmodul des ersten Netzwerkgeräts übermittelt keine Kontrollnachrichten mehr oder übermittelt die Kontrollnachrichten nur noch in unregelmäßigen oder längeren Zeitabständen als im korrekten Betriebszustand, wenn es überlastet ist oder ein Angriff detektiert wurde. Ein Angriff kann beispielsweise dadurch detektiert werden, dass übertragene Telegramme von dem ersten Teilnetzwerk an das erste Teilnetzwerk analysiert und in zwei Kategorien eingeteilt werden. Die erste Kategorie umfasst dabei Telegramme mit gewöhnlichem Inhalt, was bedeutet, dass diese Telegramme im gewöhnlichen Fertigungs- oder Produktionsprozess übermittelt werden. Die zweite Kategorie umfasst Telegramme, die normalerweise im gewöhnlichen und/oder Fertigungsprozess nicht oder nur selten übermittelt werden. Wenn die Anzahl der Telegramme, die in die zweite Kategorie eingeordnet wurden, einen Telegramm-Schwellwert übersteigen, detektiert das erste Sicherheitsmodul des ersten Netzwerkgeräts einen Angriff und übermittelt keine Kontrollnachrichten mehr an das zweite Sicherheitsmodul des zweiten Netzwerkgeräts.
  • In Schritt S4 wird dann die Weiterleitung der Daten von den Teilnehmern des zweiten Teilnetzwerks zu den Teilnehmern des ersten Teilnetzwerks durch das erste Netzwerkgerät unterbunden, wenn ein Angriff auf das erste Sicherheitsmodul des ersten Netzwerkgeräts detektiert wurde. Dies kann beispielsweise dadurch geschehen, dass das zweite Netzwerkgerät ein Abschaltsignal an das erste Netzwerkgerät übermittelt und das erste Netzwerkgerät daraufhin die Verbindung zwischen dem zweiten Teilnetzwerk und dem ersten Teilnetzwerk über das erste Netzwerkgerät trennt.
  • Die Daten werden dann in Schritt S5 von den Teilnehmern des zweiten Teilnetzwerks zu den Teilnehmern des ersten Teilnetzwerks und umgekehrt durch das zweite Netzwerkgerät weitergeleitet.
  • Bezugszeichenliste
    • 100
    Automatisierungsnetzwerk
    101
    erstes Teilnetzwerk
    102
    erstes Netzwerkgerät
    103
    zweites Teilnetzwerk
    104
    zweites Netzwerkgerät
    106
    erstes Sicherheitsmodul
    108
    zweites Sicherheitsmodul
    110
    Prozessor
    112
    Switch
    114
    Switch
    116
    Prozessor
    1181-n
    Netzwerkanschlüsse
    120
    Netzwerkanschluss
    122
    Netzwerkanschluss
    124
    Netzwerkanschlüsse
    126
    Prozessor
    128
    Switch
    130
    Netzwerkanschluss
    132
    Netzwerkanschluss
    134
    Switch
    136
    Prozessor
    1381-n
    Netzwerkanschlüsse
    200
    Switch
    202
    Netzwerkverbindungen
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • IEC 61158/EN50170 [0010]

Claims (14)

  1. Netzwerkgerät (102; 104) für ein Automatisierungsnetzwerk (100) mit – Kommunikationsmitteln (114; 118 1-n; 138 1-n) zur Ermöglichung einer Kommunikation zwischen zumindest zwei verschiedenen Netzwerkteilnehmern eines ersten und eines zweiten Teilnetzwerks, wobei die Kommunikationsmittel zum Empfang eines Abschaltsignals von dem ersten Teilnetzwerk ausgebildet sind, – einem Sicherheitsmodul (106; 108), wobei das Sicherheitsmodul zur Prüfung, ob eine Kommunikation zwischen einem ersten und einem zweiten der Netzwerkteilnehmer des ersten und des zweiten Teilnetzwerks über das Netzwerkgerät erlaubt ist, ausgebildet ist, wobei das Sicherheitsmodul zur Blockierung der Kommunikation ausgebildet ist, wenn die Kommunikation nicht erlaubt ist, wobei das Sicherheitsmodul zur Generierung und Sendung von Kontrollnachrichten in regelmäßigen Zeitabständen über das erste Teilnetzwerk ausgebildet ist, und wobei die Kontrollnachrichten eine korrekte Funktion des Sicherheitsmoduls anzeigen, und – Datenverarbeitungsmitteln (116; 136) zur Verarbeitung des Abschaltsignals, um die Kommunikationsmittel zur Unterbrechung jeder Kommunikation zwischen einem Teilnehmer des ersten Teilnetzwerks und einem Teilnehmer des zweiten Teilnetzwerks anzusteuern.
  2. Netzwerkgerät nach Anspruch 1, wobei die Kommunikationsmittel zumindest zwei erste Schnittstellen (118 1-n; 138 1-n) und einen Kopplungsknoten (114; 134) umfassen, wobei das Sicherheitsmodul eine zweite Schnittstelle (X1; X2) zum Anschluss an das Netzwerkgerät aufweist, wobei das Sicherheitsmodul zumindest zwei dritte Schnittstellen (120; 122; 130; 132) zum Anschluss an das zweite Teilnetzwerk aufweist, wobei das Sicherheitsmodul zur Weiterleitung von ersten Daten, die über eine der dritten Schnittstellen empfangen wurden, über die zweite Schnittstelle an den Kopplungsknoten ausgebildet ist, wobei das Sicherheitsmodul zur Weiterleitung von zweiten Daten, die über die zweite Schnittstelle empfangen wurden, an das zweite Teilnetzwerk über eine der dritten Schnittstellen ausgebildet ist, und wobei das Netzwerkgerät dazu ausgebildet ist, die Weiterleitung der ersten und der zweiten Daten nach Empfang des Abschaltsignals über eine der ersten Schnittstellen zu verhindern.
  3. Netzwerkgerät nach einem der Ansprüche 1 oder 2, wobei das Sicherheitsmodul zur Herstellung von VPN-Tunneln über die zweite Schnittstelle mit Netzwerkteilnehmern des ersten Teilnetzwerks und/oder zur Verschlüsselung der ersten Daten ausgebildet ist.
  4. Netzwerkgerät nach einem der vorhergehenden Ansprüche, wobei das Sicherheitsmodul dazu ausgebildet ist, keine Kontrollnachrichten auszugeben, wenn ein Angriff auf das Sicherheitsmodul detektiert wurde.
  5. Netzwerkgerät nach Anspruch 4, wobei das Sicherheitsmodul einen Prozessor (110; 126) umfasst und dazu ausgebildet ist, – eine Auslastung des Prozessors zu detektieren, – eine Anzahl von aus dem zweiten Teilnetzwerk empfangenen Broadcast-Telegrammen, zu detektieren, und/oder – den Inhalt der ersten Daten zu analysieren und in eine erste oder in eine zweite Kategorie einzuordnen; wobei das Sicherheitsmodul dazu ausgebildet ist, einen Angriff auf das Sicherheitsmodul zu detektieren, wenn – die Auslastung des Prozessors einen Auslastungsschwellwert überschreitet, – die Anzahl der Broadcast-Telegramme einen Telegrammschwellwert überschreitet, und/oder – die Datenmenge der Daten, die in die erste Kategorie eingeordnet wurden, einen Datenmengenschwellwert überschreitet.
  6. Netzwerkgerät nach einem der Ansprüche 4 oder 5, wobei die Kommunikationsmittel dazu ausgebildet sind, die Kontrollnachrichten an ein weiteres Netzwerkgerät zu übertragen und weitere Kontrollnachrichten von dem weiteren Netzwerkgerät zu empfangen, und wobei die Datenverarbeitungsmittel dazu ausgebildet sind, ein weiteres Abschaltsignal zu generieren und um die Kommunikationsmittel zur Sendung des weiteren Abschaltsignals an das weitere Netzwerkgerät anzusteuern.
  7. Netzwerkgerät nach einem der vorhergehenden Ansprüche, wobei das erste Teilnetzwerk eine erste Sicherheitsstufe und das zweite Teilnetzwerk eine zweite Sicherheitsstufe aufweist, und wobei die erste Sicherheitsstufe höher als die zweite Sicherheitsstufe ist.
  8. Sicherheitsmodul (106; 108) für ein Netzwerkgerät (102; 104) in einem Automatisierungsnetzwerk (100) mit – einer zweiten Schnittstelle (X1; X2) zum Anschluss an das Netzwerkgerät, und – zwei dritten Schnittstellen (120; 122; 130; 132) zum Anschluss an ein zweites Teilnetzwerk (103) des Automatisierungsnetzwerks, wobei das Sicherheitsmodul zur Weiterleitung von ersten Daten, die über eine der dritten Schnittstellen empfangen wurden, über die zweite Schnittstelle an das Netzwerkgerät ausgebildet ist, wobei das Sicherheitsmodul zur Weiterleitung von zweiten Daten, die über die zweite Schnittstelle empfangen wurden, an eines der weiteren Geräte über eine der dritten Schnittstellen ausgebildet ist.
  9. Sicherheitsmodul nach Anspruch 8, wobei das Sicherheitsmodul eine vierte Schnittstelle (124) zur Verbindung mit einem weiteren Sicherheitsmodul aufweist, wobei das Sicherheitsmodul dazu ausgebildet ist, im Betriebszustand über die vierte Schnittstelle Kontrollnachrichten in regelmäßigen Zeitabständen an das weitere Sicherheitsmodul zu übertragen, und wobei die Kontrollnachrichten ein Hinweis auf den Betriebszustand des Sicherheitsmoduls sind.
  10. Automatisierungsnetzwerk (100) mit zumindest einem ersten (102) und einem zweiten Netzwerkgerät (104) jeweils nach einem der Ansprüche 1–7.
  11. Automatisierungsnetzwerk nach Anspruch 10, wobei das Automatisierungsnetzwerk ein erstes (101) und ein zweites (103) Teilnetzwerk umfasst, wobei das erste Teilnetzwerk erste Geräte einer ersten Sicherheitsstufe und das zweite Teilnetzwerk zweite Geräte einer zweiten Sicherheitsstufe umfasst, wobei die erste Sicherheitsstufe höher als die zweite Sicherheitsstufe ist, wobei die Geräte des zweiten Teilnetzwerks jeweils über die dritten Schnittstellen mit dem ersten und/oder dem zweiten Netzwerkgerät verbunden sind, wobei die Geräte des ersten Teilnetzwerks über die ersten Schnittstellen mit den Netzwerkgeräten verbunden sind, wobei das erste Netzwerkgerät dazu ausgebildet ist, erste Kontrollnachrichten in regelmäßigen Abständen an das zweite Netzwerkgerät auszusenden, wobei das zweite Netzwerkgerät dazu ausgebildet ist, zweite Kontrollnachrichten in regelmäßigen Abständen an das erste Netzwerkgerät auszusenden, wobei das erste Netzwerkgerät dazu ausgebildet ist, einen Angriff auf das Sicherheitsmodul des zweiten Netzwerkgeräts zu detektieren, wenn die zweiten Kontrollnachrichten nicht vom ersten Netzwerkgerät empfangen werden, wobei das zweite Netzwerkgerät dazu ausgebildet ist, einen Angriff auf das Sicherheitsmodul des ersten Netzwerkgeräts zu detektieren, wenn die ersten Kontrollnachrichten nicht vom zweiten Netzwerkgerät empfangen werden, wobei das erste Netzwerkgerät dazu ausgebildet ist, ein erstes Abschaltsignal an das zweite Netzwerkgerät zu senden, wenn ein Angriff auf das Sicherheitsmodul des zweiten Netzwerkgeräts detektiert wurde, wobei das zweite Netzwerkgerät zur Unterbrechung jeder Kommunikation zwischen einem Teilnehmer des ersten Teilnetzwerks und einem Teilnehmer des zweiten Teilnetzwerks bei Empfang des ersten Abschaltsignals ausgebildet ist, wobei das zweite Netzwerkgerät dazu ausgebildet ist, ein zweites Abschaltsignal an das erste Netzwerkgerät zu senden, wenn ein Angriff auf das Sicherheitsmodul des ersten Netzwerkgeräts detektiert wurde, wobei das erste Netzwerkgerät zur Unterbrechung jeder Kommunikation zwischen einem Teilnehmer des ersten Teilnetzwerks und einem Teilnehmer des zweiten Teilnetzwerks bei Empfang des zweiten Abschaltsignals ausgebildet ist.
  12. Automatisierungsnetzwerk nach einem der Ansprüche 10 oder 11, wobei das erste und das zweite Netzwerkgerät zur gleichzeitigen Weiterleitung von Daten von den unsicheren Geräten zu den sicheren Geräten und umgekehrt ausgebildet sind.
  13. Verfahren zur Übertragung von Daten in einem Automatisierungsnetzwerk mit einem ersten Teilnetzwerk einer ersten Sicherheitsstufe, einem zweiten Teilnetzwerk einer zweiten Sicherheitsstufe, einem ersten Netzwerkgerät und einem zweiten Netzwerkgerät, wobei das erste und das zweite Netzwerkgerät jeweils ein Netzwerkgerät nach einem der Ansprüche 1–7 ist, wobei die erste Sicherheitsstufe höher als die zweite Sicherheitsstufe ist, und wobei das Verfahren die folgenden Schritte umfasst: – Weiterleitung (S1) von Daten von Teilnehmern des ersten Teilnetzwerks zu Teilnehmern des zweiten Teilnetzwerks und umgekehrt über das erste Netzwerkgerät im korrekten Betriebszustand, – Generierung und Übermittlung (S2) von Kontrollnachrichten von dem ersten Netzwerkgerät an das zweite Netzwerkgerät in regelmäßigen Abständen, – Detektion (S3) eines Angriffs auf das erste Netzwerkgerät durch das zweite Netzwerkgerät, wenn keine Kontrollnachrichten durch das zweite Netzwerkgerät empfangen werden, – Unterbindung (S4) der Weiterleitung der Daten von den Teilnehmern des zweiten Teilnetzwerks zu den Teilnehmern des ersten Teilnetzwerks durch das erste Netzwerkgerät, wenn ein Angriff auf das Sicherheitsmodul des ersten Netzwerkgeräts detektiert wurde, und – Weiterleitung (S5) der Daten von den Teilnehmern des zweiten Teilnetzwerks zu den Teilnehmern des ersten Teilnetzwerks und umgekehrt durch das zweite Netzwerkgerät, wenn ein Angriff auf das erste Netzwerkgeräts detektiert wurde.
  14. Verfahren nach Anspruch 13, wobei die Weiterleitung der Daten von den Teilnehmern des ersten Teilnetzwerks zu den Teilnehmern des zweiten Teilnetzwerks und umgekehrt im korrekten Betriebszustand sowohl über das erste Netzwerkgerät als auch über das zweite Netzwerkgerät erfolgt.
DE201110003310 2011-01-28 2011-01-28 Netzwerkgerät für ein Automatisierungsnetzwerk Withdrawn DE102011003310A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE201110003310 DE102011003310A1 (de) 2011-01-28 2011-01-28 Netzwerkgerät für ein Automatisierungsnetzwerk
DE201220000035 DE202012000035U1 (de) 2011-01-28 2012-01-02 Netzwerkgerät für ein Automatisierungsnetzwerk
CN 201220028564 CN202856779U (zh) 2011-01-28 2012-01-21 用于自动化网络的网络设备,安全模块和自动化网络

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201110003310 DE102011003310A1 (de) 2011-01-28 2011-01-28 Netzwerkgerät für ein Automatisierungsnetzwerk

Publications (1)

Publication Number Publication Date
DE102011003310A1 true DE102011003310A1 (de) 2012-08-02

Family

ID=45805173

Family Applications (2)

Application Number Title Priority Date Filing Date
DE201110003310 Withdrawn DE102011003310A1 (de) 2011-01-28 2011-01-28 Netzwerkgerät für ein Automatisierungsnetzwerk
DE201220000035 Expired - Lifetime DE202012000035U1 (de) 2011-01-28 2012-01-02 Netzwerkgerät für ein Automatisierungsnetzwerk

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE201220000035 Expired - Lifetime DE202012000035U1 (de) 2011-01-28 2012-01-02 Netzwerkgerät für ein Automatisierungsnetzwerk

Country Status (2)

Country Link
CN (1) CN202856779U (de)
DE (2) DE102011003310A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3840283A1 (de) * 2019-12-20 2021-06-23 Siemens Aktiengesellschaft Verfahren zum übertragen von nachrichten zwischen zwei kommunikationseinrichtungen

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104811332B (zh) * 2014-01-29 2018-11-02 中国移动通信集团广东有限公司 一种分组传送网络ptn的dcn域的优化方法、装置及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10151116A1 (de) * 2001-10-15 2003-05-08 Siemens Ag Verfahren zur Inbetriebnahme eines Bedien- und Beobachtungssystems von Feldgeräten
US20040257219A1 (en) * 2003-04-16 2004-12-23 Spiess David M. Computer security alert system
DE10241974B4 (de) * 2002-09-11 2006-01-05 Kämper, Peter Überwachung von Datenübertragungen
DE102005046935A1 (de) * 2005-09-30 2007-04-12 Siemens Ag Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, Kommunikationssystem und Verfahren zum Betreiben eines Kommunikationssystems
US20070226745A1 (en) * 2006-02-28 2007-09-27 International Business Machines Corporation Method and system for processing a service request

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10151116A1 (de) * 2001-10-15 2003-05-08 Siemens Ag Verfahren zur Inbetriebnahme eines Bedien- und Beobachtungssystems von Feldgeräten
DE10241974B4 (de) * 2002-09-11 2006-01-05 Kämper, Peter Überwachung von Datenübertragungen
US20040257219A1 (en) * 2003-04-16 2004-12-23 Spiess David M. Computer security alert system
DE102005046935A1 (de) * 2005-09-30 2007-04-12 Siemens Ag Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, Kommunikationssystem und Verfahren zum Betreiben eines Kommunikationssystems
US20070226745A1 (en) * 2006-02-28 2007-09-27 International Business Machines Corporation Method and system for processing a service request

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
IEC 61158/EN50170

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3840283A1 (de) * 2019-12-20 2021-06-23 Siemens Aktiengesellschaft Verfahren zum übertragen von nachrichten zwischen zwei kommunikationseinrichtungen

Also Published As

Publication number Publication date
CN202856779U (zh) 2013-04-03
DE202012000035U1 (de) 2012-02-06

Similar Documents

Publication Publication Date Title
EP3353610B2 (de) Verbindungseinheit, überwachungssystem und verfahren zum betreiben eines automatisierungssystems
EP3501154B1 (de) Bereitstellen einer gesicherten kommunikation innerhalb eines echtzeitfähigen kommunikationsnetzwerkes
EP2413538B1 (de) Vermeidung von Sendeschleifen in einem redundanten Ringnetzwerk
EP2936747B1 (de) Datenübertragung unter nutzung eines protokollausnahmezustands
EP1221075A1 (de) Vorrichtung zum steuern von sicherheitskritischen prozessen
EP3155763B1 (de) Redundante übertragung von datentelegrammen in kommunikationsnetzwerken mit ringförmiger topologie
DE102014112082A1 (de) Verteilerknoten, Automatisierungsnetz und Verfahren zum Übertragen von echtzeitrelevanten und nicht-echtzeitrelevanten Datenpaketen
DE102012101957B3 (de) Busteilnehmer-Einrichtung zum Anschluss an einen linienredundanten, seriellen Datenbus und Verfahren zur Steuerung der Kommunikation eines Busteilnehmers mit einem linienredundanten, seriellen Datenbus
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
EP2509265B1 (de) Zugangsschutzgerät für ein Automatisierungsnetzwerk
EP3343303B1 (de) Funk-kommunikationssystem für ein industrielles automatisierungssystem, verfahren zu dessen betrieb
EP3414632B1 (de) Verfahren und vorrichtung zum überwachen einer datenverarbeitung und -übertragung in einer sicherheitskette eines sicherheitssystems
EP3122016B1 (de) Automatisierungsnetzwerk und verfahren zur überwachung der sicherheit der übertragung von datenpaketen
DE112008004245B4 (de) Kommunikationsverwaltungsvorrichtung, Kommunikationsvorrichtung und Kommunikationsverfahren
DE102011003310A1 (de) Netzwerkgerät für ein Automatisierungsnetzwerk
EP2448182A1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
EP3301523A1 (de) Redundant betreibbares kommunikationssystem für ein industrielles automatisierungssystem und verfahren zu dessen betrieb
EP2506503B1 (de) Automatisierungsnetzwerk mit Leitsystemkomponente
EP3518471A1 (de) Funk-kommunikationssystem für ein industrielles automatisierungssystem und verfahren zum betrieb eines funk-kommunikationssystems
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
EP3189645A1 (de) Datenübertragung zwischen wenigstens einem sicheren produzenten und wenigstens einem sicheren konsumenten
DE102019207579A1 (de) Verfahren und Vorrichtung zum Überwachen von Datenaustausch in einem Kommunikationssystem
EP3002921A1 (de) Gerätevorrichtung für eine Automatisierungsanlage
EP3629550A1 (de) Verfahren zur datenübermittlung innerhalb eines industriellen kommunikationsnetzes und koppel-kommunikationsgerät
WO2014206451A1 (de) Verfahren und vorrichtung zum sicheren übertragen von signaldaten in einer anlage

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R120 Application withdrawn or ip right abandoned
R120 Application withdrawn or ip right abandoned

Effective date: 20121002