WO2016081970A1 - Automation system and method for operating same - Google Patents

Automation system and method for operating same Download PDF

Info

Publication number
WO2016081970A1
WO2016081970A1 PCT/AT2015/050300 AT2015050300W WO2016081970A1 WO 2016081970 A1 WO2016081970 A1 WO 2016081970A1 AT 2015050300 W AT2015050300 W AT 2015050300W WO 2016081970 A1 WO2016081970 A1 WO 2016081970A1
Authority
WO
WIPO (PCT)
Prior art keywords
programmable logic
logic controller
scada
communication protocol
data
Prior art date
Application number
PCT/AT2015/050300
Other languages
German (de)
French (fr)
Inventor
Michael Naderhirn
Original Assignee
S&T Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by S&T Ag filed Critical S&T Ag
Publication of WO2016081970A1 publication Critical patent/WO2016081970A1/en

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors

Definitions

  • Robotics systems in particular their control and regulation.
  • malware Stuxnet was known, with which a targeted attack on an industrial plant was carried out and this also successfully shut down.
  • the malware (malicious software) was developed specifically for a specific system for monitoring and controlling technical processes (Supervisory Control and Data Acquisition System, abbreviated SCADA system) from Siemens, the Simatic S7 (see http://de.wikipedia.org/). org / wiki / Stuxnet of 25/11/2014). It has heretofore been known to intervene in the control of frequency converters, which can be used, for example, to control the speed of other devices, such as those of the prior art. To control engines. Such controllers are widely used in various industrial plants such as e.g. Waterworks, air conditioning, pipelines, etc.
  • An automation system is described below which, according to one exemplary embodiment, has at least one programmable logic controller which is designed to communicate via a data bus with at least one system to be controlled using a second communication protocol.
  • the automation system further comprises at least one SCADA system configured to communicate with the programmable controller over a network and using a first communication protocol
  • Monitoring unit which is adapted to extract the operating information from the data transmitted between SCADA system and programmable logic controller and to compare this with a specification of permissible conditions of the system.
  • the automation system
  • a programmable logic controller which is adapted to be connected to a system to be controlled via a data line (for example a field bus)
  • the system further includes at least one SCADA system configured to communicate with the at least one programmable logic controller
  • Control over another data line e.g., a network
  • data packets are transmitted, which include read and write commands for writing or reading of at least one register of the spoke rogrammierbaren control and corresponding response messages.
  • a monitoring unit is designed to extract from the data packets transmitted between the SCADA system and the programmable logic controller by means of the first communication protocol operating data of the system to be controlled (ie operating information about desired and / or actual states of the system) and these with a previously known specification of permissible Compare operating data of the plant to be controlled.
  • the system to be controlled may have one or more actuators (eg motors) as well as one or more sensors, which actual values of deflections of the actuators (or also other operating parameters of the system to be controlled).
  • the system to be controlled is an industrial robot.
  • the programmable logic controller may be configured to communicate with the system to be controlled via the data line using a second real-time capable one
  • the data line can be, for example, a field bus (or part of a fieldbus system).
  • the first communication protocol does not have to be real-time capable.
  • the first one is
  • Communication Protocol a protocol based on TCP / IP such as e.g. ModBus / TCP.
  • the extracted operating data of the plant to be controlled comprises, for example, nominal and actual values of one or more states of the plant to be controlled, such as e.g. the desired value of a deflection of at least one actuator of the system to be controlled or the (measured by sensors) actual value of a deflection of at least one actuator of the system to be controlled (or both).
  • the mentioned permissible operating data of the system to be controlled include, for example, the maximum and / or minimum deflection of at least one actuator of the system to be controlled, the maximum and / or minimum temporal change of a target value of a deflection of at least one actuator of the system to be controlled, the maximum and / or minimum temporal change of an actual value of a deflection of at least one actuator of the system to be controlled or any combination of the aforementioned parameters.
  • These permissible operating data may e.g. depend on the date and time and / or other external variables and do not have to be constant.
  • the programmable logic controller may comprise at least one register which depends on a feedback signal received from the equipment to be controlled and / or on a write command received from the SCADA system (e.g.
  • Control command is described.
  • a control signal for the system to be controlled can be generated and / or a
  • the operating data to be extracted of the system to be controlled are stored, for example, in at least one register of the spoke-programmable controller.
  • the monitoring unit may be configured to block a write command if an operating data extracted therefrom has a value which does not lie within a permissible range defined by specification.
  • the monitoring unit can also be designed to trigger an alarm when one of a
  • Reply message to a read command extracted operating data has a value that is not within a specified range defined by specification.
  • a method for operating at least one system is described, which is controlled by means of at least one spoke programmable controller and at least one SCADA system.
  • the programmable logic controller communicates via a data bus with a system to be controlled using a second communication protocol.
  • the SCADA system communicates with the programmable logic controller via a network and using a first communication protocol, wherein data is transmitted between the SCADA system and the programmable logic controller containing operating information about set and / or actual conditions of the system.
  • the operating information is extracted from the data transferred between the SCADA system and the programmable logic controller so that it can then be compared with a specification of permissible conditions of the system.
  • the programmable logic controller communicates with the system via a data line in order to control the latter, wherein one or more control signals from the programmable logic controller to the system and / or one or more feedback signals from the system to the system
  • the method comprises extracting plant operating data from the data packets transmitted between the SCADA system and the programmable logic controller using the first communication protocol. Furthermore, this includes Method of comparing the extracted operating data with a previously known
  • FIG. 1 shows an example of an automation system according to an example of FIG
  • FIG. 2 schematically shows an attack on an automation system according to FIG.
  • FIG. 3 shows an example of an automation system that is protected against external attacks via the Internet
  • Figure 4 shows the time course of a sensor or feedback signal
  • Figure 5 shows the possible configuration of a block in Matlab / Simulink
  • FIG. 6 shows the exemplary use of control blocks in a Matlab / Simulink
  • FIG. 7 shows a further example of an automation system which is protected against attacks from the outside via the Internet and has an encryption of the data communication.
  • the automation system 1 comprises a SCADA system 10, a programmable logic controller 20 (SPS, programmable logic
  • Controller PLC
  • a system 30 to be controlled plant, control system
  • plant control system
  • SCADA system 20 controls and monitors a programmable controller (PLC, PLC) using an industry protocol (communication protocol) (referred to herein as ModBus / TCP) for communications between SCADA system 10 and SPS 20, which typically has no or very limited real-time capability (for Modbus / TCP, TCP / IP packets are used to transmit the data; since 2007 the Modbus version Modbus / TCP is part of the IEC 61158 standard).
  • the SCADA system 10 may be connected to the SPS 20 via a computer network, which in turn may be connected to the Internet.
  • the SCADA system 10 may transmit read commands (such as reading one or more registers of a PLC) or write commands (such as commands that write a value to a register of the PLC 20) to the PLC 20.
  • the PLC / PLC 20 responds with responses defined in the specification of the communication protocol. For example, the value of the register is read out or a status message of the PLC 20 is sent back to the SCADA system 10.
  • a general explanation of SCADA can be found e.g. online at
  • the second part of the system typically includes the PLC 20 and the plant 30 to be controlled (eg, industrial robots).
  • a communication protocol referred to in the drawings as "Real Time Industrial Protocol”
  • a bus protocol eg a fieldbus protocol such as PROFIBUS, INTERBUS, etc.
  • PROFIBUS programmable gate array
  • INTERBUS INTERBUS
  • One or more sensor signals Y (generally feedback signals) of the system 30 are written into one or more registers of the PLC 20, which then converts them into control signals X for the system 30 by means of control or regulation algorithms (eg PID controller) and transmits to this.
  • PID controller control or regulation algorithms
  • a computing system in which programs for processing accumulating data are always operational, such that the processing results are available within a predetermined period of time.
  • the data may be generated randomly or at predetermined times.
  • Possibility 2 - the operating system of the PLC 20 is hacked and then targeted
  • FIG. 2 essentially shows the procedure of an attack
  • An automation system 1 is secured to avoid such attacks by providing an independent monitoring system 15 between SCADA system 10 and SPS 20. Becomes If the monitoring system 15 is placed in the left part (between SCADA system 10 and SPS 20, see Figure 3), no significant real-time requirements are necessary.
  • a placement of the monitoring unit in the right part of the system (between PLC 20 and control system 30) is difficult to implement, because there are typically hard
  • Real-time requirements are to be met. This would mean that a monitoring unit would have to have deterministic properties (the monitoring task would have to be fulfilled in a predefined time) and on the other side would be the
  • Monitoring unit part of the control system and would thus e.g. Part of a
  • an arrangement of the monitoring unit in the right-hand part would have a high outlay in terms of compliance with laws and directives, a reduced set of rules to be processed in a given time and in an increased level
  • One aspect to defend an attack is to match the specifications of the plant 30 to be controlled (eg, specified limits for the target values of the
  • Actuator states or limits for the actual values determined by the sensors is used to monitor the communication between SCADA system 10 and PLC 20 with the aid of the independent monitoring unit 15 independent of the PLC 20 and the SCADA system 10 and to check whether the specifications are respected or violated. If it is determined in the monitoring unit 15 that operating data of the system (which represent operating information about desired and / or actual states of the system, such as desired or actual values of the states of the actuators, temperature, etc.) are in the range specified as permissible , one can assume that the system works reasonably. In the case of values outside of a specified range, either an alarm or other safety measures are triggered, the corresponding command is blocked so that it does not reach the PLC 20 at all.
  • Fig. 4 shows the time course of a sensor signal X (which is transmitted, for example, from the system to be controlled 30 to the PLC 20).
  • a permissible working range of the signal X can now be defined be (signal level Signal_max and _min signal) or a time limit such as the time derivative dX / dt of the signal X (tangent slopes dSignal_max and dSignal_min).
  • signal_max and _min signal signal
  • a time limit such as the time derivative dX / dt of the signal X (tangent slopes dSignal_max and dSignal_min).
  • Boundary conditions such as concerning calculated quality criteria possible.
  • a dynamic observer eg Kalman filter
  • non-directly measurable operating data states, state variables
  • Operating data can also be based on indirectly measured or monitored states of the system.
  • the sensor signal X exceeds the permissible maximum signal level Signal_max at the point 1, at the point 2 it falls below the permissible minimum values
  • Tangent slope (the tangent to the sensor signal X, corresponds to the first derivative or the rate of change) the permissible upper or lower limit dSignal_max and dSignal_min.
  • the monitoring unit 15 is shown in the left part of FIG.
  • rules or rule sets are used which examine the content of the data according to the communication protocol used and block the corresponding commands in case of a detected violation of a specified area.
  • a pattern matching program can be used, for example, which works in a similar way.
  • Snort a free Network Intrusion Detection System (NIDS) and a Network Intrusion Prevention System (NIPS)
  • NIDS Network Intrusion Detection System
  • NIPS Network Intrusion Prevention System
  • Another possibility is that the rules (rules) in a logic or a
  • a typical rule consists of the following components, as exemplified by a typical Snort rule: alert tcp 10.0.2.10/32 any -> 10.0.1.10/32 502 ⁇
  • msg "IDS Alert: 10.0.1.10 to 10.0.2.10, function code 04, start address 0003, value to small"
  • ⁇ byte test - describes the test of a value whether it is within or outside the specfication range
  • msg - is the command that produces the textual output if the value is outside the specification range.
  • FIG. 5 shows the possible configuration of a block in Matlab / Simulink.
  • Fig. 6 shows the exemplary use of control blocks in a Matlab / Simulink model. The check rules can then be generated during the processing of a block in the Matlab / Simulink, which enables the control engineer not to have to deal in detail with the details of the safeguarding of the automation system 1 against attackers.
  • Rule sets consists of reading the communication between SCADA system 10 and PLC 20 for a certain time (during a learning phase). In this case, the content of the communication is extracted according to the protocol used and read out the register contents of the PLC, and thereby stored during the learning phase minimum and maximum values for each register.
  • These "learned" minimum and maximum values can be manually adjusted in the next step and then converted into rules by computer-assisted methods, which makes sense if the monitoring unit 15 is to be integrated into an existing system, but this approach has the disadvantage in that one can not determine whether the automation system 1 had already been attacked in the learning phase, detection would only be possible if the learned minimum or maximum values were outside a range specified as permissible.
  • the attack occurs "on the fly” during encrypted data transmission over the data line (ie, over a computer network) .
  • This type of attack protects the encryption as long as the key used remains secret instead of end-to-end encryption between SCADA system 10 and PLC 20 (see Fig. 1), the communication between SCADA system 10 and monitoring unit 15 can be encrypted with a first key ENC I (or key pair) and the communication between monitoring unit 15 and PLC 20 with a second key
  • ENC I or key pair
  • the monitoring unit 15 is arranged between SCADA system 10 and PLC 20 and configured to receive the data sent from the SCADA system 10 (and destined for the PLC 20) to decrypt data, check it by rules or rule sets as described above and then again (with the second key ENC 2) to encrypt.

Abstract

The invention relates to an automation system which, according to an exemplary embodiment, comprises at least one programmable logic controller designed to communicate, via a data bus, with at least one system to be controlled, using a second communication protocol. The automation system further comprises at least one SCADA system which is designed to communicate with the programmable logic controller via a network and while using a first communication protocol, data being transmitted between the SCADA system and the programmable logic controller, said data containing operating information on nominal and/or actual states of the plant. The automation system comprises a monitoring unit, which is designed to extract the operating information from the data transmitted between the SCADA system and the programmable logic controller and to compare said operating information with a specification of admissible states of the plant.

Description

AUTOMATISIERUNGSSYSTEM UND VERFAHREN ZU DESSEN BETRIEB  AUTOMATION SYSTEM AND METHOD OF OPERATION THEREOF
TECHNISCHES GEBIET TECHNICAL AREA
Die vorliegende Erfindung betrifft das Gebiet der Automatisierungssysteme bzw. The present invention relates to the field of automation systems or
Robotiksysteme, insbesondere deren Steuerung und Regelung. Robotics systems, in particular their control and regulation.
HINTERGRUND BACKGROUND
In den letzten Jahren sind gezielte Attacken auf Industrieanlagen, Steunerungs- und Regelungssysteme sowie Robotersysteme bekannt geworden. Im Jahr 2010 wurde die Malware Stuxnet bekannt, mit welcher eine gezielte Attacke auf eine Industrieanlage erfolgte und diese auch erfolgreich außer Betrieb setzte. Die Malware (Schadsoftware) wurde speziell für ein bestimmtes System zur Überwachung und Steuerung technischer Prozesse (Supervisory Control and Data Acquisition System, kurz: SCADA-System) der Firma Siemens, die Simatic S7, entwickelt (siehe http://de.wikipedia.org/wiki/Stuxnet vom 25.11.2014). Bisher ist bekannt, dass in die Steuerung von Frequenzumrichtern eingegriffen wird, die beispielsweise eingesetzt werden können, um die Geschwindigkeit von anderen Geräten wie z.B. Motoren zu steuern. Solche Steuerungen werden vielfach in diversen Industrieanlagen wie z.B. Wasserwerken, Klimatechnik, Pipelines usw.  In recent years, targeted attacks on industrial plants, Steunerungs- and control systems and robotic systems have become known. In 2010, the malware Stuxnet was known, with which a targeted attack on an industrial plant was carried out and this also successfully shut down. The malware (malicious software) was developed specifically for a specific system for monitoring and controlling technical processes (Supervisory Control and Data Acquisition System, abbreviated SCADA system) from Siemens, the Simatic S7 (see http://de.wikipedia.org/). org / wiki / Stuxnet of 25/11/2014). It has heretofore been known to intervene in the control of frequency converters, which can be used, for example, to control the speed of other devices, such as those of the prior art. To control engines. Such controllers are widely used in various industrial plants such as e.g. Waterworks, air conditioning, pipelines, etc.
eingesetzt. used.
Die hier beschriebene Erfindung hat die Aufgabe eine solche Attacke mittels The invention described herein has the object of such an attack by means of
Schadsoftware zu vermeiden bzw. die attackierte Systeme zu detektierten. ZUSAMMENFASSUNG To avoid malware or to detect the attacked systems. SUMMARY
Die genannte Aufgabe wird durch ein System gemäß Anspruch 1 gelöst, unterschiedliche Ausführungsformen und Weiterentwicklungen sind Gegenstand der abhängigen  The stated object is achieved by a system according to claim 1, different embodiments and further developments are the subject of the dependent
Ansprüche. Es wird im Folgenden ein Automatisierungssystem beschrieben, welches gemäß einem Ausführungsbeispiel mindestens eine speicherprogrammierbare Steuerung aufweist, welche dazu ausgebildet ist, über einen Datenbus mit mindestens einer zu steuernden Anlage unter Verwendung eines zweiten Kommunikationsprotokolls zu kommunizieren. Das Automatisierungssystem umfasst des Weiteren mindestens ein SCADA-System, welches dazu ausgebildet ist, mit der speicherprogrammierbaren Steuerung über ein Netzwerk und unter Verwendung eines ersten Kommunikationsprotokolls zu Claims. An automation system is described below which, according to one exemplary embodiment, has at least one programmable logic controller which is designed to communicate via a data bus with at least one system to be controlled using a second communication protocol. The automation system further comprises at least one SCADA system configured to communicate with the programmable controller over a network and using a first communication protocol
kommunizieren, wobei zwischen dem SCADA-System und der speicherprogrammierbaren Steuerung Daten übertragen werden, welche Betriebsinformationen über Soll- und/oder Ist- Zustände der Anlage beinhalten. Das Automatisierungssystem sieht eine communicate, wherein between the SCADA system and the programmable logic controller data are transmitted, which contain operating information about set and / or actual conditions of the system. The automation system sees one
Überwachungseinheit vor, welche dazu ausgebildet ist, aus den zwischen SCADA-System und speicherprogrammierbarer Steuerung übertragenen Daten die Betriebsinformationen zu extrahieren und diese mit einer Spezifikation zulässiger Zustände der Anlage zu vergleichen. Monitoring unit, which is adapted to extract the operating information from the data transmitted between SCADA system and programmable logic controller and to compare this with a specification of permissible conditions of the system.
Gemäß einem weiteren Ausführungsbeispiel weist das Automatisierungssystem According to a further embodiment, the automation system
mindestens eine speicherprogrammierbare Steuerung aufweist, welche dazu ausgebildet ist, über eine Datenleitung (z.B. ein Feldbus) mit einer zu steuernden Anlage zu has at least one programmable logic controller which is adapted to be connected to a system to be controlled via a data line (for example a field bus)
kommunizieren. Dabei werden ein oder mehrere Steuersignale von der communicate. In this case, one or more control signals from the
speicherprogrammierbaren Steuerung an die zu steuernden Anlage und/oder ein oder mehrere Feedbacksignale von der steuernden Anlage an die speicherprogrammierbare Steuerung übertragen. Das System weist weiter mindestens ein SCADA-System auf, welches dazu ausgebildet ist, mit der mindestens einen speicherprogrammierbaren programmable controller to the system to be controlled and / or one or more feedback signals transmitted from the controlling system to the programmable logic controller. The system further includes at least one SCADA system configured to communicate with the at least one programmable logic controller
Steuerung über eine weitere Datenleitung (z.B. ein Netzwerk) und unter Verwendung eines ersten Kommunikationsprotokolls zu kommunizieren und Daten auszutauschen. Dabei werden Datenpakete übertragen, welche Schreib- und Lesekommandos zum Schreiben bzw. Lesen von mindestens einem Register der speiche rogrammierbaren Steuerung sowie korrespondierende Antwortnachrichten umfassen. Eine Überwachungseinheit ist dazu ausgebildet, aus den zwischen SCADA-System und speicherprogrammierbarer Steuerung mittels des ersten Kommunikationsprotokolls übertragenen Datenpaketen Betriebsdaten der zu steuernden Anlage (d.h. Betriebsinformationen über Soll- und/oder Ist- Zustände der Anlage) zu extrahieren und diese mit einer vorbekannten Spezifikation zulässiger Betriebsdaten der zu steuernden Anlage zu vergleichen. Control over another data line (e.g., a network) and communicate using a first communication protocol and exchange data. In this case, data packets are transmitted, which include read and write commands for writing or reading of at least one register of the spoke rogrammierbaren control and corresponding response messages. A monitoring unit is designed to extract from the data packets transmitted between the SCADA system and the programmable logic controller by means of the first communication protocol operating data of the system to be controlled (ie operating information about desired and / or actual states of the system) and these with a previously known specification of permissible Compare operating data of the plant to be controlled.
Die zu steuernde Anlage kann einen oder mehrere Aktoren (z.B. Motoren) sowie einen oder mehrere Sensoren aufweisen, welche Istwerte von Auslenkungen der Aktoren (oder auch andere Betriebsparameter der zu steuernden Anlage) messen. Beispielsweise handelt es sich bei der zu steuernden Anlage um einen Industrieroboter. The system to be controlled may have one or more actuators (eg motors) as well as one or more sensors, which actual values of deflections of the actuators (or also other operating parameters of the system to be controlled). For example, the system to be controlled is an industrial robot.
Die speicherprogrammierbare Steuerung kann dazu ausgebildet sein, über die Datenleitung mit der zu steuernden Anlage unter Verwendung eines echtzeitfähigen zweiten The programmable logic controller may be configured to communicate with the system to be controlled via the data line using a second real-time capable one
Kommunikationsprotokolls zu kommunizieren. Die Datenleitung kann beispielsweise ein Feldbus sein (bzw. Teil eines Feldbus-Systems) sein. Das erste Kommunikationsprotokoll muss hingegen nicht echtzeitfähig sein. Beispielsweise ist das erste  Communicate communication protocol. The data line can be, for example, a field bus (or part of a fieldbus system). The first communication protocol, however, does not have to be real-time capable. For example, the first one is
Kommunikationsprotokoll ein Protokoll, das auf TCP/IP basiert wie z.B. ModBus/TCP. Communication Protocol a protocol based on TCP / IP such as e.g. ModBus / TCP.
Die extrahierten Betriebsdaten der zu steuernden Anlage umfassen beispielsweise Soll- und Istwerte von einem oder mehrerer Zustände (state variables) der zu steuernden Anlage, wie z.B. den Sollwert einer Auslenkung mindestens eines Aktors der zu steuernden Anlage oder den (durch Sensoren gemessenen) Istwert einer Auslenkung mindestens eines Aktors der zu steuernden Anlage (oder beides). Die erwähnten zulässigen Betriebsdaten der zu steuernden Anlage umfassen beispielsweise die maximale und/oder minimale Auslenkung mindestens eines Aktors der zu steuernden Anlage, die maximale und/oder minimale zeitliche Änderung eines Sollwerts einer Auslenkung mindestens eines Aktors der zusteuernden Anlage, die maximale und/oder minimale zeitliche Änderung eines Istwerts einer Auslenkung mindestens eines Aktors der zusteuernden Anlage oder eine beliebige Kombination der vorgenannten Parameter. Diese zulässigen Betriebsdaten können z.B. vom Datum und der Uhrzeit und/oder anderen externen Größen abhängen und müssen nicht konstant sein. Die speicherprogrammierbare Steuerung kann mindestens ein Register aufweisen, welches abhängig von einem, von der zu steuernden Anlage empfangenen Feedbacksignal und/oder abhängig von einem von dem SCADA-System empfangenen Schreibbefehl (z.B. The extracted operating data of the plant to be controlled comprises, for example, nominal and actual values of one or more states of the plant to be controlled, such as e.g. the desired value of a deflection of at least one actuator of the system to be controlled or the (measured by sensors) actual value of a deflection of at least one actuator of the system to be controlled (or both). The mentioned permissible operating data of the system to be controlled include, for example, the maximum and / or minimum deflection of at least one actuator of the system to be controlled, the maximum and / or minimum temporal change of a target value of a deflection of at least one actuator of the system to be controlled, the maximum and / or minimum temporal change of an actual value of a deflection of at least one actuator of the system to be controlled or any combination of the aforementioned parameters. These permissible operating data may e.g. depend on the date and time and / or other external variables and do not have to be constant. The programmable logic controller may comprise at least one register which depends on a feedback signal received from the equipment to be controlled and / or on a write command received from the SCADA system (e.g.
Steuerbefehl) beschrieben wird. Abhängig vom Inhalt von mindestens einem Register kann ein Steuersignal für die zu steuernde Anlage erzeugt werden und/oder eine Control command) is described. Depending on the content of at least one register, a control signal for the system to be controlled can be generated and / or a
Antwortnachricht auf einen von dem SCADA-System empfangenen Lesebefehl erzeugt werden. Die zu extrahierenden Betriebsdaten der zu steuernden Anlage sind beispielsweise auch in mindestens einem Register der speiche rogrammierbaren Steuerung gespeichert. Die Überwachungseinheit kann dazu ausgebildet sein, ein Schreibkommando zu blockieren, wenn ein daraus extrahiertes Betriebsdatum einen Wert aufweist, der nicht in einem durch Spezifikation definierten zulässigen Bereich liegt. Die Überwachungseinheit kann auch dazu ausgebildet sein, einen Alarm auszulösen, wenn ein aus einer Response message are generated on a read command received from the SCADA system. The operating data to be extracted of the system to be controlled are stored, for example, in at least one register of the spoke-programmable controller. The monitoring unit may be configured to block a write command if an operating data extracted therefrom has a value which does not lie within a permissible range defined by specification. The monitoring unit can also be designed to trigger an alarm when one of a
Antwortnachricht auf einen Lesebefehl extrahiertes Betriebsdatum einen Wert aufweist, der nicht in einem durch Spezifikation definierten zulässigen Bereich liegt. Reply message to a read command extracted operating data has a value that is not within a specified range defined by specification.
Schließlich wird ein Verfahren zum Betrieb von mindestens einer Anlage beschrieben, die mittels mindestens einer speiche rogrammierbaren Steuerung und mindestens eines SCADA-Systems gesteuert wird. Die speicherprogrammierbare Steuerung kommuniziert dabei über einen Datenbus mit einer zu steuernden Anlageunter Verwendung eines zweiten Kommunikationsprotokolls. Das SCADA-System kommuniziert mit der speicherprogrammierbaren Steuerung über ein Netzwerk und unter Verwendung eines ersten Kommunikationsprotokolls, wobei zwischen SCADA-System und der speicherprogrammierbaren Steuerung Daten übertragen werden, welche Betriebsinformationen über Soll- und/oder Ist- Zustände der Anlage beinhalten. Aus den zwischen SCADA-System und speicherprogrammierbarer Steuerung übertragenen Daten werden die Betriebsinformationen extrahiert, sodass diese anschließend mit einer Spezifikation zulässiger Zustände der Anlage verglichen werden können. Finally, a method for operating at least one system is described, which is controlled by means of at least one spoke programmable controller and at least one SCADA system. The programmable logic controller communicates via a data bus with a system to be controlled using a second communication protocol. The SCADA system communicates with the programmable logic controller via a network and using a first communication protocol, wherein data is transmitted between the SCADA system and the programmable logic controller containing operating information about set and / or actual conditions of the system. The operating information is extracted from the data transferred between the SCADA system and the programmable logic controller so that it can then be compared with a specification of permissible conditions of the system.
Gemäß einem weiteren Ausführungsbeispiel des Verfahrens kommuniziert die speicherprogrammierbare Steuerung über eine Datenleitung mit der Anlage um diese zu steuern, wobei ein oder mehrere Steuersignale von der speicherprogrammierbaren Steuerung an die Anlage und/oder ein oder mehrere Feedbacksignale von der Anlage an die According to a further exemplary embodiment of the method, the programmable logic controller communicates with the system via a data line in order to control the latter, wherein one or more control signals from the programmable logic controller to the system and / or one or more feedback signals from the system to the system
speicherprogrammierbare Steuerung übertragen werden. Das SCADA-System programmable logic controller can be transmitted. The SCADA system
kommuniziert mit der mindestens einen speiche rogrammierbaren Steuerung über ein Netzwerk und unter Verwendung eines ersten Kommunikationsprotokolls, um Daten auszutauschen, wobei Datenpakete übertragen werden, die Schreib- und Lesekommandos zum Schreiben bzw. Lesen von mindestens einem Register der speicherprogrammierbaren Steuerung sowie korrespondierende Antwortnachrichten umfassen. Gemäß einem Beispiel der Erfindung umfasst das das Verfahren das Extrahieren von Betriebsdaten der Anlage aus den zwischen SCADA-System und speicherprogrammierbarer Steuerung mittels des ersten Kommunikationsprotokolls übertragenen Datenpaketen. Des Weiteren umfasst das Verfahren das Vergleichen der extrahierten Betriebsdaten mit einer vorbekannten communicates with the at least one spoke-programmable controller over a network and using a first communication protocol to exchange data, transmitting data packets comprising write and read commands for writing to or reading at least one register of the programmable logic controller and corresponding response messages. According to one example of the invention, the method comprises extracting plant operating data from the data packets transmitted between the SCADA system and the programmable logic controller using the first communication protocol. Furthermore, this includes Method of comparing the extracted operating data with a previously known
Spezifikation zulässiger Betriebsdaten des Regelsystems. Specification of permissible operating data of the control system.
KURZE BESCHREIBUNG DER ABBILDUNGEN BRIEF DESCRIPTION OF THE FIGURES
Die Erfindung wird nachfolgend anhand von den in den Abbildungen dargestellten Beispielen näher erläutert. Die Darstellungen sind nicht zwangsläufig maßstabsgetreu und die Erfindung beschränkt sich nicht nur auf die dargestellten Aspekte. Vielmehr wird Wert darauf gelegt, die der Erfindung zugrunde liegenden Prinzipien darzustellen. In den Abbildungen zeigt:  The invention will be explained in more detail with reference to the examples shown in the figures. The illustrations are not necessarily to scale and the invention is not limited to the aspects presented. Rather, emphasis is placed on representing the principles underlying the invention. In the pictures shows:
Figur 1 ein Beispiel eines Automatisierungssystems gemäß einem Beispiel der FIG. 1 shows an example of an automation system according to an example of FIG
Erfindung;  Invention;
Figur 2 zeigt schematisch einen Angriff auf ein Automatisierungssystem gemäß Fig. FIG. 2 schematically shows an attack on an automation system according to FIG.
Figur 3 ein Beispiel eines Automatisierungssystems, das gegen Angriffen von außen über das Internet abgesichert ist; FIG. 3 shows an example of an automation system that is protected against external attacks via the Internet;
Figur 4 zeigt den zeitlichen Verlauf eines Sensor- bzw. Feedbacksignales; Figure 4 shows the time course of a sensor or feedback signal;
Figur 5 zeigt die mögliche Konfiguration eines Blockes in Matlab/Simulink; und Figure 5 shows the possible configuration of a block in Matlab / Simulink; and
Figur 6 zeigt den beispielhaften Einsatz von Regelblöcken in einem Matlab/Simulink FIG. 6 shows the exemplary use of control blocks in a Matlab / Simulink
Modell.  Model.
Figur 7 ein weiteres Beispiel eines Automatisierungssystems, das gegen Angriffen von außen über das Internet abgesichert ist und über eine Verschlüsselung der Datenkommunikation verfügt. FIG. 7 shows a further example of an automation system which is protected against attacks from the outside via the Internet and has an encryption of the data communication.
In den Figuren bezeichnen gleiche Bezugszeichen gleiche oder ähnliche Komponenten mit jeweils gleicher oder ähnlicher Bedeutung. DETAILLIERTE BESCHREIBUNG In the figures, the same reference numerals designate the same or similar components, each having the same or similar meaning. DETAILED DESCRIPTION
Beschrieben wird im Folgenden ein Automatisierungssystem bzw. ein Robotiksystem, welches durch den in Fig. 1 gezeigten Aufbau charakterisiert werden kann. Gemäß dem in Fig. 1 dargestellten Beispiel umfasst das Automatisierungssystem 1 ein SCADA-System 10, eine speicherprogrammierbare Steuerung 20 (SPS, auch programmable logic  Described below is an automation system or a robotic system, which can be characterized by the structure shown in FIG. According to the example illustrated in FIG. 1, the automation system 1 comprises a SCADA system 10, a programmable logic controller 20 (SPS, programmable logic
Controller, PLC), sowie eine zusteuernde Anlage 30 (plant, control System), welches im vorliegenden Beispiel als Industrieroboter dargestellt ist.  Controller, PLC), as well as a system 30 to be controlled (plant, control system), which in the present example is shown as an industrial robot.
Ein SCADA-System 10 (SCADA = Supervisory Control and Data Acquisition) ist ganz allgemein ein computerbasiertes Überwachungssystem und Steuerungssystem für technische Prozesse. Im vorliegenden Beispiel steuert und überwacht das SCADA-System 20 eine speiche rogrammierbare Steuerung (SPS, PLC), wobei für die Kommunikation zwischen SCADA-System 10 und SPS 20 ein Industrieprotokoll (Kommunikationsprotokoll) verwendet wird (hier als ModBus/TCP bezeichnet), welches typischerweise keine oder eine nur sehr eingeschränkte Echtzeitfähigkeit besitzt (bei Modbus/TCP werden TCP/IP -Pakete verwendet, um die Daten zu übermitteln; seit 2007 ist die Modbus- Version Modbus/TCP Teil der Norm IEC 61158). Das SCADA-System 10 kann mit der SPS 20 über ein Computernetzwerk verbunden sein, das wiederum mit dem Internet verbunden sein kann. Das SCADA-System 10 kann Lesekommandos (wie z. B. das Auslesen von einem oder mehrerer Register einer SPS) oder Schreibkommandos (wie z. B. Befehle, welche einen Wert in ein Register der SPS 20 schreiben) an die SPS 20 übertragen. Die SPS/PLC 20 antwortet mit in der Spezifikation des Kommunikationsprotokolls definierten Antworten. Zum Beispiel wird der Wert des Registers ausgelesen oder eine Statusmeldung der SPS 20 an das SCADA-System 10 zurückgesendet. Eine allgemeine Erläuterung zu SCADA findet sich z.B. online unter A SCADA system 10 (SCADA = supervisory control and data acquisition) is generally a computer-based monitoring system and control system for technical processes. In the present example, SCADA system 20 controls and monitors a programmable controller (PLC, PLC) using an industry protocol (communication protocol) (referred to herein as ModBus / TCP) for communications between SCADA system 10 and SPS 20, which typically has no or very limited real-time capability (for Modbus / TCP, TCP / IP packets are used to transmit the data; since 2007 the Modbus version Modbus / TCP is part of the IEC 61158 standard). The SCADA system 10 may be connected to the SPS 20 via a computer network, which in turn may be connected to the Internet. The SCADA system 10 may transmit read commands (such as reading one or more registers of a PLC) or write commands (such as commands that write a value to a register of the PLC 20) to the PLC 20. The PLC / PLC 20 responds with responses defined in the specification of the communication protocol. For example, the value of the register is read out or a status message of the PLC 20 is sent back to the SCADA system 10. A general explanation of SCADA can be found e.g. online at
http://de.wikipedia.org/wiki/Supervisory_Control_and_Data_Acquisition (abgerufen am 25.11.2014). http://en.wikipedia.org/wiki/Supervisory_Control_and_Data_Acquisition (retrieved 25.11.2014).
Der zweite Teil des Systems umfasst typischerweise die SPS 20 und die zu steuernden Anlage 30 (z.B. Industrieroboter). Hier erfolgt die eigentliche Steuerung bzw. Regelung der von der Anlage ausgeführten Applikation, und als Kommunikationsprotokoll (in den Zeichnungen als„Real Time Industrial Protocol" bezeichnet) wird ein Bus-Protokoll (z.B. ein Feldbusprotokoll wie z.B. PROFIBUS, INTERBUS, etc.) verwendet, welches in Abhängigkeit der Applikation auch harte Echtzeitanforderungen erfüllen muss. Ein oder mehrere Sensorsignale Y (allgemein Feedbacksignale) der Anlage 30 werden dabei in ein oder mehrere Register der SPS 20 geschrieben, welche diese dann mittels Steuerungs- oder Regelungsalgorithmen (z. B. PID-Regler) in Steuerungssignale X für die Anlage 30 umsetzt und an dieses überträgt. Die Definition von„Echtzeit" der inzwischen durch DUST ISO/IEC 2382 abgelösten Norm DIN 44300 (Informationsverarbeitung), Teil 9 The second part of the system typically includes the PLC 20 and the plant 30 to be controlled (eg, industrial robots). Here the actual control or regulation of the application executed by the system takes place, and as a communication protocol (referred to in the drawings as "Real Time Industrial Protocol"), a bus protocol (eg a fieldbus protocol such as PROFIBUS, INTERBUS, etc.) is used which is in Dependence of the application must also meet hard real-time requirements. One or more sensor signals Y (generally feedback signals) of the system 30 are written into one or more registers of the PLC 20, which then converts them into control signals X for the system 30 by means of control or regulation algorithms (eg PID controller) and transmits to this. The definition of "real time" of DIN standard DIN 44300 (information processing), which has since been replaced by DUST ISO / IEC 2382, Part 9
(Verarbeitungsabläufe) lautete: "Unter Echtzeit versteht man den Betrieb eines (Processing procedures) read: "Under real time one understands the enterprise of a
Rechensystems, bei dem Programme zur Verarbeitung anfallender Daten ständig betriebsbereit sind, derart, dass die Verarbeitungsergebnisse innerhalb einer vorgegebenen Zeitspanne verfügbar sind. Die Daten können je nach Anwendungsfall nach einer zeitlich zufälligen Verteilung oder zu vorherbestimmten Zeitpunkten anfallen." Durch die A computing system in which programs for processing accumulating data are always operational, such that the processing results are available within a predetermined period of time. Depending on the application, the data may be generated randomly or at predetermined times. "
Hardware und Software muss also sichergestellt werden, dass keine Verzögerungen auftreten, welche die Einhaltung dieser Bedingung (Ergebnisse müssen innerhalb eine vorgegebenen Zeitspanne verfügbar sein) verhindern könnten. Die Verarbeitung der Daten muss dabei nicht besonders schnell erfolgen, sie muss nur garantiert schnell genug für die jeweilige Applikation erfolgen. Eine Kommunikation (Datenübertragung) in Echtzeit ermöglichen z.B. einige moderne Feldbus-Systeme (basierend z.B. auf Echtzeit-Ethernet, PROFIBUS, INTERBUS, etc.). Protokolle der„klassischen" Kommunikationsprotokollfamilie TCP/IP (Transmission Control Protocol/Internet Protocol) sind dagegen nicht ohne weiteres echtzeitfähig. Hardware and software must therefore be ensured that there are no delays that could prevent compliance with this condition (results must be available within a given period of time). The processing of the data does not have to be very fast, it just has to be done fast enough for the respective application. Communication (data transmission) in real time enables e.g. some modern fieldbus systems (based for example on real-time Ethernet, PROFIBUS, INTERBUS, etc.). By contrast, protocols of the "traditional" communications protocol family TCP / IP (Transmission Control Protocol / Internet Protocol) are not readily real-time capable.
Wird nun ein Automatisierungssystem angegriffen, kann das auf unterschiedliche Art und Weise erfolgen: If an automation system is attacked, this can be done in different ways:
Möglichkeit 1 - es werden gefälschte Nachrichten (Fake-Messages) eines Angreifers 1 1  Option 1 - it will be fake messages (fake messages) of an attacker 1 1
(Attacker) an die SPS 20 gesendet, wie z. B. nicht erlaubte  (Attacker) sent to the PLC 20, such. B. not allowed
Schreibbefehle;  Write commands;
Möglichkeit 2 - es wird das Betriebssystem der SPS 20 gehackt und dann ganz gezielt  Possibility 2 - the operating system of the PLC 20 is hacked and then targeted
Register der SPS falsch beschrieben. Die folgende Fig. 2 zeigt im Wesentlichen die Vorgehensweise einer Attacke nach PLC register incorrectly described. The following FIG. 2 essentially shows the procedure of an attack
Methode 1 und 2. Ein Automatisierungssystem 1 gemäß einem Beispiel der Erfindung ist zur Vermeidung von derartigen Attacken dadurch abgesichert, dass ein unabhängiges Überwachungssystem 15 zwischen SCADA-System 10 und SPS 20 vorgesehen ist. Wird das Überwachungssystem 15 im linken Teil (zwischen SCADA-System 10 und SPS 20, siehe Fig. 3) platziert, sind keine signifikanten Echtzeitanforderungen notwendig. Method 1 and 2. An automation system 1 according to an example of the invention is secured to avoid such attacks by providing an independent monitoring system 15 between SCADA system 10 and SPS 20. Becomes If the monitoring system 15 is placed in the left part (between SCADA system 10 and SPS 20, see Figure 3), no significant real-time requirements are necessary.
Eine Platzierung der Überwachungseinheit im rechten Teil des Systems (zwischen SPS 20 und Regelungssystem 30) ist nur schwer realisierbar, da dort typischerweise harte A placement of the monitoring unit in the right part of the system (between PLC 20 and control system 30) is difficult to implement, because there are typically hard
Echtzeitforderungen zu erfüllen sind. Dies würde dazu führen, dass eine Überwachungseinheit deterministische Eigenschaften aufweisen müsste (die Überwachungsaufgabe in einer vordefinierten Zeit erfüllt sein müsste) und auf der anderen Seite wäre die  Real-time requirements are to be met. This would mean that a monitoring unit would have to have deterministic properties (the monitoring task would have to be fulfilled in a predefined time) and on the other side would be the
Überwachungseinheit Teil des Steuersystems und würde somit z.B. Teil einer Monitoring unit part of the control system and would thus e.g. Part of a
Zertifizierung nach Maschinenrichtlinie in Bezug auf funktionale Sicherheit. Des Weiteren hätte eine Anordnung der Überwachungseinheit im rechten Teil einen hohen Aufwand in Bezug auf Einhaltung von Gesetzten und Richtlinien, einen reduzierten in einer vorgegebenen Zeit abzuarbeitenden Regelsatz (rule set) und in einem erhöhten Certification according to Machinery Directive in terms of functional safety. Furthermore, an arrangement of the monitoring unit in the right-hand part would have a high outlay in terms of compliance with laws and directives, a reduced set of rules to be processed in a given time and in an increased level
Implementierungsaufwand für den Algorithmus zur Überprüfung der Regelsätze und deren Sortierung zu Folge. Implementation effort for algorithm for checking rule sets and sorting them.
Die ein Aspekt zur Abwehr eines Angriffes besteht darin, dass man die Spezifikationen der zu steuernden Anlage 30 (z. B. spezifizierte Grenzwerte für die Sollwerte der One aspect to defend an attack is to match the specifications of the plant 30 to be controlled (eg, specified limits for the target values of the
Aktorzustände oder Grenzwerte für die von den Sensoren bestimmten Istwerte) verwendet, um mit Hilfe der selbstständigen und von der SPS 20 und dem SCADA-System 10 unabhängigen Überwachungseinheit 15 die Kommunikation zwischen SCADA-System 10 und SPS 20 zu überwachen und dabei zu prüfen, ob die Spezifikationen eingehalten oder verletzt werden. Wird in der Überwachungseinheit 15 festgestellt, dass Betriebsdaten der Anlage (welche Betriebsinformationen über Soll- und/oder Ist- Zustände der Anlage repräsentieren, wie z.B. Soll- oder Istwerte der Zustände der Aktoren, Temperatur, etc.) sich im als zulässig spezifizierten Bereich befinden, kann man davon ausgehen, dass das System vernünftig arbeitet. Im Falle von Werten außerhalb eines spezifizierten Bereichs wird entweder ein Alarm oder andere Sicherheitsmaßnahmen ausgelöst, der entsprechende Befehl geblockt, sodass er die SPS 20 erst gar nicht erreicht. Actuator states or limits for the actual values determined by the sensors) is used to monitor the communication between SCADA system 10 and PLC 20 with the aid of the independent monitoring unit 15 independent of the PLC 20 and the SCADA system 10 and to check whether the specifications are respected or violated. If it is determined in the monitoring unit 15 that operating data of the system (which represent operating information about desired and / or actual states of the system, such as desired or actual values of the states of the actuators, temperature, etc.) are in the range specified as permissible , one can assume that the system works reasonably. In the case of values outside of a specified range, either an alarm or other safety measures are triggered, the corresponding command is blocked so that it does not reach the PLC 20 at all.
Die folgende Fig. 4 zeigt den zeitlichen Verlauf eines Sensorsignales X (welches z.B. von der zu steuernden Anlage 30 an die SPS 20 übertragen wird). In der Systemspezifikation der zu steuernden Anlage kann nun ein zulässiger Arbeitsbereich des Signales X definiert werden (Signalpegel Signal_max und Signal _min) oder auch eine zeitliche Beschränkung wie zum Beispiel die zeitliche Ableitung dX/dt des Signales X (Tangentensteigungen dSignal_max und dSignal_min). Natürlich sind auch andere Beschränkungen bzw. The following Fig. 4 shows the time course of a sensor signal X (which is transmitted, for example, from the system to be controlled 30 to the PLC 20). In the system specification of the system to be controlled, a permissible working range of the signal X can now be defined be (signal level Signal_max and _min signal) or a time limit such as the time derivative dX / dt of the signal X (tangent slopes dSignal_max and dSignal_min). Of course, other restrictions or
Randbedingungen wie z.B. betreffend berechnete Qualitätskriterien möglich. Boundary conditions such as concerning calculated quality criteria possible.
Beipsielsweise kann ein dynamischer Beobachter (z. B. Kaiman-Filter) verwendet werden, um eine Überwachung von nicht direkt messbaren Betriebsdaten (Zustände, State variables) der zu überwachenden Anlage zu erreichen. Spezifizierte, zulässige For example, a dynamic observer (eg Kalman filter) can be used to achieve monitoring of non-directly measurable operating data (states, state variables) of the system to be monitored. Specified, allowed
Betriebsdaten können sich auch auf indirekt gemessene bzw. beobachtete Zustände der Anlage richten. Operating data can also be based on indirectly measured or monitored states of the system.
Gemäß Fig. 4 übersteigt das Sensorsignal X an der Stelle 1 den zulässigen maximalen Signalpegel Signal_max, an der Stelle 2 fällt es unter den zulässigen minimalen According to FIG. 4, the sensor signal X exceeds the permissible maximum signal level Signal_max at the point 1, at the point 2 it falls below the permissible minimum values
Signalpegel Signal_min. An den Stellen 3 und 4 über- bzw. untersteigt die Signal level Signal_min. At points 3 and 4 exceeds or falls below the
Tangentensteigung (der Tangente an das Sensorsignal X, entspricht der ersten Ableitung bzw. der Änderungsrate) die zulässige Ober- bzw. Untergrenze dSignal_max und dSignal_min. Tangent slope (the tangent to the sensor signal X, corresponds to the first derivative or the rate of change) the permissible upper or lower limit dSignal_max and dSignal_min.
Im Folgenden wird die Überwachungseinheit 15 im linken Teil des abgebildeten In the following, the monitoring unit 15 is shown in the left part of FIG
Automatisierungssystems 1 beschrieben (vgl. Darstellung aus Fig. 3). Die genannten Methoden wären auch für den rechten Teil des Systems möglich, jedoch mit den oben beschriebenen Einschränkungen. Um eine Attacke gemäß Methode 1 (gefälschte Automation system 1 described (see illustration of Fig. 3). The above methods would also be possible for the right-hand part of the system, but with the limitations described above. To attack according to Method 1 (fake
Registerschreibbefehle durch sogenannte Fake-Messages) zu vermeiden, werden Regeln (rules) bzw. Regelsätze (rule sets) verwendet, welche den Inhalt der Daten gemäß dem verwendeten Kommunikationsprotokoll untersuchen und im Falle einer detektierten Verletzung eines spezifizierten Bereichs die entsprechenden Befehle blockieren. To avoid register write commands by so-called fake messages), rules or rule sets are used which examine the content of the data according to the communication protocol used and block the corresponding commands in case of a detected violation of a specified area.
Um eine Attacke gemäß Methode 2 - Registerlesebefehle - zu vermeiden, werden To avoid an attack according to Method 2 - Register Read Commands -
Überprüfungs-Regeln verwendet, welche den Inhalt der Daten gemäß dem verwendeten Kommunikationsprotokoll untersuchen und im Falle einer Verletzung eines spezifizierten Bereiches einen Alarm produzieren. Uses check rules that examine the contents of the data according to the communication protocol used and produce an alarm in the event of a violation of a specified area.
Zum Abarbeiten der Regeln wird kann z.B. ein Pattern-Matching-Programm verwendet werden, das ähnlich arbeitet wie z. B. Snort (ein freies Network Intrusion Detection System (NIDS) und ein Network Intrusion Prevention System (NIPS)) oder ähnliche. Eine andere Möglichkeit besteht darin, dass die Regeln (rules) in eine Logik oder einen To work through the rules, a pattern matching program can be used, for example, which works in a similar way. Snort (a free Network Intrusion Detection System (NIDS) and a Network Intrusion Prevention System (NIPS)) or similar. Another possibility is that the rules (rules) in a logic or a
Programmcode übersetzt werden. Die Regeln können nun anhand der Kenntnis der Spezifikation des verwendeten Protokolls (z.B. Modbus/TCP), der Netzwerkinfrastruktur der Registerbelegung der SPS 20 und der Spezifikation der zu steuernden Anlage 30 erstellt werden. Dies kann manuell mittels eines Editors oder automatisiert erfolgen. Eine typische Regel besteht dabei aus folgenden Komponenten, wie anhand einer typischen Snort Regel beispielhaft gezeigt wird: alert tcp 10.0.2.10/32 any -> 10.0.1.10/32 502 \ Program code to be translated. The rules may now be established based on the knowledge of the specification of the protocol used (e.g., Modbus / TCP), the network assignment of the register assignment of the PLC 20, and the specification of the equipment 30 to be controlled. This can be done manually by means of an editor or automated. A typical rule consists of the following components, as exemplified by a typical Snort rule: alert tcp 10.0.2.10/32 any -> 10.0.1.10/32 502 \
(content :" I 04 I "; offset:7; depth: 1; content :" | 0003 | " ; offset:8; depth:2; flowbits : set , sidl03 ;  (content: "I 04 I"; offset: 7; depth: 1; content: "| 0003 |"; offset: 8; depth: 2; flowbits: set, sidl03;
flowbits : noalert ; \  flowbits: noalert; \
sid:103;)  sid: 103)
Dabei bedeutet: alert - Tätigkeit des Alamierens; Where: alert - activity of the Alamierens;
tcp - das Protokoll, welches als Grundlage verwendet wird; tcp - the protocol used as a basis;
10.0.1.110/32 - zu beobachtende IP- Adressen (Adressbereich);  10.0.1.110/32 - IP addresses to be observed (address range);
any, 502 - zu überwachende Ports; any, 502 - ports to be monitored;
content, offset, depth - Beschreibt den Inhalt und dessen Position im Protkoll, der überwacht werden muss; content, offset, depth - Describes the content and its location in the log that needs to be monitored;
flowbits - wird verwendet, um dynamisch weitere Regeln einzubinden. alert tcp 10.0.1.10/32 502 -> 10.0.2.10/32 any \ flowbits - used to dynamically integrate other rules. alert tcp 10.0.1.10/32 502 -> 10.0.2.10/32 any \
(content :" I 04 I " ; offset: 7; depth: 1;  (content: "I 04 I"; offset: 7; depth: 1;
flowbits : isset, sidl03 ; \  flowbits: isset, sidl03; \
byte_test:2, <, 31768, 9; \  byte_test: 2, <, 31768, 9; \
msg: "IDS-Alert : 10.0.1.10 to 10.0.2.10, functioncode 04, Startadress 0003, value to small"; \ byte test - beschreibt das Übeiprüfung eines Wertes ob er innerhalb oder außerhalb des Spezfikationsbereiches liegt; msg: "IDS Alert: 10.0.1.10 to 10.0.2.10, function code 04, start address 0003, value to small"; \ byte test - describes the test of a value whether it is within or outside the specfication range;
msg - ist der Befehl, der den textuellen Output produziert, falls der Wert außerhalb des Spezifikationsbereiches liegt. msg - is the command that produces the textual output if the value is outside the specification range.
Zur automatischen Generierung der Regeln werden die vorher beschriebenen Kenntnisse bzw. Regeln/Regel Sätze in einem Programm verarbeitet und eine Textdatei produziert, welche dann z. B. mit Hilfe von Snort verwendet wird. Zur Vereinfachung der automatischen Generierung können auch Blöcke in einer For automatic generation of the rules, the previously described knowledge or rules / rule sentences are processed in a program and produces a text file, which then z. B. using Snort is used. To simplify the automatic generation blocks can also be used in one
Entwicklungsumgebung (z. B. Matlab) verwendet werden, welche mit den notwendigen Kenntnissen hinterlegt sind. Die Fig. 5 zeigt die mögliche Konfiguration eines Blockes in Matlab/Simulink. In der darauf folgenden Abbildung Fig. 6 sieht man den beispielhaften Einsatz von Regelblöcken in einem Matlab/Simulink Modell. Die Übe rüfungs-Regeln können dann bei der Abarbeitung einer Blocks im Matlab/Simulink erzeugt werden, was dem Regelungsingenieur ermöglicht, sich nicht näher mit den Details der Absicherung des Automatisierungssystems 1 gegen Angreifer auseinandersetzen zu müssen.  Development environment (eg Matlab) are used, which are deposited with the necessary knowledge. Fig. 5 shows the possible configuration of a block in Matlab / Simulink. In the following figure Fig. 6 shows the exemplary use of control blocks in a Matlab / Simulink model. The check rules can then be generated during the processing of a block in the Matlab / Simulink, which enables the control engineer not to have to deal in detail with the details of the safeguarding of the automation system 1 against attackers.
Eine alternative Methode zur (semi-)automatischen Generierung von Regeln bzw. An alternative method for (semi-) automatic generation of rules or
Regelsätzen besteht darin, die Kommunikation zwischen SCADA-System 10 und SPS 20 für eine gewisse Zeit (während einer Lernphase) mitzulesen. Dabei wird der Inhalt der Kommunikation gemäß dem verwendeten Protokoll extrahiert und so die Registerinhalte der SPS ausgelesen, und dabei die während der Lernphase auftretenden minimalen und maximalen Werte für das jeweilige Register abgespeichert. Diese„gelernten" Minimal- und Maximalwerte (gelernte Spezifikation) können im nächsten Schritt manuell angepasst und dann computergestützt in Regeln umgewandelt werden. Diese Vorgangsweise ist dann sinnvoll, wenn die Überwachungseinheit 15 in ein bestehendes System integriert werden soll. Dieser Ansatz hat jedoch den Nachteil, dass man nicht feststellen kann, ob das Automatisierungssystem 1 bereits in der Lernphase attackiert war. Eine Detektion wäre nur möglich, wenn die gelernten Minimal- oder Maximalwerte außerhalb eines als zulässig spezifizierten Bereichs liegen. In modernen Kommunikationssystemen ist die Kommunikation häufig verschlüsselt (Ende-zu-Ende- Verschlüsselung). So kann auch die Kommunikation zwischen SCADA- System 10 und SPS (vgl. Fig. 1 und 3) verschlüsselt sein. Obwohl eine Verschlüsselung die Sicherheit im Hinblick auf mögliche Attacken mittels Schadsoftware erhöhen kann ist eine Verschlüsselung noch keine Garantie dafür, dass es zu keiner erfolgreichen Attacke kommen kann. Der Angreifer 11 (siehe Fig. 1) hat im Wesentlichen zwei Möglichkeiten. Erstens, die Attacke ist direkt gegen das SCADA-System 10 gerichtet. Die Schadsoftware kompromittiert das SCADA-System 10, manipuliert dieses und veranlasst dieses zu ungewünschtem Verhalten. In diesem Fall bringt eine Verschlüsselung keinen Schutz, da Daten auf dem SCADA-System 10 manipuliert werden bevor eine Verschlüsselung erfolgt. Zweitens, die Attacke erfolgt„on the fly" während der verschlüsselten Datenübertragung über die Datenleitung (d.h. über ein Computernetzwerk). Vor dieser Art eines Angriffs schützt die Verschlüsselung, solange der verwendete Schlüssel geheim bleibt. Statt einer Ende-zu-Ende- Verschlüsselung zwischen SCADA-System 10 und SPS 20 (vgl. Fig. 1) kann die Kommunikation zwischen SCADA-System 10 und Überwachungseinheit 15 mit einem ersten Schlüssel ENC l(oder Schlüsselpaar) verschlüsselt werden und die Kommunikation zwischen Überwachungseinheit 15 und SPS 20 mit einem zweiten Schlüssel ENC 2 (oder Schlüsselpaar) verschlüsselt werden. Diese Situation ist in Fig. 7 gezeigt. Dabei ist die Überwachungseinheit 15 wie in Fig. 3 gezeigt zwischen SCADA- System 10 und SPS 20 angeordnet und dazu ausgebildet, die von dem SCADA-System 10 gesendeten (und für die SPS 20 bestimmten) Daten zu entschlüsseln, anhand von Regeln bzw. Regelsätzen wie oben beschrieben zu prüfen und dann wieder (mit den zweiten Schlüssel ENC 2) zu verschlüsseln. Rule sets consists of reading the communication between SCADA system 10 and PLC 20 for a certain time (during a learning phase). In this case, the content of the communication is extracted according to the protocol used and read out the register contents of the PLC, and thereby stored during the learning phase minimum and maximum values for each register. These "learned" minimum and maximum values (learned specification) can be manually adjusted in the next step and then converted into rules by computer-assisted methods, which makes sense if the monitoring unit 15 is to be integrated into an existing system, but this approach has the disadvantage in that one can not determine whether the automation system 1 had already been attacked in the learning phase, detection would only be possible if the learned minimum or maximum values were outside a range specified as permissible. In modern communication systems, communication is often encrypted (end-to-end encryption). Thus, the communication between SCADA system 10 and PLC (see Fig. 1 and 3) can be encrypted. Although encryption can increase security with regard to possible malware attacks, encryption is no guarantee that a successful attack will not occur. The attacker 11 (see FIG. 1) has essentially two options. First, the attack is directed directly against the SCADA system 10. The malware compromises the SCADA system 10, manipulates it and causes it to unwanted behavior. In this case, encryption does not provide protection because data is manipulated on the SCADA system 10 before encryption occurs. Second, the attack occurs "on the fly" during encrypted data transmission over the data line (ie, over a computer network) .This type of attack protects the encryption as long as the key used remains secret instead of end-to-end encryption between SCADA system 10 and PLC 20 (see Fig. 1), the communication between SCADA system 10 and monitoring unit 15 can be encrypted with a first key ENC I (or key pair) and the communication between monitoring unit 15 and PLC 20 with a second key This situation is shown in Fig. 7. In this case, as shown in Fig. 3, the monitoring unit 15 is arranged between SCADA system 10 and PLC 20 and configured to receive the data sent from the SCADA system 10 (and destined for the PLC 20) to decrypt data, check it by rules or rule sets as described above and then again (with the second key ENC 2) to encrypt.

Claims

Patentansprüche : Claims:
1. Automatisierungssystem, welches folgendes aufweist: An automation system comprising:
mindestens eine speicherprogrammierbare Steuerung (20), welche dazu ausgebildet ist, über einen Datenbus mit mindestens einer zu steuernden Anlage (30) unter Verwendung eines zweiten Kommunikationsprotokolls zu kommunizieren;  at least one programmable logic controller (20), which is designed to communicate via a data bus with at least one system (30) to be controlled using a second communication protocol;
mindestens ein SCADA-System (10), welches dazu ausgebildet ist, mit der speicherprogrammierbaren Steuerung (20) über ein Netzwerk und unter Verwendung eines ersten Kommunikationsprotokolls zu kommunizieren, wobei zwischen dem SCADA- System (10) und der speiche rogrammierbaren Steuerung (20) Daten übertragen werden, welche Betriebsinformationen über Soll- und/oder Ist-Zustände der Anlage (30) beinhalten; und  at least one SCADA system (10) adapted to communicate with the programmable logic controller (20) via a network and using a first communication protocol, between the SCADA system (10) and the spoke programmable controller (20) Data are transmitted, which contain operating information about set and / or actual states of the system (30); and
eine Überwachungseinheit (15), welche dazu ausgebildet ist, aus den zwischen dem SCADA-System (10) und der speicherprogrammierbaren Steuerung (20) übertragenen Daten die Betriebsinformationen zu extrahieren und diese mit einer  a monitoring unit (15), which is designed to extract the operating information from the data transmitted between the SCADA system (10) and the programmable logic controller (20) and supply this with a
Spezifikation zulässiger Zustände der Anlage (30) zu vergleichen. To compare the specification of permissible states of the system (30).
2. Automatisierungssystem gemäß Anspruch 1, 2. Automation system according to claim 1,
wobei gemäß dem ersten Kommunikationsprotokoll zwischen dem  according to the first communication protocol between the
SCADA-System (10) und der speicherprogrammierbaren Steuerung (20) Datenpakete übertragen werden, welche Schreib- und Lesekommandos zum Schreiben bzw. Lesen von mindestens einem Register der speicherprogrammierbaren Steuerung (20) sowie korrespondierende Antwortnachrichten beinhalten, und/oder SCADA system (10) and the programmable logic controller (20) data packets are transmitted, which write and read commands for writing or reading of at least one register of the programmable logic controller (20) and corresponding response messages include, and / or
wobei von der speiche rogrammierbaren Steuerung (20) ein oder mehrere Steuersignale (X) an die zu steuernden Anlage (30) und/oder wobei von der zu steuernden Anlage (30) ein oder mehrere Feedbacksignale (Y) an die speicherprogrammierbare Steuerung (20) übertragen werden.  wherein one or more control signals (X) from the spoke-programmable controller (20) to the system (30) to be controlled and / or one or more feedback signals (Y) from the system (30) to be controlled are sent to the programmable logic controller (20). be transmitted.
3. Automatisierungssystem gemäß Anspruch 1 oder 2, 3. Automation system according to claim 1 or 2,
bei dem das zweite Kommunikationsprotokoll ein echtzeitfähiges  where the second communication protocol is a real-time capable
Kommunikationsprotokoll, insbesondere ein echtzeitfähiges Feldbusprotokoll ist, und/oder bei dem das erste Kommunikationsprotokoll ein nicht echtzeitfähiges Kommunikationsprotokoll, insbesondere ein auf TCP/IP basierendes Communication protocol, in particular a real-time fieldbus protocol is, and / or wherein the first communication protocol is a non-real-time communication protocol, in particular TCP / IP based
Kommunikationsprotokoll, z.B. das Modbus/TCP Protokoll ist. Communication protocol, e.g. the Modbus / TCP protocol is.
4. Automatisierungssystem gemäß einem der Ansprüche 1 bis 3, bei dem die extrahierten Betriebsinformationen über Soll- und/oder Ist-Zustände der Anlage (30) zumindest einen der folgenden Parameter umfassen: 4. Automation system according to one of claims 1 to 3, wherein the extracted operating information about set and / or actual states of the system (30) comprise at least one of the following parameters:
Sollwert einer Auslenkung mindestens eines Aktors des Anlage (30); Istwert einer Auslenkung mindestens eines Aktors des Anlage (30).  Desired value of a deflection of at least one actuator of the system (30); Actual value of a deflection of at least one actuator of the system (30).
5. Automatisierungssystem gemäß einem der Ansprüche 1 bis 4, bei dem die Spezifikation zulässiger Zustände zumindest eines der folgenden Parameterspezifiziert: The automation system according to one of claims 1 to 4, wherein the specification of allowable states specifies at least one of the following parameters:
maximale Auslenkung mindestens eines Aktors der Anlage (30);  maximum deflection of at least one actuator of the system (30);
minimale einer Auslenkung mindestens eines Aktors der Anlage (30); maximale oder minimale zeitliche Änderung eines Sollwerts einer  minimum deflection of at least one actuator of the system (30); maximum or minimum temporal change of a setpoint of a
Auslenkung mindestens eines Aktors der Anlage (30); Deflection of at least one actuator of the system (30);
maximale oder minimale zeitliche Änderung eines Istwerts einer Auslenkung mindestens eines Aktors der Anlage (30).  maximum or minimum time change of an actual value of a deflection of at least one actuator of the system (30).
6. Automatisierungssystem gemäß einem der Ansprüche 1 bis 5, bei dem die 6. Automation system according to one of claims 1 to 5, wherein the
speiche rogrammierbare Steuerung (20) mindestens ein Register aufweist, welches Memory Rogrammable control (20) has at least one register, which
abhängig von einem, von der Anlage empfangenen Feedbacksignal (Y) der Anlage (30) und/oder  depending on a received from the system feedback signal (Y) of the system (30) and / or
abhängig von einem von dem SCADA-System (10) empfangenen Schreibbefehl beschrieben wird.  depending on a write command received from the SCADA system (10).
7. Automatisierungssystem gemäß einem der Ansprüche 1 bis 6, bei dem die 7. Automation system according to one of claims 1 to 6, wherein the
speicherprogrammierbare Steuerung (20) mindestens ein Register aufweist, programmable logic controller (20) has at least one register,
abhängig von dessen Inhalt ein Steuersignal (X) für die Anlage (30) erzeugt wird und/oder  depending on the content of a control signal (X) for the system (30) is generated and / or
abhängig von dessen Inhalt eine Antwortnachricht auf einen von dem SCADA- System (10) empfangenen Lesebefehl erzeugt wird. depending on its content, a reply message is generated on a read command received from the SCADA system (10).
8. Automatisierungssystem gemäß einem der Ansprüche 1 bis 7, bei dem die zu 8. The automation system according to one of claims 1 to 7, wherein the
extrahierenden Betriebsinformationen der Anlage (30) in mindestens einem Register der speiche rogrammierbaren Steuerung (20) gespeichert sind. extracting operating information of the system (30) are stored in at least one register of the spoke programmable controller (20).
9. Automatisierungssystem gemäß einem der Ansprüche 1 bis 8, 9. Automation system according to one of claims 1 to 8,
bei dem die Überwachungseinheit (15) mit dem Netzwerkt verbunden ist und sowohl mit dem SCADA-System (10) als auch mit der speicherprogrammierbaren Steuerung (20) unter Verwendung des ersten Kommunikationsprotokoll über das Netzwerk kommunizieren kann.  wherein the monitoring unit (15) is connected to the network and capable of communicating with both the SCADA system (10) and the programmable logic controller (20) using the first communication protocol over the network.
10. Automatisierungssystem gemäß Anspruch 9, 10. automation system according to claim 9,
bei dem die Überwachungseinheit (15) so mit dem Netzwerkt verbunden ist, dass die gesamte Kommunikation zwischen dem SCADA-System (10) und der  in which the monitoring unit (15) is so connected to the network that all communication between the SCADA system (10) and the
speiche rogrammierbaren Steuerung (20) über die Überwachungseinheit (15) geleitet wird und folglich von dieser überwacht werden kann. rogrammable control (20) via the monitoring unit (15) is passed and thus can be monitored by this.
11. Automatisierungssystem gemäß einem der Ansprüche 1 bis 10, bei dem die 11. The automation system according to one of claims 1 to 10, wherein the
Überwachungseinheit (15), dazu ausgebildet ist, Monitoring unit (15), designed to
für die speicherprogrammierbare Steuerung (20) bestimmte Datenpakete zu blockieren, wenn eine daraus extrahierte Betriebsinformation auf einen Zustand der Anlage hinweist, der nicht in einem durch die Spezifikation definierten zulässigen Bereich liegt; oder  block data packets destined for the programmable logic controller (20) if an operating information extracted therefrom indicates a state of the system which is not within an admissible range defined by the specification; or
einen Alarm auszulösen, wenn aus einem Datenpaket extrahierte  to trigger an alarm when extracted from a data packet
Betriebsinformation auf einen Zustand der Anlage hinweist, der nicht in einem durch die Spezifikation definierten zulässigen Bereich liegt. Indicates a system condition that is not within an acceptable range defined by the specification.
12. Automatisierungssystem gemäß einem der Ansprüche 1 bis 10, bei dem die 12. The automation system according to one of claims 1 to 10, wherein the
Überwachungseinheit (15), dazu ausgebildet ist, Monitoring unit (15), designed to
ein Schreibkommandos zu blockieren, wenn ein daraus extrahiertes  to block a write command if any extracted from it
Betriebsdatum einen Wert aufweist, der nicht in einem durch Spezifikation definierten zulässigen Bereich liegt; oder einen Alarm auszulösen, wenn ein aus einer Antwortnachricht auf einen Lesebefehl extrahiertes Betriebsdatum einen Wert aufweist, der nicht in einem durch Spezifikation definierten zulässigen Bereich liegt. Operating date has a value that is not within a permissible range defined by specification; or to trigger an alarm when an operating date extracted from a response message to a read command has a value that is not within an allowable range defined by specification.
13. Automatisierungssystem gemäß einem der Ansprüche 1 bis 12, bei dem die 13. The automation system according to one of claims 1 to 12, wherein the
Überwachungseinheit (15), dazu ausgebildet ist, Monitoring unit (15), designed to
vom SCADA-System (10) verschlüsselt gesendete Daten zu entschlüsseln, die entschlüsselten Daten zu untersuchen, wieder zu verschlüsselt und an die  decrypted by the SCADA system (10) to decrypt sent data, examine the decrypted data, re-encrypted and sent to the
speicherprogrammierbare Steuerung (20) gemäß dem ersten Kommunikationsprotokoll weiterzuschicken, to forward the programmable logic controller (20) according to the first communication protocol,
wobei von dem SCADA-System (10) zur Verschlüsslung ein anderer Schlüssel oder ein anderes Verschlüsselungssystem verwendet wird wie von der  wherein the SCADA system (10) for encryption uses a different key or encryption system than the one of
Überwachungseinheit. Monitoring unit.
14. Verfahren zum Betrieb von mindestens einer Anlage (30), die mittels mindestens einer speiche rogrammierbaren Steuerung (20) und mindestens eines SCADA-Systems gesteuert wird, 14. Method for operating at least one system (30) which is controlled by means of at least one programmable controller (20) and at least one SCADA system,
wobei die speicherprogrammierbare Steuerung (20) über einen Datenbus mit einer zu steuernden Anlage (30) unter Verwendung eines zweiten Kommunikationsprotokolls zu kommuniziert;  wherein the programmable logic controller (20) communicates with a device (30) to be controlled via a data bus using a second communication protocol;
wobei das SCADA-System (10) mit der speicherprogrammierbaren  the SCADA system (10) having the programmable logic controller
Steuerung (20) über ein Netzwerk und unter Verwendung eines ersten Control (20) over a network and using a first one
Kommunikationsprotokolls kommuniziert, wobei zwischen SCADA-System (10) und der speicherprogrammierbaren Steuerung (20) Daten übertragen werden, welche Communication protocol communicates, between the SCADA system (10) and the programmable logic controller (20) data is transmitted, which
Betriebsinformationen über Soll- und/oder Ist-Zustände der Anlage (30) beinhalten; und wobei aus den zwischen SCADA-System (10) und speicherprogrammierbarer Steuerung (20) übertragenen Daten die Betriebsinformationen zu extrahiert und diese mit einer Spezifikation zulässiger Zustände der Anlage (30) verglichen werden. Include operating information about desired and / or actual states of the system (30); and extracting the operating information from the data transferred between the SCADA system (10) and the programmable logic controller (20) and comparing it with a specification of allowable conditions of the plant (30).
15. Verfahren gemäß Anspruch 14, 15. The method according to claim 14,
wobei das Extrahieren der Betriebsinformationen von einer Überwachungseinheit (15) durchgeführt wird, die so mit dem Netzwerkt verbunden ist, dass die gesamte Kommunikation zwischen dem SCADA-System (10) und der
Figure imgf000019_0001
Steuerung (20) über die Überwachungseinheit (15) geleitet wird. wherein the extracting of the operating information is performed by a monitoring unit (15) connected to the network such that all communication between the SCADA system (10) and the
Figure imgf000019_0001
Control (20) via the monitoring unit (15) is passed.
PCT/AT2015/050300 2014-11-25 2015-11-25 Automation system and method for operating same WO2016081970A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102014117282.5A DE102014117282A1 (en) 2014-11-25 2014-11-25 Automation system and method for its operation
DE102014117282.5 2014-11-25

Publications (1)

Publication Number Publication Date
WO2016081970A1 true WO2016081970A1 (en) 2016-06-02

Family

ID=55315244

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/AT2015/050300 WO2016081970A1 (en) 2014-11-25 2015-11-25 Automation system and method for operating same

Country Status (2)

Country Link
DE (1) DE102014117282A1 (en)
WO (1) WO2016081970A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112214373A (en) * 2020-09-17 2021-01-12 上海金仕达软件科技有限公司 Hardware monitoring method and device and electronic equipment
DE102021212607A1 (en) 2021-11-09 2023-05-11 Siemens Healthcare Gmbh Method of providing a trigger token

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3428756B1 (en) 2017-07-10 2019-06-19 Siemens Aktiengesellschaft Integrity monitoring in automation systems
EP3709107A1 (en) * 2019-03-14 2020-09-16 Siemens Aktiengesellschaft Method and system for monitoring integrity of an automation system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070162957A1 (en) * 2003-07-01 2007-07-12 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
US20120304007A1 (en) * 2011-05-23 2012-11-29 Hanks Carl J Methods and systems for use in identifying abnormal behavior in a control system

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2855621B1 (en) * 2003-05-28 2005-07-01 Schneider Electric Ind Sas SYSTEM FOR CONTROLLING ACCESS TO AN AUTOMATISM EQUIPMENT
US7853677B2 (en) * 2005-09-12 2010-12-14 Rockwell Automation Technologies, Inc. Transparent bridging and routing in an industrial automation environment
DE102011006668B3 (en) * 2011-04-01 2012-09-13 Siemens Aktiengesellschaft Interface module for a modular control device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070162957A1 (en) * 2003-07-01 2007-07-12 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
US20120304007A1 (en) * 2011-05-23 2012-11-29 Hanks Carl J Methods and systems for use in identifying abnormal behavior in a control system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112214373A (en) * 2020-09-17 2021-01-12 上海金仕达软件科技有限公司 Hardware monitoring method and device and electronic equipment
CN112214373B (en) * 2020-09-17 2022-04-12 上海金仕达软件科技有限公司 Hardware monitoring method and device and electronic equipment
DE102021212607A1 (en) 2021-11-09 2023-05-11 Siemens Healthcare Gmbh Method of providing a trigger token

Also Published As

Publication number Publication date
DE102014117282A1 (en) 2016-05-25

Similar Documents

Publication Publication Date Title
EP2908195B1 (en) Method for monitoring security in an automation network, and automation network
EP3353610B2 (en) Connection unit, monitoring system and method for operating an automation system
EP2980662B1 (en) Protection for an automation component against program manipulation by means of signature matching
WO2018059855A1 (en) Method for tamper-proof storage of data of a field device
DE102010033229A1 (en) Method and system for tamper-proof transmission of control data
WO2016081970A1 (en) Automation system and method for operating same
DE102018103772A1 (en) Monitoring system for a protective device and protective device
EP3079028A1 (en) Planning and engineering method, software tool, and simulation tool for an automation solution
DE102017102677A1 (en) Method for authenticating a field device of automation technology
EP3122016B1 (en) Automation network and method of surveillance for security of the transmission of data packets
EP2509265B1 (en) Access protection device for an automation network
DE102015205370A1 (en) Method and device for providing data for condition monitoring of a machine
EP2954534B1 (en) Device and method for detecting unauthorised manipulations of the system state of an open-loop and closed-loop control unit of a nuclear plant
EP3414632A1 (en) Method and device for monitoring data processing and transmission in a security chain of a security system
EP3469429B1 (en) Method for preventing an unauthorised access to software applications in field devices, and communication network
EP3525390A1 (en) Device and method for providing at least one secure cryptographic key for cryptographically protecting data initiated by a control device
EP3470939B1 (en) Method and system for monitoring the security integrity of a security function provided by a security system
EP3470937A1 (en) Method and devices for monitoring the response time of a security function provided by a security system
DE102021132493A1 (en) VARIABLE-LEVEL INTEGRITY CHECKS FOR COMMUNICATION IN PROCESS CONTROL ENVIRONMENTS
WO2016096298A1 (en) Method for checking at least one message
DE102016119744A1 (en) Method and system for preventing unwanted access to a field device
DE102020127079A1 (en) Method and system for integrating field devices in automation technology into a cloud-based service platform
EP3144842A1 (en) System and method for analysis of an object
EP2446599B1 (en) Data transmission between automation devices secured against manipulation
DE202015004439U1 (en) Monitoring device and network participants

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15832788

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15832788

Country of ref document: EP

Kind code of ref document: A1