DE102019105135A1 - Verfahren zum Überwachen eines industriellen Netzwerks - Google Patents

Verfahren zum Überwachen eines industriellen Netzwerks Download PDF

Info

Publication number
DE102019105135A1
DE102019105135A1 DE102019105135.5A DE102019105135A DE102019105135A1 DE 102019105135 A1 DE102019105135 A1 DE 102019105135A1 DE 102019105135 A DE102019105135 A DE 102019105135A DE 102019105135 A1 DE102019105135 A1 DE 102019105135A1
Authority
DE
Germany
Prior art keywords
monitoring unit
information
decentralized
communication
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019105135.5A
Other languages
English (en)
Inventor
Cyntia Montserrat Vargas Martinez
Julien Rausch
Birgit Vogel-Heuser
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Technische Universitaet Muenchen
Original Assignee
Robert Bosch GmbH
Technische Universitaet Muenchen
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH, Technische Universitaet Muenchen filed Critical Robert Bosch GmbH
Priority to DE102019105135.5A priority Critical patent/DE102019105135A1/de
Priority to US16/792,788 priority patent/US11595409B2/en
Publication of DE102019105135A1 publication Critical patent/DE102019105135A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Überwachung eines industriellen Netzwerks mit wenigstens zwei Hierarchieebenen. Jede Hierarchieebene weist wenigstens ein Segment auf. Pro Segment sind wenigstens eine Komponentenüberwachungseinheit und/oder wenigstens eine Kommunikationsüberwachungseinheit vorgesehen. In einem der Segmente ist eine zentrale Überwachungseinheit vorgesehen, in wenigstens einem der übrigen Segmente wenigstens eine dezentrale Überwachungseinheit. Die Komponentenüberwachungseinheit und/oder Kommunikationsüberwachungseinheit der übrigen Segmente sind einer der dezentralen Überwachungseinheiten zugewiesen. Die wenigstens eine dezentrale Überwachungseinheit empfängt erste Informationen der zugewiesenen Komponentenüberwachungseinheit und/oder Kommunikationsüberwachungseinheit. Wenn eine Kommunikationsverbindung zu der zentralen Überwachungseinheit besteht, übermittelt die wenigstens eine dezentrale Überwachungseinheit zweite Informationen in Abhängigkeit von den empfangenen ersten Informationen an die zentrale Überwachungseinheit, welche die zweiten Informationen auswertet. Wenn die Kommunikationsverbindung zu der zentralen Überwachungseinheit unterbrochen ist, wertet die wenigstens eine dezentrale Überwachungseinheit die empfangenen ersten Informationen selbst aus und/oder übermittelt zweite Informationen an eine vorbestimmte Überwachungseinheit der wenigstens einen dezentralen Überwachungseinheit, welche diese zweiten Informationen auswertet.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Überwachen eines industriellen Netzwerks sowie eine Recheneinheit und ein Computerprogramm zu dessen Durchführung.
  • Stand der Technik
  • Mittels sog. industrieller Netzwerke kann eine Vielzahl unterschiedlicher Komponenten einer industriellen Anlage miteinander vernetzt werden, um eine derartige Anlage beispielsweise automatisiert zu betreiben oder mit Hilfe entfernter Recheneinheiten zu überwachen. Zu diesem Zweck kann das industrielle Netzwerk gemäß der sogenannten Automatisierungspyramide gegliedert sein. Gemäß einer derartigen Automatisierungslösung bzw. Automatisierungspyramide ist das Netzwerk in verschiedene Hierarchieebenen gegliedert, bzw. verschiedene Netzwerkkomponenten und die von diesen Komponenten ausgeführten Funktionen definieren unterschiedliche Hierarchieebenen.
  • Eine dieser Ebenen ist die sogenannte Feldebene (engl. „Field Level“), in welcher insbesondere der tatsächliche Herstellungs- bzw. Bearbeitungsprozess stattfindet. Zumeist stellt diese Feldebene die hierarchisch unterste Ebene dar. Die Feldebene beschreibt mechanische, elektrische, hydraulische, pneumatische oder ähnliche Komponenten, z.B. Generatoren, Motoren, Antriebe. Weiterhin umfasst die Feldebene Feldgeräte, welche direkt in diesen Komponenten der Produktionsanlage integriert sind und für die Steuerung bzw. Regelung dieser Komponenten der Produktionsanlage benötigt werden. Die Feldebene umfasst dabei insbesondere Feldgeräte wie beispielsweise Sensoren, Aktoren, Antriebe, Fühler, Taster und Schalter.
  • Diese Feldgeräte der Feldebene können mit Steuerungen in einer der Feldebene übergeordneten Steuerungsebene (engl. „Control Level“) verbunden sein, beispielsweise mit speicherprogrammierbaren Steuerungen (SPS bzw. PLC). Sensoren der Feldebene können erfasste Daten an diese Steuerungen weiterleiten bzw. die Steuerungen können Ansteuersignale an die Aktoren der Feldebene übermitteln.
  • Steuerungen der Steuerungsebene können wiederum mit Recheneinheiten in einer übergeordneten Prozessleitebene (engl. „Supervisory Level“) verbunden sein. Diese Recheneinheiten der Prozessleitebene können insbesondere als Mensch-Maschinen-Schnittstelle fungieren und beispielsweise zum Anzeigen von Messdaten und somit zur Visualisierung und Überwachung des in der Feldebene durchgeführten Herstellungs- bzw. Bearbeitungsprozess dienen. Beispielsweise können Benutzern durch die Recheneinheiten in dieser Ebene auch Alarmnachrichten oder andere Benachrichtigungen ausgegeben werden.
  • Recheneinheiten der Prozessleitebene stehen wiederum mit Recheneinheiten in einer übergeordneten Betriebsleitebene (engl. „Operational and Control Level“) in Verbindung, mittels welcher Betriebsabläufe erstellt, überwacht und ausgeführt werden können. Beispielsweise kann diese Betriebsleitebene PCs, Server, o.ä. umfassen. Der Betriebsleitebene ist wiederum die Unternehmensleitebene (engl. „Enterprise Level“) übergeordnet, welche zumeist die hierarchisch höchste Ebene darstellt, in welcher Organisation, Planung, Management der gesamten Anlage ablaufen.
  • Um Sicherheit und Know-how-Schutz gewährleisten zu können, ist es von Bedeutung, derartige industrielle Anlagen bzw. industrielle Netzwerke auf Angriffe hin überwachen zu können.
  • Offenbarung der Erfindung
  • Erfindungsgemäß werden ein Verfahren zum Überwachen eines industriellen Netzwerks sowie eine Recheneinheit und ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
  • Das industrielle Netzwerk umfasst eine Vielzahl von Netzwerkkomponenten. Insbesondere sind durch das industrielle Netzwerk Komponenten einer industriellen Anlage miteinander vernetzt.
  • Das Netzwerk ist in wenigstens zwei Hierarchieebenen mit jeweils einer unterschiedlichen Hierarchiestufe eingeteilt, wobei pro Hierarchieebene jeweils wenigstens eine Netzwerkkomponente vorgesehen ist. Diese Ebenen können beispielsweise eine Feldebene, eine Steuerungsebene, eine Prozessleitebene, eine Betriebsleitebene und eine Unternehmensleitebene umfassen. Netzwerkkomponenten der einzelnen Hierarchieebenen können unterschiedlicher Natur sein und beispielsweise als Sensoren, Aktoren, Steuergeräte, speicherprogrammierbare Steuerungen, PCs, Server, Smart Devices usw. ausgebildet sein.
  • Jede Hierarchieebene weist wenigstens ein Segment auf, wobei jedes Segment wenigstens eine Netzwerkkomponente der jeweiligen Hierarchieebene umfasst. Insbesondere ist dabei jede Netzwerkkomponente einer Hierarchieebene genau einem Segment zugeordnet. Pro Segment sind jeweils wenigstens eine Komponentenüberwachungseinheit und/oder wenigstens eine Kommunikationsüberwachungseinheit vorgesehen.
  • Eine derartige Komponentenüberwachungseinheit (engl. „Host Agent“) ist zur Überwachung wenigstens einer Netzwerkkomponente des jeweiligen Segments vorgesehen. Zu diesem Zweck kann die Komponentenüberwachungseinheit beispielsweise spezifische komponentenspezifische Informationen von den jeweiligen Netzwerkkomponenten empfangen und auswerten, insbesondere um Angriffe oder Verletzungen von vorgegeben Regeln zu erkennen. Insbesondere können die Komponentenüberwachungseinheiten selbstständig Überprüfungen bzw. Audits von Netzwerkkomponenten durchführen. Beispielsweise können die Komponentenüberwachungseinheiten jeweils als Antivireneinheit oder als Einheit zum Überprüfen von Prüfsummen ausgebildet sein. Grundsätzlich kann jede Einheit Software auf eigenständiger Hardware oder auf vorhandener Hardware umfassen. Bei erkannten Angriffen bzw. Regelverletzungen können die Komponentenüberwachungseinheiten insbesondere entsprechende Alarme erzeugen, welche zur weiteren Auswertung an eine übergeordnete Überwachungseinheit weitergeleitet werden.
  • Eine derartige Kommunikationsüberwachungseinheit (engl. „Network Sensor“) ist zur Überwachung einer Kommunikation in dem jeweiligen Segment vorgesehen. Zu diesem Zweck kann die Kommunikationsüberwachungseinheit beispielsweise passiv Datenverkehr auslesen, etwa mit Hilfe einer Spieglung von Netzwerkanschlüssen (engl. „Port Mirroring“) oder mit Hilfe eines Testanschlusses (engl. „Test Access Port“, TAP). Insbesondere sind die Kommunikationsüberwachungseinheiten nicht dazu eingerichtet, um eine Angriffserkennung selbst durchzuführen, sondern übermitteln Informationen bezüglich des Datenverkehrs an eine übergeordnete Überwachungseinheit zur weiteren Auswertung.
  • In einem der Segmente ist eine zentrale Überwachungseinheit vorgesehen, um Informationen zum Erkennen von Angriffen auszuwerten. Zweckmäßigerweise kann die zentrale Überwachungseinheit in einem Segment in einer Prozessleitebene (engl. „Supervisory Level“) oder einer Unternehmensleitebene (engl. „Enterprise Level“) vorgesehen sein.
  • In wenigstens einem der übrigen Segmente ist jeweils wenigstens eine dezentrale bzw. lokale Überwachungseinheit („Subnetwork Management Agent“, SMA) vorgesehen. Die wenigstens eine Komponentenüberwachungseinheit und/oder die wenigstens eine Kommunikationsüberwachungseinheit der übrigen Segmente sind jeweils einer der wenigstens einen dezentralen Überwachungseinheiten zugewiesen.
  • Wenn in einem der übrigen Segmente eine dezentrale Überwachungseinheit vorgesehen ist, dann ist die wenigstens eine Komponentenüberwachungseinheit und/oder die wenigstens eine Kommunikationsüberwachungseinheit dieses Segments zweckmäßigerweise dieser dezentralen Überwachungseinheit zugewiesen.
  • Ist hingegen in einem der übrigen Segmente keine dezentrale Überwachungseinheit vorgesehen, dann ist die wenigstens eine Komponentenüberwachungseinheit und/oder die wenigstens eine Kommunikationsüberwachungseinheit dieses Segments zweckmäßigerweise derjenigen dezentralen Überwachungseinheit zugewiesen, welche in der hierarchisch nächsthöheren Hierarchieebene vorgesehen ist.
  • Diese dezentralen Überwachungseinheiten der einzelnen Segmente empfangen jeweils erste Informationen der zugewiesenen wenigstens einen Komponentenüberwachungseinheit und/oder der zugewiesenen wenigstens einen Kommunikationsüberwachungseinheit. Diese ersten Informationen können beispielsweise Alarme oder Benachrichtigungen der jeweiligen Komponentenüberwachungseinheiten sein, wenn diese einen Angriff auf eine spezielle Netzwerkkomponente erkennen. Alternativ oder zusätzlich können diese ersten Informationen auch von den Kommunikationsüberwachungseinheiten gesammelte Informationen bezüglich des Datenverkehrs zwischen den Netzwerkkomponenten in dem jeweiligen Segment sein.
  • Diese zentrale Überwachungseinheit (engl.: „Centralized Security Management System“, CSMS) ist insbesondere dazu vorgesehen, Informationen von Netzwerkkomponenten aller Hierarchieebenen zu sammeln, zu korrelieren und auszuwerten. Insbesondere kann die zentrale Überwachungseinheit Angriffe in dem gesamten industriellen Netzwerk erkennen. Bei einem erkannten Fehler kann die zentrale Überwachungseinheit ferner zweckmäßigerweise ein Ausmaß des entsprechenden Angriffs erkennen und insbesondere bewerten, wie gefährlich der Angriff für das Netzwerk ist, beispielsweise welche Folgen der Angriff für das industrielle Netzwerk hat, wie sehr der Angriff das Netzwerk einschränken wird und welche Komponenten bzw. Funktionen des Netzwerks durch den Angriff betroffen sind. Die zentrale Überwachungseinheit ist dabei insbesondere als ein komplexes System mit komplexen Bewertungs- und Angriffserkennungsmechanismen ausgebildet, das ferner insbesondere über Informationen des gesamten industriellen Netzwerks verfügt.
  • Um Angriffe erkennen zu können, umfasst die zentrale Überwachungseinheit zweckmäßigerweise eine Datenbank oder hat Zugriff auf eine derartige Datenbank, in welcher Referenzinformationen bezüglich bekannter Angriffe bzw. Angriffsmethoden hinterlegt sind, mit welchen Referenzinformationen aktuelle Informationen verschiedener Netzwerkkomponenten verglichen werden können. Ferner kann die zentrale Überwachungseinheit insbesondere auch Anomalien bzw. unerwartetes Verhalten erkennen, um auch noch nicht bekannte Angriffe erkennen zu können. Beispielsweise kann die zentrale Überwachungseinheit zu diesem Zweck die Informationen mit Hilfe statistischer Analysen, maschinellen Lernens (engl. „machine learning techniques“) und/oder eines regelbasierten Systems (engl. „rule-based knowledge“) auswerten. Neben dem Erkennen von Angriffen kann die zentrale Überwachungseinheit insbesondere noch weitere Funktionen ausführen und beispielsweise auf Alarme oder Berichte von weiteren Netzwerkkomponenten reagieren oder selbstständig Überprüfungen bzw. Audits durchführen.
  • Insbesondere fungieren die Komponentenüberwachungseinheiten und die Kommunikationsüberwachungseinheiten als Teil eines Angriffserkennungssystems (engl. „Intrusion Detection System“, IDS), wobei die Komponentenüberwachungseinheiten zweckmäßigerweise wie ein hostbasiertes IDS („Host-IDS“) fungieren und die Kommunikationsüberwachungseinheiten wie ein netzwerkbasiertes IDS („Network-IDS“). Herkömmliche IDS-Angriffserkennungssysteme sind üblicherweise als zentrale Überwachungssysteme ausgebildet, d.h. Host-IDS und Netzwerk-IDS übermitteln üblicherweise Informationen direkt an eine zentrale Überwachungseinheit CSMS zur weiteren Auswertung und zum Erkennen von Angriffen. In hierarchisch gegliederten industriellen Netzwerken besteht jedoch die Gefahr, dass eine Kommunikationsverbindung von Host-IDS oder Netzwerk-IDS zu einer entsprechenden CSMS-Einheit in einer übergeordneten Hierarchieebene unterbrochen sein kann, beispielsweise aufgrund eines Angriffes, aufgrund von Wartung oder wegen eines Defekts des entsprechenden Kommunikationssystems. In einem derartigen Fall einer unterbrochenen Kommunikationsverbindung kann gegebenenfalls nur eine eingeschränkte oder sogar überhaupt keine Angriffserkennung mehr möglich sein.
  • Durch das vorliegende Verfahren wird eine Möglichkeit bereitgestellt, um auch bei einer unterbrochenen Kommunikationsverbindung zu der zentralen Überwachungseinheit eine Überwachung des gesamten industriellen Netzwerks und eine zuverlässige Angriffserkennung zu ermöglichen. Im Gegensatz zu herkömmlichen zentralen Angriffserkennungssystemen wird im Rahmen des vorliegenden Verfahrens eine dezentrale Überwachung vorgeschlagen. Zu diesem Zweck erfolgt einerseits die Unterteilung der Hierarchieebenen jeweils in wenigstens ein Segment und ferner das Vorsehen der dezentralen Überwachungseinheiten.
  • Diese dezentralen bzw. lokalen Überwachungseinheiten („Subnetwork Management Agent“, SMA) sind zweckmäßigerweise weniger komplex ausgebildet als die zentrale Überwachungseinheit und insbesondere jeweils dazu vorgesehen, Informationen der zugewiesenen Komponenten- bzw. Kommunikationsüberwachungseinheiten zu sammeln. In einem regulären Betrieb des Netzwerks dienen die dezentralen Überwachungseinheiten zweckmäßigerweise dazu, Informationen aus den einzelnen Segmenten an die zentrale Überwachungseinheit zur weiteren Auswertung weiterzuleiten. Sollte jedoch die zentrale Überwachungseinheit nicht erreichbar sein, können einzelne oder alle dezentralen Überwachungseinheiten zumindest teilweise die Funktionen der zentralen Überwachungseinheit übernehmen, bis diese wieder erreichbar ist.
  • Die dezentralen Überwachungseinheiten empfangen jeweils erste Informationen der zugewiesenen wenigstens einen Komponentenüberwachungseinheit und/oder der zugewiesenen wenigstens einen Kommunikationsüberwachungseinheit. Diese ersten Informationen können beispielsweise Alarme oder Benachrichtigungen der jeweiligen Komponentenüberwachungseinheiten sein, wenn diese einen Angriff auf eine spezielle Netzwerkkomponente erkennen. Alternativ oder zusätzlich können diese ersten Informationen auch von den Kommunikationsüberwachungseinheiten gesammelte Informationen bezüglich des Datenverkehrs zwischen den Netzwerkkomponenten in dem jeweiligen Segment sein. Ferner empfängt die zentrale Überwachungseinheit zweckmäßigerweise Informationen der Komponenten- bzw. Kommunikationsüberwachungseinheit in ihrem eigenen Segment und wertet diese aus.
  • Wenn eine Kommunikationsverbindung zu der zentralen Überwachungseinheit besteht, übermitteln die dezentralen Überwachungseinheiten jeweils zweite Informationen in Abhängigkeit von den jeweiligen empfangenen ersten Informationen an die zentrale Überwachungseinheit, welche diese zweiten Informationen zum Erkennen von Angriffen auswertet. In diesem Fall einer fehlerfreien Kommunikation übernimmt insbesondere die zentrale Überwachungseinheit die Auswertung zum Erkennen von Angriffen in dem gesamten industriellen Netzwerk.
  • Durch die dezentralen Überwachungseinheiten und deren Verteilung in einzelnen Segmenten besteht auch im Fall einer unterbrochenen Kommunikation weiterhin die Möglichkeit, eine Angriffserkennung in den einzelnen Segmenten durchzuführen.
  • Zu diesem Zweck wertet die wenigstens eine dezentrale Überwachungseinheit, wenn die Kommunikationsverbindung zu der zentralen Überwachungseinheit unterbrochen ist, die jeweiligen empfangenen ersten Informationen selbst zum Erkennen von Angriffen aus oder zumindest teilweise aus. In diesem Fall kann bei unterbrochener Kommunikationsverbindung in den einzelnen Segmenten individuell und unabhängig voneinander weiterhin eine dezentrale, lokale Angriffserkennung durchgeführt werden. Diese Möglichkeit bietet sich beispielsweise an, wenn zwischen sämtlichen Segmenten des industriellen Netzwerks eine angriffsgefährdete Kommunikation besteht, wenn also die Kommunikationsverbindungen der einzelnen Segmente untereinander für potentielle Angriffe gefährdet sind.
  • Alternativ oder zusätzlich kann die wenigstens eine dezentrale Überwachungseinheit, wenn die Kommunikationsverbindung zu der zentralen Überwachungseinheit unterbrochen ist, zweite Informationen in Abhängigkeit von den jeweiligen empfangenen ersten Informationen an eine vorbestimmte Überwachungseinheit der wenigstens einen dezentralen Überwachungseinheit übermitteln, welche diese zweiten Informationen zum Erkennen von Angriffen auswertet. In diesem Fall fungiert diese vorbestimmte Überwachungseinheit zweckmäßigerweise als ein Ersatz für die zentrale Überwachungseinheit und übernimmt deren Aufgaben bei unterbrochener Kommunikationsverbindung zumindest teilweise. Diese Möglichkeit bietet sich beispielsweise an, wenn eine Kommunikationsverbindung dieser vorbestimmten Überwachungseinheit zu Segmenten in untergeordneten Hierarchieebenen sicher und nicht oder zumindest kaum angriffsgefährdet ist, hingegen aber eine Kommunikationsverbindung der vorbestimmten Überwachungseinheit zu hierarchisch übergeordneten Segmenten einer erhöhten Angriffsgefahr ausgesetzt ist.
  • Bei einer fehlerfreien Kommunikationsverbindung zu der zentralen Überwachungseinheit fungieren die dezentralen Überwachungseinheiten somit insbesondere jeweils als Schnittstelle zwischen der zentralen Überwachungseinheit und den einzelnen Segmenten bzw. den Komponentenüberwachungseinheiten und Kommunikationsüberwachungseinheiten der einzelnen Segmente. Die zentrale Überwachungseinheit kann in diesem Fall eine globale Angriffserkennung über das gesamte Netzwerk durchführen. Wenn jedoch eine Kommunikationsverbindung zu der zentralen Überwachungseinheit unterbrochen ist, z.B. aufgrund eines Angriffs, einer Wartung, usw., können einzelne oder alle dezentralen Überwachungseinheiten lokal die Aufgaben der zentralen Überwachungseinheit zumindest teilweise übernehmen und eine lokale Angriffserkennung durchführen, zumindest übergangsweise bis die Kommunikationsverbindung wiederhergestellt ist. Auch wenn die dezentralen Überwachungseinheiten nicht so komplex ausgestaltet sind wie die zentrale Überwachungseinheit und z.B. nicht sämtliche Funktionen ausführen können wie die zentrale Überwachungseinheit, kann im Fall einer unterbrochenen Kommunikationsverbindung durch die dezentralen Überwachungseinheiten dennoch zumindest ein gewisser Grad Angriffserkennung aufrecht erhalten werden. Somit kann durch das vorliegende Verfahren zu jedem Zeitpunkt eine Überwachung und Angriffserkennung des kompletten industriellen Netzwerks bzw. jedes einzelnen Segments des industriellen Netzwerks ermöglicht werden.
  • Im Unterschied zu herkömmlichen zentralen Angriffserkennungssystemen übermitteln also die Komponentenüberwachungseinheiten und Kommunikationsüberwachungseinheiten der einzelnen Segmente im Rahmen des vorliegenden Verfahrens ihre ersten Informationen nicht direkt an eine einzige zentrale Überwachungseinheit, sondern an die jeweilige zugewiesene, lokale, dezentrale Überwachungseinheit, welche individuell auf diese ersten Informationen reagieren kann. Jede Hierarchieebene und ferner jedes Segment können somit zweckmäßigerweise individuell auf Angriffe bzw. Sicherheitsvorfälle reagieren. Zweckmäßigerweise wird es somit ermöglicht, in den einzelnen Segmenten mittels der dezentralen Überwachungseinheit lokal auf Anomalien wie potentielle Angriffe zu reagieren und ferner mittels der zentralen Überwachungseinheit ein Ausmaß eines entsprechenden Angriffs zu erkennen und entsprechend zu reagieren.
  • Somit wird durch das vorliegende Verfahren ein dezentrales Überwachungssystem vorgeschlagen, welches robust und sicher Angriffe erkennen kann. Insbesondere kann durch das Verfahren ein hohes Maß an Stabilität erreicht werden, insbesondere die Fähigkeit, nach einem Angriff, Fehler oder Ausfall wieder einen fehlerfreien Betrieb des Netzwerks herzustellen, und ferner ein hohes Maß an Toleranz, insbesondere die Fähigkeit des Netzwerks, auch im Falle eines Angriffs, Fehlers oder Ausfalls noch betriebsfähig zu bleiben.
  • Ferner bedarf das vorliegende Verfahren eines geringen Konfigurationsaufwands und ist kostengünstig und einfach zu betreiben. Insbesondere können bereits bestehende industrielle Netzwerke auf einfache Weise zum Durchführen des vorliegenden Verfahrens nachgerüstet werden. Die zentrale Überwachungseinheit, die dezentralen Überwachungseinheiten sowie die Komponenten- und Kommunikationsüberwachungseinheiten können insbesondere auf einfache Weise in das industrielle Netzwerk eingebunden werden, beispielsweise jeweils als eigene Hardwareeinheiten oder auch als ausgeführte Software. Beispielsweise kann eine derartige Software auf bereits im Netzwerk vorhandenen Recheneinheiten ausgeführt werden. Ferner wird es durch das vorliegende Verfahren ermöglicht, die Überwachung des Netzwerks mittels eines modularen Systems durchzuführen, wobei die einzelnen Module bzw. die einzelnen Überwachungseinheiten beispielsweise auch von unterschiedlichen Zulieferern oder Fremdherstellern bezogen werden können.
  • Vorzugsweise ist die vorbestimmte Überwachungseinheit der wenigstens einen dezentralen Überwachungseinheit in einer hierarchisch höchsten Hierarchieebene vorgesehen, zu der eine Kommunikationsverbindung besteht. Beispielsweise kann jeweils im Falle einer unterbrochenen Kommunikationsverbindung stets erneut bestimmt werden, welche der dezentralen Überwachungseinheiten als diese vorbestimmte Überwachungseinheit fungiert. Ebenso ist es denkbar, dass fest vorgegeben bzw. konfiguriert ist, welche der dezentralen Überwachungseinheiten als die vorbestimmte Überwachungseinheit fungiert. Letztere Möglichkeit bietet sich zweckmäßigerweise an, wenn beispielsweise einige Segmente insbesondere in hierarchisch niedrigeren Ebenen sicher und kaum angriffsgefährdet miteinander kommunizieren und wenn wiederum die Kommunikation anderer Segmente insbesondere in hierarchisch höheren Ebenen eher angriffsgefährdet ist.
  • Gemäß einer vorteilhaften Ausführungsform wertet die wenigstens eine dezentrale Überwachungseinheit die empfangenen ersten Informationen aus, erzeugt zweckmäßigerweise bei erkannten Angriffen Alarme und übermittelt diese Alarme als zweite Informationen weiter, je nach vorhandener Kommunikationsverbindung an die zentrale Überwachungseinheit oder an die vorbestimmte dezentrale Überwachungseinheit. Diese entsprechende übergeordnete Überwachungseinheit kann diese Alarme weiter auswerten, beispielsweise um zu beurteilen, ob tatsächlich ein Angriff vorliegt und wenn ja, welcher konkrete Angriff vorliegt.
  • Alternativ oder zusätzlich bereitet die wenigstens eine dezentrale Überwachungseinheit die empfangenen ersten Informationen vorteilhafterweise auf und übermittelt entsprechende aufbereitete Informationen als zweite Informationen weiter. Im Zuge dieser Aufbereitung können die ersten Informationen zweckmäßigerweise vorverarbeitet und/oder gefiltert werden. Insbesondere können somit eine Menge an weitergeleiteten Daten sowie der Rechenaufwand zur weiteren Auswertung der zweiten Informationen reduziert werden.
  • Alternativ oder zusätzlich kann die wenigstens eine dezentrale Überwachungseinheit vorteilhafterweise die empfangenen ersten Informationen direkt als zweite Informationen weiter übermitteln. In diesem Fall erfolgt zweckmäßigerweise keine Auswertung oder Aufbereitung, sondern die ersten Informanten werden unverändert zur weiteren Auswertung weitergeleitet.
  • Wenn nach unterbrochener Kommunikationsverbindung die Kommunikationsverbindung zu der zentralen Überwachungseinheit wiederhergestellt ist, werden vorteilhafterweise Ergebnisse der jeweiligen Auswertungen der ersten Informationen durch die wenigstens eine dezentrale Überwachungseinheit und/oder der jeweiligen Auswertungen der zweiten Informationen durch die vorbestimmte Überwachungseinheit an die zentrale Überwachungseinheit zur weiteren Auswertung übermittelt. Die zentrale Überwachungseinheit kann in diesem Fall die Ergebnisse beispielsweise überprüfen, verifizieren und zweckmäßigerweise weiter untersuchen. Wenn beispielsweise als ein derartiges Ergebnis ein Alarm aufgrund eines potentiellen Angriffs erkannt wurde, kann die zentrale Überwachungseinheit, wenn diese wieder erreichbar ist, beispielsweise überprüfen, ob tatsächlich ein Angriff vorliegt.
  • Bevorzugt wird die Auswertung der ersten Informationen und/oder der zweiten Informationen zum Erkennen von Angriffen jeweils in Abhängigkeit von einem vorgegebenen segmentspezifischen Modell durchgeführt. Insbesondere beschreiben diese Modelle jeweils einen fehlerfreien Betrieb des jeweiligen Segments, wenn kein Angriff vorliegt, beispielsweise typische Daten oder Betriebsszenarien eines fehlerfreien Betriebs. Dabei können die Modelle beispielsweise Vergleichswerte für Datenaustausch, Kommunikation, Anfragen und Antworten auf Anfragen zwischen den jeweiligen Netzwerkkomponenten des Segments im Zuge eines fehlerfreien Betriebs umfassen. Die einzelnen segmentspezifischen Modelle können dabei verschieden komplex sein, je nach geforderter Stabilität und/oder geforderter Toleranz. Ferner kann die Komplexität der segmentspezifischen Modelle von weiteren vorgegebenen oder vorgebbaren Kriterien abhängen, beispielsweise von einem Risiko, welches ein potentieller Angriff für das industrielle Netzwerk darstellt oder von einer Rechenkapazität der einzelnen dezentralen Überwachungseinheiten.
  • Vorzugsweise werden die vorgegebenen segmentspezifischen Modelle erzeugt, indem in dem jeweiligen Segment Daten der jeweiligen wenigstens einen Komponentenüberwachungseinheit und/oder der jeweiligen wenigstens einen Kommunikationsüberwachungseinheit gesammelt werden, beispielsweise im Zuge eines regulären, fehlerfreien Betriebs oder beispielsweise auch während eines speziellen Test- oder Konfigurationsbetriebs. Diese gesammelten Daten werden vorzugsweise ausgewertet, bevorzugt mittels statistischer Analysen und/oder mittels maschinellen Lernens (engl. „machine learning techniques“), beispielsweise mittels neuraler Netzwerke oder einer Stützvektormethode (engl. „Support Vector Machine“, SVM), und/oder mittels eines regelbasierten Systems (engl. „rule-based knowledge“). Zweckmäßigerweise können diese segmentspezifischen Modelle von der zentralen Überwachungseinheit erzeugt und insbesondere an die einzelnen dezentralen Überwachungseinheiten bzw. die vorbestimmte Überwachungseinheit übermittelt werden.
  • Ebenso ist es denkbar, dass die einzelnen dezentralen Überwachungseinheiten für das Segment oder für die Segmente der ihnen zugewiesenen Komponenten- bzw. Kommunikationsüberwachungseinheiten entsprechende segmentspezifische Modelle erstellen und an die zentrale Überwachungseinheit übermitteln.
  • Eine bevorzugte Ausführungsform des Verfahrens betrifft eine Konfiguration des industriellen Netzwerks, insbesondere eine erstmalige Konfiguration vor Inbetriebnahme des Netzwerks. Die Konfiguration des industriellen Netzwerks erfolgt zweckmäßigerweise, nachdem die einzelnen Netzwerkkomponenten eingebracht und miteinander vernetzt wurden.
  • Vorzugsweise wird das industrielle Netzwerk konfiguriert, indem die zentrale Überwachungseinheit in das Netzwerk eingebracht wird, beispielsweise als eigenes Hardwareelement oder als ausführbare Software insbesondere in eine bereits im Netzwerk vorhandene Recheneinheit, insbesondere in einer Prozessleitebene (engl. „Supervisory Level“) oder einer Unternehmensleitebene (engl. „Enterprise Level“).
  • Ferner wird vorzugsweise die wenigstens eine dezentrale Überwachungseinheit in das Netzwerk eingebracht, beispielsweise ebenfalls jeweils als eigenes Hardwareelement oder ausführbare Software, insbesondere in bereits vorhandene Recheneinheiten. Anschließend werden die einzelnen dezentralen Überwachungseinheiten von der zentralen Überwachungseinheit authentifiziert bzw. registriert.
  • Nach erfolgreicher Authentifizierung empfängt die wenigstens eine dezentrale Überwachungseinheit von der zentralen Überwachungseinheit Konfigurationsdaten bezüglich der zugewiesenen wenigstens einen Komponentenüberwachungseinheit und/oder der zugewiesenen wenigstens einen Kommunikationsüberwachungseinheit. Diese Konfigurationsdaten können beispielsweise Sicherheitsrichtlinien für die jeweiligen Segmente umfassen, beispielsweise bezüglich in den Segmenten erlaubter Kommunikation usw. Insbesondere umfassen die Konfigurationsdaten Informationen bzw. Konfigurationen für Komponentenüberwachungseinheiten und Kommunikationsüberwachungseinheiten der jeweiligen Segmente. Ferner können die Konfigurationsdaten beispielsweise Informationen bezüglich der Kommunikation zwischen zentraler Überwachungseinheit und dezentralen Überwachungseinheiten umfassen. Zweckmäßigerweise werden die empfangenen Konfigurationsdaten von den einzelnen dezentralen Überwachungseinheiten zunächst validiert und erst nach anschließender Validierung implementiert und angewendet.
  • Vorzugsweise werden anschließend pro Segment die wenigstens eine Komponentenüberwachungseinheit und/oder die wenigstens eine Kommunikationsüberwachungseinheit eingebracht und von der zugewiesenen wenigstens einen dezentralen Überwachungseinheit authentifiziert bzw. registriert. Auch diese Überwachungseinheiten können jeweils beispielsweise als eigenes Hardwareelement oder ausführbare Software ausgebildet sein. Beispielsweise ist es auch denkbar, Komponenten- und/oder Kommunikationsüberwachungseinheit und/oder dezentrale Überwachungseinheit jeweils als Software in derselben Recheneinheit des jeweiligen Systems auszuführen. Nach erfolgreicher Authentifizierung überprüfen die dezentralen Überwachungseinheiten pro Segment zweckmäßigerweise jeweils, ob für die authentifizierten Einheiten Konfigurationsdaten vorhanden sind. Wenn dies der Fall ist, werden die Konfigurationsdaten zweckmäßigerweise mit den Sicherheitsrichtlinien für das Segment validiert.
  • Bei erfolgreicher Validierung konfiguriert die wenigstens eine dezentrale Überwachungseinheit vorzugsweise die zugewiesene wenigstens eine Komponentenüberwachungseinheit und/oder die zugewiesene wenigstens eine Kommunikationsüberwachungseinheit gemäß den Konfigurationsdaten.
  • Falls bei einem der obig erläuterten Konfigurationsschritte ein Fehler auftritt, beispielsweise weil eine Authentifizierung oder Validierung nicht erfolgreich durchgeführt werden kann, kann insbesondere eine Fehlermeldung ausgegeben und Hilfe durch einen Benutzer angefordert werden.
  • Nach erfolgreicher Konfiguration der wenigstens einen Komponentenüberwachungseinheit und/oder der wenigstens einen Kommunikationsüberwachungseinheit können vorteilhafterweise ferner die vorgegebenen segmentspezifischen Modelle erzeugt werden. Beispielsweise kann zu diesem Zweck zunächst pro Segment jeweils ein spezieller Testbetrieb durchgeführt werden, im Zuge dessen entsprechende Daten gesammelt und ausgewertet werden.
  • Eine vorteilhafte Ausführungsform des Verfahrens betrifft den Austausch einer dezentralen Überwachungseinheit, beispielsweise falls dies aufgrund eines Defekts oder einer Sicherheitslücke nötig sein sollte. Insbesondere kann die zentrale Überwachungseinheit zunächst über den bevorstehenden Austausch informiert werden, um das Erzeugen eines Alarms oder einer Fehlermeldung zu vermeiden. Beispielsweise kann zu diesem Zweck die Alarmerzeugung für die Dauer eines Wartungsintervalls deaktiviert werden.
  • Vorteilhafterweise wird eine dezentrale Überwachungseinheit ausgetauscht, indem die auszutauschende dezentrale Überwachungseinheit zunächst aus dem Netzwerk entfernt wird, beispielsweise indem die entsprechende Hardwareeinheit entfernt oder die entsprechende Software gelöscht wird. Anschließend wird eine neue dezentrale Überwachungseinheit in das Netzwerk eingebracht und von der zentralen Überwachungseinheit authentifiziert bzw. registriert. Die neue dezentrale Überwachungseinheit empfängt daraufhin von der zentralen Überwachungseinheit die Konfigurationsdaten bezüglich des jeweiligen Segments. Wenn für das jeweilige Segment insbesondere bereits segmentspezifische Modelle existieren und in der zentralen Überwachungseinheit hinterlegt sind, werden diese insbesondere an die neue dezentrale Überwachungseinheit übermittelt.
  • Ferner wird es durch die vorliegende Erfindung ermöglicht, auf einfache Weise von einem Benutzer angeforderte Überprüfungen bzw. Audits einer speziellen Netzwerkkomponente durchzuführen. Insbesondere wird eine derartige Überprüfung an der zentralen Überwachungseinheit angefordert, welche verifiziert, dass diese Überprüfung gegen keine Sicherheitsrichtlinie verstößt. Nach erfolgreicher Verifizierung wird die Anfrage an die dezentrale Überwachungseinheit weitergeleitet, welcher die zu überprüfende Netzwerkkomponente zugewiesen ist. Die dezentrale Überwachungseinheit triggert daraufhin die Überprüfung, so dass die zu überprüfende Netzwerkkomponente entsprechende Testdaten sammelt und an die dezentrale Überwachungseinheit übermittelt. Diese leitet die Testdaten daraufhin an die zentrale Überwachungseinheit weiter, welche die Testdaten auswertet und ein entsprechendes Ergebnis der Auswertung an den Benutzer ausgibt.
  • Das Verfahren eignet sich für eine weite Bandbreite von industriellen Netzwerken bzw. entsprechend vernetzte industriellen Anlagen, beispielsweise für Tunnelbohrmaschinen, Hydraulik-Stanzen/Pressen, allgemeine Automatisierungen, Semiconductor-Handling, Robotik usw. Besonders eignet sich das Verfahren für Werkzeugmaschinen, wie beispielsweise ein Schweißsystem, ein Schraubsystem, eine Drahtsäge oder eine Fräsmaschine, oder eine Bahnbearbeitungsmaschine, wie z.B. eine Druckmaschine (z.B. Zeitungsdruckmaschine, Tiefdruck-, Siebdruckmaschine, Inline-Flexodruckmaschine) oder eine Verpackungsmaschine, oder eine (Band-) Anlage zur Herstellung eines Automobils oder zur Herstellung von Komponenten eines Automobils (z.B. Verbrennungsmotoren oder Steuergeräte).
  • Eine erfindungsgemäße Recheneinheit, z.B. ein Steuergerät einer Druckmaschine, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
  • Auch die Implementierung eines erfindungsgemäßen Verfahrens in Form eines Computerprogramms oder Computerprogrammprodukts mit Programmcode zur Durchführung aller Verfahrensschritte ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Es versteht sich, dass die vorstehend genannten und die nachfolgend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung ausführlich beschrieben.
  • Figurenliste
    • 1 und 2 zeigen jeweils schematisch ein industrielles Netzwerk, das einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens zu Grunde liegen kann.
    • 3 bis 5 zeigen jeweils schematisch eine bevorzugte Ausführungsform des erfindungsgemäßen Verfahrens als ein Blockdiagramm.
  • Detaillierte Beschreibung der Zeichnung
  • In 1 ist schematisch ein industrielles Netzwerk dargestellt und mit 100 bezeichnet. Mittels des industriellen Netzwerks 100 ist eine Vielzahl unterschiedlicher Komponenten einer industriellen Anlage miteinander vernetzt. Beispielsweise kann es sich bei einer derartigen Anlage um eine Bearbeitungsmaschine handeln. Das Netzwerk kann insbesondere ethernetbasiert sein.
  • Das Netzwerk 100 ist gemäß sogenannter Automatisierungspyramiden bzw. Automatisierungslösungen in verschiedene Hierarchieebenen 110, 120, 130, 140, 150 gegliedert, wobei in jeder der Hierarchieebenen 110, 120, 130, 140, 150 eine Vielzahl verschiedener Netzwerkkomponenten vorhanden ist.
  • Eine hierarchisch unterste Ebene ist im vorliegenden Beispiel eine Feldebene 110 (engl. „Field Level“), in welcher insbesondere der tatsächliche Herstellungs- bzw. Bearbeitungsprozess der Bahnbearbeitungsmaschine stattfindet. Als Netzwerk- bzw. Maschinenkomponenten sind in dieser Feldebene 110 beispielsweise Feldgeräte wie Sensoren 114, 117, Fühler 112, funkferngesteuerte Schalter 116 sowie Motoren bzw. Aktoren 113, 115 z.B. zum Bewegen von Roboterarmen vorgesehen.
  • In einer der Feldebene 110 übergeordneten Steuerungsebene 120 (engl. „Control Level“) sind als Netzwerkkomponenten beispielsweise Steuergeräte 122, 124 und speicherprogrammierbare Steuerungen (SPS) 123, 125 vorgesehen, insbesondere um die Netzwerkkomponenten in der Feldebene 110 anzusteuern. Zu diesem Zweck sind die Netzwerkkomponenten der Feld- und Steuerungsebene 110, 120 über Netzwerkverteiler 111a, 111b, 111c, 121a, 121b (z.B. sog. Switch) vernetzt. Beispielsweise sind die Feldgeräte 112 und 113 über einen Verteiler 111a mit dem übergeordneten Verteiler 121a verbunden und die Feldgeräte 114 und 115 über einen Verteiler 111b. Die Feldgeräte 116 und 117 sind beispielsweise über einen Verteiler 111c mit dem übergeordneten Verteiler 121b verbunden.
  • In einer der Steuerungsebene 120 übergeordneten Prozessleitebene 130 (engl. „Supervisory Level“) fungieren Netzwerkkomponenten beispielsweise als Mensch-Maschinen-Schnittstellen zur Visualisierung und Überwachung des in der Feldebene 110 durchgeführten Herstellungs- bzw. Bearbeitungsprozesses. Derartige Netzwerkkomponenten der Prozessleitebene 130 können z.B. Bedienpanels 132, PCs 133 usw. umfassen. Die Verteiler 121a und 121b der Steuerungsebene 120 sind zu diesem Zweck mit einem Verteiler 131 der Prozessleitebene 130 verbunden.
  • Der Prozessleitebene 130 ist eine sog. Betriebsleitebene 140 (engl. „Operational and Control Level“) übergeordnet, in welcher Betriebsabläufe erstellt, überwacht und ausgeführt werden können. Netzwerkkomponenten in dieser Betriebsleitebene können beispielsweise PCs 142 und Server 143, 144, 145 umfassen. Beispielsweise können in derartigen Servern Daten bezüglich des in der Feldebene 110 durchgeführten Herstellungs- bzw. Bearbeitungsprozesses archiviert werden. Ferner ist der Verteiler 131 der Prozessleitebene 130 zweckmäßigerweise mit einem Verteiler 141 der Betriebsleitebene 140 verbunden.
  • Als hierarchisch höchste Ebene ist beispielsweise die sog. Unternehmensleitebene 150 (engl. „Enterprise Level“) vorgesehen, in welcher Organisation, Planung, Management des gesamten Unternehmens ablaufen, welches die Anlage betreibt. Netzwerkkomponenten dieser Unternehmensleitebene 150 sind beispielsweise PCs 155, Laptops 156, Drucker 157 sowie ferner beispielsweise entfernte Recheneinheiten 152, 153, 154 etwa im Sinne des sog. „Cloud Computing“. Ferner ist in der Unternehmensleitebene 150 ein Verteiler 151 vorgesehen, mit welchem der Verteiler 141 der Betriebsleitebene 140 verbunden ist.
  • Die Kommunikation zwischen jeweils zwei Netzwerkverteilern kann vorzugsweise mittels herkömmlicher Firewall-Einheiten o.ä. wie abgebildet gesichert sein.
  • Beispielsweise können die Netzwerkkomponenten der Feldebene 110, der Steuerungsebene 120 und der Prozessleitebene 130 in demselben Gebäude angeordnet sein, in welchem der Herstellungs- bzw. Bearbeitungsprozesses durch die Bahnbearbeitungsmaschine durchgeführt wird. Die Netzwerkkomponenten der Betriebs- und Unternehmensleitebene 140, 150 können hingegen auch in weiter Entfernung zu dem Gebäude der Bahnbearbeitungsmaschine angeordnet sein. Ferner können die Netzwerkkomponenten in den Ebenen 110, 120, 130 insbesondere über lokale, kabelgebundene Kommunikationsverbindungen wie Feldbusse miteinander vernetzt sein. Die Vernetzung zu den Netzwerkkomponenten der Betriebs- und Unternehmensleiteben 140, 150 kann hingegen insbesondere auch über nicht kabelgebundene Kommunikationsverbindungen erfolgen, beispielsweise über das Internet.
  • Es versteht sich, dass das industrielle Netzwerk noch weitere Hierarchieebenen zusätzlich zu den obig erläuterten umfassen kann. Ebenso ist es denkbar, dass einige der obig genannten Ebenen nicht vorgesehen oder beispielsweise zu einer gemeinsamen Ebene zusammengefasst sind.
  • Um Sicherheit und Know-how-Schutz gewährleisten zu können, wird das industrielle Netzwerke 100 im Zuge einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens auf Angriffe hin überwacht.
  • Im Rahmen des Verfahrens weist jede Hierarchieebene 110, 120, 130, 140, 150 wenigstens ein Segment auf, wobei jede Netzwerkkomponente zweckmäßigerweise genau einem Segment zugeordnet ist. Es versteht sich, dass auch mehr Netzwerkkomponenten pro Segment lokalisiert werden können, obwohl dies aufgrund der hohen Kosten, die dies erfordert, oftmals nicht üblich ist. Insbesondere kann auch nur eine Netzwerkkomponente bereitgestellt werden, und es können nur die wichtigsten Netzwerkinformationen erfasst werden.
  • Im vorliegenden Beispiel ist die Feldebene 110 in drei Segmente 110a, 110b, 110c eingeteilt, wobei die Netzwerkkomponenten 111a, 112 und 113 dem Segment 110a zugeordnet sind, die Netzwerkkomponenten 111b, 114 und 115 dem Segment 110b und die Netzwerkkomponenten 111c, 116 und 117 dem Segment 110c.
  • Die Steuerungsebene 120 ist beispielsweise in zwei Segmente 120a und 120b eingeteilt, wobei die Netzwerkkomponenten 121a, 122 und 123 dem Segment 120a zugeordnet sind und die Netzwerkkomponenten 121b, 124 und 125 dem Segment 120b. Die Prozessleiteben 130, die Betriebsleitebene 140 und die Unternehmensebene 150 sind jeweils in ein Segment 130a, 140a bzw. 150a eingeteilt, welches zweckmäßigerweise der jeweiligen Ebene entspricht.
  • Ferner sind im Rahmen des Verfahrens pro Segment jeweils verschiedene Überwachungseinheiten vorgesehen, wie nachfolgend in Bezug auf 2 erläutert wird, in welcher das in 1 gezeigte industrielle Netzwerk 100 ebenfalls schematisch dargestellt ist. Identische Bezugszeichen in den 1 und 2 bezeichnen dabei gleiche oder baugleiche Elemente. Aus Gründen der Übersichtlichkeit sind nicht alle in 1 dargestellten Netzwerkkomponenten erneut in 2 dargestellt, jedoch versteht sich, dass das Netzwerk 100, wie es in 2 gezeigt ist, entsprechend auch die in 1 gezeigten Netzwerkkomponenten umfassen soll.
  • Wie in 2 dargestellt ist, ist in dem Segment 150a der Unternehmensebene 150 eine zentrale Überwachungseinheit („Centralized Security Management System“, CSMS) 210 vorgesehen. In den Segmenten 120a, 120b, 130a, 140a ist jeweils eine dezentrale Überwachungseinheit („Subnetwork Management Agent“, SMA) 222a, 222b, 223, 224 vorgesehen. Eine dezentrale Überwachungseinheit ist in der Feldebene 110 nicht notwendigerweise erforderlich, da diese Informationen von einer dezentralen Überwachungseinheit auf einer höheren Steuerungsebene verwaltet werden können. Es versteht sich jedoch, dass dennoch auch in den Segmenten 110a, 110b, 110c der Feldebene 110 jeweils eine dezentrale Überwachungseinheit vorgesehen sein kann.
  • Ferner sind pro Segment jeweils wenigstens eine Komponentenüberwachungseinheit zur Überwachung wenigstens einer Netzwerkkomponente des jeweiligen Segments und/oder wenigstens eine Kommunikationsüberwachungseinheit zur Überwachung einer Kommunikation in dem jeweiligen Segment vorgesehen.
  • Beispielsweise sind in dem Segment 110a der Feldebene 110 zwei Komponentenüberwachungseinheiten 231a vorgesehen, um die Feldgeräte 112 und 113 zu überwachen. Entsprechend sind in dem Segment 110b zwei Komponentenüberwachungseinheiten 231 b zum Überwachen der Feldgeräte 114 und 115 vorgesehen und in dem Segment 110c zwei Komponentenüberwachungseinheiten 231c zum Überwachen der Feldgeräte 116 und 117. Beispielsweise können diese Komponentenüberwachungseinheit 231a, 231b, 231c jeweils als separate Hardwareeinheiten vorgesehen sein, welche an den jeweiligen Verteiler 111a, 111b bzw. 111c angeschlossen sind. Diese Komponentenüberwachungseinheit können beispielsweise auch eingebettete Softwareanwendungen in den Feldgeräte 112 und 113 sein.
  • In dem Segment 120a der Steuerungsebene 120 sind beispielsweise zwei Komponentenüberwachungseinheiten 232a vorgesehen, wobei eine dieser beiden Einheiten 232a zum Überwachen des Steuergeräts 122 vorgesehen ist und die andere der beiden Einheiten 232a zum Überwachen der SPS 123. Entsprechend sind auch in dem Segment 120b beispielsweise zwei Komponentenüberwachungseinheiten 232b vorgesehen, eine Einheit zum Überwachen des Steuergeräts 124 und eine zum Überwachen der SPS 125. Beispielsweise können diese Komponentenüberwachungseinheiten 232a, 232b je als Software von dem jeweiligen Steuergerät bzw. der jeweiligen SPS ausgeführt werden.
  • Ferner ist in dem Segment 120a eine Kommunikationsüberwachungseinheit 242a vorgesehen, welche beispielsweise passiv Datenverkehr in dem Segment 120a ausliest, etwa mit Hilfe einer Spiegelung von Netzwerkanschlüssen (engl. „Port Mirroring“) des Verteilers 121a. Eine entsprechende Kommunikationsüberwachungseinheit 242b ist ferner in dem Segment 120b vorgesehen.
  • Entsprechend sind auch in den Segmenten 130a, 140a und 150a jeweils Komponentenüberwachungseinheiten 233, 234, 235 zum Überwachen der Netzwerkkomponenten des jeweiligen Segments vorgesehen, welche beispielsweise jeweils als ausgeführte Software ausgebildet sein können.
  • Ferner ist in den Segmenten 130a, 140a, 150a jeweils eine Kommunikationsüberwachungseinheit 243, 244 bzw. 245 zum Überwachen der Kommunikation in dem jeweiligen Segment 130a, 140a bzw. 150a vorgesehen, welche jeweils beispielsweise ein „Port Mirroring“ des jeweiligen Verteilers 131, 141 und 151 durchführen.
  • Durch die einfache Einbindung der Einheiten in das industrielle Netzwerk insbesondere basierend auf Ethernet, kann sich die Kommunikation zwischen den Einheiten auch etablierter und erprobter Verfahren bedienen, wie z.B. syslog. Dabei handelt es sich um einen Standard zur Übermittlung von Log-Meldungen in einem IP-Rechnernetz.
  • Im Rahmen des vorliegenden Verfahrens ist die zentrale Überwachungseinheit (CSMS) 210 insbesondere vorgesehen, um Informationen von sämtlicher Netzwerkkomponenten aller Hierarchieebenen zu sammeln, zu korrelieren und auszuwerten, um Angriffe in dem gesamten industriellen Netzwerk 100 erkennen zu können und ein Ausmaß des entsprechenden Angriffs bewerten zu können.
  • Die dezentralen bzw. lokalen Überwachungseinheiten (SMA) 222a, 222b, 223, 224 sind hingegen weniger komplex ausgebildet als die zentrale Überwachungseinheit 210 und dienen jeweils dazu, Informationen von ihnen zugewiesenen Komponenten- und Kommunikationsüberwachungseinheiten an die zentrale Überwachungseinheit 210 zur weiteren Auswertung weiterzuleiten.
  • Der dezentralen Überwachungseinheit 222a des Segments 120a sind dabei neben den Komponentenüberwachungseinheiten 232a und der Kommunikationsüberwachungseinheit 242a dieses Segments 120a auch die Komponentenüberwachungseinheiten 231a und 231b der hieratisch untergeordneten Segmente 110a und 110b zugewiesen.
  • Der dezentralen Überwachungseinheit 222b des Segments 120b sind die Komponentenüberwachungseinheiten 232b und die Kommunikationsüberwachungseinheit 242b des Segments 120b sowie die Komponentenüberwachungseinheiten 231c des Segments 110c zugewiesen.
  • In dem Segment 130a sind die Komponentenüberwachungseinheiten 233 und die Kommunikationsüberwachungseinheit 243 der dort vorgesehenen dezentralen Überwachungseinheit 223 zugeordnet. Entsprechend sind in dem Segment 140a die Komponentenüberwachungseinheiten 234 und die Kommunikationsüberwachungseinheit 244 der in diesem Segment 140a vorgesehenen dezentralen Überwachungseinheit 224 zugeordnet.
  • Sollte die zentrale Überwachungseinheit 210 nicht erreichbar sein, können die dezentralen Überwachungseinheiten zumindest teilweise die Funktionen der zentralen Überwachungseinheit 210 übernehmen. Somit kann im Rahmen des vorliegenden Verfahrens auch in diesem Fall einer unterbrochenen Kommunikationsverbindung zu der zentralen Überwachungseinheit 210 eine Überwachung des gesamten industriellen Netzwerks 100 zu ermöglichen, wie nachfolgend anhand der 3 bis 5 erläutert werden soll.
  • In den 3 bis 5 ist jeweils schematisch eine bevorzugte Ausführungsform des erfindungsgemäßen Verfahrens als ein Blockdiagramm dargestellt.
  • 3 betrifft dabei den Fall, dass eine fehlerfreie Kommunikationsverbindung zu der zentralen Überwachungseinheit 210 besteht. In einem Schritt 301 empfangen die einzelnen dezentralen Überwachungseinheiten 222a, 222b, 223, 224 erste Informationen der ihnen zugewiesenen einzelnen Komponentenüberwachungseinheiten 231a, 231b, 231c, 232a, 232b, 233, 234 bzw. Kommunikationsüberwachungseinheiten 242a, 242b, 243, 244. Ferner empfängt die zentrale Überwachungseinheit 210 erste Informationen der Komponentenüberwachungseinheiten 235 und der Kommunikationsüberwachungseinheit 245 des Segments 150a. Beispielsweise kann es sich bei diesen ersten Informationen jeweils um Benachrichtigungen der jeweiligen Komponentenüberwachungseinheiten bzw. um gesammelte Informationen bezüglich des Datenverkehrs der jeweiligen Kommunikationsüberwachungseinheiten handeln.
  • In einem Schritt 302 bereiten die einzelnen dezentralen Überwachungseinheiten 222a, 222b, 223, 224 die jeweiligen empfangenen ersten Informationen auf, z.B. indem sie diese Informationen vorverarbeiten und filtern. In einem Schritt 303 übermitteln die dezentralen Überwachungseinheiten 222a, 222b, 223, 224 diese aufbereiteten Informationen als zweite Informationen an die zentrale Überwachungseinheit 210.
  • In Schritt 304 wertet die zentrale Überwachungseinheit 210 die zweiten Informationen aus. Ferner wertet die zentrale Überwachungseinheit 210 auch die ersten Informationen der Komponentenüberwachungseinheiten 235 und der Kommunikationsüberwachungseinheit 245 ihres eigenen Segments 150a aus. Im Zuge dieser Auswertung überprüft die zentrale Überwachungseinheit 210, ob in einem oder mehreren der Segmente 110a, 110b, 110c, 120a, 120b, 130a, 140a, 150a ein Angriff vorliegt. Wenn dies der Fall ist, leitet die zentrale Überwachungseinheit 210 in Schritt 306 eine entsprechende Gegenmaßnahme ein. Wenn hingegen kein Angriff erkannt wird, wird mit der regulären Überwachung fortgefahren, angedeutet durch Bezugszeichen 305.
  • 4 betrifft nun den Fall, dass die Kommunikationsverbindung zu der zentralen Überwachungseinheit 210 unterbrochen ist, beispielsweise aufgrund eines Defekts des Netzwerkverteilers 151.
  • In diesem Fall empfangen in Schritt 401 analog zu Schritt 301 die einzelnen dezentralen Überwachungseinheiten 222a, 222b, 223, 224 erste Informationen der einzelnen Komponentenüberwachungseinheiten 231a, 231b, 231c, 232a, 232b, 233, 234 bzw. Kommunikationsüberwachungseinheiten 242a, 242b, 243, 244 ihrer jeweiligen Segmente.
  • In Schritt 402 werten die dezentralen Überwachungseinheiten 222a, 222b, 223, 224 jeweils ihre empfangenen ersten Informationen zumindest teilweise dahingehend aus, ob ein Angriff in den jeweiligen Segmenten vorliegt. Beispielsweise erfolgt diese Auswertung jeweils anhand von segmentspezifischen Modellen, welche jeweils typische erste Informationen beschreiben, die in einem fehlerfreien Betrieb üblicherweise empfangen werden.
  • Ferner wird in Schritt 403 überprüft, ob die Kommunikationsverbindung zu der zentralen Überwachungseinheit 210 wiederhergestellt ist. So lange dies nicht der Fall ist, fahren die dezentralen Überwachungseinheiten 222a, 222b, 223, 224 mit der Überwachung ihrer Segmente fort, angedeutet durch Bezugszeichen 404.
  • Wenn die Kommunikationsverbindung wiederhergestellt ist, übermitteln die einzelnen dezentralen Überwachungseinheiten 222a, 222b, 223, 224 in Schritt 405 die Ergebnisse ihrer Auswertungen an die zentrale Überwachungseinheit 210, welche diese Ergebnisse daraufhin weiter auswertet. Wenn beispielsweise von einer oder mehreren der dezentralen Überwachungseinheiten als derartiges Ergebnis ein Angriff in einem der Segmente erkannt wurde, überprüft die zentrale Überwachungseinheit 210 in Schritt 405, ob es sich tatsächlich um einen Angriff handelt, und leitet entsprechende Gegenmaßnahmen ein.
  • Gemäß dieser in 4 gezeigten bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens führen also die einzelnen dezentralen Überwachungseinheiten bei unterbrochener Kommunikationsverbindung in den einzelnen Segmenten individuell und unabhängig voneinander weiterhin eine dezentrale, lokale Angriffserkennung durch. Diese Möglichkeit bietet sich beispielsweise an, wenn zwischen sämtlichen Segmenten des industriellen Netzwerks eine angriffsgefährdete Kommunikation besteht, wenn also die Kommunikationsverbindungen der einzelnen Segmente untereinander für potentielle Angriffe gefährdet sind.
  • Gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist es vorgesehen, dass alternativ oder zusätzlich bei unterbrochener Kommunikationsverbindung eine vorbestimmte Überwachungseinheit als ein Ersatz für die zentrale Überwachungseinheit fungiert und deren Aufgaben zumindest teilweise übernimmt. Diese Möglichkeit bietet sich beispielsweise an, wenn eine Kommunikationsverbindung dieser vorbestimmten Überwachungseinheit zu Segmenten in untergeordneten Hierarchieebenen sicher und nicht oder zumindest kaum angriffsgefährdet ist, hingegen aber eine Kommunikationsverbindung der vorbestimmten Überwachungseinheit zu hierarchisch übergeordneten Segmenten einer erhöhten Angriffsgefahr ausgesetzt ist.
  • Einen derartigen Fall betrifft nun die 5. Auch in diesem Fall sei angenommen, dass die Kommunikationsverbindung zu der zentralen Überwachungseinheit 210 beispielsweise aufgrund eines Defekts des Netzwerkverteilers 151 unterbrochen ist. Beispielsweise ist die vorbestimmte Überwachungseinheit 223 des Segments 130a der Prozessleitebene 130 vorbestimmt, um als Ersatz für die zentrale Überwachungseinheit 210 zu fungieren, bis diese wieder erreichbar ist.
  • Entsprechend zu Schritt 401 empfangen in Schritt 501 die einzelnen dezentralen Überwachungseinheiten 222a, 222b, 223, 224 erste Informationen der einzelnen Komponentenüberwachungseinheiten 231a, 231b, 231c, 232a, 232b, 233, 234 bzw. Kommunikationsüberwachungseinheiten 242a, 242b, 243, 244 ihrer jeweiligen Segmente.
  • In Schritt 502 bereiten die einzelnen dezentralen Überwachungseinheiten 222a, 222b, 223, 224 die jeweiligen empfangenen ersten Informationen auf, z.B. indem sie diese Informationen vorverarbeiten und filtern, entsprechend zu Schritt 302. In Schritt 503 übermitteln die dezentralen Überwachungseinheiten 222a, 222b, 224 diese aufbereiteten Informationen als zweite Informationen an die vorbestimmte Überwachungseinheit 223.
  • In Schritt 504 wertet die vorbestimmte Überwachungseinheit 223 die zweiten Informationen, welche sie selbst erzeugt hat, sowie die zweiten Informationen der übrigen dezentralen Überwachungseinheiten 222a, 222b, 224 zumindest teilweise aus, um Angriffe in den Segmenten 110a, 110b, 110c, 120a, 120b, 130a, 140a zu erkennen. Diese Auswertung erfolgt insbesondere anhand von segmentspezifischen Modellen, welche typische zweite Informationen der einzelnen Segmente 110a, 110b, 110c, 120a, 120b, 130a, 140a in einem fehlerfreien Betrieb beschreiben.
  • Analog zu Schritt 403 wird auch in Schritt 505 überprüft, ob die Kommunikationsverbindung zu der zentralen Überwachungseinheit 210 wiederhergestellt ist. So lange dies nicht der Fall ist, fährt die dezentrale Überwachungseinheit 223 mit ihrem Ersatzbetrieb fort, angedeutet durch Bezugszeichen 506.
  • Wenn die Kommunikationsverbindung wiederhergestellt ist, übermittelt die vorbestimmte, dezentrale Überwachungseinheit 223 in Schritt 507 die Ergebnisse ihrer Auswertungen an die zentrale Überwachungseinheit 210, welche diese Ergebnisse analog zu Schritt 405 weiter auswertet. Wenn beispielsweise als Ergebnis ein Angriff in einem der Segmente erkannt wurde, überprüft die zentrale Überwachungseinheit 210 in Schritt 507, ob es sich tatsächlich um einen Angriff handelt und leitet entsprechende Gegenmaßnahmen ein.

Claims (12)

  1. Verfahren zur Überwachung eines industriellen Netzwerks (100), wobei das Netzwerk (100) in wenigstens zwei Hierarchieebenen (110, 120, 130, 140, 150) mit jeweils einer unterschiedlichen Hierarchiestufe eingeteilt ist, wobei pro Hierarchieebene (110, 120, 130, 140, 150) jeweils wenigstens eine Netzwerkkomponente vorgesehen ist, wobei jede Hierarchieebene (110, 120, 130, 140, 150) wenigstens ein Segment (110a, 110b, 110c, 120a, 120b, 130a, 140a, 150a) aufweist, wobei jedes Segment (110a, 110b, 110c, 120a, 120b, 130a, 140a, 150a) wenigstens eine Netzwerkkomponente der jeweiligen Hierarchieebene (110, 120, 130, 140, 150) umfasst, wobei pro Segment (110a, 110b, 110c, 120a, 120b, 130a, 140a, 150a) jeweils wenigstens eine Komponentenüberwachungseinheit (231a, 231b, 231c, 232a, 232b, 233, 234, 235) zur Überwachung wenigstens einer Netzwerkkomponente des jeweiligen Segments (110a, 110b, 110c, 120a, 120b, 130a, 140a, 150a) und/oder wenigstens eine Kommunikationsüberwachungseinheit (242a, 242b, 243, 244, 245) zur Überwachung einer Kommunikation in dem jeweiligen Segment (110a, 110b, 110c, 120a, 120b, 130a, 140a, 150a) vorgesehen sind, wobei in einem der Segmente (150a) eine zentrale Überwachungseinheit (210) vorgesehen ist, um Informationen zum Erkennen von Angriffen auszuwerten, und wobei in wenigstens einem der übrigen Segmente (110a, 110b, 110c, 120a, 120b, 130a, 140a) jeweils wenigstens eine dezentrale Überwachungseinheit (222a, 222b, 223, 224) vorgesehen ist, wobei die wenigstens eine Komponentenüberwachungseinheit (231a, 231b, 231c, 232a, 232b, 233, 234, 235) und/oder die wenigstens eine Kommunikationsüberwachungseinheit (242a, 242b, 243, 244, 245) der übrigen Segmente (110a, 110b, 110c, 120a, 120b, 130a, 140a) jeweils einer der wenigstens einen dezentralen Überwachungseinheiten (222a, 222b, 223, 224) zugewiesen sind, wobei die wenigstens eine dezentrale Überwachungseinheit (222a, 222b, 223, 224) jeweils erste Informationen der zugewiesenen wenigstens einen Komponentenüberwachungseinheit (231a, 231b, 231c, 232a, 232b, 233, 234) und/oder der zugewiesenen wenigstens einen Kommunikationsüberwachungseinheit (242a, 242b, 243, 244) empfängt (301, 401, 501), wobei, wenn eine Kommunikationsverbindung zu der zentralen Überwachungseinheit (210) besteht, die wenigstens eine dezentrale Überwachungseinheit (222a, 222b, 223, 224) jeweils zweite Informationen in Abhängigkeit von den jeweiligen empfangenen ersten Informationen an die zentrale Überwachungseinheit (210) übermittelt (303), welche diese zweiten Informationen zum Erkennen von Angriffen auswertet (304), wobei, wenn die Kommunikationsverbindung zu der zentralen Überwachungseinheit (210) unterbrochen ist, die wenigstens eine dezentrale Überwachungseinheit (222a, 222b, 223, 224) die jeweiligen empfangenen ersten Informationen selbst zum Erkennen von Angriffen auswertet (402) und/oder zweite Informationen in Abhängigkeit von den jeweiligen empfangenen ersten Informationen an eine vorbestimmte Überwachungseinheit (223) der wenigstens einen dezentralen Überwachungseinheit (222a, 222b, 223, 224) übermittelt (503), welche diese zweiten Informationen zum Erkennen von Angriffen auswertet (504).
  2. Verfahren nach Anspruch 1, wobei die vorbestimmte Überwachungseinheit (223) der wenigstens einen dezentralen Überwachungseinheit (222a, 222b, 223, 224) in einer hierarchisch höchsten Hierarchieebene vorgesehen ist, zu der eine Kommunikationsverbindung besteht.
  3. Verfahren nach Anspruch 1 oder 2, wobei die wenigstens eine dezentrale Überwachungseinheit (222a, 222b, 223, 224) die empfangenen ersten Informationen auswertet, Alarme erzeugt und diese Alarme als zweite Informationen weiter übermittelt und/oder die empfangenen ersten Informationen aufbereitet und entsprechende aufbereitete Informationen als zweite Informationen weiter übermittelt (302, 502) und/oder die empfangenen ersten Informationen direkt als zweite Informationen weiter übermittelt.
  4. Verfahren nach einem der vorstehenden Ansprüche, wobei, wenn bei unterbrochener Kommunikationsverbindung die Kommunikationsverbindung zu der zentralen Überwachungseinheit (210) wiederhergestellt ist, Ergebnisse der jeweiligen Auswertungen der ersten Informationen durch die wenigstens eine dezentrale Überwachungseinheit (222a, 222b, 223, 224) und/oder der jeweiligen Auswertungen der zweiten Informationen durch die vorbestimmte Überwachungseinheit (223) an die zentrale Überwachungseinheit (210) zur weiteren Auswertung übermittelt werden (405, 507).
  5. Verfahren nach einem der vorstehenden Ansprüche, wobei die Auswertung der ersten Informationen und/oder der zweiten Informationen zum Erkennen von Angriffen jeweils in Abhängigkeit von einem vorgegebenen segmentspezifischen Modell durchgeführt wird (304, 402, 504).
  6. Verfahren nach Anspruch 5, wobei die vorgegebenen segmentspezifischen Modelle erzeugt werden, indem Daten der wenigstens einen Komponentenüberwachungseinheit (231a, 231b, 231c, 232a, 232b, 233, 234, 235) und/oder der jeweiligen wenigstens einen Kommunikationsüberwachungseinheit (242a, 242b, 243, 244, 245) gesammelt und mittels statistischer Analysen und/oder mittels maschinellen Lernens und/oder mittels eines regelbasierten Systems ausgewertet werden.
  7. Verfahren nach einem der vorstehenden Ansprüche, wobei das industrielle Netzwerk (100) konfiguriert wird, indem die zentrale Überwachungseinheit (210) in das Netzwerk (100) eingebracht wird, die wenigstens eine dezentrale Überwachungseinheit (222a, 222b, 223, 224) in das Netzwerk (100) eingebracht und von der zentralen Überwachungseinheit (210) authentifiziert wird, die wenigstens eine dezentrale Überwachungseinheit (222a, 222b, 223, 224) von der zentralen Überwachungseinheit (210) Konfigurationsdaten bezüglich der zugewiesenen wenigstens einen Komponentenüberwachungseinheit (231a, 231b, 231c, 232a, 232b, 233, 234, 235) und/oder der zugewiesenen wenigstens einen Kommunikationsüberwachungseinheit (242a, 242b, 243, 244, 245) empfängt, pro Segment (110a, 110b, 110c, 120a, 120b, 130a, 140a) die wenigstens eine Komponentenüberwachungseinheit (221a, 221b, 221c, 232a, 232b, 233, 234, 235) und/oder die wenigstens eine Kommunikationsüberwachungseinheit (242a, 242b, 243, 244, 245) eingebracht und von der zugewiesenen dezentralen Überwachungseinheit (221a, 221b, 221c, 222a, 222b, 223, 224) authentifiziert wird, die wenigstens eine dezentrale Überwachungseinheit (222a, 222b, 223, 224) die zugewiesene wenigstens eine Komponentenüberwachungseinheit (231a, 231b, 231c, 232a, 232b, 233, 234) und/oder die zugewiesene wenigstens eine Kommunikationsüberwachungseinheit (242a, 242b, 243, 244) gemäß den Konfigurationsdaten konfiguriert.
  8. Verfahren nach Anspruch 6 und 7, wobei nach der Konfiguration der wenigstens einen Komponentenüberwachungseinheit (231a, 231b, 231c, 232a, 232b, 233, 234) und/oder der wenigstens einen Kommunikationsüberwachungseinheit (242a, 242b, 243, 244) ferner die vorgegebenen segmentspezifischen Modelle erzeugt werden.
  9. Verfahren nach einem der vorstehenden Ansprüche, wobei eine dezentrale Überwachungseinheit (222a, 222b, 223, 224) ausgetauscht wird, indem die auszutauschende dezentrale Überwachungseinheit aus dem Netzwerk (100) entfernt wird, eine neue dezentrale Überwachungseinheit in das Netzwerk (100) eingebracht und von der zentralen Überwachungseinheit (210) authentifiziert wird, die neue dezentrale Überwachungseinheit von der zentralen Überwachungseinheit (210) die Konfigurationsdaten bezüglich der zugewiesenen wenigstens eine Komponentenüberwachungseinheit (231a, 231b, 231c, 232a, 232b, 233, 234, 235) und/oder der zugewiesenen wenigstens eine Kommunikationsüberwachungseinheit (242a, 242b, 243, 244, 245) empfängt.
  10. Industrielles Netzwerk (100) mit einer Vielzahl von Netzwerkkomponenten, wenigstens einer Komponentenüberwachungseinheit (231a, 231b, 231c, 232a, 232b, 233, 234, 235) und/oder wenigstens einer Kommunikationsüberwachungseinheit (242a, 242b, 243, 244, 245), einer zentralen Überwachungseinheit (210) und wenigstens einer dezentralen Überwachungseinheit (222a, 222b, 223, 224), das dazu eingerichtet ist, ein Verfahren nach einem der vorstehenden Ansprüche durchzuführen.
  11. Computerprogramm, das ein industrielles Netzwerk (100) nach Anspruch 10 veranlasst, ein Verfahren nach einem der Ansprüche 1 bis 9 durchzuführen.
  12. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 11.
DE102019105135.5A 2019-02-28 2019-02-28 Verfahren zum Überwachen eines industriellen Netzwerks Pending DE102019105135A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102019105135.5A DE102019105135A1 (de) 2019-02-28 2019-02-28 Verfahren zum Überwachen eines industriellen Netzwerks
US16/792,788 US11595409B2 (en) 2019-02-28 2020-02-17 Method for monitoring an industrial network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019105135.5A DE102019105135A1 (de) 2019-02-28 2019-02-28 Verfahren zum Überwachen eines industriellen Netzwerks

Publications (1)

Publication Number Publication Date
DE102019105135A1 true DE102019105135A1 (de) 2020-09-03

Family

ID=72046242

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019105135.5A Pending DE102019105135A1 (de) 2019-02-28 2019-02-28 Verfahren zum Überwachen eines industriellen Netzwerks

Country Status (2)

Country Link
US (1) US11595409B2 (de)
DE (1) DE102019105135A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020134439A1 (de) 2020-12-21 2022-06-23 Endress+Hauser SE+Co. KG Honeypot für eine Verbindung zwischen Edge Device und cloudbasierter Serviceplattform

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090271504A1 (en) * 2003-06-09 2009-10-29 Andrew Francis Ginter Techniques for agent configuration
US7715930B2 (en) * 2006-09-27 2010-05-11 Rockwell Automation Technologies, Inc. Aggregating audit information with field conditions
US10504020B2 (en) * 2014-06-10 2019-12-10 Sightline Innovation Inc. System and method for applying a deep learning neural network to data obtained from one or more sensors

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020134439A1 (de) 2020-12-21 2022-06-23 Endress+Hauser SE+Co. KG Honeypot für eine Verbindung zwischen Edge Device und cloudbasierter Serviceplattform

Also Published As

Publication number Publication date
US11595409B2 (en) 2023-02-28
US20200280570A1 (en) 2020-09-03

Similar Documents

Publication Publication Date Title
EP3428756B1 (de) Integritätsüberwachung bei automatisierungssystemen
EP2908195B1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
EP3662639B1 (de) Verfahren und vorrichtung zum ermitteln von anomalien in einem kommunikationsnetzwerk
EP2980662A1 (de) Schutz einer automatisierungskomponente vor programmmanipulationen durch signaturabgleich
EP3745217B1 (de) Vorrichtung zum überwachen einer datenverarbeitung und - übertragung in einem sicherheitssystems
EP3079028A1 (de) Planungs- und engineering-verfahren, -software-tool und simulationswerkzeug für eine automatisierungslösung
EP3709107A1 (de) Verfahren und system zur überwachung der integrität eines automatisierungssystems
DE102017215508A1 (de) Automatisierungssystem mit mindestens einem Feldgerät und mindestens einer Steuereinheit
WO2007025833A1 (de) Verfahren und vorrichtung zur überwachung einer technischen einrichtung
DE102008061721A1 (de) Administrationssystem
EP3987373B1 (de) Effiziente fehleranalyse durch simulierten fehler in einem digitalen zwilling
DE102019105135A1 (de) Verfahren zum Überwachen eines industriellen Netzwerks
EP2954534B1 (de) Vorrichtung und verfahren zur erkennung von unbefugten manipulationen des systemzustandes einer steuer- und regeleinheit einer kerntechnischen anlage
EP3470939B1 (de) Verfahren und system zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP3786739A1 (de) Vergleich einer realen anlage mit einem digitalen zwilling durch datenverkehrsanalyse
EP3470937A1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP3486825A1 (de) Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität
DE102021133338A1 (de) Verfahren zur Überwachung mittels maschinellem Lernen
EP1717651B1 (de) Verfahren und Vorrichtung zum Auswerten von Ereignissen aus dem Betrieb eines Fahrzeuges
EP4199414A1 (de) Leitsystem für eine technische anlage und computerimplementierter überwachungsdienst
DE102019105139A1 (de) Verfahren zum Erkennen von Angriffen auf eine Netzwerkkomponente eines industriellen Netzwerks
WO2021052709A1 (de) Selbstüberprüfendes system der automatisierungstechnik
EP4333364A1 (de) Verfahren zur überwachung eines computerimplementierten komponenteninventars
DE102020102860A1 (de) Verfahren und Instrusionserkennungseinheit zum Verifizieren eines Nachrichtenverhaltens
EP4432602A1 (de) Verfahren zur ausstellung eines zertifikats und computerimplementierte registrierungsstelle

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: DEHNS GERMANY PARTNERSCHAFT MBB, DE

Representative=s name: DEHNSGERMANY PARTNERSCHAFT VON PATENTANWAELTEN, DE

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000