WO2010048977A1 - Method for protecting a supply grid - Google Patents

Method for protecting a supply grid Download PDF

Info

Publication number
WO2010048977A1
WO2010048977A1 PCT/EP2008/009352 EP2008009352W WO2010048977A1 WO 2010048977 A1 WO2010048977 A1 WO 2010048977A1 EP 2008009352 W EP2008009352 W EP 2008009352W WO 2010048977 A1 WO2010048977 A1 WO 2010048977A1
Authority
WO
WIPO (PCT)
Prior art keywords
network
danger
potential
supply network
determined
Prior art date
Application number
PCT/EP2008/009352
Other languages
German (de)
French (fr)
Inventor
Maik Seewald
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to PCT/EP2008/009352 priority Critical patent/WO2010048977A1/en
Publication of WO2010048977A1 publication Critical patent/WO2010048977A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Definitions

  • the invention relates to a method for protecting a supply network with at least one controllable network component, wherein a danger potential of the supply network can be determined.
  • Supply networks in particular energy supply networks such as a high-voltage network
  • energy supply networks such as a high-voltage network
  • the prevention of external hazards is an essential task of the operators in the context of safety management of the supply networks.
  • the danger of direct external influences on certain network components such as the wanton or targeted damage of a high-voltage transformer on a power plant site
  • due to the increasing networking of network components with computer networks and software-based hazards, such as computer viruses, computer worms or Trojans a danger of the supply network.
  • DE 10 2006 056 566 B3 describes a network and a method for establishing a data connection with a mobile terminal.
  • a network has a registration point via which an automatic registration of a connected mobile terminal takes place.
  • a network access point can be accessed by means of the mobile terminal and thus control of network components by means of the mobile terminal to be provided.
  • DE 601 12 044 T2 discloses an apparatus and a method for assessing the vulnerability of
  • Network security of a network By means of known network risk analysis programs with different information input and output formats, the information is prepared by means of an object model database in the network risk analysis programs and imported into a data processing system by means of an application programming interface. This results in accordance with the aforementioned patent the ability to summarize result data of different network risk analysis programs with different output formats in the data processing system and thus map the security status of the network in detail.
  • DE 601 27 557 T2 discloses a method for controlling the access rights of data contents downloaded from a network.
  • a policy manager By means of a policy manager, a permission awareness set is generated for a source code array received from a reference source.
  • the execution of the source code arrangement is controlled on a data processing system and by means of the directive
  • a corresponding security level such as a special created runtime environment, is generated for the respective source code arrangement.
  • DE 11 2004 000 428 T5 discloses a method and system for managing security policies.
  • security policy management is described for the components located within a computer network. Danger information dynamically adjusts certain security policies in the policy database.
  • a disadvantage of the prior art is that there is no dynamic adaptation of network components within a supply network due to an actual or potential danger. All of the aforementioned documents in the prior art ultimately serve to determine the maximum danger potential in the design of a supply network and to rigidly define corresponding safety systems with regard to the determined hazard potentials.
  • a dynamic adaptation of the security level within the network with a low risk potential - with protection of the network resources - or with a danger potential above an originally defined danger threshold of the network can not be realized by means of the known techniques.
  • the object of the present invention is therefore to provide a method which is resource-saving and offers the greatest possible protection of a supply network against a danger.
  • an external degree of danger outside the supply network and an internal degree of danger within the supply network are ascertained, and a current risk potential is formed from the external and internal degrees of danger of the supply network determined in this way.
  • the inner and / or outer danger degree is in particular represented by means of an alphanumeric number in each case and the current danger potential is determined as the addition of the two danger potentials.
  • Alternative summations of the external and internal hazard degrees, for example an integration, optionally taking into account weightings, are also part of the present invention.
  • a set of rules for generating a safety instruction for the network component is generated in the event of a deviation on the basis of a safety guideline, taking into account the determined danger potential of the supply network.
  • the security instructions thus determined are automatically transmitted to the network component of the supply network, whereby the danger potential of the supply network by the automatic and selective adjustment of the security level by means of the security instructions is sustainably reduced.
  • a security statement based on the underlying threat policy is generated for each network component based on the current threat potential.
  • Safety instructions in the sense of the present invention are instructions to a network component with regard to the restriction of the functionality, the control possibilities and / or the restrictions of access rights, in particular re for certain users.
  • the aforementioned restrictions may be subject to content, space and / or time conditions.
  • the security level within the supply network can be dynamically adjusted.
  • an individual safety instruction can be generated for each network component.
  • the security level of the supply network can be adapted dynamically and, in the case of a low risk potential, operated in a resource-saving manner.
  • the thus released computer capacities can be used elsewhere.
  • the network-supply components are adapted in terms of their functionality and / or their access rights by means of the security instructions by means of the security policy-based rule set.
  • the safety instructions are implemented in parallel to the supply network Leit ⁇ system and can be acknowledged and logged within the security system of the control system.
  • the proper implementation of the safety instruction within the network component can be monitored. This has the further advantage that in the event of the failure of a connecting line between two network components within the supply network, the parallel-arranged control system is able to control the network component still in operation by means of the associated control device.
  • the external degree of danger of the supply network is connected to the control system by means of a monitoring system arranged in the vicinity of the network component and / or by means of software-based security monitoring systems for analyzing a danger of further supply networks connected to the supply network and / or for analyzing the danger Communication networks is determined.
  • a surveillance system may be a camera system for detecting an unauthorized entry into a security zone, a motion detector or similar security zone monitoring system.
  • a software-based security monitoring system in the sense of the present invention identifies a danger within one
  • Network in particular a danger due to computer viruses, computer worms and / or Trojans.
  • This monitoring systems for an immediate endangering the network component or by the softwarebasier- th ⁇ berwachungssysteme to protect against risks related to the computer systems are the possible risks related scenarios for the supply network, in particular a high-voltage power ⁇ factory, covered.
  • the internal and / or external degree of danger is determined with regard to the nature of the hazard and / or the spatial and / or temporal influence of the hazard on the supply network.
  • the danger is determined by the method and spatially limited by means of the security guideline or the derived rule set on the network components in the vicinity of the stranger.
  • the safety level of the network components located in the immediate vicinity of the hazard is increased.
  • the access rights of users can be selected for them via the parallel-connected control system
  • the security policy defines requirements with regard to the availability and stability of the supply network, as well as with regard to the availability, integrity, confidentiality and authenticity of information in the supply network and / or in the control system as a function of different potential hazards.
  • a rule instance device advantageously generates the rule set on the basis of the security policy, the threat potential, the current configuration of the network components of the utility network. It is considered advantageous to define at least two independent rule sets for at least two network components, respectively.
  • the content of the rule set guarantees a contentual and / or temporal and / or spatial restriction with regard to the functionality of the network components during the danger.
  • the functionality of the network component is limited by a security instruction, wherein the security instruction is generated by means of a security instruction computer on the basis of the rule set.
  • the safety instruction computer By means of the safety instruction computer, it is ensured that the possibly superordinate defined and general rulesets are converted into concrete safety instructions in the form of control commands and / or permitted access rights for a network component.
  • the security instruction of the network component is determined in the control system, transmitted via the control system to the network component and implemented in the network component connected to the control system in parallel with the supply network.
  • the software-based security monitoring system is a software agent that monitors changes in specific computer or network configurations and identifies potential threats.
  • the potential threat can be determined within the supply network, within an external supply network, within a further external control system connected to the control system or within the control system.
  • a content, spatial and / or temporal limitation of the functionality of selected network components and / or computers within the control system is made. Direct access via the supply network or access via the parallel-connected control system is thereby prevented.
  • the rule instance device advantageously comprises a rule-based system, for example a fuzzy logic system and / or a neural network. This makes it possible to implement certain decision uncertainties, which are predetermined by the possibly too general security policy or the rule sets derived therefrom, in correspondingly concrete control commands in the context of the security instructions for the network components.
  • the network component is a protection device. Furthermore, it is regarded as an advantage that when changing the configuration of the entire supply network, a new rule set is generated by the rule instance device. By inserting or removing a network component, the hazard potential may possibly change despite a constant external and internal degree of danger, so that the creation of a new rule set precludes a potential danger to the supply network. Furthermore, a computer program and a computer program product solves the problem, wherein the computer program product is stored in a computer-readable medium and comprises computer-readable means by which a computer is caused to perform the inventive method when the program runs in the computer. Further advantageous embodiments of the present invention will become apparent from the dependent claims.
  • Fig. 1 is a schematic representation of the supply network with three network components
  • Fig. 2 is a flowchart of the method
  • Fig. 3 is a schematic representation of computers within the control system, which receive a higher spatial security level due to a threat, and
  • Fig. 1 shows a schematic representation of the supply network 1 with three network components 2a, 2b, 2c.
  • the network components 2a, 2b, 2c are connected to a control system 7 by means of a respective control device 3a, 3b, 3c.
  • the surveillance system 4a, 4b, 4c may be either a camera surveillance system and / or a software based security monitoring system 12.
  • the systems 4a, 4b, 4c are connected to the control system 7 and are evaluated in a danger evaluation device 5.
  • the inner danger degree 13b and the outer danger degree 13a are determined. From this, the corresponding hazard potential 8 is formed and used as input to a rule instance device 6. Subsequently, a safety instruction computer 15 generates corresponding safety instructions 10a, 10b, 10c for the respective vulnerable component, in the illustrated example of FIG. 1 the surge arrester 2a due to a software-based hazard 17 and another safety instruction 10c to the circuit breaker 2c due to the immediate danger 17 of a person in the vicinity of the circuit breaker 2c.
  • a corresponding security instruction 10b is issued, wherein in the present case the access rights to the rule-institution 6 are limited by means of a security instruction 10b.
  • Fig. 2 shows a flowchart of the present method.
  • a corresponding danger potential 8 is determined.
  • the hazard potential 8 thus determined, which is formed in particular by a summation of alphanumerically determined values for the external and internal danger levels 13a and 13b, the hazard potential 8 is compared with a predefinable threshold. If the hazard potential 8 is above a predefinable threshold for the danger potential, the method according to the invention is run through.
  • the sensitivity of the method can thus be predetermined by a user by providing a predefinable threshold for the hazard potential 8.
  • the corresponding security guidelines 9a are read from a security policy memory 14.
  • a set of rules 18a is generated from the security policy 9a, from which the security instruction 10a is derived.
  • the security instruction 10a is then automatically transmitted in a control unit 3a, which is assigned to the respective network component 2a (not shown).
  • the method monitors whether the safety instruction 10a has been implemented.
  • the predefinable danger potential can be defined variably or time-dependent by the user or automatically by the danger evaluation device 5.
  • Fig. 3 shows a schematic representation with computers
  • a monitoring system 4a and a software-based security system 12 transmit an inner and an outer Danger 13a, 13b (not shown) to the Danger Dungsausagonist heard 5.
  • a hazard potential 8 is first determined and taking into account the safety guideline 9a of a security policy memory 14 forwarded to a rule generating device 11.
  • the rule set 18a is generated.
  • the rule set 18a thus determined is determined by means of a security instruction computer 15 for the respective network component 2a within the supply network 1.
  • the safety instructions 10a, 10b serve to lent vulnerable components, such as the surge arrester 2a in the supply network 1 and the computer 16a, 16b within the control system 7 with respect to their functionality and / or access rights for users restrict.
  • FIG. 4 shows a UML sequence diagram for carrying out the method.
  • the hazard assessment device 5 sends the inner and outer danger degree 13a, 13b to the rule instance device 6.
  • the rule instance device 6 receives the corresponding security guideline 9a from the security policy memory 14 to the hazard potential 8 formed within the rule instance device 6.
  • a rule generation device 11 is started whose results are forwarded to the security instruction computer 15.
  • the security instruction computer 15 sends a safety instruction 10a to the respective control device 3 and checks the correct implementation of the safety instruction 10a in the control device 3a.
  • the successful implementation of the security instruction 10a in the control device 3a or in the assigned network component 2a (not shown) is likewise transmitted back to the control device 6 or to the danger evaluation device 5.

Abstract

The invention relates to a method for protecting a supply grid having at least one controllable network component, wherein a potential hazard to the supply grid can be determined. To this end, an external hazard level outside of the supply grid and an internal hazard level within the supply grid are determined, and a current hazard potential is formed from the external and internal hazard levels thus determined. Together with a prescribed safety guideline, a control set is generated by means of the hazard potential, wherein safety instructions for the network components can be derived by means of the control set. The safety level of the supply grid, particularly a high-voltage grid, is thereby dynamically adapted as a function of the potential hazard.

Description

Beschreibung description
Verfahren zum Schutz eines VersorgungsnetzwerkesMethod for protecting a supply network
Die Erfindung betrifft ein Verfahren zum Schutz eines Versorgungsnetzwerkes mit mindestens einer steuerbaren Netzwerkkomponente, wobei ein Gefahrdungspotential des Versorgungsnetzwerkes ermittelbar ist.The invention relates to a method for protecting a supply network with at least one controllable network component, wherein a danger potential of the supply network can be determined.
Versorgungsnetzwerke, insbesondere Energieversorgungsnetzwerke wie ein Hochspannungsnetzwerk, sind unterschiedlichsten Gefahrdungen ausgesetzt. Neben sicherheitskritischen Fehl- funktionen innerhalb des Versorgungsnetzwerkes und dem potentiellen Ausfall von sicherheitskritischen Netzwerkkomponen- ten, ist die Abwehr von äußeren Gefahrdungen eine wesentliche Aufgabe der Betreiber im Rahmen des Sicherheitsmanagements der Versorgungsnetzwerke. Neben der Gefahrdung durch unmittelbare äußere Einwirkungen auf bestimmte Netzwerkkomponenten, wie beispielsweise die mutwillige oder gezielte Bescha- digung eines Hochspannungstransformators auf einem Kraft- werksgelande, stellen aufgrund der zunehmenden Vernetzung der Netzwerkkomponenten mit Computernetzwerken auch softwarebasierte Gefahrdungen, wie Computerviren, Computerwurmer oder Trojaner, eine Gefahrdung des Versorgungsnetzwerkes dar.Supply networks, in particular energy supply networks such as a high-voltage network, are exposed to a wide variety of hazards. In addition to safety-critical malfunctions within the supply network and the potential failure of safety-critical network components, the prevention of external hazards is an essential task of the operators in the context of safety management of the supply networks. In addition to the danger of direct external influences on certain network components, such as the wanton or targeted damage of a high-voltage transformer on a power plant site, due to the increasing networking of network components with computer networks and software-based hazards, such as computer viruses, computer worms or Trojans, a danger of the supply network.
Herkommlicherweise wird mit der Implementierung des Versorgungsnetzwerkes eine Bedrohungsanalyse durchgeführt, in der die größtmögliche Gefahrdung der jeweiligen Gefahrdungsart analysiert und mittels eines entsprechend konzeptionierten Sicherheitssystems neutralisiert wird. Die so definierten Sicherheitssysteme sind jedoch starr und immer auf die maximale Bedrohung des Versorgungsnetzwerkes definiert. So beschreibt die DE 10 2006 056 566 B3 ein Netzwerk und ein Verfahren zum Aufbau einer Datenverbindung mit einem mobilen Endgerat. Hierbei weist ein Netzwerk einen Registrierungspunkt auf, über den eine automatische Registrierung eines an- geschlossenen mobilen Endgerates erfolgt. Innerhalb eines bestimmten Zeitraumes in dem das mobile Endgerat mit dem Netzwerkregistrierungspunkt verbunden und unter der Voraussetzung, dass das mobile Endgerat in einer Registrierungseinheit innerhalb des Netzwerkes registriert ist, kann mittels des mobilen Endgerates auf einen Netzwerkzugangspunkt zugegriffen und damit eine Steuerung von Netzwerkkomponenten mittels des mobilen Endgerates bereitgestellt werden.Traditionally, with the implementation of the utility network, a threat analysis is performed that analyzes the maximum hazard of the particular hazard type and neutralizes it using a suitably designed safety system. However, the security systems defined in this way are rigid and always defined to the maximum threat of the supply network. Thus, DE 10 2006 056 566 B3 describes a network and a method for establishing a data connection with a mobile terminal. In this case, a network has a registration point via which an automatic registration of a connected mobile terminal takes place. Within a certain period of time in which the mobile terminal is connected to the network registration point and provided that the mobile terminal is registered in a registration unit within the network, a network access point can be accessed by means of the mobile terminal and thus control of network components by means of the mobile terminal to be provided.
Des Weiteren offenbart die DE 601 12 044 T2 eine Vorrichtung und ein Verfahren zur Beurteilung der Verletzlichkeit derFurthermore, DE 601 12 044 T2 discloses an apparatus and a method for assessing the vulnerability of
Netzsicherheit eines Netzwerkes. Mittels bekannter Netzwerkrisikoanalyseprogramme mit unterschiedlichen Informationseingabe- und Ausgabeformaten, werden mittels einer Objektmodelldatenbank in den Netzwerkrisikoanalyseprogrammen die Informa- tionen aufbereitet und mittels einer Anwendungsprogrammier- schnittstelle in ein Datenverarbeitungssystem importiert. Hierdurch ergibt sich gemäß der vorgenannten Patentschrift die Möglichkeit, Ergebnisdaten unterschiedlichster Netzwerkrisikoanalyseprogramme mit abweichenden Ausgabeformaten in dem Datenverarbeitungssystem zusammenzufassen und damit den Sicherheitszustand des Netzwerkes detailliert abzubilden.Network security of a network. By means of known network risk analysis programs with different information input and output formats, the information is prepared by means of an object model database in the network risk analysis programs and imported into a data processing system by means of an application programming interface. This results in accordance with the aforementioned patent the ability to summarize result data of different network risk analysis programs with different output formats in the data processing system and thus map the security status of the network in detail.
Des Weiteren offenbart die DE 601 27 557 T2 ein Verfahren zum Kontrollieren der Zugriffsrechte von aus einem Netzwerk her- untergeladenen Dateninhalten. Mittels eines Richtlinienmanagers wird ein Erlaubnis-Gewahrungs-Set für eine von einer Bezugsquelle empfangenen Quellcodeanordnung erzeugt. Hierdurch wird die Ausfuhrung der Quellcodeanordnung auf einer Datenverarbeitungsanlage gesteuert und mittels des Richtlinienma- nagers wird für die jeweilige Quellcodeanordnung eine entsprechende Sicherheitsstufe, wie beispielsweise eine spezielle geschaffene Laufzeitumgebung, erzeugt.Furthermore, DE 601 27 557 T2 discloses a method for controlling the access rights of data contents downloaded from a network. By means of a policy manager, a permission awareness set is generated for a source code array received from a reference source. As a result, the execution of the source code arrangement is controlled on a data processing system and by means of the directive For the respective source code arrangement, a corresponding security level, such as a special created runtime environment, is generated for the respective source code arrangement.
Des Weiteren offenbart die DE 11 2004 000 428 T5 ein Verfahren und ein System zum Verwalten von Sicherheitsrichtlinien. Gemäß der dortigen Erfindung wird eine Sicherheitsrichtlinienverwaltung für die innerhalb eines Computernetzwerkes angeordneten Komponenten beschrieben. Mittels einer Gefahrenin- formation werden bestimmte Sicherheitsrichtlinien in der Richtliniendatenbank dynamisch angepasst.Further, DE 11 2004 000 428 T5 discloses a method and system for managing security policies. In accordance with the present invention, security policy management is described for the components located within a computer network. Danger information dynamically adjusts certain security policies in the policy database.
Nachteilig am Stand der Technik ist, dass keine dynamische Anpassung von Netzwerkkomponenten innerhalb eines Versor- gungsnetzwerkes aufgrund einer tatsachlichen oder potentiellen Gefahrdung erfolgt. Alle vorgenannten Dokumente im Stand der Technik dienen letztendlich dazu, bei der Konzeption eines Versorgungsnetzwerkes das maximale Gefahrdungspotential zu ermitteln und entsprechende Sicherheitssysteme hinsicht- lieh der ermittelten Gefahrdungspotentiale starr zu definieren. Eine dynamische Anpassung des Sicherheitsniveaus innerhalb des Netzwerkes bei einem niedrigen Gefahrdungspotential - unter Schonung der Netzwerkressourcen - beziehungsweise bei einem Gefahrdungspotential oberhalb einer ursprunglich fest- gelegten Gefahrdungsschwelle des Netzwerkes kann mittels der bekannten Techniken nicht realisiert werden.A disadvantage of the prior art is that there is no dynamic adaptation of network components within a supply network due to an actual or potential danger. All of the aforementioned documents in the prior art ultimately serve to determine the maximum danger potential in the design of a supply network and to rigidly define corresponding safety systems with regard to the determined hazard potentials. A dynamic adaptation of the security level within the network with a low risk potential - with protection of the network resources - or with a danger potential above an originally defined danger threshold of the network can not be realized by means of the known techniques.
Aufgabe der vorliegenden Erfindung ist es daher, ein Verfahren bereitzustellen, das ressourcenschonend ist und einen größtmöglichen Schutz eines Versorgungsnetzwerkes gegen eine Gefahrdung bietet .The object of the present invention is therefore to provide a method which is resource-saving and offers the greatest possible protection of a supply network against a danger.
Die Aufgabe wird hinsichtlich des Verfahrens gelost durch die Merkmale des Patentanspruchs 1. AThe object is achieved with regard to the method by the features of patent claim 1. A
Erfindungsgemäß ist vorgesehen, dass zum Schutz des Versorgungsnetzwerkes ein äußerer Gefährdungsgrad außerhalb des Versorgungsnetzwerkes und ein innerer Gefahrdungsgrad innerhalb des Versorgungsnetzwerkes ermittelt werden und aus den so ermittelten äußeren und inneren Gefährdungsgraden des Versorgungsnetzwerkes ein aktuelles Gefährdungspotential gebildet wird. Der innere und/oder der äußere Gefahrdungsgrad wird insbesondere mittels jeweils einer alphanumerischen Zahl abgebildet und das aktuelle Gefahrdungspotential als Addition der beiden Gefahrdungspotentiale ermittelt. Alternative Sum- mationen der äußeren und inneren Gefahrdungsgrade, beispielsweise eine Integration, gegebenenfalls unter Berücksichtigung von Gewichtungen, sind ebenfalls Teil der vorliegenden Erfindung. Mittels eines Vergleichs des aktuellen Gefährdungspo- tentials mit einem vorgebbaren Gefährdungspotential des Versorgungsnetzwerkes wird im Falle einer Abweichung ein Regelsatz zur Erzeugung einer Sicherheitsanweisung für die Netzwerkkomponente auf der Grundlage einer Sicherheitsrichtlinie unter Berücksichtigung des ermittelten Gefahrdungspotentials des Versorgungsnetzwerkes erzeugt. Die so ermittelten Sicherheitsanweisungen werden automatisch an die Netzwerkkomponente des Versorgungsnetzwerkes übermittelt, wodurch das Gefahrdungspotential des Versorgungsnetzwerkes durch die automatische und selektive Anpassung der Sicherheitsstufe mittels der Sicherheitsanweisungen nachhaltig reduziert wird. Mit Hilfe des Regelsatzes wird auf der Basis der zugrunde liegenden Sicherheitsrichtlinie für jede Netzwerkkomponente eine entsprechende Sicherheitsanweisung auf der Grundlage des aktuellen Gefahrdungspotentials erzeugt.According to the invention, for the purpose of protecting the supply network, an external degree of danger outside the supply network and an internal degree of danger within the supply network are ascertained, and a current risk potential is formed from the external and internal degrees of danger of the supply network determined in this way. The inner and / or outer danger degree is in particular represented by means of an alphanumeric number in each case and the current danger potential is determined as the addition of the two danger potentials. Alternative summations of the external and internal hazard degrees, for example an integration, optionally taking into account weightings, are also part of the present invention. By means of a comparison of the current hazard potential with a predeterminable hazard potential of the supply network, a set of rules for generating a safety instruction for the network component is generated in the event of a deviation on the basis of a safety guideline, taking into account the determined danger potential of the supply network. The security instructions thus determined are automatically transmitted to the network component of the supply network, whereby the danger potential of the supply network by the automatic and selective adjustment of the security level by means of the security instructions is sustainably reduced. Using the rule set, a security statement based on the underlying threat policy is generated for each network component based on the current threat potential.
Sicherheitsanweisungen im Sinne der vorliegenden Erfindung sind Anweisungen an eine Netzwerkkomponente hinsichtlich der Einschränkung der Funktionalitat, der Steuerungsmόglichkeiten und/oder der Einschränkungen von Zugriffsrechten, insbesonde- re für bestimmte Benutzer. Die vorgenannten Einschränkungen können inhaltlichen, raumlichen und/oder zeitlichen Bedingungen unterworfen sein.Safety instructions in the sense of the present invention are instructions to a network component with regard to the restriction of the functionality, the control possibilities and / or the restrictions of access rights, in particular re for certain users. The aforementioned restrictions may be subject to content, space and / or time conditions.
Hierdurch ist es möglich, dass in Abhängigkeit einer Gefahrdung für das Versorgungsnetzwerk, wobei die Gefahrdung in dem inneren und den äußeren Gefährdungsgrad abgebildet wird, die Sicherheitsstufe innerhalb des Versorgungsnetzwerkes dynamisch angepasst werden kann. Mittels des Regelsatzes ist für jede Netzwerkkomponente eine individuelle Sicherheitsanweisung erzeugbar. Mit dem wiederholten Durchlauf des Verfahrens und der damit jeweils erfolgten Abfrage des inneren und äußeren Gefahrdungsgrades, beziehungsweise des darauf basierenden Gefahrdungspotentials, kann das Sicherheitsniveau des Versor- gungsnetzwerkes dynamisch angepasst und im Falle eines niedrigen Gefahrdungspotentials ressourcenschonend betrieben werden. Die dadurch frei werdenden Rechnerkapazitaten können anderweitig genutzt werden. Im Falle eines veränderten Gefahrdungspotentials können die rekursiven Abfragen des Gefahr- dungspotentials öfter vorgenommen werden. Bei einem sich weiter erhöhenden Gefahrdungspotential werden mittels des si- cherheitsrichtlinienbasierten Regelsatzes die Netzwerkversorgungskomponenten in ihrer Funktionalitat und/oder ihren Zugriffsrechten mittels der Sicherheitsanweisungen angepasst.This makes it possible that, depending on a danger for the supply network, the danger level being mapped in the inner and the outer degree of danger, the security level within the supply network can be dynamically adjusted. By means of the rule set, an individual safety instruction can be generated for each network component. With the repeated execution of the method and the respective questioning of the internal and external danger level, or the danger potential based thereon, the security level of the supply network can be adapted dynamically and, in the case of a low risk potential, operated in a resource-saving manner. The thus released computer capacities can be used elsewhere. In the event of an altered hazard potential, the recursive queries of the hazard potential can be made more frequently. If the danger potential increases further, the network-supply components are adapted in terms of their functionality and / or their access rights by means of the security instructions by means of the security policy-based rule set.
In einer vorteilhaften Ausgestaltung des Verfahrens ist vorgesehen, dass die Sicherheitsanweisung für die Netzwerkkomponente über ein zum Versorgungsnetzwerk paralleles Leitsystem versendet und mittels einer jeweils einer Netzwerkkomponente zugeordneten Steuereinrichtung zur Steuerung der Netzwerkkom¬ ponente verwendet wird. Hierdurch werden die Sicherheitsanweisungen im parallel zum Versorgungsnetz angeordneten Leit¬ system umgesetzt und können innerhalb des Sicherheitssystems des Leitsystems quittiert und protokolliert werden. In Ver- bindung mit der erfolgten Steuerung einer Netzwerkkomponente aufgrund der Sicherheitsanweisungen innerhalb des Leitsystems kann die ordnungsgemäße Umsetzung der Sicherheitsanweisung innerhalb der Netzwerkkomponente überwacht werden. Dies hat weiterhin den Vorteil, dass bei dem Ausfall einer Verbindungsleitung zwischen zwei Netzwerkkomponenten innerhalb des Versorgungsnetzwerkes das parallel angeordnete Leitsystem die noch im Betrieb befindliche Netzwerkkomponente mittels der zugeordneten Steuereinrichtung zu steuern vermag.In an advantageous embodiment of the method it is provided that the security command sent to the network component via a parallel to the supply network control system and is used by means of a respectively associated with a network component control means for controlling the Netzwerkkom ¬ component. As a result, the safety instructions are implemented in parallel to the supply network Leit ¬ system and can be acknowledged and logged within the security system of the control system. In In conjunction with the control of a network component based on the safety instructions within the control system, the proper implementation of the safety instruction within the network component can be monitored. This has the further advantage that in the event of the failure of a connecting line between two network components within the supply network, the parallel-arranged control system is able to control the network component still in operation by means of the associated control device.
Vorteilhafterweise ist vorgesehen, dass der äußere Gefahrdungsgrad des Versorgungsnetzwerkes mittels eines in der Nahe der Netzwerkkomponente angeordneten Uberwachungssystems und/oder mittels softwarebasierter Sicherheitsuberwachungs- Systeme zur Analyse einer Gefahrdung von weiteren mit dem Versorgungsnetzwerk verbundenen Versorgungsnetzwerken und/oder zur Analyse der Gefahrdung von mit dem Leitsystem verbundenen Kommunikationsnetzen ermittelt wird.It is advantageously provided that the external degree of danger of the supply network is connected to the control system by means of a monitoring system arranged in the vicinity of the network component and / or by means of software-based security monitoring systems for analyzing a danger of further supply networks connected to the supply network and / or for analyzing the danger Communication networks is determined.
Ein Uberwachungssystem im Sinne der vorliegenden Erfindung kann ein Kamerasystem zur Detektierung eines unbefugten Eintritts in eine Sicherheitszone, ein Bewegungsmelder oder ahnliches Sicherheitszonenuberwachungssystem sein. Ein softwarebasiertes Sicherheitsuberwachungssystem im Sinne der vorlie- genden Erfindung ermittelt eine Gefahrdung innerhalb einesA surveillance system according to the present invention may be a camera system for detecting an unauthorized entry into a security zone, a motion detector or similar security zone monitoring system. A software-based security monitoring system in the sense of the present invention identifies a danger within one
Netzwerkes, insbesondere eine Gefahrdung aufgrund von Computerviren, Computerwürmern und/oder Trojanern. Durch diese Überwachungssysteme für eine unmittelbare Gefahrdung der Netzwerkkomponente beziehungsweise durch die softwarebasier- ten ύberwachungssysteme zum Schutz vor einer Gefahrdung der Computersysteme sind die möglichen Gefahrdungsszenarien für das Versorgungsnetzwerk, insbesondere ein Hochspannungsnetz¬ werk, abgedeckt. Vorteilhafterweise wird der innere und/oder äußere Gefährdungsgrad hinsichtlich der Art der Gefährdung und/oder des räumlichen und/oder zeitlichen Einflusses der Gefahrdung auf das Versorgungsnetzwerk ermittelt. Im Falle einer ortlich be- grenzten Gefahrdung, beispielsweise des Eindringens einer fremden Person auf ein Gelände mit ausgesuchten Netzwerkkomponenten, wird die Gefahrdung mittels des Verfahrens ermittelt und mittels der Sicherheitsrichtlinie beziehungsweise dem daraus abgeleiteten Regelsatz auf die Netzwerkkomponenten in der Nahe der fremden Person räumlich begrenzt. In diesemNetwork, in particular a danger due to computer viruses, computer worms and / or Trojans. This monitoring systems for an immediate endangering the network component or by the softwarebasier- th ύberwachungssysteme to protect against risks related to the computer systems are the possible risks related scenarios for the supply network, in particular a high-voltage power ¬ factory, covered. Advantageously, the internal and / or external degree of danger is determined with regard to the nature of the hazard and / or the spatial and / or temporal influence of the hazard on the supply network. In the case of a locally limited danger, for example, the intrusion of a foreign person on a site with selected network components, the danger is determined by the method and spatially limited by means of the security guideline or the derived rule set on the network components in the vicinity of the stranger. In this
Falle wird durch ein örtlich begrenztes erhöhtes Gefahrdungspotential das Sicherheitsniveau der in unmittelbarer Nahe der Gefahrdung befindlichen Netzwerkkomponenten erhöht. Ebenfalls können in diesem Falle die Zugriffsrechte von Benutzern über das parallel geschaltete Leitsystem für diese ausgesuchtenIn the event of a localized increased risk potential, the safety level of the network components located in the immediate vicinity of the hazard is increased. Likewise, in this case, the access rights of users can be selected for them via the parallel-connected control system
Netzwerkkomponenten eingeschränkt beziehungsweise die Funktionalität der Netzwerkkomponenten, beispielsweise gegen unberechtigtes Abschalten, beschrankt werden.Restricted network components or the functionality of the network components, for example, against unauthorized shutdown, limited.
In einer vorteilhaften Ausgestaltung des Verfahrens ist vorgesehen, dass durch die Sicherheitsrichtlinie Anforderungen hinsichtlich der Verfügbarkeit und Stabilität des Versorgungsnetzwerkes, sowie hinsichtlich der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von Informationen im Versorgungsnetzwerk und/oder im Leitsystem in Abhängigkeit von unterschiedlichen möglichen Gefährdungspotentialen definiert werden. Durch die Beachtung der vorstehenden Bedingungen fϋr den Betrieb des Netzwerkes innerhalb der Sicherheitsrichtlinien kann der jeweilige Anforderungsschwerpunkt zum Betrieb des Versorgungsnetzwerkes gewahrleistet werden. Vorteilhafterweise werden mindestens zwei unabhängige Sicherheitsrichtlinien für zwei Netzwerkkomponenten jeweils definiert. Hierdurch ist es möglich, hinsichtlich eines Gefahrdungspotentials für zwei unterschiedliche Netzwerkkomponenten zwei unterschiedliche Sicherheitsrichtlinien und damit unterschiedliche Regelsatze zu definieren.In an advantageous embodiment of the method, it is provided that the security policy defines requirements with regard to the availability and stability of the supply network, as well as with regard to the availability, integrity, confidentiality and authenticity of information in the supply network and / or in the control system as a function of different potential hazards. By observing the above conditions for the operation of the network within the security guidelines, the respective requirement focus on the operation of the supply network can be ensured. Advantageously, at least two independent security policies are defined for each of two network components. This makes it possible with regard to a danger potential for two different network components to define two different security policies and thus different rule sets.
Eine Regelinstanzeinrichtung erzeugt vorteilhafterweise auf der Basis der Sicherheitsrichtlinie, des Gefahrdungspotentials, der aktuellen Konfiguration der Netzwerkkomponenten des Versorgungsnetzwerkes den Regelsatz. Es wird als Vorteil angesehen, dass mindestens zwei unabhängige Regelsätze für mindestens zwei Netzwerkkomponenten jeweils definiert werden. In einer vorteilhaften Ausgestaltung des Verfahrens ist vorgesehen, dass durch den Regelsatz eine inhaltliche und/oder zeitliche und/oder raumliche Beschrankung hinsichtlich der Funktionalitat der Netzwerkkomponenten während der Gefahrdung gewahrleistet wird. Insbesondere die Einschränkung von Zugriffsrechten, der Möglichkeit bestimmte Steuerung derA rule instance device advantageously generates the rule set on the basis of the security policy, the threat potential, the current configuration of the network components of the utility network. It is considered advantageous to define at least two independent rule sets for at least two network components, respectively. In an advantageous embodiment of the method, it is provided that the content of the rule set guarantees a contentual and / or temporal and / or spatial restriction with regard to the functionality of the network components during the danger. In particular, the limitation of access rights, the possibility of certain control of
Netzwerkkomponente vorzunehmen beziehungsweise bestimmter Benutzer bestimmte Zugriffsrechte beziehungsweise Steuermog- lichkeiten zu geben, gewahrleistet jederzeit einen sicheren Betrieb des Versorgungsnetzwerkes.Make network component or give certain users certain access rights or control options, ensures at any time safe operation of the supply network.
In einer vorteilhaften Ausgestaltung des Verfahrens ist vorgesehen, dass die Funktionalitat der Netzwerkkomponente durch eine Sicherheitsanweisung beschrankt wird, wobei die Sicherheitsanweisung mittels eines Sicherheitsanweisungsrechners auf der Basis des Regelsatzes erzeugt wird. Mittels des Sicherheitsanweisungsrechners ist gewährleistet, dass die gegebenenfalls übergeordneten definierten und allgemeinen Regelsatze in konkrete Sicherheitsanweisungen in Form von Steuerungsbefehlen und/oder erlaubten Zugriffsrechten für eine Netzwerkkomponente umgesetzt werden. Vorteilhafterweise wird die Sicherheitsanweisung der Netzwerkkomponente im Leitsystem ermittelt, über das Leitsystem an die Netzwerkkomponente übermittelt und in der mit dem Leitsystem parallel zum Versorgungsnetzwerk verbundenen Netzwerkkomponente umgesetzt. Vorteilhafterweise ist das softwarebasierte Sicherheitsuber- wachungssystem ein Softwareagent, der Veränderungen in bestimmten Rechner- beziehungsweise Netzwerkkonfigurationen überwacht und potentielle Bedrohungen ermittelt. Die poten- tielle Bedrohung kann innerhalb des Versorgungsnetzwerkes, innerhalb eines äußeren Versorgungsnetzwerkes, innerhalb eines mit dem Leitsystem verbundenen weiteren äußeren Leitsystems beziehungsweise innerhalb des Leitsystems ermittelt werden. Vorteilhafterweise wird in Abhängigkeit des Gefahrdungs- potentials mittels des Regelsatzes eine inhaltliche, räumliche und/oder zeitliche Begrenzung der Funktionalitat von ausgewählten Netzwerkkomponenten und/oder von Rechnern innerhalb des Leitsystems vorgenommen. Ein unmittelbarer Zugriff über das Versorgungsnetzwerk beziehungsweise ein Zugriff über das parallel geschaltete Leitsystem wird hierdurch verhindert. Die Regelinstanzeinrichtung umfasst vorteilhafterweise ein regelbasiertes System, beispielsweise ein Fuzzy-Logik-System und/oder ein neuronales Netz. Hierdurch ist es möglich, bestimmte Entscheidungsunscharfen, die durch die gegebenenfalls zu allgemeine Sicherheitsrichtlinie beziehungsweise die daraus abgeleiteten Regelsätze vorgegebenen werden, in entsprechend konkrete Steuerbefehle im Rahmen der Sicherheitsanweisungen für die Netzwerkkomponenten umzusetzen.In an advantageous embodiment of the method it is provided that the functionality of the network component is limited by a security instruction, wherein the security instruction is generated by means of a security instruction computer on the basis of the rule set. By means of the safety instruction computer, it is ensured that the possibly superordinate defined and general rulesets are converted into concrete safety instructions in the form of control commands and / or permitted access rights for a network component. Advantageously, the security instruction of the network component is determined in the control system, transmitted via the control system to the network component and implemented in the network component connected to the control system in parallel with the supply network. Advantageously, the software-based security monitoring system is a software agent that monitors changes in specific computer or network configurations and identifies potential threats. The potential threat can be determined within the supply network, within an external supply network, within a further external control system connected to the control system or within the control system. Advantageously, depending on the danger potential by means of the rule set, a content, spatial and / or temporal limitation of the functionality of selected network components and / or computers within the control system is made. Direct access via the supply network or access via the parallel-connected control system is thereby prevented. The rule instance device advantageously comprises a rule-based system, for example a fuzzy logic system and / or a neural network. This makes it possible to implement certain decision uncertainties, which are predetermined by the possibly too general security policy or the rule sets derived therefrom, in correspondingly concrete control commands in the context of the security instructions for the network components.
Vorteilhafterweise ist die Netzwerkkomponente ein Schutzgerät. Des Weiteren wird es als Vorteil angesehen, dass bei einer Veränderung der Konfiguration des gesamten Versorgungsnetzwerkes ein neuer Regelsatz durch die Regelinstanzeinrichtung erzeugt wird. Durch die Einfügung beziehungsweise He- rausnahme einer Netzwerkkomponente kann sich gegebenenfalls das Gefahrdungspotential trotz gleichbleibenden äußeren und inneren Gefährdungsgrad verandern, so dass durch die Erzeugung eines neuen Regelsatzes eine potentielle Gefahrdung des Versorgungsnetzwerkes ausgeschlossen ist. Des Weiteren lost ein Computerprogramm und ein Computerprogrammprodukt die Aufgabe, wobei das Computerprogrammprodukt in einem computerlesbaren Medium gespeichert ist und computerlesbare Mittel umfasst, mittels derer ein Computer veran- lasst wird, das erfindungsgemaße Verfahren durchzuführen, wenn das Programm in dem Computer ablauft. Weitere vorteilhafte Ausgestaltungen der vorliegenden Erfindung ergeben sich aus den Unteranspruchen .Advantageously, the network component is a protection device. Furthermore, it is regarded as an advantage that when changing the configuration of the entire supply network, a new rule set is generated by the rule instance device. By inserting or removing a network component, the hazard potential may possibly change despite a constant external and internal degree of danger, so that the creation of a new rule set precludes a potential danger to the supply network. Furthermore, a computer program and a computer program product solves the problem, wherein the computer program product is stored in a computer-readable medium and comprises computer-readable means by which a computer is caused to perform the inventive method when the program runs in the computer. Further advantageous embodiments of the present invention will become apparent from the dependent claims.
Die Erfindung wird nachfolgend anhand von Ausfuhrungsbeispielen naher erläutert. Dabei zeigen beispielhaftThe invention will be explained in more detail with reference to exemplary embodiments. This show by way of example
Fig. 1 eine schematische Darstellung des Versorgungsnetzwerkes mit drei Netzwerkkomponenten, undFig. 1 is a schematic representation of the supply network with three network components, and
Fig. 2 ein Ablaufdiagramm des Verfahrens, undFig. 2 is a flowchart of the method, and
Fig. 3 eine schematische Darstellung mit Rechnern innerhalb des Leitsystems, die aufgrund einer Bedrohung eine raumliche höhere Sicherheitsstufe erhalten, undFig. 3 is a schematic representation of computers within the control system, which receive a higher spatial security level due to a threat, and
Fig. 4 ein UML-Sequenzdiagramm des Verfahrens.4 shows a UML sequence diagram of the method.
Die Fig. 1 zeigt eine schematische Darstellung des Versorgungsnetzwerkes 1 mit drei Netzwerkkomponenten 2a, 2b, 2c. Die Netzwerkkomponenten 2a, 2b, 2c sind mittels einer jeweiligen Steuereinrichtung 3a, 3b, 3c mit einem Leitsystem 7 verbunden. Die Netzwerkkomponenten 2a, 2b, 2c - im vorliegen- den Fall ein Uberspannungsableiter, ein Transformator und ein Leistungsschalter - werden mittels eines Uberwachungssystems 4a, 4b, 4c überwacht. Das Uberwachungssystem 4a, 4b, 4c kann entweder ein Kamerauberwachungssystem und/oder ein softwarebasiertes Sicherheitsuberwachungssystem 12 sein. Die Uberwa- chungssysteme 4a, 4b, 4c sind mit dem Leitsystem 7 verbunden und werden in einer Gefahrdungsauswerteeinrichtung 5 ausgewertet. Hierbei wird der innere Gefahrdungsgrad 13b und der äußere Gefahrdungsgrad 13a, insbesondere aufgrund der Verbin- düng des Leitsystems 7 mit äußeren Kommunikationsnetzen, wie dem Internet, ermittelt. Hieraus wird das entsprechende Gefährdungspotential 8 gebildet und als Eingabe in eine Regelinstanzeinrichtung 6 verwendet. Anschließend erzeugt ein Sicherheitsanweisungsrechner 15 entsprechende Sicherheitsan- Weisungen 10a, 10b, 10c für die jeweilige gefährdete Komponente, im dargestellten Beispiel der Fig. 1 der Uberspan- nungsableiter 2a aufgrund einer softwarebasierten Gefahrdung 17 und eine weitere Sicherheitsanweisung 10c an den Leistungsschalter 2c aufgrund der unmittelbaren Gefahrdung 17 ei- ner Person in der Umgebung des Leistungsschalters 2c. Ebenfalls wird zur Abwehr einer softwarebasierten Gefahrdung, die mittels einer Internetverbindung das Leitsystem 7 gefährden konnte, eine entsprechende Sicherheitsanweisung 10b abgesetzt, wobei im vorliegenden Falle die Zugriffsrechte auf die Regelinstanzeinrichtung 6 mittels einer Sicherheitsanweisung 10b beschrankt werden.Fig. 1 shows a schematic representation of the supply network 1 with three network components 2a, 2b, 2c. The network components 2a, 2b, 2c are connected to a control system 7 by means of a respective control device 3a, 3b, 3c. The network components 2a, 2b, 2c-in the present case a surge arrester, a transformer and a circuit breaker-are monitored by means of a monitoring system 4a, 4b, 4c. The surveillance system 4a, 4b, 4c may be either a camera surveillance system and / or a software based security monitoring system 12. The The systems 4a, 4b, 4c are connected to the control system 7 and are evaluated in a danger evaluation device 5. In this case, the inner danger degree 13b and the outer danger degree 13a, in particular due to the connection of the guidance system 7 with external communication networks, such as the Internet, are determined. From this, the corresponding hazard potential 8 is formed and used as input to a rule instance device 6. Subsequently, a safety instruction computer 15 generates corresponding safety instructions 10a, 10b, 10c for the respective vulnerable component, in the illustrated example of FIG. 1 the surge arrester 2a due to a software-based hazard 17 and another safety instruction 10c to the circuit breaker 2c due to the immediate danger 17 of a person in the vicinity of the circuit breaker 2c. Likewise, in order to avert a software-based danger, which could jeopardize the control system 7 by means of an Internet connection, a corresponding security instruction 10b is issued, wherein in the present case the access rights to the rule-institution 6 are limited by means of a security instruction 10b.
Die Fig. 2 zeigt ein Ablaufdiagramm des vorliegenden Verfahrens. Nach der Ermittlung eines äußeren Gefahrdungsgrades 13a und eines inneren Gefährdungsgrades 13b innerhalb des Versorgungsnetzwerkes 1 (nicht dargestellt) wird ein entsprechendes Gefahrdungspotential 8 ermittelt. Das so ermittelte Gefahrdungspotential 8, das insbesondere durch eine Summation von alphanumerisch ermittelten Werten für den äußeren und den in- neren Gefahrdungsgrad 13a und 13b gebildet wird, wird das Gefahrdungspotential 8 mit einer vorgebbaren Schwelle verglichen. Liegt das Gefahrdungspotential 8 oberhalb einer vorgebbaren Schwelle für das Gefahrdungspotential, wird das erfin- dungsgemaße Verfahren durchlaufen. Im dargestellten Beispiel der Fig. 2 kann somit durch die Bereitstellung einer vorgebbaren Schwelle für das Gefahrdungspotential 8 die Sensitivi- tat des Verfahrens durch einen Benutzer vorgegeben werden. Für den Fall, dass das Gefahrdungspotential 8 oberhalb einer vorgebbaren Gefahrdungsschwelle liegt, werden die entsprechenden Sicherheitsrichtlinien 9a aus einem Sicherheitsrichtlinienspeicher 14 ausgelesen. Unter Zugrundelegung des Gefahrdungspotentials 8 wird aus der Sicherheitsrichtlinie 9a ein Regelsatz 18a erzeugt, aus dem die Sicherheitsanweisung 10a abgeleitet werden. Die Sicherheitsanweisung 10a wird anschließend in einem Steuergerat 3a, das der jeweiligen Netzwerkkomponente 2a (nicht dargestellt) zugeordnet ist, automatisch übermittelt. Des Weiteren wird durch das Verfahren überwacht, ob die Sicherheitsanweisung 10a umgesetzt wurde. Im Falle eines erneuten Durchlaufs des Verfahrens kann durch den Benutzer beziehungsweise automatisch durch die Gefahr- dungsauswerteeinrichtung 5 das vorgebbare Gefahrdungspotential variabel beziehungsweise zeitabhängig definiert werden.Fig. 2 shows a flowchart of the present method. After the determination of an external degree of danger 13a and an inner degree of danger 13b within the supply network 1 (not shown), a corresponding danger potential 8 is determined. The hazard potential 8 thus determined, which is formed in particular by a summation of alphanumerically determined values for the external and internal danger levels 13a and 13b, the hazard potential 8 is compared with a predefinable threshold. If the hazard potential 8 is above a predefinable threshold for the danger potential, the method according to the invention is run through. In the example shown 2, the sensitivity of the method can thus be predetermined by a user by providing a predefinable threshold for the hazard potential 8. In the event that the danger potential 8 is above a predefinable danger threshold, the corresponding security guidelines 9a are read from a security policy memory 14. On the basis of the danger potential 8, a set of rules 18a is generated from the security policy 9a, from which the security instruction 10a is derived. The security instruction 10a is then automatically transmitted in a control unit 3a, which is assigned to the respective network component 2a (not shown). Furthermore, the method monitors whether the safety instruction 10a has been implemented. In the event of a renewed passage of the method, the predefinable danger potential can be defined variably or time-dependent by the user or automatically by the danger evaluation device 5.
Die Fig. 3 zeigt eine schematische Darstellung mit RechnernFig. 3 shows a schematic representation with computers
16a bis 16c innerhalb des Leitsystems 7. Ein Überwachungssystem 4a sowie ein softwarebasiertes Sicherheitssystem 12 übermitteln einen inneren und einen äußeren Gefahrdungsgrad 13a, 13b (nicht dargestellt) an die Gefahrdungsauswerteeinrichtung 5. Innerhalb der Regelinstanzeinrichtung 6 wird ein Gefahrdungspotential 8 zunächst ermittelt und unter Berücksichtigung der Sicherheitsrichtlinie 9a eines Sicherheitsrichtlinienspeichers 14 an eine Regelerzeugungseinrichtung 11 weitergeleitet. Innerhalb der Regelerzeugungseinrichtung 11 wird der Regelsatz 18a erzeugt. Anschließend wird der so ermittelte Regelsatz 18a mittels eines Sicherheitsanweisungsrechners 15 für die jeweilige Netzwerkkomponente 2a innerhalb des Versorgungsnetzwerkes 1 ermittelt. Im dargestellten Beispiel der Fig. 3 dienen die Sicherheitsanweisungen 10a, 10b dazu, räum- lieh gefährdete Komponenten, wie den Uberspannungsableiter 2a im Versorgungsnetzwerk 1 sowie die Rechner 16a, 16b innerhalb des Leitsystems 7 bezüglich ihrer Funktionalität und/oder Zugriffsrechten für Benutzer einzuschränken.16a to 16c within the control system 7. A monitoring system 4a and a software-based security system 12 transmit an inner and an outer Danger 13a, 13b (not shown) to the Danger Dungsauswerteeinrichtung 5. Within the rule device 6 a hazard potential 8 is first determined and taking into account the safety guideline 9a of a security policy memory 14 forwarded to a rule generating device 11. Within the rule generating device 11, the rule set 18a is generated. Subsequently, the rule set 18a thus determined is determined by means of a security instruction computer 15 for the respective network component 2a within the supply network 1. In the illustrated example of FIG. 3, the safety instructions 10a, 10b serve to lent vulnerable components, such as the surge arrester 2a in the supply network 1 and the computer 16a, 16b within the control system 7 with respect to their functionality and / or access rights for users restrict.
Die Fig. 4 zeigt ein UML-Sequenzdiagramm zur Durchführung des Verfahrens. Die Gefahrdungsauswerteeinrichtung 5 sendet nach einer Authentifizierung den inneren und äußeren Gefahrdungsgrad 13a, 13b an die Regelinstanzeinrichtung 6. Die Re- gelinstanzeinrichtung 6 erhalt von dem Sicherheitsrichtlinienspeicher 14 die entsprechende Sicherheitsrichtlinie 9a zu dem innerhalb der Regelinstanzeinrichtung 6 gebildeten Gefahrdungspotentials 8. Daraufhin wird eine Regelerzeugungseinrichtung 11 gestartet, deren Ergebnisse an den Sicher- heitsanweisungsrechner 15 weitergeleitet werden. Der Sicher- heitsanweisungsrechner 15 sendet eine Sicherheitsanweisung 10a an die jeweilige Steuereinrichtung 3 und überprüft die korrekte Umsetzung der Sicherheitsanweisung 10a in der Steuereinrichtung 3a. Die erfolgreiche Umsetzung der Sicherheits- anweisung 10a in der Steuereinrichtung 3a beziehungsweise in der zugeordneten Netzwerkkomponente 2a (nicht dargestellt) wird ebenfalls zurück an die Regelinstanzeinrichtung 6 beziehungsweise an die Gefahrdungsauswerteeinrichtung 5 übermittelt. FIG. 4 shows a UML sequence diagram for carrying out the method. After an authentication, the hazard assessment device 5 sends the inner and outer danger degree 13a, 13b to the rule instance device 6. The rule instance device 6 receives the corresponding security guideline 9a from the security policy memory 14 to the hazard potential 8 formed within the rule instance device 6. Then a rule generation device 11 is started whose results are forwarded to the security instruction computer 15. The security instruction computer 15 sends a safety instruction 10a to the respective control device 3 and checks the correct implementation of the safety instruction 10a in the control device 3a. The successful implementation of the security instruction 10a in the control device 3a or in the assigned network component 2a (not shown) is likewise transmitted back to the control device 6 or to the danger evaluation device 5.
BezugszeichenlisteLIST OF REFERENCE NUMBERS
1 Versorgungsnetzwerk1 supply network
2a, 2b, 2c Netzwerkkomponente 3a, 3b, 3c Steuereinrichtung2a, 2b, 2c network component 3a, 3b, 3c control device
4a, 4b, 4c Uberwachungssystem4a, 4b, 4c monitoring system
5 Gefahrdungsauswerteeinrichtung5 Danger assessment device
6 Regelinstanzeinrichtung6 Rule Instance Device
7 Leitsystem 8 Gefahrdungspotential7 Control system 8 Danger potential
9a, 9b, 9c Sicherheitsrichtlinie9a, 9b, 9c security policy
10a ,10b, 10c Sicherheitsanweisung10a, 10b, 10c safety instruction
11 Regelerzeugungseinrichtung11 control device
12 softwarebasiertes Sicherheits- uberwachungssystem12 software-based security monitoring system
13a äußerer Bedrohungsgrad13a outer threat level
13b innerer Bedrohungsgrad13b inner threat level
14 Sicherheitsrichtlinienspeicher14 security policy storage
15 Sicherheitsanweisungsrechner 1166aa,, 1166bb,, 1166cc Rechner innerhalb des Leitsystems15 Safety instruction calculator 1166aa ,, 1166bb ,, 1166cc Computer within the control system
17 Gefahrdung17 Danger of danger
18a ,18b, 18c Regelsatz 18a, 18b, 18c ruleset

Claims

Patentansprüche claims
1. Verfahren zum Schutz eines Versorgungsnetzwerkes (1) mit mindestens einer steuerbaren Netzwerkkomponente (2a, 2b, 2c), wobei ein Gefahrdungspotential (17) des Versorgungsnetzwerkes (1) ermittelbar ist, mit folgenden Schritten: a ) Ermittelung eines äußeren Gefahrdungsgrades (13a) außerhalb des Versorgungsnetzwerkes (1) und eines inneren Gefahrdungsgrades (13b) innerhalb des Versorgungsnetzwerkes (1), b) Bildung des aktuellen Gefahrdungspotentials (17) aufgrund des ermittelten äußeren und des inneren Gefahrdungsgrades (13a, 13b) des Versorgungsnetzwerkes (1), c)Vergleich des aktuellen Gefahrdungspotentials (17) mit ei- nem vorgebbaren Gefahrdungspotentials des Versorgungsnetzwerkes ( 1 ) , d) im Falle der Abweichung des aktuellen Gefahrdungspotentials (17) vom vorgebbaren Gefahrdungspotential wird ein Regelsatz ( 18a, 18b, 18c) zur Erzeugung einer Sicherheitsan- Weisung ( 10a, 10b, 10c) für die Netzwerkkomponente1. A method for protecting a supply network (1) with at least one controllable network component (2a, 2b, 2c), wherein a danger potential (17) of the supply network (1) can be determined, comprising the following steps: a) determination of an external degree of danger (13a) outside the supply network (1) and an inner danger degree (13b) within the supply network (1), b) formation of the current danger potential (17) on the basis of the determined external and internal danger level (13a, 13b) of the supply network (1), c) Comparison of the current hazard potential (17) with a predeterminable risk potential of the supply network (1), d) in the case of deviation of the current hazard potential (17) from the specified hazard potential is a set of rules (18a, 18b, 18c) for generating a safety instruction (10a, 10b, 10c) for the network component
(2a, 2b, 2c) auf der Grundlage einer Sicherheitsrichtlinie (9a, 9b, 9c) unter Berücksichtigung des ermittelten Gefahrdungspotentials (17) des Versorgungsnetzwerkes (1) erzeugt, e) Automatische Übermittlung und Umsetzung der ermittelten Sicherheitsanweisung ( 10a, 10b, 10c) in der Netzwerkkomponente (2a, 2b, 2c) des Versorgungsnetzwerkes (1) zur Reduzierung des Gefahrdungspotentials (17) des Versorgungsnetzes (1) .(2a, 2b, 2c) on the basis of a security policy (9a, 9b, 9c), taking into account the determined danger potential (17) of the supply network (1) generated, e) Automatic transmission and implementation of the determined safety instruction (10a, 10b, 10c) in the network component (2a, 2b, 2c) of the supply network (1) for reducing the danger potential (17) of the supply network (1).
2. Verfahren nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t , dass die Sicherheitsanweisung ( 10a, 10b, 10c) für die Netzwerkkomponente (2a, 2b, 2c) über ein zum Versorgungsnetzwerk (1) paralleles Leitsystem (7) versendet und mittels einer Steuereinrichtung (3a, 3b, 3c) zur Steuerung der Netzwerkkomponente (2a, 2b, 2c) verwendet wird.2. The method according to claim 1, characterized in that the safety instruction (10a, 10b, 10c) for the network component (2a, 2b, 2c) via a to the supply network (1) parallel control system (7) and sent by means of a control device (3a, 3b, 3c) for controlling the network component (2a, 2b, 2c) is used.
3. Verfahren nach einem der Ansprüche 1 oder 2, d a d u r c h g e k e n n z e i c h n e t , dass der äußere und/oder innere Gefahrdungsgrad (13a, 13b) des Versorgungsnetzwerks (1) mittels eines in der Nahe der Netzwerk- komponente (2a, 2b, 2c) angeordneten Uberwachungssystems3. Method according to one of claims 1 or 2, characterized in that the external and / or internal danger degree (13a, 13b) of the supply network (1) by means of a near the network component (2a, 2b, 2c) arranged monitoring system
(4a, 4b, 4c) und/oder mittels softwarebasierter Sicherheits- uberwachungssysteme (12) zur Analyse einer Gefahrdung (17) von weiteren mit dem Versorgungsnetzwerk (1) verbundenen Versorgungsnetzen und/oder zur Analyse der Gefahrdung (17) von mit dem Leitsystem (7) verbundenen Kommunikationsnetzen ermittelt wird.(4a, 4b, 4c) and / or by means of software-based security monitoring systems (12) for analyzing a hazard (17) from further supply networks connected to the supply network (1) and / or for analyzing the danger (17) of the control system ( 7) associated communication networks is determined.
4. Verfahren nach einem der Ansprüche 1 bis 3, d a d u r c h g e k e n n z e i c h n e t , dass der innere und/oder äußere Gefahrdungsgrad (13a, 13b) hinsichtlich der Art der Gefahrdung (17) und/oder des raumlichen und/oder zeitlichen Einflusses der Gefahrdung auf das Versorgungsnet zwerk (1) ermittelt wird.4. The method according to any one of claims 1 to 3, characterized in that the inner and / or outer Danger Degree (13a, 13b) with respect to the type of Gefahrdung (17) and / or the spatial and / or temporal influence of the hazard on the Versorgungsnet zwerk (1) is determined.
5. Verfahren nach einem der Ansprüche 1 bis 4, d a d u r c h g e k e n n z e i c h n e t , dass durch die Sicherheitsrichtlinie (9a, 9b, 9c) Anforderungen hinsichtlich der Verfügbarkeit und Stabilität des Versorgungsnetzwerkes (1) sowie hinsichtlich der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von Informationen im Versorgungsnetzwerk (1) und/oder im Leitsystem (7) in Abhängigkeit von unterschiedlichen möglichen Gefährdungspotentialen (8) definiert werden. 5. The method according to any one of claims 1 to 4, characterized in that by the security policy (9a, 9b, 9c) requirements regarding the availability and stability of the supply network (1) as well as the availability, integrity, confidentiality and authenticity of information in the supply network ( 1) and / or in the control system (7) depending on different possible hazard potentials (8) are defined.
6. Verfahren nach einem der Ansprüche 1 bis 5, d a d u r c h g e k e n n z e i c h n e t , dass mindestens zwei unabhängige Sicherheitsrichtlinien (9a, 9b, 9c) für mindestens zwei Netzwerkkomponenten (2a, 2b, 2c) jeweils definiert werden.6. The method according to claim 1, wherein at least two independent security policies are defined for at least two network components (2a, 2b, 2c).
7. Verfahren nach einem der Ansprüche 1 bis 6, d a d u r c h g e k e n n z e i c h n e t , dass durch eine Regelinstanzeinrichtung (6) auf der Basis der Si- cherheitsrichtlinie (9a, 9b, 9c), des Gefahrdungspotentials7. Method according to one of claims 1 to 6, characterized in that by a control institu- tion device (6) on the basis of the safety guideline (9a, 9b, 9c), the danger potential
(17), der aktuellen Konfigurationen der Netzwerkkomponenten (2a, 2b, 2c) des Versorgungsnetzwerks (1) der Regelsatz (18a, 18b, 18c) erzeugt wird.(17), the current configurations of the network components (2a, 2b, 2c) of the utility network (1) of the rule set (18a, 18b, 18c) is generated.
8. Verfahren nach einem der Ansprüche 1 bis 7, d a d u r c h g e k e n n z e i c h n e t , dass mindestens zwei unabhängige Regelsatze ( 18a, 18b, 18c) für mindestens zwei Netzwerkkomponenten (2a, 2b, 2c) jeweils definiert werden.8. The method according to claim 1, wherein at least two independent rule sets (18a, 18b, 18c) are defined for at least two network components (2a, 2b, 2c), respectively.
9. Verfahren nach einem der Ansprüche 1 bis 8, d a d u r c h g e k e n n z e i c h n e t , dass durch den Regelsatz ( 18a, 18b, 18c) eine inhaltliche und/oder zeitliche und/oder raumliche Beschrankung hinsichtlich der Funktionalitat der Netzwerkkomponente (2a, 2b, 2c) während der Gefährdung (17) gewahrleistet wird.9. The method according to any one of claims 1 to 8, characterized in that by the rule set (18a, 18b, 18c) a content and / or temporal and / or spatial restriction with respect to the functionality of the network component (2a, 2b, 2c) during the hazard (17).
10. Verfahren nach Anspruch 9, d a d u r c h g e k e n n z e i c h n e t , dass die Funktionalitat der Netzwerkkomponente (2a, 2b, 2c) durch eine10. The method according to claim 9, characterized in that the functionality of the network component (2a, 2b, 2c) is determined by a
Sicherheitsanweisung ( 10a, 10b, 10c) beschrankt wird, wobei die Sicherheitsanweisung (10a, 10b, 10c) mittels eines Sicherheitsanweisungsrechners (15) auf der Basis des Regelsatzes ( 18a , 18b, 18c) erzeugt wird.Safety instruction (10a, 10b, 10c) is limited, wherein the safety instruction (10a, 10b, 10c) by means of a Security instruction calculator (15) on the basis of the rule set (18a, 18b, 18c) is generated.
11. Verfahren nach einem der Ansprüche 9 oder 10, d a d u r c h g e k e n n z e i c h n e t , dass die Sicherheitsanweisung (9a, 9b, 9c) der Netzwerkkomponente (2a, 2b, 2c) im Leitsystem (7) ermittelt, über das Leitsystem (7) an die Netzwerkkomponente (2a, 2b, 2c) übermittelt und in der mit dem Leitsystem (7) parallel zum Versorgungsnetzwerk (1) verbundene Netzwerkkomponente (2a, 2b, 2c) umgesetzt wird.11. The method according to any one of claims 9 or 10, characterized in that the safety instruction (9a, 9b, 9c) of the network component (2a, 2b, 2c) determined in the control system (7), via the control system (7) to the network component (2a , 2b, 2c) and in which the network component (2a, 2b, 2c) connected to the control system (7) parallel to the supply network (1) is converted.
12. Verfahren nach einem der Ansprüche 1 bis 11, d a d u r c h g e k e n n z e i c h n e t , dass mittels eines Softwareagenten als softwarebasiertes Sicher- heitsuberwachungssystem (12) und/oder eines Uberwachungssys- tems (4a, 4b, 4c) der äußere Gefahrdungsgrad (13a) und/oder der innere Gefahrdungsgrad (13b) des Versorgungsnetzwerkes (1) ermittelt werden.12. The method according to any one of claims 1 to 11, characterized in that by means of a software agent as software-based Sicherheitssuberwachungssystem (12) and / or a Uberwachungssys- (4 a, 4 b, 4 c) of the outer Danger degree (13 a) and / or the inner Danger degree (13b) of the supply network (1) are determined.
13. Verfahren nach einem der Ansprüche 1 bis 12, d a d u r c h g e k e n n z e i c h n e t , dass in Abhängigkeit des Gefahrdungspotentials (8) mittels des Regelsatzes ( 18a, 18b, 18c) eine inhaltlich, raumlich und/oder zeitlich Begrenzung der Funktionalitat von ausgewählten Netz- werkkomponenten (2a, 2b, 2c) und/oder von Rechnern13. The method according to any one of claims 1 to 12, characterized in that depending on the danger potential (8) by means of the rule set (18a, 18b, 18c) a content, space and / or time limit of the functionality of selected network components (2a, 2b, 2c) and / or computers
(16a, 16b, 16c) innerhalb des Leitsystems (7) vorgenommen wird.(16a, 16b, 16c) within the control system (7) is made.
14. Verfahren nach einem der Ansprüche 7 bis 13, d a d u r c h g e k e n n z e i c h n e t , dass die Regelinstanzeinrichtung (6) ein regelbasiertes System und/oder ein neuronales Netz umfasst.14. The method according to claim 7, wherein the rule instance device comprises a rule-based system and / or a neural network.
15. Verfahren nach einem der Ansprüche 1 bis 14, d a d u r c h g e k e n n z e i c h n e t , dass die Netzwerkkomponente (2a, 2b, 2c) ein Schυtzgerat ist.15. The method according to any one of claims 1 to 14, characterized in that the network component (2a, 2b, 2c) is a protector.
16. Verfahren nach einem der Ansprüche 1 bis 15, d a d u r c h g e k e n n z e i c h n e t , dass bei Veränderung der Konfiguration des gesamten Versorgungsnetzwerkes (1) ein neuer Regelsatz ( 18a, 18b, 18c) durch die Regelinstanzeinrichtung (6) erzeugt wird.16. The method according to claim 1, wherein a change of the configuration of the entire supply network (1) generates a new set of rules (18a, 18b, 18c) by the rule instance device (6).
17. Verfahren nach einem der Ansprüche 1 bis 16, d a d u r c h g e k e n n z e i c h n e t , dass der äußere Gefahrdungsgrad (13a) und der innere Gefahrdungsgrad (13b) in Form einer alphanumerischen Zahl abgebildet und das aktuellen Gefahrdungspotentials (17) die arithmetische Summe des so er- mittelten äußeren und inneren Gefahrdungsgrads (13a, 13b) ist.17. The method according to any one of claims 1 to 16, characterized in that the external Danger Degree (13a) and the inner Danger Level (13b) in the form of an alphanumeric number mapped and the current Danger Potential (17) the arithmetic sum of the so determined outer and inner danger degree (13a, 13b) is.
18. Computerprogramm mit Programmcode eingerichtet zur Durchfuhrung des Verfahrens nach einem der Ansprüche 1 bis 17, wenn das Programm in einem Computer ausgeführt wird.18. Computer program with program code set up for carrying out the method according to one of claims 1 to 17, when the program is executed in a computer.
19. Computerprogrammprodukt mit Programmcode zur Ausfuhrung des Verfahrens nach einem der Ansprüche 1 bis 17, wenn das Programm in einem Computer ausgeführt wird. 19. Computer program product with program code for carrying out the method according to one of claims 1 to 17, when the program is executed in a computer.
PCT/EP2008/009352 2008-10-29 2008-10-29 Method for protecting a supply grid WO2010048977A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/EP2008/009352 WO2010048977A1 (en) 2008-10-29 2008-10-29 Method for protecting a supply grid

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2008/009352 WO2010048977A1 (en) 2008-10-29 2008-10-29 Method for protecting a supply grid

Publications (1)

Publication Number Publication Date
WO2010048977A1 true WO2010048977A1 (en) 2010-05-06

Family

ID=41211986

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2008/009352 WO2010048977A1 (en) 2008-10-29 2008-10-29 Method for protecting a supply grid

Country Status (1)

Country Link
WO (1) WO2010048977A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013123975A1 (en) 2012-02-21 2013-08-29 Siemens Aktiengesellschaft Method for configuring a safety system for a power automation installation and power automation installation having a safety system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112004000428T5 (en) * 2003-03-31 2006-02-09 Intel Corporation, Santa Clara Methods and systems for managing security policies
DE60112044T2 (en) * 2000-02-08 2006-08-10 Harris Corp., Melbourne DEVICE AND METHOD FOR ASSESSING THE LOSS OF NETWORK SECURITY
US20060265324A1 (en) * 2005-05-18 2006-11-23 Alcatel Security risk analysis systems and methods

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60112044T2 (en) * 2000-02-08 2006-08-10 Harris Corp., Melbourne DEVICE AND METHOD FOR ASSESSING THE LOSS OF NETWORK SECURITY
DE112004000428T5 (en) * 2003-03-31 2006-02-09 Intel Corporation, Santa Clara Methods and systems for managing security policies
US20060265324A1 (en) * 2005-05-18 2006-11-23 Alcatel Security risk analysis systems and methods

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013123975A1 (en) 2012-02-21 2013-08-29 Siemens Aktiengesellschaft Method for configuring a safety system for a power automation installation and power automation installation having a safety system

Similar Documents

Publication Publication Date Title
DE112010003454B4 (en) Threat detection in a data processing system
US9992213B2 (en) Risk-adaptive access control of an application action based on threat detection data
DE112010004526T5 (en) A system, method and apparatus for concurrently establishing and enforcing access control and integrity policies
DE102010037740A1 (en) Integrated unified threat management for a process control system
EP2966828B1 (en) Method for detecting an attack on a work environment connected with a communications network
DE112004000428T5 (en) Methods and systems for managing security policies
DE10249427A1 (en) Method for defining the security state of a computer and its ability to withstand a third party distributed attack in which a specification of attacker identity and attack method are made to provide a quantitative assessment
DE10249428A1 (en) Method for defining the susceptibility of a computer system to attack in which an attack is defined together with the attack properties, while a computer counter-measure is also defined
WO2016008778A1 (en) Method for detecting an attack in a communication network
DE102020133597A1 (en) PERSONNEL PROFILES AND FINGERPRINT AUTHENTICATION FOR CONFIGURATION ENGINEERING AND RUNTIME APPLICATIONS
Lee et al. Situational awareness based risk-adapatable access control in enterprise networks
DE10241974B4 (en) Monitoring of data transmissions
DE102012108866A1 (en) Method for the safe operation of a field device
WO2010048977A1 (en) Method for protecting a supply grid
DE102013201937A1 (en) Device and method for detecting unauthorized manipulations of the system state of a control unit of a nuclear installation
EP3286683A1 (en) System and method for monitoring the integrity of a component delivered by a server system to a client system
DE102016205321A1 (en) Reduce an attack on a vulnerability of a device via a network access point
EP3025476B1 (en) Adaptation of access rules for interchanging data between a first network and a second network
EP3923167A1 (en) Method for creating an automated security analysis of an installation, device and computer program product
DE102020124837A1 (en) WHITELISTING FOR HART COMMUNICATIONS IN A PROCESS CONTROL SYSTEM
DE202023100943U1 (en) Machine learning based system for dynamic encryption service that can maintain health data security in hospital data management
WO2023094238A1 (en) Method for controlling the access of a user to a network, network, and computer program
DE4101141C1 (en)
DE102018005102A1 (en) Adaptive security updates for applications
DE102022114484A1 (en) Process and system for reducing operational risks in an enterprise architecture

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08875009

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 08875009

Country of ref document: EP

Kind code of ref document: A1