-
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Vermeidung von Schwachstellen.
-
Mit der derzeit einhergehenden Digitalisierungsoffensive nimmt auch eine Vernetzung von Geräten, beispielsweise im industriellen Umfeld, wie beispielsweise bei Fertigungsanlagen, zu. So sollen im Anwendungsszenario des Industrie 4.0 Konzeptes Maschinen autark miteinander kommunizieren und Entscheidungen treffen können. Jedoch zeigt sich, dass Geräte, die über das Internet erreichbar sind, von Unbefugten manipuliert werden können.
-
Daher muss mit fortschreitender Digitalisierung und Vernetzung der Geräte auch die Sicherheit dieser Geräte, insbesondere wenn diese Geräte aus dem Internet erreichbar sind, gegen unerwünschte Manipulation verbessert werden.
-
Hieraus ergibt sich die Aufgabe, Verfahren und Vorrichtungen anzugeben, die Schwachstellen bei einer Vernetzung eines Gerätes in einem Netzwerk aufzeigen können.
-
Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Weiterbildungen der Erfindung sind den abhängigen Ansprüchen zu entnehmen.
-
Die Erfindung betrifft ein Verfahren zum Erkennen einer Schwachstelle eines ersten Geräts, das in einem ersten Netzwerk angeordnet ist, mit folgenden Schritten:
- a) Senden einer ersten Nachricht an ein zweites Gerät, wobei das zweite Gerät in einem zweiten Netzwerk außerhalb des ersten Netzwerks angeordnet ist;
- b) Empfangen und Auswerten der ersten Nachricht durch das zweite Gerät zum Bereitstellen einer Identifikationsinformation des ersten Geräts in dem ersten Netzwerk;
- c) Erstellen und Senden einer zweiten Nachricht an das erste Gerät mittels der Identifikationsinformation durch das zweite Gerät;
- d) Anzeigen einer Schwachstelle durch das erste Gerät oder zweite Gerät, falls die zweite Nachricht durch das erste Gerät empfangen wird.
-
Durch das Verfahren kann in einfacher und zuverlässiger Weise erkannt werden, dass und mit welchen Kommunikationsprotokollen das erste Gerät Zugang außerhalb des ersten Netzwerks hat. Zudem kann geprüft werden, ob bei einem erfolgreichen Versenden der ersten Nachricht, eine zweite Nachricht an das erste Gerät erfolgreich zugestellt werden kann.
-
Ein weiterer Vorteil liegt darin begründet, dass das zu prüfende erste Gerät selbst das Versenden anstößt und somit zunächst nur innerhalb des ersten Netzwerks Nachrichten generiert und versendet werden. Somit dringt nur diejenige Nachricht nach außen, die nicht z.B. durch eine Firewall blockiert wird. Zudem kann das erste Gerät gezielt als zweites Gerät einen Server des Herstellers des ersten Gerätes adressieren, wodurch der Hersteller spezifische Information zur „Sicherheit“ des ersten Geräts erhält. Hierdurch kann der Hersteller erkennen, ob es sich ggfs. um eine Schwachstelle bei mehreren seiner Produkte handelt, falls z.B. unterschiedliche Geräte einer seiner Produktlinien jeweils eine erste Nachricht erfolgreich dem Hersteller zusenden können. Ferner kann der Hersteller gezielt „Angriffe“ in Form einer zweiten Nachricht in Richtung des ersten Geräts starten, da der Hersteller spezifische Informationen zu möglichen Schwachstellen des ersten Geräts hat. Durch diese Vorteile kann die Sicherheit des ersten Geräts deutlich erhöht werden.
-
Unter Nachricht, wie erste oder zweite Nachricht, wird in dieser Erfindung eine Möglichkeit verstanden, einen Zustand von einem Gerät zu einem weiteren Gerät, wie dem ersten Gerät und dem zweiten Gerät, zu signalisieren. Der Zustand kann z.B. mittels einer Emailnachricht oder mittels eines anderen beliebigen Übertragungsprotokolls erfolgen. Durch die Erfindung ist auch umfasst, dass bei der Übertragung des Zustands mehrere Übertragungsprotokolle beteiligt sind, wobei eine Konvertierung von einem zu einem anderen Übertragungsprotokoll stattfinden kann. Dabei kann sich das Übertragungsprotokoll weiterer Übertragungstechniken bedienen, wie z.B. weiterer Transportprotokolle, um den Zustand zu übertragen. Zum Beispiel nutzt ein Übertragungsprotokoll FTP (FTP-file transfer protocol, siehe RFC 959) weitere Transportprotokolle wie TCP (TCP – Transmission Control Protocol, siehe RFC 793) und IP (IP – Internet Protocol, siehe RFC 791).
-
Vorzugsweise wird der Identifikationsinformation eine Netzwerkadresse, die der ersten Nachricht als Absenderadresse zugeordnet ist, zugewiesen. Hierdurch ist eine Identifizierung des ersten Geräts in einfacher Art und Weise möglich.
-
In einer vorzugsweisen Weiterbildung der Erfindung werden die erste Nachricht und / oder zweite Nachricht zumindest einmal mit Hilfe zumindest eines Übertragungsprotokolls aus einer Mehrzahl von Protokollen erzeugt und übertragen. Das erste Gerät probiert mehrere Übertragungsprotokolle aus, um seine erste Nachricht an das zweite Gerät zu übertragen. Dies hat zum einen den Vorteil, dass das erste Gerät die für das erste Gerät zulässigen Übertragungsprotokolle kennt und somit zeit- und ressourcenffizient diese Übertragungsprotokolle ausprobieren kann. Zum anderen wird durch das Ausprobieren verschiedener Übertragungsprotokolle ein Überprüfen von möglichen Schwachstellen ermöglicht.
-
In einer Weiterbildung der Erfindung werden durch die zweite Nachricht eine Aktivierung einer Geräte-spezifischen Funktionalität des ersten Geräts signalisiert und durch das erste Gerät seine Schwachstelle durch Angabe einer durch die zweite Nachricht aktivierte Geräte-spezifische Funktionalität angezeigt. Hierdurch kann in einfacher und effizienter Weise einem Betreiber des ersten Geräts eine aufgefundene Schwachstelle angezeigt werden. Zudem kann das Anzeigen der aufgefundenen Schwachstelle bei dem Betreiber verbleiben, so dass diese Schwachstelle zunächst geheim bleiben kann und der Betreiber Zeit zum Beheben der Schwachstelle hat.
-
Ferner umfasst die Erfindung ein System zum Erkennen einer Schwachstelle mit
- – einem ersten Geräts, das in einem ersten Netzwerk angeordnet ist, und
- – einem zweiten Gerät, das in einem zweiten Netzwerk außerhalb des ersten Netzwerks angeordnet ist, wobei das erste Gerät und das zweite Gerät ausgebildet sind folgende Schritte durchzuführen:
a) Senden einer ersten Nachricht an ein zweites Gerät durch das erste Gerät;
b) Empfangen und Auswerten der ersten Nachricht durch das zweite Gerät zum Bereitstellen einer Identifikationsinformation des ersten Geräts in dem ersten Netzwerk;
c) Erstellen und Senden einer zweiten Nachricht an das erste Geräts mittels der Identifikationsinformation durch das zweite Gerät;
d) Anzeigen einer Schwachstelle durch das erste Gerät oder zweite Gerät, falls die zweite Nachricht durch das erste Gerät empfangbar ist.
-
In einer Weiterbildung der Erfindung ist der Identifikationsinformation eine Netzwerkadresse, die der ersten Nachricht als Absenderadresse zugeordnet ist, zuweisbar.
-
In einer vorteilhaften Ausgestaltung der Erfindung sind die erste Nachricht und / oder zweite Nachricht zumindest einmal mit Hilfe zumindest eines Übertragungsprotokolls aus einer Mehrzahl von Übertragungsprotokollen erzeugbar und übertragbar.
-
In einer weiteren Ausgestaltung der Erfindung sind durch die zweite Nachricht eine Aktivierung einer Geräte-spezifischen Funktionalität des ersten Geräts signalisierbar und durch das erste Gerät seine Schwachstelle durch Angabe einer durch die zweite Nachricht aktivierte Geräte-spezifische Funktionalität anzeigbar.
-
Die Vorteile des ersten und zweiten Geräts, sowie des System sind analog zu denen des Verfahrens.
-
Die Erfindung und ihre Weiterbildungen werden anhand einer Zeichnung näher erläutert. Es zeigt:
-
1 zwei in Verbindung stehende Netzwerke mit einem ersten Gerät und einem zweiten Gerät.
-
Elemente mit gleicher Funktion und Wirkungsweise sind in der Figur mit denselben Bezugszeichen versehen.
-
Ein erstes Ausführungsbeispiel wird anhand von 1 näher erläutert. In einer Fertigungsanlage eines Automobilherstellers stehen Roboter, die Karosserieteile für Fahrzeuge zusammenschweißen. In 1 wird ein derartiger Schweißroboter als erstes Gerät G1 bezeichnet. Im Allgemeinen beschreibt das erste Gerät eine Einheit, die eine programmierbare Funktion ausübt und über eine Kommunikationsschnittselle mit anderen Einheit Daten austauschen kann. Die Schweißroboter G1 befinden sich in einem internen Netzwerk des Automobilherstellers, bezeichnet durch das erste Netzwerk NET1.
-
Das erste Netzwerk NET1 ist über eine Firewall FW mit einem zweiten Netzwerk NET2 verbunden. Das zweite Netzwerk ist beispielsweise ein durch einen externen Provider betriebenes Intranet. In dem zweiten Netzwerk steht ein Server des Herstellers des Schweißroboters, bezeichnet als zweites Gerät G2. Im Allgemeinen beschreibt das zweite Gerät eine Einheit, die eine programmierbare Funktion ausübt und über eine Kommunikationsschnittselle mit einer oder mehreren anderen Einheiten Daten austauschen kann.
-
Das erste und das zweite Netzwerk sind in diesem Beispiel über eine Kommunikationsleitung, die die Firewall aufweist, mit einander verbunden. Das erste und das zweite Netzwerk können auch über ein oder mehrere weitere Netzwerk zum Austausch von Daten, wie Nachrichten, „indirekt“ verbunden sein. Innerhalb der jeweiligen ersten und zweiten Netzwerke können die jeweiligen Geräte direkt oder über weitere Geräte des jeweiligen Netzwerks mit einander verbunden sein. Im Allgemeinen kann die Firewall aus einer oder mehreren Einheiten entlang der Kommunikationsverbindung ausgebildet und zwischen dem ersten und zweiten Gerät angeordnet sein. So kann bereits ein Teil der Firewall als Einheit in dem ersten Netzwerk den Datenverkehr beschränken.
-
Der Austausch von Daten erfolgt über ein jeweiliges Kommunikationsprotokoll, wie beispielsweise IP (IP – Internet Protocol, RFC 791). Im allgemeinen werden das erste und zweite Netzwerk getrennt voneinander betrieben, zum Beispiel werden in beiden Netzwerken unterschiedliche Adressräume verwendet, wie beispielsweise der IP Adressraum 192.168.179.0–192.168.179.255 für das erste Netzwerk und der IP Adressraum 192.168.177.0–192.168.178.255 für das zweite Netzwerk. Neben dem Einsatz von den gleichen Kommunikationsprotokollen können das erste und das zweite Netzwerk auch unterschiedliche Kommunikationsprotokolle einsetzen, wobei zwischen dem ersten und zweiten Netzwerk eine Einheit zur Umsetzung der zwei unterschiedlichen Kommunikationsprotokolle angeordnet ist, wodurch Daten zwischen den beiden Netzwerken ausgetauscht werden können.
-
Im vorliegenden Ausführungsbeispiel versucht zur Erkennung von Schwachstellen das erste Gerät G1 zu einem Zeitpunkt eine erste Nachricht N1 aus dem ersten Netzwerk zu dem zweiten Gerät G2 in dem zweiten Netzwerk zu senden. Das erste Gerät testet den Versand der ersten Nachricht über ein oder mehrere Übertragungsprotokolle, wie beispielsweise FTP (FTP – File Transport Protocol, siehe RFC 959) oder HTTP (http – Hypertext Transfer Protocol, siehe RFC 2616), um herauszubekommen, welches von möglichen Übertragungsprotokollen von Firewall nicht blockiert wird und somit die erste Nachricht von dem zweiten Gerät empfangbar ist. Somit wird im Rahmen der Erfindung unter Übertragungsprotokoll jede Art von Protokoll verstanden, mit Hilfe dessen das erste Gerät mit dem zweiten Gerät Daten, wie Nachrichten, austauschen kann.
-
Oftmals sind bestimmten Übertragungsprotokollen, wie FTP, bestimmte Kommunikationsports zugeordnet, so dass empfangende Geräte aufgrund eingehender Nachrichten auf einem bestimmten Port das dazugehörige Übertragungsprotokoll automatisch identifizieren zu können. So wird das Protokoll FTP normalerweise auf einem Portpaar 20 und 21 signalisiert.
-
Nachdem eines der zuvor ausprobierten Übertragungsprotokolle detektiert wurde, welches die erste Nachricht über die Firewall von dem ersten in das zweite Gerät zulässt, kann diese erste Nachricht durch das zweite Gerät empfangen werden. Das zweite Gerät analysiert die empfangene erste Nachricht auf eine Identifikationsinformation II des ersten Geräts, insbesondere auf die Absender-Netzwerkadresse NETADR des ersten Gerätes, z.B. 192.168.179.22. Im Folgenden schickt das zweite Gerät eine zweite Nachricht N2 an diese Absender-Netzwerkadresse NETADR der ersten Nachricht. Falls die zweite Nachricht durch das erste Gerät empfangen wird, besteht eine Schwachstelle, da das erste Gerät direkt aus dem Internet erreichbar ist. Möglicherweise muss auch das zweite Gerät verschiedene Übertragungsprotokolle auf möglicherweise unterschiedlichen Ports ausprobieren, damit die zweite Nachricht an das erste Gerät übertragen werden kann.
-
In einem weiteren optionalen Schritt schickt das zweite Gerät mit der zweiten Nachricht eine Kennung ID mit, die eine Aktivierung einer gerätespezifischen Funktionalität des ersten Gerätes signalisiert. Eine derartige gerätespezifische Funktionalität kann beispielsweise ein Auslesen von bestimmten Statusinformationen, aber auch ein Setzen von kritischen Parametern sein, wie beispielsweise ein Verändern von Sicherheitsmechanismen innerhalb des ersten Geräts oder ein permanentes Übertragen von Steuerparametern, die Rückschlüsse auf spezifische Fertigungsstrategien des Schweißroboters zulassen.
-
Es erscheint sinnvoll, ein im obigen Beispiel dargestelltes Verfahren derart zu implementieren, das das erste Gerät als zweites Gerät einen Testserver des Geräteherstellers versucht zu kontaktieren. Denn der Gerätehersteller kennt versteckte Funktionen, die er mit Hilfe der zweiten Nachricht testen kann, um Schwachstellen bei einer mangelhaften Abschottung des ersten Geräts außerhalb des ersten Netzwerks zu finden. Ein Hersteller des ersten Geräts kann im Folgenden den Betreiber des ersten Geräts über Schwachstellen, wie die Erreichbarkeit des ersten Geräts aus dem Internet, informieren. Zudem kann er auch gerätespezifische Informationen im ersten Gerät aktivieren, wie beispielsweise einen Hinweis an den Administrator des ersten Geräts, dass das erste Gerät von außen ungewollt beeinflusst, z.B. manipuliert, werden kann.
-
So wird in diesem Ausführungsbeispiel bei Erkennen von Schwachstellen, wie beispielsweise das Ermitteln einer Geräteadresse des ersten Geräts und/oder einer Manipulationsmöglichkeit von gerätespezifischen Funktionalitäten, dem Automobilhersteller und/oder dem Gerätehersteller ein Hinweis zugestellt, um kurzfristig Gegenmaßnahmen ergreifen zu können. Zum einen können Gegenmaßnahmen darin bestehen, eine Abschottung des ersten Geräts beziehungsweise des ersten Netzwerks von der Außenwelt zu verbessern, durch Sperren von spezifischen Ports beziehungsweise internen IP-Adressen, als auch von Abfragemöglichkeiten innerhalb des ersten Geräts, wie beispielsweise Setzen von Passwörtern zum Abfragen spezifischer Funktionalitäten oder auch Setzen von Geräteparametern.
-
Oftmals gibt ein Hersteller von Geräten, wie beispielsweise dem ersten Gerät, Hinweise, wie dieses innerhalb eines Fertigungsnetzes zu implementieren ist, um Angriffe und damit Schäden in der Fertigung möglichst niedrig zu halten. Jedoch bedingt dies oftmals aufwändige Installationen und zeitraubende Wartung, wie beispielsweise Einspielen von Sicherheitsupdates. Durch permanente Tests, ob das erste Gerät die erste Nachricht nach außen schicken kann und von außen erreicht bzw. manipuliert werden kann, kann in einfacher und kostengünstiger Weise eine Schwachstelle erkannt werden, um dann bei Auffinden der Schwachstelle Gegenmaßnahmen kurzfristig ergreifen zu können.
-
Im Rahmen der Erfindung sind die erste Nachricht und die zweite Nachricht nicht nur als Übertragungsprotokoll-spezifische Nachrichten zu verstehen. Vielmehr ist jede Art von Informationsübertragung unter dem Begriff Nachricht zu verstehen, die ein Austausch von Informationen, wie eine Erreichbarkeit des ersten Gerätes durch ein zweites Gerät umfasst. Die Art der Informationsübertragung kann dabei durch das verwendete Übertragungsprotokoll bestimmt sein. Zudem ist auch der Begriff Identifikationsinformation, wie z.B. Netzwerkadresse, nicht nur auf eine IP-Adresse (IP – Internetprototkoll) beschränkt, vielmehr ist unter dem Begriff Identifikationsinformation jede Adressierungsart des ersten Gerätes gemeint, mit der das erste Gerät die Nachricht empfangen kann. So kann die Identifikationsinformation beispielsweise in Form einer gerätespezifischen MAC-Adresse (MAC – Media-Access-Control-Address) oder in Form einer Vielzahl von ersten Geräten zugeordneten Gruppenadressierung, wie z.B. einer Broadcast-Adresse, ausgebildet werden. Ferner kann die Identifikationsinformation in Form mehrerer Datenfelder, wie beispielsweise aus der IP-Adresse eines das erste Netzwerk nach außen abschließendes Geräts, im Englischen als Edge-Router (= Netzwerkrouter) oder Gateway, und einer Port-Adresse, die das erste Gerät im ersten Netzwerk identifiziert, gebildet werden. Dieses letzte Beispiel repräsentiert die Netzwerkadresse, d.h. die Identifikationsinformation II, des ersten Geräts bei Verwendung einer NAT Technologie (NAT – Network Address Translation, siehe RFCs 3102, 2103, 2104).
-
Die Erfindung betrifft auch ein System SYS umfassend das erste und das zweite Geräte. Das jeweilige Gerät kann die einzelnen Schritte in Hardware, Software oder in einer Kombination in Hard- und Software implementieren und ausführen. So kann das jeweilige Geräte über einen Prozessor verfügen, der einen oder mehrere Schritte der Erfindung als Maschinencode aus einem mit dem Prozessor über einen Bus verbundenen Speicher ausliest und verarbeitet. Zudem kann der Prozessor über ein an dem Bus angeschlossenen Ein- und/oder Ausgabeinterface mit anderen Geräten Daten, wie Nachrichten, austauschen. Zudem kann zumindest das erste oder das zweite Gerät über ein Hinweiselement verfügen, mittels dessen die Schwachstelle angezeigt werden kann. Das Hinweiselement kann als optisches Signal, akustisches Signal, als eine Darstellung auf einem Bildschirm oder als Ausgabe in einer Daten- oder Dateistruktur des Speichers implementiert und ausgeführt werden. Das Hinweiselement kann über einen Bus vom jeweiligen Prozessor aktiviert werden.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- RFC 959 [0009]
- RFC 793 [0009]
- RFC 791 [0009]
- RFC 791 [0024]
- RFC 959 [0025]
- RFC 2616 [0025]
- RFCs 3102, 2103, 2104 [0032]