DE102016119744A1 - Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät - Google Patents

Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät Download PDF

Info

Publication number
DE102016119744A1
DE102016119744A1 DE102016119744.0A DE102016119744A DE102016119744A1 DE 102016119744 A1 DE102016119744 A1 DE 102016119744A1 DE 102016119744 A DE102016119744 A DE 102016119744A DE 102016119744 A1 DE102016119744 A1 DE 102016119744A1
Authority
DE
Germany
Prior art keywords
field device
alarm
data traffic
communication network
incoming data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102016119744.0A
Other languages
English (en)
Inventor
Markus Kilian
Andrea Seger
Bert Von Stein
Christian Wandrei
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Endress and Hauser SE and Co KG
Original Assignee
Endress and Hauser SE and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Endress and Hauser SE and Co KG filed Critical Endress and Hauser SE and Co KG
Priority to DE102016119744.0A priority Critical patent/DE102016119744A1/de
Publication of DE102016119744A1 publication Critical patent/DE102016119744A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Die Erfindung umfasst ein Verfahren und ein System zum Verhindern eines unerwünschten Zugriffs auf zumindest ein Feldgerät (F1, F2, F3, F4) in einem Kommunikationsnetzwerk (D1, FB, KN) in einer Anlage (A) der Prozessautomatisierung, umfassend:Vergleichen durch das Feldgerät (F1, F2, F3, F4) des im Feldgerät (F1, F2, F3, F4) eingehenden Datenverkehrs mit einem im Feldgerät (F1, F2, F3, F4) hinterlegten Alarm-Regelsatz; undErstellen einer Alarmmeldung im Falle dass das Feldgerät (F1, F2, F3, F4) in zumindest einem Teil des eingehenden Datenverkehrs eine Entsprechung zu zumindest einer Regel des Alarm-Regelsatzes detektiert,

Description

  • Die Erfindung betrifft ein Verfahren zum Verhindern eines unerwünschten Zugriffs auf zumindest ein Feldgerät in einem Kommunikationsnetzwerk in einer Anlage der Prozessautomatisierung. Des Weiteren betrifft die Erfindung ein System zum Durchführen des erfindungsgemäßen Verfahrens.
  • Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen zum Einsatz kommen. In der Prozessautomatisierungstechnik ebenso wie in der Fertigungsautomatisierungstechnik werden vielfach Feldgeräte eingesetzt. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Messgeräte, bzw. Sensoren. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktoren verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Messgeräten und Aktoren werden unter Feldgeräten auch Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.
  • Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.
  • In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, Foundation® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Normalerweise handelt es sich bei den übergeordneten Einheiten um Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung) oder einen PLC (Programmable Logic Controller). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt, die die Messwerte gegebenenfalls weiterverarbeiten und an den Leitstand der Anlage weiterleiten. Der Leitstand dient zur Prozessvisualisierung, Prozessüberwachung und Prozessteuerung über die übergeordneten Einheiten. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.
  • Durch die fortschreitende Digitalisierung der Industrieanlagen gerät das Thema Sicherheit immer mehr in den Blickpunkt. Aktuelle Feldgeräte verfügen über praktisch keinen Schutz vor digitalen Angriffen.
  • Ist es einem Angreifer daher erst einmal gelungen, Zugriff zum Feldbus der Anlage oder direkten Zugriff zu den Feldgeräten zu erlangen, so kann er die einzelnen Feldgeräte nach Belieben manipulieren. Ein Feldgerät kann nicht erkennen, ob die vorgenommene Änderung der Parametrierung sinnvoll ist und zur Anlage und dem jeweiligen Prozess passt.
  • Ein Angreifer könnte also die Parametrierung, bzw. Konfiguration der jeweiligen Feldgeräte verändern, was zum Stillstand der Anlage oder im schlimmsten Fall zu einer Beschädigung oder gar einer Zerstörung der Anlage führen kann.
  • Ausgehend von dieser Problematik liegt der Erfindung die Aufgabe zugrunde, ein Verfahren und ein System vorzustellen, welches es erlaubt, einen unerwünschten Zugriff auf ein Feldgerät auf einfache und effektive Art und Weise zu detektieren und zu verhindern.
  • Die Aufgabe wird durch ein Verfahren zum Verhindern eines unerwünschten Zugriffs auf zumindest ein Feldgerät in einem Kommunikationsnetzwerk in einer Anlage der Prozessautomatisierung gelöst, umfassend:
    • - Vergleichen durch das Feldgerät des im Feldgerät eingehenden Datenverkehrs mit einem im Feldgerät hinterlegten Alarm-Regelsatz; und
    • - Erstellen einer Alarmmeldung im Falle dass das Feldgerät in zumindest einem Teil des eingehenden Datenverkehrs eine Entsprechung zu zumindest einer Regel des Alarm-Regelsatzes detektiert, wobei die Alarmmeldung zumindest einem weiteren Netzwerkteilnehmer zur Verfügung gestellt wird.
  • Der große Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass auf einfache Art und Weise ein unerlaubter Zugriff auf ein Feldgerät detektiert wird. Das Feldgerät erkennt über einen im Feldgerät hinterlegten Alarm-Datensatz selbstständig, ob verdächtige, bzw. ungewöhnliche Befehle oder Zugriffe über den Datenverkehr an das Feldgerät gesendet werden. Der Alarm-Datensatz kann vom Anlagenbetreiber, bzw. vom Kunden selbst erstellt und bearbeitet und aktualisiert werden, kann aber auch vom Feldgerätehersteller zu Verfügung gestellt werden. Die Befehle, die im Teil des Datenverkehrs enthalten sind und zu Regeln im Alarm-Regelsatz korrespondieren, werden vom Feldgerät nach der Detektion nicht ausgeführt, so dass beispielsweise eine Reparametrierung/Rekonfiguration und/oder eine Ausgabe von Informationen des Messgeräts unterbunden wird.
  • Bei dem weiteren Netzwerkteilnehmer handelt es sich insbesondere um einen Workstation-PC in der Leitstelle der Anlage. Dem Anlagenbetreiber, bzw. dem Kunden wird somit an zentraler Stelle ein Alarm angezeigt, so dass der Anlagenbetreiber, bzw. der Kunde zeitnah auf diesen reagieren kann.
  • Es kann alternativ vorgesehen sein, dass die Alarmmeldung erst nach einer definierten Anzahl von Detektionen erstellt wird. So können Fehlalarme verhindert werden, im Falle dass versehentlich, beispielsweise durch einen Servicetechniker, ein falscher Befehl über den Datenverkehr an das Feldgerät gesendet wird.
  • Feldgeräte, welche im Zusammenhang mit der Erfindung genannt werden, sind bereits im einleitenden Teil der Beschreibung beispielhaft beschrieben.
  • Eine bevorzugte Weiterbildung des erfindungsgemäßen Verfahrens sieht vor, dass die Alarmmeldung in dem Fall erstellt wird, wenn zumindest ein Teil des eingehenden Datenverkehrs zumindest einer folgenden Regel des Alarm-Regelsatzes entspricht:
    • - Empfangen eines Befehls zum Schreiben und/oder Lesen von zumindest eines nicht im Feldgerät hinterlegten Parameters;
    • - Empfangen eines Befehls zum Schreiben eines Parameterwertes, welcher sich außerhalb eines definierten Wertebereichs befindet;
    • - Empfangen einer ungültigen Kommandonummer an das Feldgerät;
    • - Systematisches Abfragen aller Indizes oder Kommandonummern des Feldgeräts;
    • - Schreibzugriff, obwohl sich das Feldgerät in einem schreibgeschützten Modus befindet.
  • Alle diese Regeln basieren darauf, dass ein potentieller Angreifer keine Kenntnis über den Typ, bzw. den Aufbau des jeweiligen Feldgeräts besitzt. Die Befehle, die im Teil des Datenverkehrs enthalten sind und zu Regeln des Alarm-Regelsatzes korrespondieren, werden vom Feldgerät nach der Detektion nicht ausgeführt.
  • Eine bevorzugte Weiterbildung des erfindungsgemäßen Verfahrens sieht vor, dass der weitere Netzwerkteilnehmer eine Diagnosemeldung von dem Feldgerät anfordert. Dadurch kann der Anlagenbetreiber, bzw. der Kunde erkennen, ob die Alarmmeldung berechtigterweise erstellt wurde.
  • Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass in der Diagnosemeldung eine Beschreibung der entsprechenden Regel angefügt ist, wobei Beschreibungen für jede der Regeln des Alarm-Regelsatzes im Feldgerät hinterlegt sind. Durch die Beschreibung erfährt der Anlagenbetreiber, bzw. der Kunden zusätzlich zu der Information, dass ein unerlaubter Zugriff detektiert wurde, welcher Regel des Alarm-Regelsatzes der unerlaubte Zugriff entsprochen hat und kann auf die jeweilige Regel zugeschnittene Maßnahmen ergreifen. Es kann vorgesehen sein, die Beschreibungen für jede der Regeln im Textformat oder im XML-Format im Alarm-Regelsatz zu speichern.
  • Zusätzlich kann es vorgesehen sein, den Ursprung des unerlaubten Zugriffs anzuzeigen, also beispielsweise ob der Zugriff von einer mit dem Kommunikationsnetzwerk verbundenen mobilen Kommunikationseinheit erfolgt ist.
  • Gemäß einer bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass der weitere Netzwerkteilnehmer nach Empfang der Diagnosemeldung eine oder mehrere der folgenden geeigneten Maßnahmen veranlasst:
    • - Aktivieren des schreibgeschützten Modus des Feldgeräts;
    • - Sperren des Feldgeräts;
    • - Ausschalten des Feldgeräts.
  • Das Ergreifen der Maßnahmen geschieht automatisch, so dass weitere versuchte Manipulationen des Feldgeräts nicht mehr möglich sind.
  • Der Sicherheitslevel, also die adäquate Auswahl der zu ergreifenden Maßnahmen, kann applikationsspezifisch für jedes Feldgerät der Anlage eingestellt werden.
  • In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass das Feldgerät bei Detektion der Entsprechung ein visuelles und/oder akustisches Signal ausgibt. Hierfür befindet sich am Feldgerät eine Lampe, beispielsweise eine Blitzlichtlampe und/oder ein Lautsprecher. Das Ausgeben des Alarms erfolgt dadurch unmittelbar an der Messstelle der Anlage, wodurch umstehende Personen, beispielsweise Servicepersonal oder Mitarbeiter der Anlage, sofort informiert werden und Maßnahmen ergreifen können.
  • Eine vorteilhafte Ausgestaltung des erfindungsgemäßen Verfahrens sieht vor, dass der weitere Netzwerkteilnehmer eine Auflistung der Entsprechungen verknüpft mit einem Zeitstempel und dem Ursprung des jeweiligen ungewöhnlichen Ereignisses erstellt. Dies erlaubt eine Rekonstruktion vergangener Angriffe. Es kann weiter vorgesehen sein, die Alarmmeldungen zusätzlich mit der jeweils ergriffenen Maßnahme zu kombinieren, so dass ein schnelleres Handeln im Wiederholungsfall möglich ist, bzw. eine Optimierung durchgeführt werden kann.
  • Des Weiteren wird die Aufgabe durch ein System zum Durchführen des erfindungsgemäßen Verfahrens gelöst, umfassend:
    • - ein Kommunikationsnetzwerk;
    • - eine Vielzahl von Feldgeräten, wobei jedes der Feldgeräte den im jeweiligen Feldgerät eingehenden Datenverkehr mit in den jeweiligen Feldgeräten hinterlegten Alarm-Regelsätzen vergleicht, und wobei das jeweilige Feldgerät bei Detektion zumindest einem Teil des Datenverkehrs, welcher zumindest einer Regel des jeweiligen Alarm-Regelsatzes entspricht, eine Alarmmeldung generiert, welche zumindest einem weiteren Netzwerkteilnehmer zur Verfügung gestellt wird; und
    • - einen weiteren Netzwerkteilnehmer, wobei Feldgeräte und der weitere Netzwerkteilnehmer über das Kommunikationsnetzwerk untereinander in Kommunikationsverbindung stehen.
  • Der große Vorteil des erfindungsgemäßen Systems besteht darin, dass die bestehende Infrastruktur der Anlage nur geringfügig verändert werden muss. In den Feldgeräten muss lediglich ein Alarm-Regelsatz hinterlegt werden. Des Weiteren benötigen die Feldgeräte jeweils eine Auswertelogik, um den jeweils eingehenden Datenverkehr mit den jeweiligen Alarm-Regelsätzen zu vergleichen. Die Logik kann beispielsweise auf einer bereits im Feldgerät vorhandenen Elektronikeinheit ausgeführt werden. Es kann aber auch alternativ vorgesehen sein, eine weitere Elektronikeinheit, welche die Logikeinheit beinhaltet, zu dem Feldgerät hinzuzufügen, beispielsweise in Form eines Steckmoduls.
  • Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Systems ist vorgesehen, dass es sich bei dem Kommunikationsnetzwerk um ein drahtgebundenes Netzwerk, insbesondere um einen Feldbus der Automatisierungstechnik, handelt. Im Prinzip kann hierbei jedes gebräuchliche Protokoll eines drahtgebundenen Netzwerks, insbesondere eines Feldbusnetzwerks der Automatisierungstechnik, wie Foundation Fieldbus®, Profibus®, Profinet®, HART®, Modbus®, Industrial Ethernet, etc. verwendet werden. Es kann sich aber auch um ein Local-Area-, bzw. um ein Wide-Area-Netzwerk, insbesondere um das Internet, handeln.
  • Gemäß einer bevorzugten Ausgestaltung des erfindungsgemäßen Systems ist vorgesehen, dass es sich bei dem Kommunikationsnetzwerk um ein drahtloses Netzwerk handelt. Beispiele für drahtlose Netzwerke sind Bluetooth, ZigBee, WLAN, GSM, LTE, UMTS, oder aber auch eine drahtlose Version eines Feldbusprotokolls, insbesondere WirelessHART
  • Eine bevorzugte Weiterbildung des erfindungsgemäßen Systems sieht vor, dass es sich bei dem weiteren Netzwerkteilnehmer um ein weiteres Feldgerät oder um eine Steuerungseinheit, welche sich in der Leitebene der Anlage befindet, handelt.
  • Gemäß einer ersten Variante des erfindungsgemäßen Systems ist vorgesehen, dass es sich bei dem eingehenden Datenverkehr um zumindest ein Telegramm handelt, welches über das Kommunikationsnetzwerk gesendet wird. Das Telegramm kann beispielsweise durch eine korrupte Steuerungseinheit oder durch ein weiteres, korruptes bzw. manipuliertes Feldgerät ausgesendet werden. Als Maßnahme kann hier vorgesehen sein, weitere Telegramme des weiteren Feldgeräts bzw. der Steuerungseinheit zu blocken und/oder das weitere Feldgerät auszuschalten.
  • Gemäß einer zweiten Variante des erfindungsgemäßen Systems ist vorgesehen, dass es sich bei dem eingehenden Datenverkehr um zumindest ein Telegramm handelt, welches von einer Bedieneinheit über das Kommunikationsnetzwerk oder über eine Serviceschnittstelle gesendet wird. Im Falle, dass die Bedieneinheit über das Kommunikationsnetzwerk kommuniziert, ist die Bedieneinheit als zweiter Host (Master der Klasse 2) ausgestaltet und erhält dadurch die Berechtigung und ein Zeitfenster, um Telegramme an Feldgeräte zu senden. Eine geeignete Maßnahme bei erfolgter Detektion ist hierbei, diesen zweiten Host zu sperren, so dass Befehle dieses Hosts nicht mehr angenommen werden.
  • Gemäß einer dritten Variante des erfindungsgemäßen Systems ist vorgesehen, dass es sich bei dem eingehenden Datenverkehr um eine manuelle Eingabe an dem jeweiligen Feldgeräts handelt, welche über ein Display des jeweiligen Feldgeräts oder über am Feldgerät angebrachte Tasten erfolgt. Dies ist insbesondere dann der Fall, wenn sich ein Angreifer unbefugt in unmittelbarer Nähe des Feldgeräts befindet. Hierbei werden insbesondere Grenzüberschreitungen von Parameterwerten und/oder falsche Eingaben von Passwörtern detektiert. Geeignete Maßnahmen sind in diesem Fall die Sperrung der Bedienung des Feldgeräts und/oder die Ausgabe eines visuellen und/oder akustischen Signals, um in der Anlage sofort auf den Angreifer aufmerksam zu machen.
  • Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigen
    • 1: ein erstes Ausführungsbeispiel des erfindungsgemäßen Verfahrens; und
    • 2: ein zweites Ausführungsbeispiel des erfindungsgemäßen Verfahrens.
  • 1 zeigt ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens. Hierbei ist eine Anlage A der Automatisierungstechnik dargestellt. An einem Datenbus D1 sind mehrere Rechnereinheiten WS1, WS2 in Form von Workstation-PCs in der Leitebene der Anlage A angeschlossen. Diese Rechnereinheiten dienen als übergeordnete Einheiten (Leitsystem bzw. Steuereinheit), unter anderem zur Prozessvisualisierung, Prozessüberwachung und zum Engineering wie zum Bedienen und Überwachen von Feldgeräten. Der Datenbus D1 arbeitet z. B. nach dem Profibus DP-Standard oder nach dem HSE (High Speed Ethernet)-Standard der Foundation Fieldbus. Über eine Steuereinheit SPS, die insbesondere als speicherprogrammierbare Steuerung ausgestaltet ist, ist die Leitebene der Anlage A mit einem Feldbus-Segment verbunden. Das Feldbus-Segment SM1 besteht aus mehreren Feldgeräten F1, F2, F3, F4, die über einen Feldbus FB miteinander verbunden sind. Bei den Feldgeräten F1, F2, F3, F4 kann es sich sowohl um Sensoren oder um Aktoren handeln. Der Feldbus FB arbeitet entsprechend nach einem der bekannten z.B. Feldbusstandards Profibus, Foundation Fieldbus oder HART. Anstatt des Feldbusses kann es sich um beliebiges drahtloses oder drahtgebundenes Kommunikationsnetzwerk FB handeln. In der Steuereinheit SPS befindet sich eine Logikeinheit LE, die das erfindungsgemäße Verfahren steuert und ausführt. Der Feldbus FB und der Datenbus D1 werden als gemeinsames Kommunikationsnetzwerk KN bezeichnet.
  • Im in 1 gezeigten Ausführungsbeispiel des erfindungsgemäßen Verfahrens versucht ein Unbefugter, das Feldgerät F1 zu manipulieren. Hierfür verbindet er sich mit einer mobilen Bedieneinheit BE mit dem Feldbus FB des Kommunikationsnetzwerks KN. Die Steuereinheit ist ein Master der Klasse 1 und kommuniziert mit den Feldgeräten F1, F2, F3, F4 im zyklischen Datenverkehr. Die Bedieneinheit BE fungiert als Master der Klasse 2 und erhält dadurch einen definierten Zeitslot, um mit den Feldgeräten azyklisch zu kommunizieren.
  • Die Bedieneinheit BE sendet eine Vielzahl an Befehle an das Feldgerät F1, zum systematischen Abfragen von Indizes und/oder Kommandonummern des Feldgeräts F1. Nur mithilfe dieser Indizes und/oder Kommandonummern ist es dem Unbefugten möglich, mittels der Bedieneinheit BE das Feldgerät F1 zu rekonfigurieren.
  • Das Feldgerät F1 analysiert laufend den über das Kommunikationsnetzwerk KN eingehenden Datenverkehr und vergleicht diesen mit einem Alarm-Regelsatz AR, welcher vordefinierte Regeln enthält. Dieser Alarm-Regelsatz AR ist im Feldgerät F1 gespeichert. Der Alarm-Regelsatz AR kann vom Anlagenbetreiber, bzw. vom Kunden selbst erstellt und bearbeitet und upgedatet werden, kann aber auch vom Feldgerätehersteller zu Verfügung gestellt werden. Die weiteren Feldgeräte F2, F3, F4 enthalten ebenfalls jeweils einen Alarm-Regelsatz AR, dieser kann jedoch verschieden zum Alarm-Regelsatz AR des Feldgeräts F1 sein. Insbesondere ist der Alarm-Regelsatz AR jeweils an die jeweilige Messstelle, bzw. an den Sicherheitslevel der jeweiligen Messstelle, angepasst.
  • Das Feldgerät F1 registriert nach wenigen Telegrammen der Bedieneinheit BE, dass Indizes und/oder Kommandonummern systematisch abgefragt werden. Dies entspricht einer Regel im Alarm-Regelsatz AR des Feldgeräts F1, so dass das Feldgerät F1 eine Alarmmeldung generiert.
  • Diese Alarmmeldung sendet das Feldgerät F1 an den Workstation-PC WS1 in der Leitebene. Dieser fordert eine Diagnosemeldung vom Feldgerät F1 an. Die Diagnosemeldung enthält eine Beschreibung der entsprechenden Regel. Idealerweise wird die Beschreibung der Regel im XML-Format übertragen, so dass der Workstation-PC WS1 diese sofort weiter bearbeiten kann. Der Workstation-PC WS1 veranlasst daraufhin die Maßnahmen, dass das Feldgerät F1 in einen schreibgeschützten Modus wechselt. Des Weiteren veranlasst der Workstation-PC WS1, dass die Bedieneinheit BE im Netzwerk gesperrt wird, so dass das Feldgerät F1, bzw. alle anderen am Kommunikationsnetzwerk KN angeschlossenen Komponenten, keine Kommandos/Befehle dieser Bedieneinheit BE mehr annimmt, bzw. annehmen.
  • Die jeweiligen Maßnahmen, die je nach detektierter Regel ergriffen werden, können vorab eingestellt werden. Es versteht sich von selbst, dass die zu ergreifenden Maßnahmen weitere Maßnahmen, als die in diesem Ausführungsbeispiel geschilderten Maßnahmen, einschließen können.
  • 2 zeigt ein zweites Ausführungsbeispiel der erfindungsgemäßen Verfahrens. Ein Unbefugter verschafft sich unerlaubter Weise Zugang zu den Feldgeräten F1, F2, F3, F4 in der Anlage A und versucht das Feldgerät F1 über dessen Display umzuparametrieren. Die Eingaben über das Display des Feldgeräts F1 werden ebenfalls als eingehender Datenverkehr bezeichnet, die vom Feldgerät F1 mit dessen implementierten Alarm-Regelsatz AR verglichen werden.
  • Für einen Parameter wird ein Parameterwert eingegeben, der außerhalb der zulässigen Grenzen des Parameters liegt. Das Feldgerät F1 detektiert diese Entsprechung zu einer im Alarm-Regelsatz AR vorhandenen Regel und sendet eine Alarmmeldung analog zu dem in 1 beschriebenen Verfahren aus. Der Workstation-PC WS1 veranlasst hier wiederum, dass das Feldgerät F1 in den schreibgeschützten Modus wechselt.
  • Zusätzlich gibt das Feldgerät F1 über eine Lampe und/oder einen Lautsprecher ein optisches, bzw. akustisches Warnsignal aus. Hierbei können Mitarbeiter der Anlage A informiert werden, dass eine unzulässige Bedienung des Feldgeräts F1 stattfindet.
  • Es versteht sich von selbst, dass das erfindungsgemäße Verfahren und das erfindungsgemäße System auf jegliche Art und Anzahl von Feldgeräten F1, F2, F3, F4 anwendbar ist und nicht auf die in den Figuren 1 und 2 gezeigten Ausführungsbeispiele beschränkt ist. Des Weiteren ist vorgesehen, dass die Regeln des Alarm-Regelsatzes AR und die zu ergreifenden Maßnahmen in diesen Ausführungsbeispielen beispielhaft genannt sind und weitere Regeln, bzw. Maßnahmen miteinschließen können.
  • Bezugszeichenliste
    • A
    Anlage der Prozessautomatisierung
    AR
    Alarm-Regelsatz
    BE
    Bedieneinheit
    D1
    Datenbus
    F1, F2, F3, F4
    Feldgerät
    FB
    Feldbus
    KN
    Kommunikationsnetzwerk
    SPS
    Steuereinheit
    WS1, WS2
    Workstation-PC

Claims (14)

  1. Verfahren zum Verhindern eines unerwünschten Zugriffs auf zumindest ein Feldgerät (F1, F2, F3, F4) in einem Kommunikationsnetzwerk (D1, FB, KN) in einer Anlage (A) der Prozessautomatisierung, umfassend: - Vergleichen durch das Feldgerät (F1, F2, F3, F4) des im Feldgerät (F1, F2, F3, F4) eingehenden Datenverkehrs mit einem im Feldgerät (F1, F2, F3, F4) hinterlegten Alarm-Regelsatz; und - Erstellen einer Alarmmeldung im Falle dass das Feldgerät (F1, F2, F3, F4) in zumindest einem Teil des eingehenden Datenverkehrs eine Entsprechung zu zumindest einer Regel des Alarm-Regelsatzes detektiert, wobei die Alarmmeldung zumindest einem weiteren Netzwerkteilnehmer (F1, F2, F3, F4, SPS, WS1, WS2) zur Verfügung gestellt wird.
  2. Verfahren nach Anspruch 1, wobei die Alarmmeldung in dem Fall erstellt wird, wenn zumindest ein Teil des eingehenden Datenverkehrs zumindest einer folgenden Regel des Alarm-Regelsatzes entspricht: - Empfangen eines Befehls zum Schreiben und/oder Lesen von zumindest eines nicht im Feldgerät (F1, F2, F3, F4) hinterlegten Parameters; - Empfangen eines Befehls zum Schreiben eines Parameterwertes, welcher sich außerhalb eines definierten Wertebereichs befindet; - Empfangen einer ungültigen Kommandonummer an das Feldgerät(F1, F2, F3, F4); - Systematisches Abfragen aller Indizes oder Kommandonummern des Feldgeräts (F1, F2, F3, F4); - Schreibzugriff, obwohl sich das Feldgerät (F1, F2, F3, F4) in einem schreibgeschützten Modus befindet.
  3. Verfahren nach zumindest einem der Ansprüche 1 oder 2, wobei der weitere Netzwerkteilnehmer (F1, F2, F3, F4, SPS, WS1, WS1) eine Diagnosemeldung von dem Feldgerät (F1, F2, F3, F4) anfordert.
  4. Verfahren nach Anspruch 3, wobei in der Diagnosemeldung eine Beschreibung der entsprechenden Regel angefügt ist, wobei Beschreibungen für jede der Regeln des Alarm-Regelsatzes im Feldgerät (F1, F2, F3, F4) hinterlegt sind.
  5. Verfahren nach zumindest einem der Ansprüche 3 oder 4, wobei der weitere Netzwerkteilnehmer (F1, F2, F3, F4, SPS, WS1, WS2) nach Empfang der Diagnosemeldung eine oder mehrere der folgenden geeigneten Maßnahmen veranlasst: - Aktivieren des schreibgeschützten Modus des Feldgeräts (F1, F2, F3, F4); - Sperren des Feldgeräts (F1, F2, F3, F4); - Ausschalten des Feldgeräts (F1, F2, F3, F4).
  6. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei das Feldgerät (F1, F2, F3, F4) bei Detektion der Entsprechung ein visuelles und/oder akustisches Signal ausgibt.
  7. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei der weitere Netzwerkteilnehmer (F1, F2, F3, F4, SPS, WS1, WS2) eine Auflistung der ungewöhnlichen Ereignisse verknüpft mit einem Zeitstempel und dem Ursprung der jeweiligen Entsprechung erstellt.
  8. System zum Durchführen der Verfahrens nach zumindest einem der Ansprüche 1 bis 7, umfassend: - ein Kommunikationsnetzwerk (D1, FB, KN); - eine Vielzahl von Feldgeräten (F1, F2, F3, F4), wobei jedes der Feldgeräte den im jeweiligen Feldgerät eingehenden Datenverkehr mit in den jeweiligen Feldgeräten (F1, F2, F3, F4) hinterlegten Alarm-Regelsätzen vergleicht, und wobei das jeweilige Feldgerät (F1, F2, F3, F4) bei Detektion zumindest einem Teil des Datenverkehrs, welcher zumindest einer Regel des jeweiligen Alarm-Regelsatzes entspricht, eine Alarmmeldung generiert, welche zumindest einem weiteren Netzwerkteilnehmer zur Verfügung gestellt wird; und - einen weiteren Netzwerkteilnehmer (F1, F2, F3, F4, SPS, WS1, WS2), wobei Feldgeräte (F1, F2, F3, F4) und der weitere Netzwerkteilnehmer (F1, F2, F3, F4, SPS, WS1, WS2) über das Kommunikationsnetzwerk (D1, FB, KN) untereinander in Kommunikationsverbindung stehen.
  9. System nach Anspruch 8, wobei es sich bei dem Kommunikationsnetzwerk (D1, FB, KN) um ein drahtgebundenes Netzwerk, insbesondere um einen Feldbus der Automatisierungstechnik, handelt.
  10. System nach Anspruch 9, wobei es sich bei dem Kommunikationsnetzwerk (D1, FB, KN) um ein drahtloses Netzwerk handelt.
  11. System nach zumindest einem der Ansprüche 8 bis 10, wobei es sich bei dem weiteren Netzwerkteilnehmer (F1, F2, F3, F4, SPS, WS1, WS2) um ein weiteres Feldgerät (F1, F2, F3, F4) oder um eine Steuerungseinheit, welche sich in der Leitebene der Anlage befindet, handelt.
  12. System nach zumindest einem der Ansprüche 8 bis 11, wobei es sich bei dem eingehenden Datenverkehr um zumindest ein Telegramm handelt, welches über das Kommunikationsnetzwerk (D1, FB, KN) gesendet wird.
  13. System nach zumindest einem der Ansprüche 8 bis 11, wobei es sich bei dem eingehenden Datenverkehr um zumindest ein Telegramm handelt, welches von einer Bedieneinheit über das Kommunikationsnetzwerk (D1, FB, KN) oder über eine Serviceschnittstelle des Feldgeräts (F1, F2, F3, F4) gesendet wird.
  14. System nach zumindest einem der Ansprüche 8 bis 11, wobei es sich bei dem eingehenden Datenverkehr um eine manuelle Eingabe an dem jeweiligen Feldgerät (F1, F2, F3, F4) handelt, welche über ein Display des jeweiligen Feldgeräts (F1, F2, F3, F4) oder über am Feldgerät (F1, F2, F3, F4) angebrachte Tasten erfolgt.
DE102016119744.0A 2016-10-17 2016-10-17 Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät Withdrawn DE102016119744A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102016119744.0A DE102016119744A1 (de) 2016-10-17 2016-10-17 Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016119744.0A DE102016119744A1 (de) 2016-10-17 2016-10-17 Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät

Publications (1)

Publication Number Publication Date
DE102016119744A1 true DE102016119744A1 (de) 2018-04-19

Family

ID=61765248

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016119744.0A Withdrawn DE102016119744A1 (de) 2016-10-17 2016-10-17 Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät

Country Status (1)

Country Link
DE (1) DE102016119744A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112835332A (zh) * 2019-11-25 2021-05-25 恩德莱斯+豪瑟尔韦泽尔有限商业两合公司 过程和自动化工程中现场设备预定安全功能设置检查方法
DE102021114559A1 (de) 2021-06-07 2022-12-08 Vega Grieshaber Kg Zugriffsicheres Feldgerät

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080288821A1 (en) * 2003-06-30 2008-11-20 Aaron Jeffrey A Automated Diagnosis for Electronic Systems
US9411009B1 (en) * 2015-05-22 2016-08-09 Power Fingerprinting Inc. Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080288821A1 (en) * 2003-06-30 2008-11-20 Aaron Jeffrey A Automated Diagnosis for Electronic Systems
US9411009B1 (en) * 2015-05-22 2016-08-09 Power Fingerprinting Inc. Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
WIJAYASEKARA, Dumidu et al.: FN-DFE: Fuzzy-neural data fusion engine for enhanced resilient state-awareness of hybrid energy systems. In: IEEE transactions on cybernetics, 2014, Vol. 44, Nr. 11, S. 2065–2075. IEEE Xplore [online]. DOI: 10.1109/TCYB.2014.2323891 *
WIJAYASEKARA, Dumidu et al.: FN-DFE: Fuzzy-neural data fusion engine for enhanced resilient state-awareness of hybrid energy systems. In: IEEE transactions on cybernetics, 2014, Vol. 44, Nr. 11, S. 2065–2075. IEEE Xplore [online]. DOI: 10.1109/TCYB.2014.2323891

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112835332A (zh) * 2019-11-25 2021-05-25 恩德莱斯+豪瑟尔韦泽尔有限商业两合公司 过程和自动化工程中现场设备预定安全功能设置检查方法
DE102021114559A1 (de) 2021-06-07 2022-12-08 Vega Grieshaber Kg Zugriffsicheres Feldgerät

Similar Documents

Publication Publication Date Title
EP1966658B1 (de) Verfahren zur anlagenüberwachung mit einem feldbus der prozessautomatisierungstechnik
EP1631865B1 (de) Verfahren zum überwachen eines feldgerätes
DE102008010864A1 (de) Verfahren zum Betreiben eines Feldgerätes
DE102009045386A1 (de) Verfahren zum Betreiben eines Feldbus-Interface
DE102016124350A1 (de) Verfahren und System zum Überwachen einer Anlage der Prozessautomatisierung
DE102012110132A1 (de) Sparkline-Darstellungen von Prozessleitsystem-Alarmen
CH702454A1 (de) Anordnung mit einer übergeordneten Steuereinheit und zumindest einem mit der Steuereinheit verbindbaren intelligenten Feldgerät.
DE102017111928A1 (de) Verfahren zur autorisierten Aktualisierung eines Feldgeräts der Automatisierungstechnik
DE102019107401A1 (de) Systeme und verfahren zur verwaltung von warnungen im zusammenhang mit geräten eines prozesssteuerungssystems
WO2020069815A1 (de) Aggregatorvorrichtung für einen vereinheitlichten zugriff auf eine mehrzahl von netzwerksegmenten eines feldbussystems
EP3469429B1 (de) Verfahren zum verhindern eines unerlaubten zugriffs auf softwareanwendungen in feldgeräten, sowie kommunikationsnetzwerk
DE102016125169A1 (de) Vorrichtung und System zum Überwachen einer Anlage der Automatisierungstechnik
DE102016119744A1 (de) Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät
WO2019068435A1 (de) Smartwatch und verfahren instandhaltung einer anlage der automatisierungstechnik
EP2954534B1 (de) Vorrichtung und verfahren zur erkennung von unbefugten manipulationen des systemzustandes einer steuer- und regeleinheit einer kerntechnischen anlage
EP2701019B1 (de) Verfahren zur Parametrierung eines Feldgerätes und entsprechendes System zur Parametrierung
EP3282329A1 (de) Verfahren und system zum ferngesteuerten bedienen eines feldgeräts der prozessautomatisierung
DE102016107045B4 (de) Verfahren und System zum sicheren Konfigurieren eines Feldgeräts der Prozessautomatisierung
WO2012028366A1 (de) Verfahren zur sicherstellung der korrekten funktionsweise einer automatisierungsanlage
EP3470939A1 (de) Verfahren und vorrichtungen zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP3692686A1 (de) Verfahren zum betreiben einer anlage der automatisierungstechnik
EP3011701B1 (de) Verfahren und system zur planung eines kommunikationsnetzes eines industriellen automatisierungssystems
EP3993317A1 (de) Messsystem, kommunikationskomponente, vorrichtung, verfahren und computerprogramm für eine kommunikationskomponente eines messsystems zum synchronisieren von zugangsdaten
WO2024132417A1 (de) Verfahren und system zum gegenseitigen überprüfen der integrität einer vielzahl von feldgeräten der automatisierungstechnik
DE102018105872A1 (de) Verfahren zur Analyse einer Kommunikationsqualität

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: ANDRES, ANGELIKA, DIPL.-PHYS., DE

R163 Identified publications notified
R082 Change of representative

Representative=s name: ANDRES, ANGELIKA, DIPL.-PHYS., DE

R082 Change of representative

Representative=s name: KRATT-STUBENRAUCH, KAI, DR., DE

R082 Change of representative

Representative=s name: KRATT-STUBENRAUCH, KAI, DR., DE

R005 Application deemed withdrawn due to failure to request examination