DE102016203534A1 - Verfahren und Analysemodul zur Überprüfung von verschlüsselten Datenübertragungen - Google Patents

Verfahren und Analysemodul zur Überprüfung von verschlüsselten Datenübertragungen Download PDF

Info

Publication number
DE102016203534A1
DE102016203534A1 DE102016203534.7A DE102016203534A DE102016203534A1 DE 102016203534 A1 DE102016203534 A1 DE 102016203534A1 DE 102016203534 A DE102016203534 A DE 102016203534A DE 102016203534 A1 DE102016203534 A1 DE 102016203534A1
Authority
DE
Germany
Prior art keywords
network communication
data packet
network
security policy
analysis module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102016203534.7A
Other languages
English (en)
Inventor
Hans Aschauer
Steffen Fries
Dominik Merli
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102016203534.7A priority Critical patent/DE102016203534A1/de
Priority to PCT/EP2016/082535 priority patent/WO2017148559A1/de
Publication of DE102016203534A1 publication Critical patent/DE102016203534A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

Die Erfindung betrifft ein Verfahren zum rechnergestützten Überprüfen einer Netzwerkkommunikation. Das Verfahren umfasst einen Verfahrensschritt zum Erfassen (110) eines Datenpaketes der Netzwerkkommunikation, wobei der Netzwerkkommunikation eine Sicherheitsrichtlinie zugeordnet ist. Das Verfahren umfasst einen weiteren Verfahrensschritt zum Analysieren (120) der Netzwerkkommunikation anhand des Datenpaketes mittels mindestens einer statistischen Funktion, wobei zum Analysieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der Sicherheitsrichtlinie charakterisiert wird. Das Verfahren umfasst einen weiteren Verfahrensschritt zum Bereitstellen (130) einer Steuerinformation, falls die Netzwerkkommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist.

Description

  • Die Erfindung bezieht sich auf ein Verfahren und ein Analysemodul zur Überprüfung von verschlüsselten Datenübertragungen.
  • Netzwerke, egal ob im Büro oder im industriellen Umfeld, werden zunehmend komplexer und bestehen aus immer mehr Komponenten von diversen Herstellern. Zugleich werden Angriffe auf Geräte in diesen Netzwerken immer häufiger. Als Administrator eines Netzwerks legt man Richtlinien, sog. Policies, fest, über welche Schnittstellen welche Daten in welcher Art und Weise übertragen werden dürfen. Eine mögliche Eigenschaft einer Richtlinie ist, dass über eine Schnittstelle, z.B. eine Local Area Network (LAN) Schnittstelle, nur verschlüsselt kommuniziert werden darf. Kommt es jedoch zu einem Angriff oder einem Konfigurationsfehler, ist es durchaus denkbar, dass die Verschlüsselung deaktiviert wird und Daten ab diesem Zeitpunkt unverschlüsselt übertragen werden – ohne dass jemand die Änderung bemerkt.
  • Aus dem Stand der Technik sind das Dokument US 8,531,247 B2 , das Dokument US 8,892,616 B2 , das Dokument US 8,300,811 B2 , das Dokument US 9,147,088 B2 , das Dokument EP 2 605 445 B1 , das Dokument EP 2 870 565 A1 , das Dokument EP 2 891 102 A1 und das Dokument US 8 843 761 B2 bekannt.
  • Die Aufgabe der vorliegenden Erfindung ist es, ein Verfahren und ein Analysemodul bereitzustellen, die es erlauben, verschlüsselte Datenverbindungen durchzusetzen und zu überprüfen.
  • Die Aufgabe wird durch die in den unabhängigen Ansprüchen angegebenen Merkmale gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.
  • Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfahren zum rechnergestützten Überprüfen einer Netzwerkkommunikation mit den folgenden Verfahrensschritten:
    Ein Verfahrensschritt zum Erfassen eines Datenpaketes der Netzwerkkommunikation, wobei der Netzwerkkommunikation eine Sicherheitsrichtlinie zugeordnet ist. Ein weiterer Verfahrensschritt zum Analysieren der Netzwerkkommunikation anhand des Datenpaketes mittels mindestens einer statistischen Funktion, wobei zum Analysieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der Sicherheitsrichtlinie charakterisiert wird. Einen weiteren Verfahrensschritt zum Bereitstellen einer Steuerinformation, falls die Netzwerkkommunikationsverbindung eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist.
  • Unter "Datenpaket" kann im Zusammenhang mit der Patentanmeldung beispielsweise ein Ethernetframe, Tokenringframe, ein IP-Paket, ein Datenblock in höheren Protokollschichten, insbesondere auf der Anwendungsschicht, die Daten eines TCP-Streams oder TCP-Segment verstanden werden. Ein Datenpaket kann Nutzdaten (engl. Payload) umfassen, die vorzugsweise verschlüsselt sind.
  • Unter "Verbindungstyp" kann im Zusammenhang mit der Patentanmeldung beispielsweise eine direkte Verbindung über ein LAN (engl. Local Area Network) oder eine virtuelle private Netzwerkverbindung verstanden werden.
  • Unter "Zufallsbits" einer Zufallsbitfolge oder einer Pseudo Random Permutation können im Zusammenhang mit der Patentanmeldung zufällig oder pseudozufällig verteile Bitfolgen verstanden werden.
  • Unter "Netzwerkkommunikation" kann im Zusammenhang mit der Patentanmeldung eine Kommunikation zwischen Teilnehmern eines Computernetzwerkes verstanden werden. Unter Netzwerkkommunikation kann insbesondere eine verbindungsorientierte, insbesondere eine TCP/IP-basierte Netzwerkkommunikation, oder eine verbindungslose Kommunikation, insbesondere eine UDP-basierte Netzwerkkommunikation, verstanden werden. Darüber hinaus kann die Kommunikation als eine Punk-zu-Punkt Kommunikation oder auch als eine Gruppenkommunikation realisiert sein. Unter „Netzwerkkommunikation“ kann insbesondere auch eine Kommunikation zwischen den Schichten eines Kommunikationsmodells, beispielsweise das OSI Modell oder das TCP/IP Modell, verstanden werden. Die Kommunikation ist somit insbesondere nicht auf einzelne Schichten eines Kommunikationsmodells beschränkt. Damit kann es sich bei der Netzwerkkommunikation beispielsweise um eine Kommunikation auf der Anwendungsschicht und/oder der Vermittlungsschicht und/oder Bitübertragungsschicht und/oder einer anderen Schicht des Kommunikationsmodells handeln.
  • Unter einer "Sicherheitsrichtlinie" oder einer Richtlinie kann im Zusammenhang mit der Patentanmeldung beispielsweise eine Security-Policy verstanden werden. Die Sicherheitsrichtlinie kann beispielsweise angeben, ob eine Netzwerkkommunikation verschlüsselt stattfinden soll und/oder auf welchen Protokollebenen eines verwendeten Netzwerkprotokolls eine Verschlüsselung verwendet werden soll und/oder bestimmte Netzwerkprotokolle zur Kommunikation vorgibt. Auch kann die Sicherheitsrichtlinie beispielsweise bestimmte Sendeadressen und/oder bestimmte Sendeadressbereiche und/oder Empfangsadressen und/oder Empfangsadressbereiche vorgeben.
  • Unter einer "Schicht" oder "Schichten" einer Netzwerkkommunikation kann im Zusammenhang mit der Patenanmeldung eine Schicht nach dem OSI Modell, dem TCP/IP Modell oder einem anderen Kommunikationsmodell verstanden werden.
  • Unter einer "Programmkomponente" kann im Zusammenhang mit der Patentanmeldung eine Softwarekomponente mit Programmbefehlen verstanden werden, die das erfindungsgemäße Verfahren implementieren.
  • Unter "on-the-fly" kann im Zusammenhang mit der Patentanmeldung verstanden werden, dass beispielsweise Datenpakete direkt während einer Verarbeitung in einer Netzwerkkomponente analysiert werden. Eine Netzwerkkomponente kann beispielsweise ein Switch sein, der ein Datenpaket an den Port leitet mit dem ein Empfänger des Datenpaketes verbunden ist. Eine Latenzzeit bei einer Übermittlung des Datenpakets wird dabei vorzugsweise nicht erhöht.
  • Unter einem "Netzwerkteilnehmer" oder "Teilnehmer" (einer Netzwerkkommunikation) kann im Zusammenhang mit der Patentanmeldung eine Workstation, ein Feldgerät oder Messgerät verstanden werden. Der Netzwerkteilnehmer oder Teilnehmer kann beispielsweise eine Netzwerkkommunikation über ein Netzwerk verwenden, um mit anderen Netzwerkteilnehmern zu kommunizieren und insbesondere dabei Daten oder Datenpakete austauschen.
  • Unter einem "Protokoll" oder einem "Kommunikationsprotokoll" kann im Rahmen der Patentanmeldung ein Netzwerkprotokoll, beispielsweise das TCP/IP-Protokoll oder das IPX/SPX-Protokoll verstanden werden, das für eine Netzwerkkommunikation zwischen Netzwerkteilnehmern verwendbar ist. Ein Protokoll kann aber auch auf höheren OSI Schichten, wie z.B. auf der Anwendungsschicht, definiert sein.
  • Unter einer "Datendiode" kann im Rahmen der Patentanmeldung ein unidirektionales Sicherheitsgateway oder ein unidirektionales Netzwerk oder eine unidirektionale Netzwerkkommunikation verstanden werden. Die Datendiode kann beispielsweise dafür sorgen, dass damit Daten nur in eine Richtung gesendet werden. Dies kann beispielsweise bedeuten, dass beispielsweise von einem Sender zu einem bestimmten Netzwerkteilnehmer Daten(pakete) gesendet werden, aber insbesondere durch die Datendiode ein Senden von Daten vom Netzwerkteilnehmer zurück an den Sender unterbunden wird.
  • Unter einer "unzureichenden Übereinstimmung" kann im Zusammenhang mit der Patentanmeldung verstanden werden, dass beispielsweise Datenbits von verschlüsselten Daten eines Datenpakets einer Netzwerkkommunikation bei einer statistischen Analyse statistischen Eigenschaften, insbesondere erwarteten oder vorgegebenen statistischen Eigenschaften, nicht genügt. Diese statistischen Eigenschaften können beispielsweise durch einen Verschlüsselungsalgorithmus vorgegeben werden, der durch eine Sicherheitsrichtlinie für die Netzwerkkommunikation gefordert wird. Dies kann bedeuten, dass die Datenbits der Nutzdaten des Datenpaketes beispielsweise eine zufällige statistische Verteilung aufweisen sollen, um zu bestätigen, dass diese verschlüsselt sind. Weisen die Datenbits hingegen eine nicht-zufällige statistische Verteilung auf, weisen diese insbesondere eine unzureichende Übereinstimmung mit vorgegebenen statistischen Eigenschaften auf. Unter einer unzureichenden Übereinstimmung kann aber auch verstanden werden, dass eine oder mehrere Anforderungen einer Sicherheitsrichtlinie an eine Netzwerkkommunikation nicht erfüllt sind.
  • Unter "Echtzeit" kann im Zusammenhang mit der Patentanmeldung verstanden werden, dass das Analysieren und/oder das Bereitstellen zuverlässig innerhalb einer vorbestimmten Zeitspanne, beispielsweise in einem festen Zeitraster, durchgeführt wird. Dies kann für eine Netzwerkkommunikation bedeuten, dass das Analysieren und/oder das Bereitstellen innerhalb einer Zeitspanne erfolgt, bevor das Datenpaket an sein Ziel übertragen wurde oder -falls eine Weiterleitung des Datenpakets von dem Analysieren und/oder dem Bereitstellen ohne eine nennenswerte Erhöhung der Übertragungsdauer des Datenpaketes erfolgt.
  • Unter einem "Prozessor" kann im Zusammenhang mit der Patentanmeldung beispielsweise eine Maschine oder eine elektronische Schaltung verstanden werden. Bei einem Prozessor kann es sich insbesondere um einen Hauptprozessor (engl. Central Processing Unit, CPU), einen Mikroprozessor oder einen Mikrokontroller handeln. Auch kann unter einem Prozessor ein virtualisierter Prozessor, der auch als Soft-CPU bezeichnet wird, verstanden werden. Es kann sich beispielsweise auch um einen programmierbaren Prozessor handeln, der mit Konfigurationsschritten zur Ausführung des genannten erfindungsgemäßen Verfahrens ausgerüstet wird oder mit Konfigurationsschritten derart konfiguriert ist, dass der programmierbare Prozessor die erfindungsgemäßen Merkmale des Gerätes, des Systems oder Teile des Systems aufweist.
  • Das Verfahren ist insbesondere vorteilhaft, da es sich beispielsweise leicht integrieren lässt und ist insbesondere in vielen Anwendungsfällen transparent für alle Netzwerkteilnehmer (Bump-in-the-wire-Eigenschaft). Darüber hinaus lässt sich das Verfahren beispielsweise in Softwarekomponenten beim Netzwerk-Teilnehmer oder auf Netzwerk-Komponenten integrieren. Alternativ ist auch möglich, das Verfahren beispielsweise als Gerät zu implementieren, das passiv die Netzwerkkommunikation mithört. Insbesondere ist auch eine rückwirkungsfreie Implementierung mithilfe einer Datendiode denkbar, wodurch sich ein solches Gerät relativ einfach auch in sicherheitskritische Systeme integrieren lässt. Bei sicherheitskritischen Systemen handelt es sich insbesondere um Safety bzw. eine funktionale Sicherheit des Systems.
  • Auch ich das Verfahren nicht auf ein einzelnes Datenpaket beschränkt, sondern kann auch mehrere Datenpakete für eine Analyse verwenden.
  • Bei einer ersten Ausführungsform des Verfahrens ist die Netzwerkkommunikation entsprechend der Sicherheitsrichtlinie verschlüsselt, wobei für das Analysieren insbesondere auf kryptographische Schlüssel verzichtet wird.
  • Für das Verfahren ist beispielsweise eine Verwendung oder eine Kenntnis der kryptographischen Schlüssel, die zur Verschlüsselung der Netzwerkkommunikation verwendet werden, unnötig und auf deren Verwendung kann somit insbesondere bei der Analyse verzichtet werden.
  • Das Verfahren ist beispielsweise in der Lage, eine Übertragung von unverschlüsselten Daten zu unterbinden. Das Verfahren muss insbesondere über keinerlei Geheimnisse, beispielsweise geheime kryptographische Schlüssel, verfügen, um den Verschlüsselungs-Zustand der Übertragung zu beurteilen. Auch kann je nach gewählter statistischer Funktion die Qualität der Verschlüsselung bewertet werden, indem eine statistische Verteilung von Datenbits der Nutzdaten des Datenpakets ausgewertet wird.
  • Es kann also damit festgestellt werden, ob überhaupt verschlüsselt wird. Verschlüsselungsverfahren, die sich insbesondere statistisch nicht von Rauschen unterscheiden, können als unsicher betrachtet werden. Es ist damit beispielsweise auch möglich so Integrationsfehler oder Implementierungsfehler eines Systems zu erkennen, beispielsweise wenn ein konstanter Initialisierungsvektor bei einer verschlüsselten Netzwerkkommunikation eingesetzt wird, was ebenfalls die Qualität der Verschlüsselung reduziert.
  • Bei weiteren Ausführungsformen des Verfahrens wird das Datenpaket zwischengespeichert und das Analysieren wird insbesondere zu einem festlegbaren späteren Zeitpunkt durchgeführt.
  • Hierdurch wird beispielsweise ermöglicht, auch eine Analyse bei hoher Netzwerklast durchzuführen, damit beispielsweise eine zu hohe Auslastung eines Prozessors, der das Verfahren ausführt, verhindert wird.
  • Bei weiteren Ausführungsformen des Verfahrens erfolgt das Analysieren des Datenpakets direkt nach dem Erfassen, wobei das Analysieren vorzugsweise in Echtzeit erfolgt.
  • Hierdurch wird beispielsweise ermöglicht, ein Datenpaket direkt während der Übertragung in einem Netzwerk zu beurteilen. Falls eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie festgestellt wurde, kann beispielsweise ein Versenden des Datenpakets an einen Empfänger unterbunden werden.
  • Bei weiteren Ausführungsformen des Verfahrens wird konfiguriert, ob das Datenpaket für eine spätere Analyse zwischengespeichert wird oder die Analyse direkt erfolgt.
  • Hierdurch lässt sich beispielsweise das Verfahren an unterschiedliche Anwendungsszenarien oder unterschiedliche Netzauslastungssituationen anpassen.
  • Bei weiteren Ausführungsformen des Verfahrens werden für das Charakterisieren eine MAC-Adresse und/oder eine IP-Adresse und/oder ein Port und/oder Merkmale im Protokollheader des Datenpaketes ausgewertet.
  • Hierdurch ist es beispielsweise möglich, schnell zu beurteilen, ob ein Datenpaket oder die Nutzdaten eines Datenpakets auf der durch die Sicherheitsrichtlinie vorgegebenen Schicht, beispielsweise eine Schicht nach dem OSI Model oder dem TCP/IP Model, verschlüsselt ist.
  • Bei weiteren Ausführungsformen des Verfahrens ist über das Datenpaket eine Konfigurationsinformation bekannt.
  • Ist über das Datenpaket eine Konfigurationsinformation, beispielsweise das Kommunikationsprotokoll oder eine Datenstruktur des Datenpaketes, apriori bekannt, kann dies insbesondere bei Kommunikationsnetzwerken oder selbstentwickelten Kommunikationsnetzwerken, die typischerweise im Automatisierungsbereich eingesetzt werden, ausgenutzt werden. Damit kann die Analyse der Nutzdaten wesentlich effizienter durchgeführt werden, da der zu untersuchende Teil des Datenpaketes nicht erst ermittelt werden muss, sondern durch die Kenntnis des Anwendungsprotokolls bekannt ist. Damit kann insbesondere bei einer Analyse der Nutzdaten, die in Echtzeit durchgeführt werden sollen, die einzuhaltende Zeitdauer für die Analyse verbessert werden.
  • Bei weiteren Ausführungsformen des Verfahrens ist die mindestens eine statistische Funktion ein Chi-Quadrat-Test und/oder Kolmogorow-Smirnow-Test und/oder ein G-Test.
  • Hierdurch kann beispielsweise auf einfache Weise festgestellt werden, ob die Nutzdaten des Datenpakets verschlüsselt sind. Hierdurch wird beispielsweise mittels der statistischen Funktion untersucht, ob die verschlüsselten Nutzdaten einem zufälligen Bitmuster entsprechen. Hat das Bitmuster beispielsweise eine breite Streuung (zufälliges Bitmuster), so kann dies als ein Indikator für eine verschlüsselte Netzwerkverbindung aufgefasst werden. Die statistische Funktion ist insbesondere nicht auf die oben genannten statistischen Funktionen beschränkt, sondern kann auch andere statistische Funktionen nutzen.
  • Bei weiteren Ausführungsformen des Verfahrens werden für das Analysieren ermittelte statistische Eigenschaften von verschlüsselten Nutzdaten des Datenpaketes der verschlüsselten Netzwerkkommunikation mit erwarteten statistischen Eigenschaften verglichen.
  • Hierdurch ist es beispielsweise möglich, die Sicherheit des Analyseverfahrens zu erhöhen. Dies kann beispielsweise dadurch geschehen, dass statistische Eigenschaften der Zufallsverteilung der Bits eines verschlüsselten Datenpaketes genauer untersucht werden und diese ermittelten Eigenschaften mit erwarteten statistischen Eigenschaften verglichen werden.
  • Bei weiteren Ausführungsformen des Verfahrens steuert die Steuerinformation eine Trennung der Netzwerkkommunikation und/oder eine Übermittlung des Datenpaketes und/oder ein Auslösen eines optischen oder akustischen Signals und/oder ein Protokollieren eines Ergebnisses des Analysierens in einer sicheren Protokoll-Datei.
  • Hierdurch ist es möglich, beispielsweise beim Erkennen einer fälschlicherweise unverschlüsselten Netzwerkkommunikation die Übertragung der Datenpakete zu unterbinden und damit eine mögliche Sicherheitslücke oder ein Versenden kryptographisch ungeschützter Daten zu verhindern.
  • Bei weiteren Ausführungsformen des Verfahrens wird beim Analysieren zusätzlich eine Analysefunktion auf das Datenpaket angewendet, wobei die Analysefunktion insbesondere die Qualität einer Verschlüsselung bestimmt.
  • Hierdurch lässt sich beispielsweise prüfen, ob eine Verschlüsselung der Netzwerkkommunikation mit einem starken kryptographischen Schlüssel oder mit einem schwachen kryptographischen Schlüssel erfolgt ist. Dies kann beispielsweise dadurch festgestellt werden, dass bei einer Verwendung eines schwachen kryptographischen Schlüssels innerhalb einer kurzen Zeit die Nutzdaten des Datenpaketes als Klartext vorliegen. Bei der Analysefunktion kann es sich beispielsweise um eine Brute-Force-Funktion zum Test auf Downgrade-Angriffe (Export-Schlüssellänge) handeln.
  • Gemäß einem weiteren Aspekt betrifft die Erfindung ein Analysemodul zum rechnergestützten Überprüfen einer Netzwerkkommunikation. Das Analysemodul umfasst eine Erfassungseinrichtung zum Erfassen eines Datenpaketes der Netzwerkkommunikation, wobei der Netzwerkkommunikation eine Sicherheitsrichtlinie zugeordnet ist. Das Analysemodul umfasst zusätzlich eine Analyseeinrichtung zum Analysieren der Netzwerkkommunikation anhand des Datenpaketes mittels mindestens einer statistischen Funktion, wobei zum Analysieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der Sicherheitsrichtlinie charakterisiert wird. Das Analysemodul umfasst zusätzlich eine Bereitstellungseinrichtung zum Bereitstellen einer Steuerinformation, falls die Netzwerkkommunikationsverbindung eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist.
  • Das Analysemodul kann beispielsweise auch einen Prozessor und/oder eine Speichereinheit umfassen, um die einzelnen Einrichtungen anzusteuern.
  • Bei einer ersten Ausführungsform des Analysemoduls ist das Analysemodul eine dedizierte Netzwerkkomponente, die insbesondere zwischen einem Teilnehmer und anderen Teilnehmern eines Netzwerkes, das der Netzwerkkommunikation dient, geschaltet ist. Das Analysemodul kann aber auch eine Programmkomponente im Betriebssystem eines Teilnehmers der Netzwerkkommunikation sein. Das Analysemodul kann aber auch eine Programmkomponente in anderen Netzwerkkomponenten des Netzwerkes, das der Netzwerkkommunikation dient, sein, insbesondere einem Router oder einem Switch. Das Analysemodul kann aber auch ein Plugin für eine Software Applikation sein, insbesondere einem Browser-Plugin.
  • Gemäß einem weiteren Aspekt betrifft die Erfindung ein System, das einen erfindungsgemäßen Analysemodus aufweist.
  • Des Weiteren wird ein Computerprogrammprodukt mit Programmbefehlen zur Durchführung des genannten erfindungsgemäßen Verfahrens beansprucht.
  • Zusätzlich wird eine Variante des Computerprogrammproduktes mit Programmbefehlen zur Konfiguration eines Erstellungsgeräts, beispielsweise eines 3D-Druckers oder eines ähnlichen Geräts, beansprucht, wobei das Erstellungsgerät mit den Programmbefehlen derart konfiguriert wird, dass das genannte erfindungsgemäße Analysemodul erstellt wird.
  • Darüber hinaus wird eine Bereitstellungsvorrichtung zum Speichern und/oder Bereitstellen des Computerprogrammprodukts beansprucht. Die Bereitstellungsvorrichtung ist beispielsweise ein Datenträger, der das Computerprogrammprodukt speichert und/oder bereitstellt. Alternativ und/oder zusätzlich ist die Bereitstellungsvorrichtung beispielsweise ein Netzwerkdienst, ein Computersystem, ein Serversystem, insbesondere ein verteiltes Computersystem, ein cloudbasiertes Rechnersystem und/oder virtuelles Rechnersystem, welches das Computerprogrammprodukt vorzugsweise in Form eines Datenstroms speichert und/oder bereitstellt.
  • Diese Bereitstellung erfolgt beispielsweise als Download in Form eines Programmdatenblocks und/oder Befehlsdatenblocks, vorzugsweise als Datei, insbesondere als Downloaddatei, oder als Datenstrom, insbesondere als Downloaddatenstrom, des vollständigen Computerprogrammprodukts. Diese Bereitstellung kann beispielsweise aber auch als partieller Download erfolgen, der aus mehreren Teilen besteht und insbesondere über ein Peer-to-Peer Netzwerk heruntergeladen oder als Datenstrom bereitgestellt wird. Ein solches Computerprogrammprodukt wird beispielsweise unter Verwendung der Bereitstellungsvorrichtung in Form des Datenträgers in ein System eingelesen und führt die Programmbefehle aus, sodass das erfindungsgemäße Verfahren auf einem Computer zur Ausführung gebracht oder das Erstellungsgerät derart konfiguriert wird, dass dieses das erfindungsgemäße Analysemodul erstellt.
  • Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Figuren näher erläutert werden. Dabei zeigen in schematischer Darstellung:
  • 1 ein Ablaufdiagramm eines ersten Ausführungsbeispiels des offenbarten Verfahrens;
  • 2 eine Implementierung eines zweites Ausführungsbeispiel des offenbarten Verfahrens;
  • 3 eine Implementierung eines dritten Ausführungsbeispiel des offenbarten Verfahrens;
  • 4 ein Analysemodul eines vierten Ausführungsbeispiels; und
  • 5 ein System mit einem Analysemodul.
  • In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist.
  • 1 zeigt ein Ablaufdiagramm eines ersten Ausführungsbeispiels des offenbarten Verfahrens.
  • Das Verfahren ist in der Lage eine Netzwerkkommunikation, beispielsweise eine verbindungsorientierte oder eine verbindungslose Kommunikation von einem oder mehreren Teilnehmern der Netzwerkkommunikation zu überprüfen. Insbesondere ist das Verfahren in der Lage zu überprüfen, ob die Netzwerkkommunikation an sich oder die Netzwerkkommunikation zwischen Teilnehmern Vorgaben einer Sicherheitsrichtlinie, beispielsweise ob die Netzwerkkommunikation verschlüsselt ist, entspricht.
  • Hierzu umfasst das Verfahren einen ersten Verfahrensschritt zum Erfassen 110 eines Datenpakets der Netzwerkkommunikation, wobei der Netzwerkkommunikation eine Sicherheitsrichtlinie zugeordnet ist. Bei dem Datenpaket kann es sich beispielsweise um einen Ethernetframe handeln, der als Nutzdaten ein IP-Paket enthält, wobei entsprechend der Sicherheitsrichtlinie beispielsweise das IP-Paket oder die Nutzdaten des IP-Pakets verschlüsselt sein sollen. Es ist aber auch denkbar, dass das IP-Paket nur bestimmte Quell- und/oder Zieladressen und/oder Quell- und/oder Zieladressbereiche umfassen darf. Dies beschränkt sich nicht nur auf das IP-Paket, ähnliche Anforderungen kann die Sicherheitsrichtlinie an die MAC-Adressen im Ethernetframe stellen. Die Sicherheitsrichtlinie kann dabei unterschiedliche Parameter auf unterschiedlichen Schichten der Netzwerkkommunikation alleine und in Kombination angeben.
  • Zusätzlich umfasst das Verfahren einen zweiten Verfahrensschritt zum Analysieren 120 der Netzwerkkommunikation anhand des Datenpaketes mittels mindestens einer statistischen Funktion, wobei zum Analysieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der Sicherheitsrichtlinie charakterisiert wird. Mittels der statistischen Funktion können beispielsweise die statistischen Eigenschaften während des Analysierens ausgewertet werden. Beispielsweise kann mit Hilfe eines Chi-Quadrat-Testes als statistische Funktion entschieden werden, ob eine Verschlüsselung noch intakt ist oder ob sie durch absichtliche oder zufällige Manipulation deaktiviert wurde.
  • Wurde beispielsweise festgestellt, dass eine vorgegebene Verschlüsselung nicht mehr aktiv ist, also Daten im Klartext übertragen werden, so wird in einem dritten Verfahrensschritt eine Steuerinformation bereitgestellt 130. Insbesondere wird diese Steuerinformation bereitgestellt, falls die Netzwerkkommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist.
  • Das Verfahren analysiert zum Feststellen, ob eine Netzwerkkommunikation verschlüsselt ist, die Nutzdaten des Datenpakets. Hierzu wird beispielsweise eine statistische Verteilung der Datenbits der Nutzdaten mittels der statistischen Funktion ausgewertet. Sind die Nutzdaten verschlüsselt, so sollte die statistische Verteilung der Datenbits vorzugsweise gleichverteilt sein – d.h. die Datenbits der Nutzdaten sollten einer statistischen Verteilung einer Zufallsbitfolge entsprechen. Durch diese statistische Auswertung kann das Verfahren auf die Nutzung von kryptographischen Schlüsseln verzichten. Dadurch ist das Verfahren flexibel einsetzbar und eine hohe Sicherheit der verschlüsselten Netzwerkkommunikation gewährleistet, da nur die Teilnehmer der verschlüsselten Netzwerkkommunikation über die kryptographischen Schlüssel verfügen müssen.
  • Mit anderen Worten bedeutet dies, dass die Netzwerkkommunikation insbesondere auf eine intakte Verschlüsselung überprüft werden kann, da eine wichtige Eigenschaft von starken Verschlüsselungsverfahren ist, dass Datenpakete, die aus dieser Verschlüsselung resultieren, auf einen Dritten, nicht beteiligten Betrachter wie eine Zufallsbitfolge wirken. Dies folgt unmittelbar aus Eigenschaften von starken kryptographischen Algorithmen, insbesondere sollen sich Blockciphers ohne Kenntnis des Schlüssels nicht von einer Pseudo Random Permutation unterscheiden lassen, so dass durch Anwendung eines geeigneten Betriebsmodus (CBC, GCM, ...) das Resultat der Verschlüsselung sich in der Praxis nicht von einer Zufallsfolge unterscheiden lässt.
  • Verschlüsselungsalgorithmen, die diese Eigenschaften nicht besitzen, gelten als gebrochen. Die statistische Funktion analysiert entsprechend diese statistische Eigenschaft, beispielsweise mittels eines Chi-Quadrat-Tests, um abhängig davon zu entscheiden, ob eine Verschlüsselung noch intakt ist oder ob sie durch absichtliche oder zufällige Manipulation deaktiviert wurde. Sollte das Verfahren insbesondere eine deutliche Abweichung in der Statistik feststellen, mit anderen Worten die Netzwerkkommunikation weist eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie auf, könnte in einem solchen Fall eine vordefinierte Aktion ausgeführt werden, wobei die Aktion beispielsweise mit der Steuerinformation gesteuert werden kann. Die Steuerinformation oder die vorgesehene Aktion kann beispielsweise die Übertragung unterbrechen.
  • Der Zugriff auf den Datenverkehr durch das Verfahren kann innerhalb des Kommunikationspfades der Netzwerkkommunikation innerhalb eines Netzwerkes, beispielsweise durch die Implementierung des Verfahrens als eigenständiges Analysemodul, erfolgen.
  • Alternativ kann das Verfahren beispielsweise durch eine Erweiterung von existierenden Komponenten realisiert werden. Ein Beispiel wäre ein Router oder Switch, der den Datenstrom bzw. die Datenpakete on-the-fly analysiert. Dabei ist es nicht unbedingt wichtig, die Analyse in Echtzeit bzw. in sehr kurzer Zeit durchzuführen. Vielmehr kann ein Datenpaket (Frame) kopiert und analysiert werden. Das Verfahren charakterisiert dazu vorzugsweise die Verbindung sowie die entsprechende Sicherheitsrichtlinie der Netzwerkkommunikation.
  • Dabei kann beispielsweise der Verbindungstyp der Netzwerkkommunikation abhängig vom Kommunikationspfad anhand der nachfolgenden Merkmale identifiziert werden:
    • – MAC-Adresse
    • – IP-Adresse
    • – IP-Adresse und Port
    • – Merkmale im Protokoll-Header (falls dieser unverschlüsselt ist), beispielsweise ein Identifizierer (engl. Identifier).
  • Wird eine Abweichung von der Sicherheitsrichtlinie festgestellt, kann eine Steuerinformation, die eine definierte Aktion steuert, beispielsweise das Auslösen eines Abbruchs der Verbindung oder einer Alarmmeldung, bereitgestellt werden.
  • Das Verfahren lässt sich insbesondere auf unterschiedliche Weise als Analysemodul realisieren. Das Analysemodul kann beispielsweise als
    • – eine dedizierte Netzwerkkomponente (d.h. als ein eigenständiges Analysemodul) implementiert werden, die per LAN Kabel zwischen einen Netzwerkteilnehmer und das Netzwerk geschaltet wird,
    • – eine Programmkomponente im Betriebssystem, beispielsweise eine Linuxdistribution, des Netzwerkteilnehmers realisiert sein, beispielsweise im Linux Kernel der Linuxdistribution,
    • – eine Programmkomponente eines Netzwerkgerätes implementiert werden, beispielsweise in einem Router oder einem Switch, oder
    • – ein Plugin für Software Anwendung implementiert sein, beispielsweise als Browser-Plugin.
  • Es ist beispielsweise auch denkbar, dass eine bestehende Netzwerkkomponente mittels einer Programmkomponente um das Analysemodul erweitert wird. Dies kann beispielsweise mittels eines Firmware-Updates geschehen.
  • Je nach gewählter Implementierung kann das Analysemodul einen eigenen Prozessor und/oder Speicher zum Ausführen des Verfahrens umfassen oder es wird der Prozessor und/oder Speicher des Netzwerkgerätes zum Ausführen des Verfahrens benutzt. Wird das Verfahren als Programmkomponente im Betriebssystem oder als Plugin realisiert, so kann zum Ausführen des Verfahrens der Prozessor und/oder Speicher verwendet werden, den das Betriebssystem oder das Plugin verwendet.
  • Der Verfahrensschritt des Analysierens oder auch das Analysemodul kann beispielsweise unterschiedliche Kommunikationsprotokolle oder Schichten der Netzwerkkommunikation beobachten. Je nach Anwendungsfall können verschiedene Schichten und/oder Protokollteile auf deren Verschlüsselung hin beobachtet werden. Hierzu kann beispielsweise die Transportschicht, beispielsweise beim TLS-Protokoll, und/oder die Applikationsschicht, beispielsweise beim HTTPS-Protokoll, und/oder die Vermittlungsschicht, beispielsweise beim IPsec-Protokoll analysiert werden.
  • Die Überprüfung der statistischen Eigenschaften mittels der statistischen Funktion bezieht sich insbesondere auf den verschlüsselten Teil oder die verschlüsselten Nutzdaten des Datenpaketes, das mit einem bestimmten Protokoll übertragen wird.
  • Es stehen beispielsweise mehrere Algorithmen als statistische Funktion zur Verfügung, um vorzugsweise eine kontinuierliche Statistik von übertragenen Datenpaketen zu berechnen, um festzustellen, ob eine Netzwerkkommunikation und somit die Datenpakete und deren Nutzdaten verschlüsselt sind.
  • Beispielsweise kann der Chi-Quadrat-Test als statistische Funktion verwendet werden, der prüft, ob vorliegende Datenbits der Nutzdaten des Datenpakets auf eine bestimmte Weise verteilt sind. Es kann aber auch der Kolmogorow-Smirnow-Test als statistische Funktion verwendet werden, der anhand von Stichproben prüft, ob eine Zufallsvariable in Form der Datenbits der Nutzdaten des Datenpakets einer zuvor angenommenen Wahrscheinlichkeitsverteilung folgt. Es kann aber auch der G-Test als statistische Funktion verwendet werden, der prüft, ob Auftritts-Häufigkeiten von Datenbits der Nutzdaten des Datenpakets durch Zufall zustande gekommen sind.
  • Es können beispielsweise auch mehrere statistische Funktionen in Kombination eingesetzt werden.
  • Wird beim Analysieren festgestellt, dass die Netzwerkkommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist, also beispielsweise Nutzdaten eines Datenpaketes als Klartext verschickt werden, obwohl die Sicherheitsrichtlinie vorgibt, diese verschlüsselt zu verschicken, können unterschiedliche Aktionen durch eine Steuerinformation gesteuert werden.
  • Sollte also eine unverschlüsselte Daten-Übertragung detektiert werden, ist eine Vielzahl Reaktionen denkbar, die einzeln oder in Kombination durch die Steuerinformation gesteuert werden können. Beispielsweise kann die Verbindung zwischen Teilnehmern der Netzwerkkommunikation getrennt werden, ein optisches und/oder akustisches Signal ausgelöst werden und/oder die Änderung und/oder die unzulässige Übereinstimmung in einer sicheren (geschützten) Protokoll-Datei gespeichert werden.
  • Mit der Steuerinformation kann beispielsweise die Sicherheitsrichtlinie durchgesetzt werden und bei einem Nicht-Einhalten der Sicherheitsrichtlinie die Netzwerkkommunikation unterbunden werden.
  • 2 zeigt eine Implementierung eines zweiten Ausführungsbeispiels des offenbarten Verfahrens. Im Einzelnen zeigt 2 ein Analysemodul 201, das das oben genannte Verfahren implementiert.
  • Das Analysemodul 201 ist in diesem Ausführungsbeispiel vorzugsweise als eine eigenständige Netzwerkkomponente ausgebildet, kann aber auch in eine Netzwerkkomponente, beispielsweise einen Router oder einen Switch, als Hardware- oder Programmkomponente integriert werden.
  • Das Analysemodul 201 ist in der Lage rechnergestützt, vorzugsweise unter Verwendung eines Prozessors und/oder Speichers, eine Netzwerkkommunikation zu überprüfen und ggf. mittels einer Steuerinformation in der Lage eine Sicherheitsrichtlinie durchzusetzen.
  • Das Analysemodul 201 umfasst eine Erfassungseinrichtung 210, eine Analyseeinrichtung 220, eine Bereitstellungseinrichtung 230 und eine Sicherheitsrichtlinienspeichereinrichtung 240.
  • Die Erfassungseinrichtung 210 erfasst ein Datenpaket der Netzwerkkommunikation, wobei der Netzwerkkommunikation die Sicherheitsrichtlinie zugeordnet ist. Hierzu ist Erfassungseinrichtung 210 mittels einer ersten Datenleitung 205 mit einem Netzwerk kommunikativ verbunden. Über einen ersten Bus 207 wird das Datenpaket anschließend an die Analyseeinrichtung 220 übertragen.
  • Die Analyseeinrichtung 220 analysiert die Netzwerkkommunikation anhand des Datenpaketes mittels mindestens einer statistischen Funktion, wobei zum Analysieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der Sicherheitsrichtlinie, die in der Sicherheitsrichtlinienspeichereinrichtung 240 abgelegt ist und über den ersten Bus 207 mit der Analyseeinrichtung 220 kommunikativ verbunden ist, charakterisiert wird. In der Sicherheitsrichtlinienspeichereinrichtung 240 kann über eine zweite Datenleitung 206 die Sicherheitsrichtlinie gespeichert werden, die von der Analyseeinrichtung 220 berücksichtig werden soll. Das Ergebnis des Analysierens wird über den ersten Bus 207 der Bereitstellungseinrichtung 230 bereitgestellt.
  • Die Bereitstellungseinrichtung 230 stellt anhand des Analyseergebnisses eine Steuerinformation bereit, falls die Netzwerkkommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist. Die Steuerinformation kann beispielsweise über eine dritte Datenleitung 255 bereitgestellt werden.
  • Ist das Analysemodul 201 beispielsweise als ein Paketfilter in einem Kommunikationspfad zwischengeschaltet, kann es nach der Analyse entscheiden, ob das Datenpaket der Netzwerkkommunikation weitergeleitet wird, falls die Netzwerkkommunikation bzw. das Datenpaket der Netzwerkkommunikation eine ausreichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist. Hierzu wird das Datenpaket beispielsweise über eine vierte Datenleitung 256 wieder in den Kommunikationspfad der Netzwerkkommunikation eingefügt.
  • Weist das Datenpaket der Netzwerkkommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie auf, so ist es auch denkbar, dass das Datenpaket ausgefiltert wird und eine Übertragung an Teilnehmer der Netzwerkkommunikation unterbunden wird.
  • Diese Filterfunktion kann ebenfalls die Bereitstellungseinrichtung 230 übernehmen oder es wird eine zusätzliche Komponente hierfür vorgesehen.
  • In einer Variante wird das Analysemodul 201 in eine andere oder bestehende Netzwerkkomponente, beispielsweise einen Router, einen Switch oder einen Accesspoint integriert. In dieser Variante ist eine Datenpaketempfangseinheit der Netzwerkkomponente um die Funktionalität der Erfassungseinrichtung 210 erweitert, damit das Datenpaket an die Analyseeinrichtung 220 übermittelt werden kann. Die Funktionalität der Bereitstellungseinrichtung 230 und ggf. der Filterfunktion kann beispielsweise in eine Datenpaketsendeeinheit der Netzwerkkomponente integriert werden.
  • In einer weiteren Variante wird das Analysieren der Datenpakete, d.h. ein Überprüfen der Netzwerkkommunikation kontinuierlich, zu vorgegebenen Zeitpunkten oder zu vorgegebenen Zeitpunkten für ein vorgegebenes Zeitintervall durchgeführt. Wird eine Analyse durchgeführt, so werden vorzugsweise alle Datenpakete der Netzwerkkommunikation analysiert.
  • Das Analysemodul 201 ist somit in der Lage mittels des Analysierens des Datenpaketes oder mehrerer Datenpakete die Netzwerkkommunikation zu überprüfen, ob beispielsweise eine Verschlüsselung entsprechend der Sicherheitsrichtlinie noch vorhanden ist.
  • 3 zeigt eine Implementierung eines dritten Ausführungsbeispiels des offenbarten Verfahrens. Im Einzelnen zeigt 3 ein Analysemodul 301, das das oben genannte Verfahren implementiert.
  • Das Analysemodul 301 ist in diesem Ausführungsbeispiel vorzugsweise in eine Netzwerkkomponente, beispielsweise einem Router oder einem Switch, als Hardware- oder Programmkomponente integriert, kann aber auch als eigenständige Netzwerkkomponente ausgebildet sein.
  • Das Analysemodul 301 ist in der Lage, rechnergestützt, vorzugsweise unter Verwendung eines Prozessors und/oder Speichers, eine Netzwerkkommunikation zu überprüfen und ggf. mittels einer Steuerinformation in der Lage, eine Sicherheitsrichtlinie durchzusetzen.
  • Das Analysemodul 301 umfasst eine Erfassungseinrichtung 210, eine Analyseeinrichtung 220, eine Bereitstellungseinrichtung 230 und eine Sicherheitsrichtlinienspeichereinrichtung 240.
  • Die Funktionsweise der Erfassungseinrichtung 210, der Analyseeinrichtung 220, der Bereitstellungseinrichtung 230 und der Sicherheitsrichtlinienspeichereinrichtung 240 entspricht den Ausführungen und Erläuterungen des zweiten Ausführungsbeispiels von 2 und den angegebenen Varianten.
  • Zusätzlich zu den bereits aus dem zweiten Ausführungsbeispiel bekannten Einrichtungen weist das Analysemodul eine Ausleitungseinrichtung 310 auf. Diese Ausleitungseinrichtung 310 wird von der Analyseeinrichtung 220 angesteuert, um Datenpakte nur stichprobenartig zu analysieren. Dieses stichprobenartige Ausleiten von Datenpaketen kann beispielsweise ebenfalls über eine statistische Funktion und/oder zufallsgesteuert durchgeführt werden. Wird eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie festgestellt, wird durch die Bereitstellungseinrichtung 230 eine Steuerinformation bereitgestellt und/oder eine Filterfunktion eingeschaltet, um das entsprechende Datenpaket auszufiltern.
  • Das Analysemodul 301 ist somit in der Lage, mittels des Analysierens des Datenpaketes oder mehrerer Datenpakete die Netzwerkkommunikation stichprobenartig zu überprüfen, ob beispielsweise eine Verschlüsselung entsprechend der Sicherheitsrichtlinie noch vorhanden ist.
  • 4 zeigt eine Implementierung eines vierten Ausführungsbeispiels des offenbarten Verfahrens. Im Einzelnen zeigt 4 ein Analysemodul 401, das das oben genannte Verfahren implementiert.
  • Das Analysemodul 401 ist in diesem Ausführungsbeispiel vorzugsweise eine eigenstände Netzwerkkomponente, kann aber auch in eine Netzwerkkomponente, beispielsweise einen Router oder einen Switch, als Hardware- oder Programmkomponente integriert sein.
  • Das Analysemodul 401 ist in der Lage, rechnergestützt, vorzugsweise unter Verwendung eines Prozessors und/oder Speichers, eine Netzwerkkommunikation zu überprüfen und ist ggf. mittels einer Steuerinformation in der Lage, eine Sicherheitsrichtlinie durchzusetzen.
  • Das Analysemodul 401 umfasst eine Erfassungseinrichtung 210, eine Analyseeinrichtung 220, eine Bereitstellungseinrichtung 230 und eine Schnittstelle 410, die über einen zweiten Bus 480 kommunikativ miteinander in Verbindung stehen. Die Sicherheitsrichtlinie kann im Speicher oder in einer Sicherheitsrichtlinienspeichereinrichtung abgelegt werden.
  • Die Erfassungseinrichtung 210 ist in der Lage, über die Schnittstelle 410 ein Datenpaket der Netzwerkkommunikation zu erfassen, wobei der Netzwerkkommunikation die Sicherheitsrichtlinie zugeordnet ist. Über den zweiten Bus 480 wird das Datenpaket anschließend an die Analyseeinrichtung 220 übertragen.
  • Die Analyseeinrichtung 220 analysiert die Netzwerkkommunikation anhand des Datenpaketes mittels mindestens einer statistischen Funktion, wobei zum Analysieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der Sicherheitsrichtlinie berücksichtigt werden. Das Ergebnis des Analysierens wird über den zweiten Bus 480 der Bereitstellungseinrichtung 230 bereitgestellt.
  • Die Bereitstellungseinrichtung 230 stellt anhand des Analyseergebnisses eine Steuerinformation bereit, falls die Netzwerkkommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist. Die Steuerinformation kann beispielsweise über die Schnittstelle 410 einem Gerät, beispielsweise einem Paketfilter einer Firewall oder einem Switch oder Nutzer bereitgestellt werden.
  • Das Analysemodul 401 ist somit in der Lage, mittels des Analysierens des Datenpaketes oder mehrerer Datenpakete die Netzwerkkommunikation zu überprüfen, ob beispielsweise eine Verschlüsselung entsprechend der Sicherheitsrichtlinie noch vorhanden ist.
  • Das Analysemodul 401 kann auch Teil eines Systems, beispielsweise eines Netzwerkes 510, sein, so wie dies in 5 dargestellt ist. Im Einzelnen zeigt 5 das Netzwerk 510, beispielsweise ein Ethernetnetzwerk, ein Analysemodul 401, das über die Schnittstelle 410 mit dem Netzwerk 510 verbunden ist, einen ersten Teilnehmer einer Netzwerkkommunikation 530, einen zweiten Teilnehmer der Netzwerkkommunikation 540, einen dritten Teilnehmer der Netzwerkkommunikation 550 und eine Netzwerkkomponente 590, beispielsweise einen Switch.
  • Der erste Teilnehmer einer Netzwerkkommunikation 530, der zweite Teilnehmer einer Netzwerkkommunikation 540, der dritte Teilnehmer einer Netzwerkkommunikation 550, das Analysemodul 401 und die Netzwerkkomponente sind über das Netzwerk 510 kommunikativ miteinander verbunden. Der erste Teilnehmer ist beispielsweise eine Workstation, beispielsweise ein IBMkompatibles Computersystem, umfassend ein Anzeigegerät 532, beispielsweise einen Bildschirm und mehrere Eingabegeräte, beispielsweise eine Computermaus 533 und eine Tastatur 530. Auch bei dem zweiten Teilnehmer oder dritten Teilnehmer kann es sich um eine Workstation handeln.
  • Das System kann beispielsweise ein Teil einer Kommunikationsinfrastruktur einer Kraftwerksanlage sein und die Teilnehmer Feldgeräte oder Messgeräte der Kraftwerksanlage.
  • Wird beispielsweise durch das Analysemodul 401 beim Überprüfen der Netzwerkkommunikation eine unzureichende Übereinstimmung (beispielsweise eine unverschlüsselte Netzwerkkommunikation) mit der Sicherheitsrichtlinie erkannt, so kann die Bereitstellungseinrichtung 230 über die Schnittstelle 410 der Netzwerkkomponente 590 eine Steuerinformation bereitstellen. Die Netzwerkkomponente 590 kann dann beispielsweise die Netzwerkkommunikation zwischen den Teilnehmern unterbinden, um zu verhindern, dass Daten zwischen den Teilnehmern der Netzwerkkommunikation unverschlüsselt ausgetauscht werden.
  • Das Analysemodul kann aber auch wie in den vorhergehenden Ausführungsbeispielen ausgestaltet sein und somit auch in die Netzwerkkomponente 590 integriert werden.
  • Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt, und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 8531247 B2 [0003]
    • US 8892616 B2 [0003]
    • US 8300811 B2 [0003]
    • US 9147088 B2 [0003]
    • EP 2605445 B1 [0003]
    • EP 2870565 A1 [0003]
    • EP 2891102 A1 [0003]
    • US 8843761 B2 [0003]

Claims (16)

  1. Verfahren zum rechnergestützten Überprüfen einer Netzwerkkommunikation: – Erfassen (110) eines Datenpaketes der Netzwerkkommunikation, wobei der Netzwerkkommunikation eine Sicherheitsrichtlinie zugeordnet ist; – Analysieren (120) der Netzwerkkommunikation anhand des Datenpaketes mittels mindestens einer statistischen Funktion, wobei zum Analysieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der Sicherheitsrichtlinie charakterisiert wird; – Bereitstellen (130) einer Steuerinformation, falls die Netzwerkkommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist.
  2. Verfahren nach Anspruch 1, wobei die Netzwerkkommunikation entsprechend der Sicherheitsrichtlinie verschlüsselt ist, wobei für das Analysieren (120) insbesondere auf kryptographische Schlüssel verzichtet wird.
  3. Verfahren nach Anspruch 1 oder 2, wobei das Datenpaket zwischengespeichert wird und das Analysieren (120) insbesondere zu einem festlegbaren späteren Zeitpunkt durchgeführt wird.
  4. Verfahren nach einem der Ansprüche 1 bis 3, wobei das Analysieren (120) des Datenpakets direkt nach dem Erfassen erfolgt, wobei das Analysieren (120) vorzugsweise in Echtzeit erfolgt.
  5. Verfahren nach Anspruch 3 oder 4, wobei konfiguriert wird, ob das Datenpaket für eine spätere Analyse zwischengespeichert wird oder das Analysieren (120) direkt erfolgt.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei für das Charakterisieren eine MAC-Adresse und/oder eine IP-Adresse und/oder ein Port und/oder Merkmale im Protokollheader des Datenpaketes ausgewertet werden.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei die mindestens eine statistische Funktion ein Chi-Quadrat-Test und/oder ein Kolmogorow-Smirnow-Test und/oder ein G-Test ist.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei für das Analysieren (120) ermittelte statistische Eigenschaften von verschlüsselten Nutzdaten des Datenpaketes der verschlüsselten Netzwerkkommunikation mit erwarteten statistischen Eigenschaften verglichen werden.
  9. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Steuerinformation eine Trennung der Netzwerkkommunikation und/oder eine Übermittlung des Datenpaketes und/oder ein Auslösen eines optischen oder akustischen Signals und/oder ein Protokollieren eines Ergebnisses des Analysierens in einer sicheren Protokoll-Datei steuert, wobei die Steuerinformation insbesondere eine Einhaltung der Sicherheitsrichtlinie durchsetzt.
  10. Verfahren nach einem der vorhergehenden Ansprüche, wobei zum Analysieren (120) zusätzlich eine Analysefunktion auf das Datenpaket angewendet wird, wobei die Analysefunktion insbesondere eine Qualität einer Verschlüsselung berechnet.
  11. Analysemodul (201, 301, 401) zum rechnergestützten Überprüfen einer Netzwerkkommunikation, aufweisend: – eine Erfassungseinrichtung (210) zum Erfassen eines Datenpaketes der Netzwerkkommunikation, wobei der Netzwerkkommunikation eine Sicherheitsrichtlinie zugeordnet ist; – eine Analyseeinrichtung (220) zum Analysieren der Netzwerkkommunikation anhand des Datenpaketes mittels mindestens einer statistischen Funktion, wobei zum Analysieren die Netzwerkkommunikation anhand des Datenpaketes und/oder der Sicherheitsrichtlinie charakterisiert wird; – eine Bereitstellungseinrichtung (230) zum Bereitstellen einer Steuerinformation, falls die Netzwerkkommunikation eine unzureichende Übereinstimmung mit der Sicherheitsrichtlinie aufweist.
  12. Analysemodul (201, 301, 401) nach Anspruch 11, wobei – das Analysemodul (201, 301, 401) eine dedizierte Netzwerkkomponente ist, die insbesondere zwischen einem Teilnehmer (530) und anderen Teilnehmern (540, 550) eines Netzwerkes (510), das der Netzwerkkommunikation dient, geschaltet ist; oder – das Analysemodul (201, 301, 401) eine Programmkomponente ein Teil eines Betriebssystems eines Teilnehmers (530, 540, 550) an der Netzwerkkommunikation ist; oder – das Analysemodul (201, 301, 401) als eine Programmkomponente einer anderen Netzwerkkomponenten des Netzwerkes (510) realisiert ist, das der Netzwerkkommunikation dient, insbesondere einem Router oder einem Switch; oder – das Analysemodul (201, 301, 401) ein Plugin für eine Software Applikation ist, insbesondere einem Browser-Plugin.
  13. System mit einem Analysemodul (201, 301, 401) nach einem der Ansprüche 11–12.
  14. Computerprogrammprodukt mit Programmbefehlen zur Durchführung des Verfahrens nach einem der Ansprüche 1–10.
  15. Computerprogrammprodukt mit Programmbefehlen für ein Erstellungsgerät, das mittels der Programmbefehle konfiguriert wird, das Analysemodul (201, 301, 401) nach einem der Ansprüche 11–12 zu erstellen.
  16. Bereitstellungsvorrichtung für das Computerprogrammprodukt nach Anspruch 14 oder 15, wobei die Bereitstellungsvorrichtung das Computerprogrammprodukt speichert und/oder bereitstellt.
DE102016203534.7A 2016-03-03 2016-03-03 Verfahren und Analysemodul zur Überprüfung von verschlüsselten Datenübertragungen Withdrawn DE102016203534A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102016203534.7A DE102016203534A1 (de) 2016-03-03 2016-03-03 Verfahren und Analysemodul zur Überprüfung von verschlüsselten Datenübertragungen
PCT/EP2016/082535 WO2017148559A1 (de) 2016-03-03 2016-12-23 Verfahren und analysemodul zur überprüfung von verschlüsselten datenübertragungen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016203534.7A DE102016203534A1 (de) 2016-03-03 2016-03-03 Verfahren und Analysemodul zur Überprüfung von verschlüsselten Datenübertragungen

Publications (1)

Publication Number Publication Date
DE102016203534A1 true DE102016203534A1 (de) 2017-09-07

Family

ID=57749929

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016203534.7A Withdrawn DE102016203534A1 (de) 2016-03-03 2016-03-03 Verfahren und Analysemodul zur Überprüfung von verschlüsselten Datenübertragungen

Country Status (2)

Country Link
DE (1) DE102016203534A1 (de)
WO (1) WO2017148559A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018216959B4 (de) * 2018-10-02 2020-11-12 Continental Automotive Gmbh Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8300811B2 (en) 2008-12-10 2012-10-30 Siemens Aktiengesellschaft Method and device for processing data
US8531247B2 (en) 2008-04-14 2013-09-10 Siemens Aktiengesellschaft Device and method for generating a random bit sequence
US8843761B2 (en) 2007-08-16 2014-09-23 Siemens Aktiengesellschaft Method and apparatus for protection of a program against monitoring flow manipulation and against incorrect program running
US8892616B2 (en) 2007-08-27 2014-11-18 Siemens Aktiengesellschaft Device and method for generating a random bit sequence
EP2870565A1 (de) 2012-09-28 2015-05-13 Siemens Aktiengesellschaft Überprüfung einer integrität von eigenschaftsdaten eines gerätes durch ein prüfgerät
EP2891102A1 (de) 2013-01-02 2015-07-08 Siemens Aktiengesellschaft Rfid-tag und verfahren zum betreiben eines rfid-tags
US9147088B2 (en) 2011-04-18 2015-09-29 Siemens Aktiengesellschaft Method for monitoring a tamper protection and monitoring system for a field device having tamper protection
EP2605445B1 (de) 2011-12-14 2015-09-30 Siemens Aktiengesellschaft Verfahren und Vorrichtung zur Absicherung von Blockchiffren gegen Template-Attacken

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7564969B2 (en) * 2003-04-01 2009-07-21 Sytex, Inc. Methodology, system and computer readable medium for detecting file encryption
US7930540B2 (en) * 2004-01-22 2011-04-19 Mcafee, Inc. Cryptographic policy enforcement
US7756997B2 (en) * 2005-09-19 2010-07-13 Polytechnic Institute Of New York University Effective policies and policy enforcement using characterization of flow content and content-independent flow information
DE102010011587A1 (de) * 2010-03-16 2011-09-22 Siemens Aktiengesellschaft Verfahren und System zum Schutz eines Kommunikationssystems oder eines Kommunikationsnetzwerkes

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8843761B2 (en) 2007-08-16 2014-09-23 Siemens Aktiengesellschaft Method and apparatus for protection of a program against monitoring flow manipulation and against incorrect program running
US8892616B2 (en) 2007-08-27 2014-11-18 Siemens Aktiengesellschaft Device and method for generating a random bit sequence
US8531247B2 (en) 2008-04-14 2013-09-10 Siemens Aktiengesellschaft Device and method for generating a random bit sequence
US8300811B2 (en) 2008-12-10 2012-10-30 Siemens Aktiengesellschaft Method and device for processing data
US9147088B2 (en) 2011-04-18 2015-09-29 Siemens Aktiengesellschaft Method for monitoring a tamper protection and monitoring system for a field device having tamper protection
EP2605445B1 (de) 2011-12-14 2015-09-30 Siemens Aktiengesellschaft Verfahren und Vorrichtung zur Absicherung von Blockchiffren gegen Template-Attacken
EP2870565A1 (de) 2012-09-28 2015-05-13 Siemens Aktiengesellschaft Überprüfung einer integrität von eigenschaftsdaten eines gerätes durch ein prüfgerät
EP2891102A1 (de) 2013-01-02 2015-07-08 Siemens Aktiengesellschaft Rfid-tag und verfahren zum betreiben eines rfid-tags

Also Published As

Publication number Publication date
WO2017148559A1 (de) 2017-09-08

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE102015001054A1 (de) Verfahren und systeme zum erkennen von extrusion und intrusion in einer cloud-computer-umgebung
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
DE102012109212B4 (de) Methoden, Vorrichtung und Herstellungsprodukte zur Bereitstellung von Firewalls für Prozesssteuerungssysteme
DE102005028663A1 (de) Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner
DE102015002574B4 (de) Kraftfahrzeug- Kommunikationsnetzwerk mit Switchvorrichtung
EP3451624A1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
EP1494401B1 (de) Router and Verfahren zur Aktivierung eines deaktivierten Computers
DE102019104680A1 (de) Paketverarbeitung in einem Computersystem
EP3171570B1 (de) Vorrichtung und verfahren zum anpassen von berechtigungsinformationen eines endgeräts
WO2019015860A1 (de) Verfahren, vorrichtungen und computerprogrammprodukt zur überprüfung von verbindungsparametern einer kryptographisch geschützten kommunikationsverbindung während des verbindungsaufbaus
EP3318033B1 (de) Anti-cracking verfahren mit hilfe eines vermittlungscomputer
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE102016203534A1 (de) Verfahren und Analysemodul zur Überprüfung von verschlüsselten Datenübertragungen
EP3603012A1 (de) Verfahren und vorrichtung zum schutz einer kommunikation zwischen mindestens einer ersten kommunikationseinrichtung und wenigstens einer zweiten kommunikationseinrichtung insbesondere innerhalb eines kommunikationsnetzwerkes einer industriellen fertigung und/oder automatisierung
DE102014109906B4 (de) Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt
WO2021078538A1 (de) Sicherungssystem und verfahren zur filterung eines datenverkehrs
EP1473614A2 (de) Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in einem solchen Computersystem
EP2186285B1 (de) Verfahren und einrichtung zur authentisierung übertragener nutzdaten
EP3382976A1 (de) Schutzeinrichtung, verfahren und gerät enthalten eine schutzeinrichtung zum schutz eines mit dem gerät verbundenen kommunikationsnetzwerks
WO2021197822A1 (de) Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
DE102015212037A1 (de) Überwachen eines Übertragungsstreckenabschnitts zur Übertragung von Daten zwischen zwei Teilnehmern einer Kommunikationsverbindung
EP3395039A1 (de) Vorrichtung und verfahren zum weiterleiten von datenpaketen
EP3748927A1 (de) Verfahren und system zum überwachen von nachrichten einer kommunikationsverbindung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee