EP3362940A1 - Avoidance of weaknesses - Google Patents

Avoidance of weaknesses

Info

Publication number
EP3362940A1
EP3362940A1 EP16815759.2A EP16815759A EP3362940A1 EP 3362940 A1 EP3362940 A1 EP 3362940A1 EP 16815759 A EP16815759 A EP 16815759A EP 3362940 A1 EP3362940 A1 EP 3362940A1
Authority
EP
European Patent Office
Prior art keywords
message
network
vulnerability
identification information
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP16815759.2A
Other languages
German (de)
French (fr)
Inventor
Michael Kirchner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP3362940A1 publication Critical patent/EP3362940A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Definitions

  • the invention relates to a method and a device for avoiding weak points.
  • the invention relates to a method for detecting a
  • Weak point of a first device that is disposed in a first network ⁇ factory comprising the steps of:
  • second device for providing identification information of the first device in the first network; c) creating and sending a second message to the first device by means of the identification information by the second device;
  • the method makes it possible to recognize in a simple and reliable manner that, and with which communication protocols, the first device has access outside the first network. In addition, it can be checked whether a successful delivery of the first message, a second message to the first device can be successfully delivered. Another advantage is due to the fact that the Prue ⁇ Fende first device itself triggers the sending and thus ⁇ ⁇ closest genetic riert only within the first network news and be sent. Thus, only that penetrates ⁇ After directing to the outside, the not BLO, for example, through a firewall is ckiert.
  • the first device can be targeted as a second device a server of the manufacturer of the first device adres ⁇ Sieren, whereby the manufacturer receives specific information on the "security" of the first device.
  • Message such as first or second message, in this invention means a way to signal a state from one device to another device, such as the first device and the second device.
  • the state can be, for example, by means of an e-mail message or by means of another take any transmission protocol.
  • the invention also encompasses the fact that several transmission protocols are involved in the transmission of the state, whereby a conversion from one to another transmission protocol can take place.
  • the transmission proto ⁇ koll can use other transfer techniques, such as additional transport protocols to transmit the condition.
  • a FTP transfer protocol see RFC 959) uses additional transport protocols such as TCP (TCP - Transmission Control Protocol, see RFC 793) and IP (IP - Internet Protocol, see RFC 791).
  • the identification information is assigned a network address, which is assigned to the first message as the sender address.
  • a network address which is assigned to the first message as the sender address.
  • the first message and / or second message are generated and transmitted at least once using at least one transmission protocol from a plurality of protocols.
  • the first device tries out several transmission protocols to transmit its first message to the second device. This has the advantage on the first device knows the allowable for the first device transmission protocols and thus time-consuming and ressourcenffizient this transfer protocols AusPro can ⁇ beers. Secondly, a check of Moegli ⁇ chen vulnerability is made possible by trying different transmission protocols.
  • an activation of a device-specific functionality of the first device are indicated by the second message and displays the first device through its vulnerability by providing an activated through the second message, device specific functionality is ⁇ .
  • a discovered vulnerability can be displayed in a simple and efficient manner to an operator of the first device.
  • the display of the listed fundenen remain weak point of the operator so that the vulnerability can be secret at first and has the Be ⁇ driver time to fix the vulnerability.
  • the invention comprises a system for detecting a weak point
  • second device for providing identification information of the first device in the first network
  • the identification information is assignable to a network address which is assigned to the first message as the sender address.
  • the first message and / or second message can be generated and transmitted at least once using at least one transmission protocol from a plurality of transmission protocols.
  • an activation of a device-specific functionality of the first device can be signaled by the second message and by the first device its vulnerability by specifying a by the second message enabled device-specific functionality can be displayed.
  • FIG. 1 shows two related networks with one
  • first device and a second device.
  • a first embodiment will be explained in more detail with reference to FIG.
  • a production facility of a Automobilherstel ⁇ toddlers are robots, human white body parts for vehicles together ⁇ .
  • the first device Gl In a production facility of a Automobilherstel ⁇ toddlers are robots, human white body parts for vehicles together ⁇ .
  • the first device Gl In general, the first device describes a device that performs a programmable function and can communicate with another device through a communication interface.
  • the welding robots Gl are located in an internal network of the automobile manufacturer, designated by the first network NET1.
  • the first network NET1 is connected to a second network NET2 via a firewall FW.
  • the second network is, for example, an entity operated by an external provider.
  • the second network is a server of the manufacturer of the welding robot, referred to as the second device G2.
  • the second device describes an entity that exercises the egg ⁇ ne programmable function and can exchange a Kommunikati ⁇ onsterrorismselle with one or more other units DA th.
  • the first and the second network are in this example via a communication line that has the firewall, connected with each other.
  • the first and the second network may be "indirectly" connected via one or more further network to exchange data such as messages.
  • the respective devices can directly or through other units of the per ⁇ ava network with
  • the firewall may be formed of one or more devices along the communication link and located between the first and second devices so that a portion of the firewall as a unit in the first network may already restrict traffic.
  • IP IP - Internet Protocol, RFC 791.
  • RFC 791 IP - Internet Protocol
  • IP address space operated separately, for example, in both networks different address spaces are used, such as the IP address space
  • the first and the second network can also use different communication protocols, wherein between the first and second network, a unit for implementing the two different communication protocols is arranged, whereby data can be exchanged between the two networks.
  • the first device Gl tries to send a first message N 1 from the first network to the second device G 2 in the second network at a time.
  • the first device is testing the delivery of the first message via one or more communication protocols, such as FTP (FTP - File Transport Protocol, see RFC 959) or HTTP (http - Hyper ⁇ text transfer protocol, see RFC 2616) to find out which of Firewall is not blocking possible transmission protocols and thus the first message from the second device is receivable.
  • FTP FTP - File Transport Protocol
  • HTTP http - Hyper ⁇ text transfer protocol, see RFC 2616
  • FTP communication protocols
  • the FTP protocol is usually signaled on a pair of ports 20 and 21.
  • this first message can be received by the second device.
  • the second device analyzes the received first message for identification information II of the first device, in particular for the sender network address NETADR of the first device, for example 192.168.179.22. Subsequently, the second device sends a second message N2 to this sender network address NETADR of the first message. If the second message is received by the first device, there is a vulnerability because the first device is directly accessible from the Internet. Possibly the second device ver ⁇ different transmission protocols may need to try different under ⁇ union ports so that the second message can be transmitted to the first device.
  • the second device with the second message sent with an identifier ID that indicates a Akti ⁇ crossing of a device-specific functionality of the first device.
  • a device-specific radio ⁇ tionality for example, a reading of certain status information, but also a set of critical parameters to be, such as a change of security mechanisms within the first device or a permanent transmitting control parameters, conclusions about specific manufacturing strategies of the welding robot zulas ⁇ sen.
  • the first device as the second device tries to contact a test server of the device manufacturer. Because the device manufacturer knows hidden functions, which he can test with the help of the second message to find weaknesses in a poor foreclosure of the first device outside the first network.
  • a manufacturer of the first device can inform the operator of the first device about weak points, such as the availability of the first device from the Internet.
  • he can also activate device-specific information in the first device, such as a note to the Ad ⁇ administrator of the first device that the first device from the outside unintentionally influenced, eg manipulated, can be.
  • countermeasures can be to improve isolation of the first device or the first network from the outside world, by blocking specific ports or internal IP addresses, as well as by interrogation possibilities within the first device, such as setting passwords for querying specific ones Functionalities or setting of device parameters.
  • a manufacturer of devices such as the first device, provides instructions on how to implement this within a manufacturing network for attacks and the like
  • the first message and the second message are not to be understood merely as transmission protocol-specific messages. Rather, any type of information transmission is to be understood by the term message, which comprises an exchange of information, such as accessibility of the first device by a second device.
  • the type of information transmission can be determined by the transmission protocol used.
  • identification information such as network address, not only on an IP address (IP - Internetpro- totkoll) is limited, but identifi ⁇ cation information, the term is meant any addressing of the first device with the first device to receive the message can.
  • the identification information for example in the form of a device-specific MAC address (MAC - Media Access Control Address) or in the form of a plurality of ers ⁇ th devices associated group addressing, such as a broadcast address, are formed.
  • This last example represents the Netzwerkad ⁇ ress, ie, the identification information II, of the first device when using a NAT technology (NAT - Network Address Translation, see RFCs 3102, 2103, 2104).
  • the invention also relates to a system SYS comprising ers ⁇ te and the second devices.
  • This particular device can a ⁇ individual steps in hardware, software, or a combination implementation and execution in hardware and software.
  • the respective device may have a processor which reads out and processes one or more steps of the invention as a machine code from a memory connected to the processor via a bus.
  • the processor can exchange data, such as messages, with other devices via an input and / or output interface connected to the bus.
  • at least the first or the second device can have a reference element, by means of which the weak point can be displayed on ⁇ .
  • the cue element can be implemented and executed as an optical signal, acoustic signal, as a display on a screen or as an output in a data or file structure of the memory.
  • the indication element can be activated via a bus by the respective processor.

Abstract

The invention relates to a method and a system for identifying a weakness in a first device that is arranged in a first network, comprising transmission of a first message to a second device, wherein the second device is arranged in a second network outside the first network, comprising reception and evaluation of the first message by the second device for the purpose of providing a piece of identification information for the first device in the first network, comprising composition and transmission of a second message to the first device by means of the piece of identification information by the second device and comprising display of a weakness by the first device or second device if the second message is received by the first device. The invention can be used to check a secure network and/or device configuration in the industrial and private sectors.

Description

Beschreibung description
Vermeidung von Schwachstellen Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Vermeidung von Schwachstellen. Prevention of weak points The invention relates to a method and a device for avoiding weak points.
Mit der derzeit einhergehenden Digitalisierungsoffensive nimmt auch eine Vernetzung von Geräten, beispielsweise im in- dustriellen Umfeld, wie beispielsweise bei Fertigungsanlagen, zu. So sollen im Anwendungsszenario des Industrie 4.0 Konzep¬ tes Maschinen autark miteinander kommunizieren und Entscheidungen treffen können. Jedoch zeigt sich, dass Geräte, die über das Internet erreichbar sind, von Unbefugten manipuliert werden können. With the digitization offensive currently taking place, the networking of devices, for example in the industrial environment, such as in manufacturing plants, is also increasing. So 4.0 Konzep ¬ tes machines in the application scenario of the industry should independently communicate and make decisions. However, it turns out that devices accessible via the Internet can be manipulated by unauthorized persons.
Daher muss mit fortschreitender Digitalisierung und Vernetzung der Geräte auch die Sicherheit dieser Geräte, insbeson¬ dere wenn diese Geräte aus dem Internet erreichbar sind, ge- gen unerwünschte Manipulation verbessert werden. Therefore, the safety of these devices insbeson ¬ particular where such equipment is accessible from the Internet must be improved Towards the unwanted manipulation with the progress of digitization and networking of devices.
Hieraus ergibt sich die Aufgabe, Verfahren und Vorrichtungen anzugeben, die Schwachstellen bei einer Vernetzung eines Gerätes in einem Netzwerk aufzeigen können. This results in the task of specifying methods and devices that can identify weaknesses in networking a device in a network.
Diese Aufgabe wird durch die Merkmale der unabhängigen An¬ sprüche gelöst. Weiterbildungen der Erfindung sind den abhängigen Ansprüchen zu entnehmen. Die Erfindung betrifft ein Verfahren zum Erkennen einer This problem is solved by the features of the independent claims to ¬. Further developments of the invention can be found in the dependent claims. The invention relates to a method for detecting a
Schwachstelle eines ersten Geräts, das in einem ersten Netz¬ werk angeordnet ist, mit folgenden Schritten: Weak point of a first device that is disposed in a first network ¬ factory, comprising the steps of:
a) Senden einer ersten Nachricht an ein zweites Gerät, wobei das zweite Gerät in einem zweiten Netzwerk außerhalb des ersten Netzwerks angeordnet ist; a) sending a first message to a second device, the second device being located in a second network outside the first network;
b) Empfangen und Auswerten der ersten Nachricht durch das b) receiving and evaluating the first message by the
zweite Gerät zum Bereitstellen einer Identifikationsinformation des ersten Geräts in dem ersten Netzwerk; c) Erstellen und Senden einer zweiten Nachricht an das erste Gerät mittels der Identifikationsinformation durch das zweite Gerät; second device for providing identification information of the first device in the first network; c) creating and sending a second message to the first device by means of the identification information by the second device;
d) Anzeigen einer Schwachstelle durch das erste Gerät oder zweite Gerät, falls die zweite Nachricht durch das ersted) displaying a vulnerability by the first device or second device if the second message passes through the first
Gerät empfangen wird. Device is received.
Durch das Verfahren kann in einfacher und zuverlässiger Weise erkannt werden, dass und mit welchen Kommunikationsprotokol- len das erste Gerät Zugang außerhalb des ersten Netzwerks hat. Zudem kann geprüft werden, ob bei einem erfolgreichen Versenden der ersten Nachricht, eine zweite Nachricht an das erste Gerät erfolgreich zugestellt werden kann. Ein weiterer Vorteil liegt darin begründet, dass das zu prü¬ fende erste Gerät selbst das Versenden anstößt und somit zu¬ nächst nur innerhalb des ersten Netzwerks Nachrichten gene¬ riert und versendet werden. Somit dringt nur diejenige Nach¬ richt nach außen, die nicht z.B. durch eine Firewall blo- ckiert wird. Zudem kann das erste Gerät gezielt als zweites Gerät einen Server des Herstellers des ersten Gerätes adres¬ sieren, wodurch der Hersteller spezifische Information zur „Sicherheit" des ersten Geräts erhält. Hierdurch kann der Hersteller erkennen, ob es sich ggfs. um eine Schwachstelle bei mehreren seiner Produkte handelt, falls z.B. unterschied¬ liche Geräte einer seiner Produktlinien jeweils eine erste Nachricht erfolgreich dem Hersteller zusenden können. Ferner kann der Hersteller gezielt „Angriffe" in Form einer zweiten Nachricht in Richtung des ersten Geräts starten, da der Her- steller spezifische Informationen zu möglichen Schwachstellen des ersten Geräts hat. Durch diese Vorteile kann die Sicher¬ heit des ersten Geräts deutlich erhöht werden. The method makes it possible to recognize in a simple and reliable manner that, and with which communication protocols, the first device has access outside the first network. In addition, it can be checked whether a successful delivery of the first message, a second message to the first device can be successfully delivered. Another advantage is due to the fact that the Prue ¬ Fende first device itself triggers the sending and thus ¬ ¬ closest genetic riert only within the first network news and be sent. Thus, only that penetrates ¬ After directing to the outside, the not BLO, for example, through a firewall is ckiert. In addition, the first device can be targeted as a second device a server of the manufacturer of the first device adres ¬ Sieren, whereby the manufacturer receives specific information on the "security" of the first device. This can identify the manufacturer to see if it possibly is. To a vulnerability in several These its products if, for example differed ¬ Liche equipment one of its product lines can send a first message successfully the manufacturer respectively. Furthermore, the manufacturer targeted "attacks" in the form of a second message in the direction of the first device start, as the manufacturer-specific information to possible weak points of the first device. These advantages make the safe ¬ ness of the first device can be significantly increased.
Unter Nachricht, wie erste oder zweite Nachricht, wird in dieser Erfindung eine Möglichkeit verstanden, einen Zustand von einem Gerät zu einem weiteren Gerät, wie dem ersten Gerät und dem zweiten Gerät, zu signalisieren. Der Zustand kann z.B. mittels einer Emailnachricht oder mittels eines anderen beliebigen Übertragungsprotokolls erfolgen. Durch die Erfindung ist auch umfasst, dass bei der Übertragung des Zustands mehrere Übertragungsprotokolle beteiligt sind, wobei eine Konvertierung von einem zu einem anderen Übertragungsproto- koll stattfinden kann. Dabei kann sich das Übertragungsproto¬ koll weiterer Übertragungstechniken bedienen, wie z.B. weiterer Transportprotokolle, um den Zustand zu übertragen. Zum Beispiel nutzt ein Übertragungsprotokoll FTP (FTP-file trans- fer protocol, siehe RFC 959) weitere Transportprotokolle wie TCP (TCP - Transmission Control Protocol, siehe RFC 793) und IP (IP - Internet Protocol, siehe RFC 791) . Message, such as first or second message, in this invention means a way to signal a state from one device to another device, such as the first device and the second device. The state can be, for example, by means of an e-mail message or by means of another take any transmission protocol. The invention also encompasses the fact that several transmission protocols are involved in the transmission of the state, whereby a conversion from one to another transmission protocol can take place. Here, the transmission proto ¬ koll can use other transfer techniques, such as additional transport protocols to transmit the condition. For example, a FTP transfer protocol (see RFC 959) uses additional transport protocols such as TCP (TCP - Transmission Control Protocol, see RFC 793) and IP (IP - Internet Protocol, see RFC 791).
Vorzugsweise wird der Identifikationsinformation eine Netzwerkadresse, die der ersten Nachricht als Absenderadresse zu- geordnet ist, zugewiesen. Hierdurch ist eine Identifizierung des ersten Geräts in einfacher Art und Weise möglich. Preferably, the identification information is assigned a network address, which is assigned to the first message as the sender address. As a result, an identification of the first device in a simple manner is possible.
In einer vorzugsweisen Weiterbildung der Erfindung werden die erste Nachricht und / oder zweite Nachricht zumindest einmal mit Hilfe zumindest eines Übertragungsprotokolls aus einer Mehrzahl von Protokollen erzeugt und übertragen. Das erste Gerät probiert mehrere Übertragungsprotokolle aus, um seine erste Nachricht an das zweite Gerät zu übertragen. Dies hat zum einen den Vorteil, dass das erste Gerät die für das erste Gerät zulässigen Übertragungsprotokolle kennt und somit zeit- und ressourcenffizient diese Übertragungsprotokolle auspro¬ bieren kann. Zum anderen wird durch das Ausprobieren verschiedener Übertragungsprotokolle ein Überprüfen von mögli¬ chen Schwachstellen ermöglicht. In a preferred development of the invention, the first message and / or second message are generated and transmitted at least once using at least one transmission protocol from a plurality of protocols. The first device tries out several transmission protocols to transmit its first message to the second device. This has the advantage on the first device knows the allowable for the first device transmission protocols and thus time-consuming and ressourcenffizient this transfer protocols AusPro can ¬ beers. Secondly, a check of Moegli ¬ chen vulnerability is made possible by trying different transmission protocols.
In einer Weiterbildung der Erfindung werden durch die zweite Nachricht eine Aktivierung einer Geräte-spezifischen Funktionalität des ersten Geräts signalisiert und durch das erste Gerät seine Schwachstelle durch Angabe einer durch die zweite Nachricht aktivierte Geräte-spezifische Funktionalität ange¬ zeigt. Hierdurch kann in einfacher und effizienter Weise einem Betreiber des ersten Geräts eine aufgefundene Schwachstelle angezeigt werden. Zudem kann das Anzeigen der aufge- fundenen Schwachstelle bei dem Betreiber verbleiben, so dass diese Schwachstelle zunächst geheim bleiben kann und der Be¬ treiber Zeit zum Beheben der Schwachstelle hat. In a further development of the invention, an activation of a device-specific functionality of the first device are indicated by the second message and displays the first device through its vulnerability by providing an activated through the second message, device specific functionality is ¬. As a result, a discovered vulnerability can be displayed in a simple and efficient manner to an operator of the first device. In addition, the display of the listed fundenen remain weak point of the operator so that the vulnerability can be secret at first and has the Be ¬ driver time to fix the vulnerability.
Ferner umfasst die Erfindung ein System zum Erkennen einer Schwachstelle mit Furthermore, the invention comprises a system for detecting a weak point
- einem ersten Geräts, das in einem ersten Netzwerk angeordnet ist, und  a first device arranged in a first network, and
- einem zweiten Gerät, das in einem zweiten Netzwerk außerhalb des ersten Netzwerks angeordnet ist, wobei das erste Ge¬ rät und das zweite Gerät ausgebildet sind folgende Schritte durchzuführen : - a second device which is arranged in a second network outside the first network, wherein the first Ge ¬ advises and the second device are configured to perform the following steps:
a) Senden einer ersten Nachricht an ein zweites Gerät durch das erste Gerät; a) sending a first message to a second device by the first device;
b) Empfangen und Auswerten der ersten Nachricht durch das b) receiving and evaluating the first message by the
zweite Gerät zum Bereitstellen einer Identifikationsinformation des ersten Geräts in dem ersten Netzwerk;  second device for providing identification information of the first device in the first network;
c) Erstellen und Senden einer zweiten Nachricht an das erste Geräts mittels der Identifikationsinformation durch das zweite Gerät; c) creating and sending a second message to the first device by means of the identification information by the second device;
d) Anzeigen einer Schwachstelle durch das erste Gerät oder zweite Gerät, falls die zweite Nachricht durch das erste Gerät empfangbar ist. d) displaying a vulnerability by the first device or second device if the second message is receivable by the first device.
In einer Weiterbildung der Erfindung ist der Identifikationsinformation eine Netzwerkadresse, die der ersten Nachricht als Absenderadresse zugeordnet ist, zuweisbar. In one development of the invention, the identification information is assignable to a network address which is assigned to the first message as the sender address.
In einer vorteilhaften Ausgestaltung der Erfindung sind die erste Nachricht und / oder zweite Nachricht zumindest einmal mit Hilfe zumindest eines Übertragungsprotokolls aus einer Mehrzahl von Übertragungsprotokollen erzeugbar und übertragbar . In an advantageous embodiment of the invention, the first message and / or second message can be generated and transmitted at least once using at least one transmission protocol from a plurality of transmission protocols.
In einer weiteren Ausgestaltung der Erfindung sind durch die zweite Nachricht eine Aktivierung einer Geräte-spezifischen Funktionalität des ersten Geräts signalisierbar und durch das erste Gerät seine Schwachstelle durch Angabe einer durch die zweite Nachricht aktivierte Geräte-spezifische Funktionalität anzeigbar . In a further embodiment of the invention, an activation of a device-specific functionality of the first device can be signaled by the second message and by the first device its vulnerability by specifying a by the second message enabled device-specific functionality can be displayed.
Die Vorteile des ersten und zweiten Geräts, sowie des System sind analog zu denen des Verfahrens. The advantages of the first and second device, as well as the system are analogous to those of the method.
Die Erfindung und ihre Weiterbildungen werden anhand einer Zeichnung näher erläutert. Es zeigt: Figur 1 zwei in Verbindung stehende Netzwerke mit einem The invention and its developments are explained in more detail with reference to a drawing. FIG. 1 shows two related networks with one
ersten Gerät und einem zweiten Gerät.  first device and a second device.
Elemente mit gleicher Funktion und Wirkungsweise sind in der Figur mit denselben Bezugszeichen versehen. Elements with the same function and mode of operation are provided in the figure with the same reference numerals.
Ein erstes Ausführungsbeispiel wird anhand von Figur 1 näher erläutert. In einer Fertigungsanlage eines Automobilherstel¬ lers stehen Roboter, die Karosserieteile für Fahrzeuge zusam¬ menschweißen. In Figur 1 wird ein derartiger Schweißroboter als erstes Gerät Gl bezeichnet. Im Allgemeinen beschreibt das erste Gerät eine Einheit, die eine programmierbare Funktion ausübt und über eine Kommunikationsschnittselle mit anderen Einheit Daten austauschen kann. Die Schweißroboter Gl befinden sich in einem internen Netzwerk des Automobilherstellers, bezeichnet durch das erste Netzwerk NET1. A first embodiment will be explained in more detail with reference to FIG. In a production facility of a Automobilherstel ¬ toddlers are robots, human white body parts for vehicles together ¬. In Figure 1, such a welding robot is referred to as the first device Gl. In general, the first device describes a device that performs a programmable function and can communicate with another device through a communication interface. The welding robots Gl are located in an internal network of the automobile manufacturer, designated by the first network NET1.
Das erste Netzwerk NET1 ist über eine Firewall FW mit einem zweiten Netzwerk NET2 verbunden. Das zweite Netzwerk ist beispielsweise ein durch einen externen Provider betriebenes In- tränet. In dem zweiten Netzwerk steht ein Server des Herstellers des Schweißroboters, bezeichnet als zweites Gerät G2. Im Allgemeinen beschreibt das zweite Gerät eine Einheit, die ei¬ ne programmierbare Funktion ausübt und über eine Kommunikati¬ onsschnittselle mit einer oder mehreren anderen Einheiten Da- ten austauschen kann. The first network NET1 is connected to a second network NET2 via a firewall FW. The second network is, for example, an entity operated by an external provider. In the second network is a server of the manufacturer of the welding robot, referred to as the second device G2. In general, the second device describes an entity that exercises the egg ¬ ne programmable function and can exchange a Kommunikati ¬ onsschnittselle with one or more other units DA th.
Das erste und das zweite Netzwerk sind in diesem Beispiel über eine Kommunikationsleitung, die die Firewall aufweist, mit einander verbunden. Das erste und das zweite Netzwerk können auch über ein oder mehrere weitere Netzwerk zum Austausch von Daten, wie Nachrichten, „indirekt" verbunden sein. Innerhalb der jeweiligen ersten und zweiten Netzwerke können die jeweiligen Geräte direkt oder über weitere Geräte des je¬ weiligen Netzwerks mit einander verbunden sein. Im Allgemeinen kann die Firewall aus einer oder mehreren Einheiten entlang der Kommunikationsverbindung ausgebildet und zwischen dem ersten und zweiten Gerät angeordnet sein. So kann bereits ein Teil der Firewall als Einheit in dem ersten Netzwerk den Datenverkehr beschränken. The first and the second network are in this example via a communication line that has the firewall, connected with each other. The first and the second network may be "indirectly" connected via one or more further network to exchange data such as messages. Within the respective first and second networks, the respective devices can directly or through other units of the per ¬ weiligen network with In general, the firewall may be formed of one or more devices along the communication link and located between the first and second devices so that a portion of the firewall as a unit in the first network may already restrict traffic.
Der Austausch von Daten erfolgt über ein jeweiliges Kommunikationsprotokoll, wie beispielsweise IP (IP - Internet Proto- col, RFC 791) . Im allgemeinen werden das erste und zweiteThe exchange of data takes place via a respective communication protocol, such as IP (IP - Internet Protocol, RFC 791). In general, the first and second
Netzwerk getrennt voneinander betrieben, zum Beispiel werden in beiden Netzwerken unterschiedliche Adressräume verwendet, wie beispielsweise der IP Adressraum Network operated separately, for example, in both networks different address spaces are used, such as the IP address space
192.168.179.0 - 192.168.179.255 für das erste Netzwerk und der IP Adressraum 192.168.177.0-192.168.178.255 für das zwei¬ te Netzwerk. Neben dem Einsatz von den gleichen Kommunikationsprotokollen können das erste und das zweite Netzwerk auch unterschiedliche Kommunikationsprotokolle einsetzen, wobei zwischen dem ersten und zweiten Netzwerk eine Einheit zur Um- setzung der zwei unterschiedlichen Kommunikationsprotokolle angeordnet ist, wodurch Daten zwischen den beiden Netzwerken ausgetauscht werden können. 192.168.179.0 - 192 168 179 255 for the first network and the IP address space 192.168.177.0-192.168.178.255 for two ¬ te network. In addition to the use of the same communication protocols, the first and the second network can also use different communication protocols, wherein between the first and second network, a unit for implementing the two different communication protocols is arranged, whereby data can be exchanged between the two networks.
Im vorliegenden Ausführungsbeispiel versucht zur Erkennung von Schwachstellen das erste Gerät Gl zu einem Zeitpunkt eine erste Nachricht Nl aus dem ersten Netzwerk zu dem zweiten Gerät G2 in dem zweiten Netzwerk zu senden. Das erste Gerät testet den Versand der ersten Nachricht über ein oder mehrere Übertragungsprotokolle, wie beispielsweise FTP (FTP - File Transport Protocol, siehe RFC 959) oder HTTP (http - Hyper¬ text Transfer Protocol, siehe RFC 2616), um herauszubekommen, welches von möglichen Übertragungsprotokollen von Firewall nicht blockiert wird und somit die erste Nachricht von dem zweiten Gerät empfangbar ist. Somit wird im Rahmen der Erfindung unter Übertragungsprotokoll jede Art von Protokoll ver¬ standen, mit Hilfe dessen das erste Gerät mit dem zweiten Ge¬ rät Daten, wie Nachrichten, austauschen kann. In the present exemplary embodiment, to detect weak points, the first device Gl tries to send a first message N 1 from the first network to the second device G 2 in the second network at a time. The first device is testing the delivery of the first message via one or more communication protocols, such as FTP (FTP - File Transport Protocol, see RFC 959) or HTTP (http - Hyper ¬ text transfer protocol, see RFC 2616) to find out which of Firewall is not blocking possible transmission protocols and thus the first message from the second device is receivable. Thus, in the context of the invention with any type of transmission protocol is protocol ver ¬ were, by means of which the first device to the second Ge ¬ advises data, such as news, can exchange.
Oftmals sind bestimmten Übertragungsprotokollen, wie FTP, bestimmte Kommunikationsports zugeordnet, so dass empfangende Geräte aufgrund eingehender Nachrichten auf einem bestimmten Port das dazugehörige Übertragungsprotokoll automatisch iden- tifizieren zu können. So wird das Protokoll FTP normalerweise auf einem Portpaar 20 und 21 signalisiert. Often certain communication protocols, such as FTP, are assigned to certain communication ports, so that receiving devices can automatically identify the associated transmission protocol due to incoming messages on a certain port. Thus, the FTP protocol is usually signaled on a pair of ports 20 and 21.
Nachdem eines der zuvor ausprobierten Übertragungsprotokolle detektiert wurde, welches die erste Nachricht über die Fire- wall von dem ersten in das zweite Gerät zulässt, kann diese erste Nachricht durch das zweite Gerät empfangen werden. Das zweite Gerät analysiert die empfangene erste Nachricht auf eine Identifikationsinformation II des ersten Geräts, insbesondere auf die Absender-Netzwerkadresse NETADR des ersten Gerätes, z.B. 192.168.179.22. Im Folgenden schickt das zweite Gerät eine zweite Nachricht N2 an diese Absender- Netzwerkadresse NETADR der ersten Nachricht. Falls die zweite Nachricht durch das erste Gerät empfangen wird, besteht eine Schwachstelle, da das erste Gerät direkt aus dem Internet er- reichbar ist. Möglicherweise muss auch das zweite Gerät ver¬ schiedene Übertragungsprotokolle auf möglicherweise unter¬ schiedlichen Ports ausprobieren, damit die zweite Nachricht an das erste Gerät übertragen werden kann. In einem weiteren optionalen Schritt schickt das zweite Gerät mit der zweiten Nachricht eine Kennung ID mit, die eine Akti¬ vierung einer gerätespezifischen Funktionalität des ersten Gerätes signalisiert. Eine derartige gerätespezifische Funk¬ tionalität kann beispielsweise ein Auslesen von bestimmten Statusinformationen, aber auch ein Setzen von kritischen Parametern sein, wie beispielsweise ein Verändern von Sicherheitsmechanismen innerhalb des ersten Geräts oder ein permanentes Übertragen von Steuerparametern, die Rückschlüsse auf spezifische Fertigungsstrategien des Schweißroboters zulas¬ sen . After one of the previously tried transmission protocols has been detected which allows the first message via the firewall from the first to the second device, this first message can be received by the second device. The second device analyzes the received first message for identification information II of the first device, in particular for the sender network address NETADR of the first device, for example 192.168.179.22. Subsequently, the second device sends a second message N2 to this sender network address NETADR of the first message. If the second message is received by the first device, there is a vulnerability because the first device is directly accessible from the Internet. Possibly the second device ver ¬ different transmission protocols may need to try different under ¬ union ports so that the second message can be transmitted to the first device. In a further optional step, the second device with the second message sent with an identifier ID that indicates a Akti ¬ crossing of a device-specific functionality of the first device. Such a device-specific radio ¬ tionality for example, a reading of certain status information, but also a set of critical parameters to be, such as a change of security mechanisms within the first device or a permanent transmitting control parameters, conclusions about specific manufacturing strategies of the welding robot zulas ¬ sen.
Es erscheint sinnvoll, ein im obigen Beispiel dargestelltes Verfahren derart zu implementieren, das das erste Gerät als zweites Gerät einen Testserver des Geräteherstellers versucht zu kontaktieren. Denn der Gerätehersteller kennt versteckte Funktionen, die er mit Hilfe der zweiten Nachricht testen kann, um Schwachstellen bei einer mangelhaften Abschottung des ersten Geräts außerhalb des ersten Netzwerks zu finden. Ein Hersteller des ersten Geräts kann im Folgenden den Betreiber des ersten Geräts über Schwachstellen, wie die Erreichbarkeit des ersten Geräts aus dem Internet, informieren. Zudem kann er auch gerätespezifische Informationen im ersten Gerät aktivieren, wie beispielsweise einen Hinweis an den Ad¬ ministrator des ersten Geräts, dass das erste Gerät von außen ungewollt beeinflusst, z.B. manipuliert, werden kann. It makes sense to implement a method illustrated in the above example in such a way that the first device as the second device tries to contact a test server of the device manufacturer. Because the device manufacturer knows hidden functions, which he can test with the help of the second message to find weaknesses in a poor foreclosure of the first device outside the first network. In the following, a manufacturer of the first device can inform the operator of the first device about weak points, such as the availability of the first device from the Internet. In addition, he can also activate device-specific information in the first device, such as a note to the Ad ¬ administrator of the first device that the first device from the outside unintentionally influenced, eg manipulated, can be.
So wird in diesem Ausführungsbeispiel bei Erkennen von Thus, in this embodiment, when recognizing
Schwachstellen, wie beispielsweise das Ermitteln einer Geräteadresse des ersten Geräts und/oder einer Manipulationsmög¬ lichkeit von gerätespezifischen Funktionalitäten, dem Automobilhersteller und/oder dem Gerätehersteller ein Hinweis zugestellt, um kurzfristig Gegenmaßnahmen ergreifen zu können. Zum einen können Gegenmaßnahmen darin bestehen, eine Abschottung des ersten Geräts beziehungsweise des ersten Netzwerks von der Außenwelt zu verbessern, durch Sperren von spezifischen Ports beziehungsweise internen IP-Adressen, als auch von Abfragemöglichkeiten innerhalb des ersten Geräts, wie beispielsweise Setzen von Passwörtern zum Abfragen spezifischer Funktionalitäten oder auch Setzen von Geräteparametern. Weak points, such as the determination of a device address of the first device and / or a Manipulationsmög ¬ probability of device-specific functionalities, the car manufacturer and / or the device manufacturer sent a notice to take short-term countermeasures can. On the one hand, countermeasures can be to improve isolation of the first device or the first network from the outside world, by blocking specific ports or internal IP addresses, as well as by interrogation possibilities within the first device, such as setting passwords for querying specific ones Functionalities or setting of device parameters.
Oftmals gibt ein Hersteller von Geräten, wie beispielsweise dem ersten Gerät, Hinweise, wie dieses innerhalb eines Ferti- gungsnetzes zu implementieren ist, um Angriffe und damitOftentimes, a manufacturer of devices, such as the first device, provides instructions on how to implement this within a manufacturing network for attacks and the like
Schäden in der Fertigung möglichst niedrig zu halten. Jedoch bedingt dies oftmals aufwändige Installationen und zeitrau¬ bende Wartung, wie beispielsweise Einspielen von Sicherheits- Updates. Durch permanente Tests, ob das erste Gerät die erste Nachricht nach außen schicken kann und von außen erreicht bzw. manipuliert werden kann, kann in einfacher und kostengünstiger Weise eine Schwachstelle erkannt werden, um dann bei Auffinden der Schwachstelle Gegenmaßnahmen kurzfristig ergreifen zu können. To keep damage in the production as low as possible. However, this requires often complex installations and zeitrau ¬ bende maintenance, such as import of safety Updates. Through permanent tests of whether the first device can send the first message to the outside and can be accessed or manipulated from the outside, a vulnerability can be detected in a simple and cost-effective manner, so as to be able to take countermeasures in the short term when the vulnerability is found.
Im Rahmen der Erfindung sind die erste Nachricht und die zweite Nachricht nicht nur als Übertragungsprotokoll- spezifische Nachrichten zu verstehen. Vielmehr ist jede Art von Informationsübertragung unter dem Begriff Nachricht zu verstehen, die ein Austausch von Informationen, wie eine Erreichbarkeit des ersten Gerätes durch ein zweites Gerät um- fasst. Die Art der Informationsübertragung kann dabei durch das verwendete Übertragungsprotokoll bestimmt sein. Zudem ist auch der Begriff Identifikationsinformation , wie z.B. Netzwerkadresse, nicht nur auf eine IP-Adresse (IP - Internetpro- totkoll) beschränkt, vielmehr ist unter dem Begriff Identifi¬ kationsinformation jede Adressierungsart des ersten Gerätes gemeint, mit der das erste Gerät die Nachricht empfangen kann. So kann die Identifikationsinformation beispielsweise in Form einer gerätespezifischen MAC-Adresse (MAC - Media- Access-Control-Address ) oder in Form einer Vielzahl von ers¬ ten Geräten zugeordneten Gruppenadressierung, wie z.B. einer Broadcast-Adresse, ausgebildet werden. Ferner kann die Iden¬ tifikationsinformation in Form mehrerer Datenfelder, wie beispielsweise aus der IP-Adresse eines das erste Netzwerk nach außen abschließendes Geräts, im Englischen als Edge-Router (=Netzwerkrouter) oder Gateway, und einer Port-Adresse, die das erste Gerät im ersten Netzwerk identifiziert, gebildet werden. Dieses letzte Beispiel repräsentiert die Netzwerkad¬ resse, d.h. die Identifikationsinformation II, des ersten Geräts bei Verwendung einer NAT Technologie (NAT - Network Address Translation, siehe RFCs 3102, 2103, 2104) . In the context of the invention, the first message and the second message are not to be understood merely as transmission protocol-specific messages. Rather, any type of information transmission is to be understood by the term message, which comprises an exchange of information, such as accessibility of the first device by a second device. The type of information transmission can be determined by the transmission protocol used. In addition, the term identification information, such as network address, not only on an IP address (IP - Internetpro- totkoll) is limited, but identifi ¬ cation information, the term is meant any addressing of the first device with the first device to receive the message can. Thus, the identification information, for example in the form of a device-specific MAC address (MAC - Media Access Control Address) or in the form of a plurality of ers ¬ th devices associated group addressing, such as a broadcast address, are formed. Further, the ides ¬ tifikationsinformation may be in the form of several data fields, such as from the IP address of the first network outwardly terminating device, in English as edge router (= Network Router) or gateway, and a port address, the first device identified in the first network. This last example represents the Netzwerkad ¬ ress, ie, the identification information II, of the first device when using a NAT technology (NAT - Network Address Translation, see RFCs 3102, 2103, 2104).
Die Erfindung betrifft auch ein System SYS umfassend das ers¬ te und das zweite Geräte. Das jeweilige Gerät kann die ein¬ zelnen Schritte in Hardware, Software oder in einer Kombina- tion in Hard- und Software implementieren und ausführen. So kann das jeweilige Geräte über einen Prozessor verfügen, der einen oder mehrere Schritte der Erfindung als Maschinencode aus einem mit dem Prozessor über einen Bus verbundenen Speicher ausliest und verarbeitet. Zudem kann der Prozessor über ein an dem Bus angeschlossenen Ein- und/oder Ausgabeinterface mit anderen Geräten Daten, wie Nachrichten, austauschen. Zudem kann zumindest das erste oder das zweite Gerät über ein Hinweiselement verfügen, mittels dessen die Schwachstelle an¬ gezeigt werden kann. Das Hinweiselement kann als optisches Signal, akustisches Signal, als eine Darstellung auf einem Bildschirm oder als Ausgabe in einer Daten- oder Dateistruktur des Speichers implementiert und ausgeführt werden. Das Hinweiselement kann über einen Bus vom jeweiligen Prozessor aktiviert werden. The invention also relates to a system SYS comprising ers ¬ te and the second devices. This particular device can a ¬ individual steps in hardware, software, or a combination implementation and execution in hardware and software. Thus, the respective device may have a processor which reads out and processes one or more steps of the invention as a machine code from a memory connected to the processor via a bus. In addition, the processor can exchange data, such as messages, with other devices via an input and / or output interface connected to the bus. In addition, at least the first or the second device can have a reference element, by means of which the weak point can be displayed on ¬ . The cue element can be implemented and executed as an optical signal, acoustic signal, as a display on a screen or as an output in a data or file structure of the memory. The indication element can be activated via a bus by the respective processor.

Claims

Patentansprüche claims
1. Verfahren zum Erkennen einer Schwachstelle eines ersten Geräts (Gl), das in einem ersten Netzwerk (NET1) angeordnet ist, mit folgenden Schritten: A method of detecting a vulnerability of a first device (Gl) located in a first network (NET1), comprising the steps of:
a) Senden einer ersten Nachricht (Nl) an ein zweites Gerät (G2), wobei das zweite Gerät (G2) in einem zweiten Netzwerk (NET2) außerhalb des ersten Netzwerks (NET2) angeord¬ net ist; a) sending a first message (Nl) to a second device (G2), wherein the second device (G2) in a second network (NET2) outside the first network (NET2) angeord ¬ net is;
b) Empfangen und Auswerten der ersten Nachricht (Nl) durch das zweite Gerät (G2) zum Bereitstellen einer Identifika¬ tionsinformation (II) des ersten Geräts (Gl) in dem ersten Netzwerk (NET1) ; b) receiving and analyzing the first message (NL) by the second device (G2) for providing an identifica tion ¬ information (II) of the first device (Gl) in the first network (NET1);
c) Erstellen und Senden einer zweiten Nachricht (N2) an das erste Geräts (Gl) mittels der Identifikationsinformation (II) durch das zweite Gerät (G2); c) creating and sending a second message (N2) to the first device (Gl) by means of the identification information (II) by the second device (G2);
d) Anzeigen einer Schwachstelle durch das erste Gerät (Gl) oder zweite Gerät (G2), falls die zweite Nachricht (N2) durch das erste Gerät (Gl) empfangen wird. d) displaying a vulnerability by the first device (G1) or second device (G2) if the second message (N2) is received by the first device (G1).
2. Verfahren nach Anspruch 1, 2. The method according to claim 1,
dadurch gekennzeichnet, dass characterized in that
der Identifikationsinformation (II) eine Netzwerkadresse (NETDADR) , die der ersten Nachricht (Nl) als Absenderadresse zugeordnet ist, zugewiesen wird. the identification information (II) is assigned a network address (NETDADR) associated with the first message (Nl) as the sender address.
3. Verfahren nach Anspruch 1 oder 2, 3. The method according to claim 1 or 2,
dadurch gekennzeichnet, dass characterized in that
die erste Nachricht (Nl) und / oder zweite Nachricht (N2) zu- mindest einmal mit Hilfe zumindest eines Übertragungsproto¬ kolls (PROT) aus einer Mehrzahl von Übertragungsprotokollen erzeugt und übertragen werden. the first message (Nl) and / or second message (N2) at least once with the aid of at least one transmission Proto ¬ Kolls (PROT) are generated from a plurality of transmission protocols and transmitted.
4. Verfahren nach einem der vorangehenden Ansprüche, 4. The method according to any one of the preceding claims,
dadurch gekennzeichnet, dass characterized in that
durch die zweite Nachricht (N2) eine Aktivierung einer Gerä¬ te-spezifischen Funktionalität des ersten Geräts (Gl) signa¬ lisiert wird, das erste Gerät (Gl) seine Schwachstelle durch Angabe einer durch die zweite Nachricht (N2) aktivierte Geräte-spezifische Funktionalität angezeigt wird. by the second message (N2) activation of a Gerä ¬ te-specific functionality of the first device (Gl) signa ¬ lisiert is the first device (G1) displays its vulnerability by specifying device-specific functionality enabled by the second message (N2).
5. System (SYS) zum Erkennen einer Schwachstelle mit 5. System (SYS) for detecting a weak point with
- einem ersten Geräts (Gl), das in einem ersten Netzwerk  a first device (G1) operating in a first network
(NET1) angeordnet ist, und  (NET1) is arranged, and
- einem zweiten Gerät (G2), das in einem zweiten Netzwerk (NET2) außerhalb des ersten Netzwerks (NET2) angeordnet ist, wobei das erste Gerät (Gl) und das zweite Gerät (G2) ausgebildet sind folgende Schritte durchzuführen:  a second device (G2) which is arranged in a second network (NET2) outside the first network (NET2), wherein the first device (G1) and the second device (G2) are designed to carry out the following steps:
a) Senden einer ersten Nachricht (Nl) an ein zweites Gerät (G2) durch das erste Gerät (Gl); a) sending a first message (Nl) to a second device (G2) by the first device (Gl);
b) Empfangen und Auswerten der ersten Nachricht (Nl) durch das zweite Gerät (G2) zum Bereitstellen einer Identifika¬ tionsinformation (II) des ersten Geräts (Gl) in dem ersten Netzwerk (NET1) ; b) receiving and analyzing the first message (NL) by the second device (G2) for providing an identifica tion ¬ information (II) of the first device (Gl) in the first network (NET1);
c) Erstellen und Senden einer zweiten Nachricht (N2) an das erste Geräts (Gl) mittels der Identifikationsinformation (II) durch das zweite Gerät (G2); c) creating and sending a second message (N2) to the first device (Gl) by means of the identification information (II) by the second device (G2);
d) Anzeigen einer Schwachstelle durch das erste Gerät (Gl) oder zweite Gerät (G2), falls die zweite Nachricht (N2) durch das erste Gerät (Gl) empfangbar ist. d) displaying a vulnerability by the first device (G1) or second device (G2) if the second message (N2) is receivable by the first device (G1).
6. Verfahren nach Anspruch 5, 6. The method according to claim 5,
dadurch gekennzeichnet, dass characterized in that
der Identifikationsinformation (II) eine Netzwerkadresse (NETDADR) , die der ersten Nachricht (Nl) als Absenderadresse zugeordnet ist, zuweisbar ist. the identification information (II) assignable to a network address (NETDADR) associated with the first message (Nl) as the sender address.
7. Verfahren nach Anspruch 5 oder 6, 7. The method according to claim 5 or 6,
dadurch gekennzeichnet, dass characterized in that
die erste Nachricht (Nl) und / oder zweite Nachricht (N2) zu¬ mindest einmal mit Hilfe zumindest eines Übertragungsproto- kolls (PROT) aus einer Mehrzahl an Übertragungsprotokollen erzeugbar und übertragbar ist. the first message (Nl) and / or second message (N2) to ¬ at least once with the aid of at least one of all interfaces Kolls (PROT) of a plurality of communication protocols can be generated and transferable.
8. Verfahren nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, dass 8. The method according to any one of claims 5 to 7, characterized in that
durch die zweite Nachricht (N2) eine Aktivierung einer Gerä¬ te-spezifischen Funktionalität des ersten Geräts (Gl) signalisierbar ist, by the second message (N2) activation of a Gerä ¬ te-specific functionality of the first device (Gl) can be signaled,
durch das erste Gerät (Gl) seine Schwachstelle durch Angabe einer durch die zweite Nachricht (N2) aktivierte Geräte¬ spezifische Funktionalität angezeigt. indicated by the first device (Gl) its vulnerability by specifying a device ¬ specific functionality activated by the second message (N2).
EP16815759.2A 2015-12-10 2016-12-07 Avoidance of weaknesses Withdrawn EP3362940A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015224886.0A DE102015224886A1 (en) 2015-12-10 2015-12-10 Avoiding weak spots
PCT/EP2016/080012 WO2017097804A1 (en) 2015-12-10 2016-12-07 Avoidance of weaknesses

Publications (1)

Publication Number Publication Date
EP3362940A1 true EP3362940A1 (en) 2018-08-22

Family

ID=57588975

Family Applications (1)

Application Number Title Priority Date Filing Date
EP16815759.2A Withdrawn EP3362940A1 (en) 2015-12-10 2016-12-07 Avoidance of weaknesses

Country Status (5)

Country Link
US (1) US10805334B2 (en)
EP (1) EP3362940A1 (en)
CN (1) CN108292343B (en)
DE (1) DE102015224886A1 (en)
WO (1) WO2017097804A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110730180A (en) * 2019-10-17 2020-01-24 杭州安恒信息技术股份有限公司 Portable communication equipment detection instrument and communication equipment detection method

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5999979A (en) 1997-01-30 1999-12-07 Microsoft Corporation Method and apparatus for determining a most advantageous protocol for use in a computer network
TWI268062B (en) * 2005-06-29 2006-12-01 Rdc Semiconductor Co Ltd System and method for analyzing reason of network connection failure
US9203858B2 (en) * 2005-11-11 2015-12-01 Ca, Inc. Method and system for generating an advisory message for an endpoint device
US8228848B2 (en) * 2008-11-17 2012-07-24 Sierra Wireless, Inc. Method and apparatus for facilitating push communication across a network boundary
CN101867497A (en) * 2009-04-17 2010-10-20 黑龙江省电力科学研究院 Network physical segregation state monitoring and alarm protection system
CN201509204U (en) * 2009-09-07 2010-06-16 北京鼎普科技股份有限公司 Computer illegal external link monitoring device and system thereof
JP5349229B2 (en) * 2009-09-15 2013-11-20 Kddi株式会社 Method for identifying fault location in packet ring network and system for executing the method
CN102315992A (en) * 2011-10-21 2012-01-11 北京海西赛虎信息安全技术有限公司 Detection method for illegal external connection
US9479536B2 (en) * 2011-12-30 2016-10-25 Schneider Electric USA, Inc. System and method of securing monitoring devices on a public network
DE102012217136A1 (en) * 2012-09-24 2014-03-27 Robert Bosch Gmbh Monitoring system with message forwarding, procedures and computer program
CN103441864A (en) * 2013-08-12 2013-12-11 江苏华大天益电力科技有限公司 Method for monitoring illegal external connection of terminal equipment
CN104202307B (en) * 2014-08-15 2018-06-08 小米科技有限责任公司 Data forwarding method and device

Also Published As

Publication number Publication date
CN108292343B (en) 2022-07-26
US20180367562A1 (en) 2018-12-20
WO2017097804A1 (en) 2017-06-15
DE102015224886A1 (en) 2017-06-29
US10805334B2 (en) 2020-10-13
CN108292343A (en) 2018-07-17

Similar Documents

Publication Publication Date Title
DE10052312B4 (en) Automatic lock against unauthorized access on the Internet (Snoop Avoider) for virtual private networks
DE102016218982B3 (en) Method for communicating vehicles
EP3705955B1 (en) Method for secure communication between a field device for automation technology and a terminal and system for secure communication between a field device and a terminal
EP3314868B1 (en) Exchanging data with a laser or a machine tool
EP3192226A1 (en) Device and method for controlling a communication network
WO2013092812A1 (en) Subscriber station of a bus system and method for transferring messages between subscriber stations of a bus system
EP2442527A2 (en) Method for creating a VPN connection between two networks
WO2018091401A1 (en) Method for a communications network, and electronic control unit
WO2018060250A1 (en) Method and system for protecting an on-board communication network of a motor vehicle
EP3362940A1 (en) Avoidance of weaknesses
EP2448182B1 (en) Method for communicating in an automation system
DE3441724A1 (en) Method for preventing misuse in telecommunications networks, in particular mobile radio networks
EP1798620A1 (en) System and method for remote analysis,remote maintenance and/or remote error recovery of a technical equipment.
EP2618226B1 (en) Industrial automation system and method for its protection
EP1209641B1 (en) Method for operating a radio remote control installation
DE102005016784B4 (en) Remote diagnostics system for printing machines
EP2456168A1 (en) Remote monitoring system for devices
EP2056535A2 (en) Connector and procedure to provide access to a data processing network for data processing device.
EP2721803B1 (en) Method and device for securely configuring a network device
EP2898635B1 (en) System and method for the maintenance of a machine tool
EP3767910A1 (en) Method for configuring firewall devices for a communication network and communication network management system
EP1473614A2 (en) Computer system for a vehicle and method controlling the data traffic in the computer system
WO2017148559A1 (en) Method and analysis module for checking encoded data transfers
EP3277010A1 (en) Method for providing an authenticated connection between at least two communication partners
DE10036734A1 (en) Method for interactive communication between an Internet-capable terminal and an Internet-capable Web server operates between a user's terminal accessing the Internet via a transmitting-receiving access component and the Web server.

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20180514

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20190503

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20191203