Integritätsüberwachung bei Automatisierungssystemen TECHNISCHES GEBIET

Verschiedene Beispiele der Erfindung betreffen im Allgemeinen das Überwachen der Integrität eines industriellen Automati ^¬ sierungssystems. Verschiedene Beispiele der Erfindung betref ^¬ fen insbesondere das Überwachen basierend auf einem Vergleich zwischen Zustandsdaten des Automatisierungssystems und Sen ^¬ sordaten, die eine Umweltbeeinflussung des Automatisierungssystems beschreiben. Verschiedene Beispiele der Erfindung be ^¬ treffen das Überwachen der Integrität, um Beeinträchtigung der Integrität aufgrund von Fremdzugriff festzustellen.

HINTERGRUND

Mit zunehmender Automatisierung erfolgt eine zunehmende Verbreitung von industriellen Automatisierungssystemen. Beispielsweise werden Automatisierungssysteme bei der Fertigung von Maschinen oder Werkstücken eingesetzt. Automatisierungs ^¬ systeme können prozesstechnische Anlagen implementieren. Industrielle Automatisierungssysteme werden auch im Bereich Verkehrsüberwachung oder Verkehrssteuerung eingesetzt, beispielsweise im Zusammenhang mit Verkehrsleitsystemen in Städten, in der Gebäudeautomatisierung, beim Bahnverkehr oder im Flugverkehr. Industrielle Automatisierungssysteme können auch bei der Energieerzeugung, zum Beispiel in Kraftwerken oder Umspannwerken, sowie bei der Energieübertragung und Energieverteilung (Smart Grid) verwendet werden.

Moderne Automatisierungssysteme sind geprägt von einem hohen Grad an Konnektivität. Beispielsweise umfassen Automatisie ^¬ rungssysteme typischerweise eine Vielzahl von Komponenten, beispielsweise Sensoren, Aktuatoren, Recheneinheiten oder Steuereinheiten. Diese Komponenten von Automatisierungssystemen sind typischerweise über ein Netzwerk miteinander verbun- den und stehen damit in Kommunikationsverbindung. Es ist oftmals auch möglich, dass von außen - beispielsweise über das Internet - auf das Automatisierungssystem zugegriffen wird, oder dass ein Automatisierungssystem über das Internet Daten überträgt, z.B. Diagnosedaten für eine vorausschauende War ^¬ tung .

Deshalb besteht im Zusammenhang mit Automatisierungssystemen oftmals die Gefahr von unautorisiertem Fremdzugriff (engl. hacking) . Ein solcher unautorisierter Fremdzugriff kann zu Fehlfunktionen, Datenverlust, Funktionseinschränkungen bis hin zum Totalausfall des entsprechenden Automatisierungssys ^¬ tems führen. Deshalb ist der Schutz der Integrität von Automatisierungs ^¬ systemen ein erforderliches Ziel, um den zuverlässigen Betrieb zu gewährleisten. Dabei besteht insbesondere ein Be ^¬ darf, die Integrität von industriellen Automatisierungssyste ^¬ men als Ganzes zu schützen, über den Schutz einzelner Teil- funktionen der Automatisierungssysteme hinaus.

In Referenzimplementierungen wird die Beeinträchtigung der Integrität aufgrund von unautorisiertem Fremdzugriff beispielsweise auf Grundlage von Zustandsdaten der IT-Systeme eines Automatisierungssystems überwacht, welche den Betriebs ^¬ zustand des Automatisierungssystems beschreiben. Basierend auf einer Auswertung von solchen Zustandsdaten kann ein Angriff auf die Integrität der IT-Komponenten des Automatisie ^¬ rungssystems festgestellt werden. Zum Beispiel können Unre- gelmäßigkeiten in den Zustandsdaten erkannt werden. Die Automatisierung der Erkennung von solchen Unregelmäßigkeiten wird im Zusammenhang mit Angriffserkennungswerkzeugen beschrieben (engl, intrusion detection System). Angriffserkennungswerkzeuge suchen gezielt nach bekannten Angriffsmustern, bei- spielsweise in der Betriebssoftware des Automatisierungssys ^¬ tems oder im Zusammenhang mit Kommunikationsschnittstellen des Automatisierungssystems. Solche Referenzimplementierungen weisen aber bestimmte Einschränkungen und Nachteile auf. Beispielsweise können solche Referenzimplementierung eine begrenzte Genauigkeit aufweisen. Oftmals können solche Angriffserkennungswerkzeuge lediglich IT-bezogene Angriffe bzw. Manipulationen erkennen.

KURZE ZUSAMMENFASSUNG DER ERFINDUNG

Deshalb besteht ein Bedarf für verbesserte Techniken, um die Integrität von Automatisierungssystemen zu überwachen. Insbesondere besteht ein Bedarf für Techniken, um Fremdzugriffe auf Automatisierungssysteme zu erkennen. Dabei besteht ein Bedarf für solche Techniken, welche zumindest einige der oben genannten Nachteile und Einschränkungen beheben oder lindern.

Diese Aufgabe wird von den Merkmalen der unabhängigen Patentansprüche gelöst. Die Merkmale der abhängigen Patentansprüche definieren Ausführungsformen. Ein beispielhaftes Verfahren umfasst das Erhalten von Zu- standsdaten eines industriellen Automatisierungssystems. Die Zustandsdaten beschreiben den Betriebszustand des Automati ^¬ sierungssystems. Das Verfahren umfasst weiterhin das Erhalten von Sensordaten, welche eine Umweltbeeinflussung des Automa- tisierungssystems beschreiben. Das Verfahren umfasst ferner das Durchführen eines Vergleichs zwischen den Zustandsdaten und den Sensordaten, sowie das Überwachen der Integrität des Automatisierungssystems basierend auf dem Vergleich. Beispielsweise wäre es möglich, Fremdzugriff auf das Automa ^¬ tisierungssystem zu erkennen und damit verbundene Auswirkungen auf die Integrität zu überwachen. Unautorisierter Fremdzugriff kann erkannt werden. Zum Beispiel könnte das industrielle Automatisierungssystem ein Kraftwerk, ein Energieverteilnetz, ein Umspannwerk, eine Fertigungslinie für Werkstücke oder Maschinen, eine Raffine ^¬ rie, eine Pipeline, eine Kläranlage, ein Verkehrsleitsystem, ein medizinisches Gerät o. ä. implementieren. Manchmal wird ein solches Automatisierungssystem auch als Cyber- physikalisches-System (CPS) bezeichnet. Beispiele für Automa ^¬ tisierungssysteme umfassen: eine Industrieanlage; eine Ferti- gungshalle; ein Umspannwerk; ein Roboter; ein Flurförderfahrzeug; ein autonomes Transportsystem; eine Werkzeugmaschine; eine Fräse; eine Presse; eine prozesstechnische Anlage; und einen 3D Drucker. Die Zustandsdaten können beispielsweise Log-Dateien einer Betriebssoftware des Automatisierungssystems umfassen. Bei ^¬ spielsweise können die Zustandsdaten aus ein oder mehreren Steuerungen des Automatisierungssystems stammen. Die Zu ^¬ standsdaten könnten umfassen: ein Selbsttest-Ergebnis einer Betriebssoftware des Automatisierungssystems; Prüfsummen; Speicherabzüge; etc.

Die Sensordaten können von einem oder mehreren Sensoren erhalten werden. Die Sensoren können beispielsweise Teil des Automatisierungssystems sein, d. h. zum Beispiel über eine gemeinsame Kommunikationsschnittstelle mit weiteren Komponen ^¬ ten des Automatisierungssystems in Kommunikationsverbindung stehen. Es wäre in anderen Beispielen aber auch möglich, dass die Sensoren nicht Teil des Automatisierungssystems sind, sondern vielmehr getrennt vorgehalten sind, sodass nicht einfach gleichzeitiger Zugriff sowohl auf das Automatisierungssystem, als auch auf die Sensoren erhalten werden kann.

Die Sensordaten können also indikativ für die Umweltbeein- flussung des Automatisierungssystems sein. Dabei können je nach Art bzw. Typ der Umweltbeeinflussung unterschiedlichste Sensoren verwendet werden. Beispielsweise könnte die Umwelt ^¬ beeinflussung eine Erwärmung oder Abkühlung der Umgebung des Automatisierungssystems umfassen; in einem solchen Fall wäre es möglich, dass Temperatursensoren verwendet werden. In anderen Beispielen wäre es möglich, dass die Umweltbeeinflus ^¬ sung das Schalten von Ampeln oder Verkehrsführungssystemen im Allgemeinen umfasst; hier könnten zum Beispiel Videodaten, welche die Verkehrsführungssysteme abbilden, als Sensordaten erhalten werden. Im Zusammenhang mit der Energieerzeugung könnten beispielsweise Sensordaten erhalten werden, die indi- kativ für elektrische Kenngrößen sind, etwa Spannung oder Stromfluss oder Phasenverschiebung.

Durch das Durchführen des Vergleichs zwischen den Zustandsda- ten und den Sensordaten kann insbesondere eine Abweichung der Umweltbeeinflussung von einer erwarteten Referenz erkannt werden. Eine solche Abweichung der Umweltbeeinflussung kann zum Beispiel auftreten, wenn sich Randbedingungen der Umweltbeeinflussung, die außerhalb des Automatisierungssystems be ^¬ gründet sind, verändern. In einem solchen Fall ist nicht not ^¬ wendigerweise eine Beeinträchtigung der Integrität zu detek- tieren. Es wäre aber auch möglich, dass eine solche Abwei ^¬ chung der Umweltbeeinflussung von der Referenz aufgrund von beispielsweise unautorisiertem Fremdzugriff auf die Integrität des Automatisierungssystems auftritt. Dann kann durch Überwachung der Abweichung der unautorisierte Fremdzugriff festgestellt werden.

Durch den Vergleich zwischen den Zustandsdaten und den Sensordaten kann ein besonders hoher Grad an Zuverlässigkeit bei der Überwachung der Integrität erreicht werden. Durch ein solches gemeinsames Analysieren kann insbesondere eine Posi ^¬ tiv-Bestätigung der Integrität ermöglicht werden. Außerdem kann die Integrität basierend auf einer Vielzahl von Datenquellen überwacht werden, sodass insgesamt die Zuverlässig ^¬ keit zunimmt. Fremdzugriff kann zuverlässig erkannt werden. Insbesondere kann eine Auswirkung des Fremdzugriffs auf die

Integrität erkannt werden. Eine Beeinträchtigung der Integrität kann erkannt werden. Unautorisierter Fremdzugriff kann erkannt werden. Es sind weiterhin auch Manipulationen an der analogen Ansteuerung eines Aktors oder an Sensoren des Auto- matisierungssystems erkennbar, z.B. eine Manipulation einer Ansteuerelektronik. Dadurch wird eine neue Qualität der Integritätsüberwachung erreicht. In einem Beispiel könnten die Zustandsdaten einen Zustand einer Betriebssoftware des Automatisierungssystems umfassen. Derart können IT-bezogene Informationen über das Automatisie ^¬ rungssystem erhalten werden. Insbesondere kann der Zustand der Betriebssoftware charakteristisch für den Betriebszustand des Automatisierungssystems sein.

Die Zustandsdaten können zumindest ein Element der folgenden Gruppe umfassen: eine Komponentenregistrierung einer Vielzahl von aktiven Komponenten des Automatisierungssystems; eine

Komponentenaktivität einer Vielzahl von Komponenten des Auto ^¬ matisierungssystems; ein Fehlerzustand einer Betriebssoftware des Automatisierungssystems; ein Parameter einer Kommunikati ^¬ onsschnittstelle des Automatisierungssystems; sowie eine Res- sourcenbelegung von Computerhardware des Automatisierungssys ^¬ tems .

Mittels solcher und weiterer Arten von Zustandsdaten kann der Zustand der Betriebssoftware des Automatisierungssystems zu- verlässig und umfangreich abgebildet werden. Durch das Be ^¬ rücksichtigen von mehreren komplementären Arten von Zustandsdaten kann insbesondere ein individueller Angriff auf einzelne Funktionsblöcke des Automatisierungssystems erkannt wer ^¬ den. Dies ist in der Erfahrung begründet, dass ein gleichzei- tiger Angriff auf mehrere oder viele Funktionsblöcke mit ei ^¬ nem gefälschten, jedoch kohärenten bzw. konsistenten Verhalten nur selten auftritt. Deshalb kann eine Beeinträchtigung der Integrität etwa aufgrund von Fremdzugriff besonders zu ^¬ verlässig erkannt werden.

Solche und weitere Arten von Zustandsdaten können insbesonde ^¬ re auch indirekt indikativ sein für eine Aktivität von Aktua ^¬ toren des Automatisierungssystems, welche die Umweltbeein ^¬ flussung bewirken. Manchmal kann es erstrebenswert sein, die Aktivität der Aktuatoren des Automatisierungssystems beson ^¬ ders explizit bei dem Überwachen der Integrität zu berück ^¬ sichtigen. In einem solchen Fall kann es hilfreich sein, ferner Steuerdaten für ein oder mehrere Aktuatoren des Automati- sierungssystems zu erhalten, wobei diese Aktuatoren die Um ^¬ weltbeeinflussung bewirken. Dann kann der Vergleich zwischen den Zustandsdaten, den Sensordaten sowie den Steuerdaten durchgeführt werden.

Derart ist es möglich, eine bestimmte unerwartete Umweltbe ^¬ einflussung besonders gut zum Beispiel auch auf Fehlfunktio ^¬ nen der Aktuatoren zurückzuführen; Fehlfunktionen der Aktuatoren müssen nicht notwendigerweise durch Fremdzugriff ent- stehen, sondern können auch durch eine Beschädigung etc. hervorgerufen werden. Damit kann insgesamt die Genauigkeit des Überwachens Integrität gesteigert werden. Insbesondere kann hierbei die Integrität des Systems, auch unabhängig von einem Fremdzugriff, überwacht werden.

In manchen Beispielen ist es möglich, dass der Vergleich eine Abweichung der Umweltbeeinflussung von einer Referenz berücksichtigt. Insbesondere kann im Rahmen des Vergleichs also ei ^¬ ne Abweichung vom Normverhalten festgestellt werden. Eine solche Abweichung vom Normverhalten kann besonders einfach ermittelt werden - insbesondere gegenüber Referenzimplementierungen, bei welchen die Umweltbeeinflussung umfassend vorhergesagt werden soll. Aufgrund der Komplexität von Automati ^¬ sierungssystemen kann es manchmal nicht oder nur einge- schränkt möglich sein, die Umweltbeeinflussung umfassend vorherzusagen. In solchen Szenarien kann es dann hilfreich sein, wenn anstatt einer Vorhersage der Umweltbeeinflussung lediglich eine Abweichung der Umweltbeeinflussung von der Referenz berücksichtigt wird. Es kann also eine Anomaliedetektion durchgeführt werden.

Dabei wäre es zum Beispiel möglich, dass die Referenz basie ^¬ rend auf einem vorgegebenen deterministischen Modell und als Funktion der Zustandsdaten bestimmt wird. Zum Beispiel könnte das deterministische Modell auf Grundlage von einfachen An ^¬ nahmen, die zum Beispiel fest vorgegeben und in einem Speicher hinterlegt sind, die Referenz vorgeben. Ein solches Mo ^¬ dell könnte zum Beispiel vorhersagen, dass bei einer großen Zahl von Speicherzugriffen einer Betriebssoftware des Automatisierungssystems typischerweise eine erhöhte Anzahl von pro Zeiteinheit fertig gestellten Werkstücken erhalten wird. Die Anzahl von pro Zeiteinheit fertig gestellten Werkstücken könnte durch einen geeigneten Sensor überprüft werden; derart könnte aus einer Abweichung zwischen Sensordaten und Zu- standsdaten eine Beeinträchtigung der Integrität ermittelt werden. Ein weiteres Beispiel für ein solches Modell betrifft beispielsweise die Häufigkeit von Regelvorgängen beim Betrieb von Gasturbinen; wird eine Gasturbine häufig zwischen unterschiedlichen Leistungswerten geregelt, könnte die Temperatur in einem Lager der Gasturbine ansteigen. Der Temperaturverlauf im Bereich des Lagers der Gasturbine kann durch einen Temperatursensor überwacht werden und es kann dieser vorher- gesagte Zusammenhang im Rahmen des Modells durch den Vergleich zwischen den Zustandsdaten und den Sensordaten überprüft werden. Insbesondere wenn ein Simulationsmodell des Automatisierungssystems, das auch als digitaler Zwilling be ^¬ zeichnet wird, vorliegt, so kann das Simulationsmodell im laufenden Betrieb als Referenz verwendet werden. Dies ist insbesondere vorteilhaft, da ein bei der Konstruktion des Automatisierungssystems erstelltes Simulationsmodell (digita ^¬ ler Zwilling) zur Integritätsüberwachung im Betrieb weiterverwendet werden kann.

Dabei wäre es zum Beispiel möglich, dass das vorgegebene Mo ^¬ dell als Funktion der Zustandsdaten einen Plausibilitätsbe- reich der Sensordaten indiziert. Dies bedeutet, dass anstatt einer genauen Vorhersage der zu erwartenden Sensordaten viel- mehr ein gewisser Bereich von akzeptablen Sensordaten verwendet wird. Dies kann es besonders gut ermöglichen, den norma ^¬ len Betrieb von einer Beeinträchtigung der Integrität etwa aufgrund eines Fremdzugriffs beim Überwachen zu trennen. Das Verfahren könnte auch das Erhalten von Referenz-

Zustandsdaten des Automatisierungssystems in einer Lernphase umfassen. Die Referenz-Zustandsdaten können dabei den Betriebszustand des Automatisierungssystems beschreiben. Das Verfahren kann auch das Erhalten von Referenz-Sensordaten in der Lernphase umfassen. Auch die Referenz-Sensordaten können die Umweltbeeinflussung des Automatisierungssystems beschrei ^¬ ben. Dann kann ein empirisches Modell der Umweltbeeinflussung bestimmt werden, basierend auf dem Durchführen eines Ver ^¬ gleichs zwischen den Referenz-Zustandsdaten und den Referenz- Sensordaten. Es ist dann möglich, die Referenz basierend auf dem empirischen Modell zu bestimmen. In einem solchen Ansatz kann es möglich sein, flexibel eine große Anzahl von Quellen für Zustandsdaten und Sensordaten durch das Modell miteinander zu verknüpfen. Insbesondere ist es möglich, insbesondere auch solche Quellen miteinander zu verknüpfen, für die nicht einfach ein deterministisches Mo- dell abgeleitet werden kann - besonders modulare Systeme kön ^¬ nen so unterstützt werden. So etwas kann ferner zum Beispiel bei schwach korrelierten Daten der Fall sein. So etwas kann ferner der Fall sein, wenn eine große Dimensionalität an un ^¬ terschiedlichen Daten vorhanden ist. So etwas kann ferner der Fall sein, wenn die Sensordaten beispielsweise stark rauschbehaftet sind und das Signal-zu-Rauschverhältnis der Sensor ^¬ daten gering ist.

Zum Beispiel könnte das Bestimmen des empirischen Modells mittels Techniken des maschinellen Lernens erfolgen. Zum Beispiel könnte ein künstliches neuronales Netzwerk trainiert werden, etwa mittels Rückwärtspropagation . Es könnte auch ein Kaiman-Filter verwendet werden. Derart kann es ohne großen Aufwand und auch flexibel auf den Einzelfall - etwa eines mo- dularen Systems, das häufig erweitert oder abgeändert wird - abgestimmt ermöglicht werden, das Modell bzw. die Referenz zuverlässig zu bestimmen.

Die Lernphase kann zum Beispiel im Zusammenhang mit einem überwachten Betrieb durchgeführt werden. Beispielsweise wäre es möglich, dass während der Lernphase ein Zugriff auf das Automatisierungssystem von externen Anlagen nicht möglich ist. Derart kann sichergestellt werden, dass bereits die Re- ferenz-Zustandsdaten oder die Referenz-Sensor Daten nicht gefälscht werden. Es wäre auch möglich, dass die Lernphase kon ^¬ tinuierlich über den Betrieb des Automatisierungssystems wie ^¬ derholt wird. Derart könnte eine plötzliche Abweichung gegen- über der Referenz etwa aufgrund des Fremdzugriffs erkannt werden. Weiterhin wird vorgeschlagen, bei einem autorisierten Zugriff auf eine oder mehrere Komponenten des Automatisie ^¬ rungssystems, z.B. einer Änderung der Projektierung (Konfigurationsdaten) , bei einer Rekonfiguration einer Produktionsan- läge ( Plug-and-Work) , oder bei einer Aktualisierung einer Gerätefirmware, das Referenz-Modell zu aktualisieren. Weiterhin wird vorgeschlagen, während eines solchen autorisierten Zugriffs das erfindungsgemäße Verfahren zur Integritätsüberwa ^¬ chung des Automatisierungssystems vorübergehend anzuhalten. In einer anderen Variante erfolgt während eines solchen auto ^¬ risierten Zugriffs das erfindungsgemäße Verfahren eine Über ^¬ wachung gemäß eines zweiten Referenz-Modells. Die Auswahl des Referenz-Modells bzw. das temporäre Anhalten kann automatisch erfolgen, indem die Betriebsart des Automatisierungssystems ausgewertet wird (z.B. operativer Betriebsmodus, Wartungsmo ^¬ dus, Fehlermodus) .

Es wäre in verschiedenen Beispielen auch möglich, dass der Betrieb eines weiteren industriellen Automatisierungssystems überwacht wird. Dann könnte die Referenz basierend auf dem

Überwachen des Betriebs des weiteren industriellen Automatisierungssystems bestimmt werden. Beispielsweise könnten auch für das weitere industrielle Automatisierungssystem entspre ^¬ chende Zustandsdaten und Sensordaten erhalten werden und ein Vergleich zwischen den Zustandsdaten den Sensordaten des weiteren industriellen Automatisierungssystems durchgeführt wer ^¬ den .

Mittels solcher Techniken kann eine Vernetzung zwischen un- terschiedlichen Automatisierungssystemen derart ausgenutzt werden, dass die Kompromittierung eines einzelnen Automatisierungssystems aus dieser Gruppe von Automatisierungssyste- men durch einen Vergleich mit den übrigen Automatisierungssystemen erkannt werden kann.

Das Durchführen des Vergleichs zwischen den Zustandsdaten und den Sensordaten kann weiterhin das Durchführen einer

Anomaliedetektion von mit den Zustandsdaten korrelierten Sensordaten umfassen. Dies bedeutet, dass im Rahmen einer zum Beispiel Maschinen-trainierten Anomaliedetektion eine Abweichung eines erwarteten Musters der Sensordaten auf Grundlage der Zustandsdaten erkannt werden kann.

Wenn eine Beeinträchtigung der Integrität festgestellt wird und / oder wenn Fremdzugriff auf die Integrität des Automati ^¬ sierungssystems festgestellt wird, können verschiedene Maß- nahmen ergriffen werden. Zum Beispiel könnte ein Signal über eine Benutzerschnittstelle ausgegeben werden, beispielsweise ein Schaltsignal oder ein Alarmsignal. Das Automatisierungs ^¬ systemen oder zumindest Komponenten des Automatisierungssys ^¬ tems können automatisch oder nach Bestätigung durch das Be- dienpersonal in einen sicheren Zustand bzw. einen Schutzzu ^¬ stand überführt werden. Es könnte auch eine Protokolldatei erstellt werden, in Abhängigkeit des Überwachens. Die Proto ^¬ kolldatei kann dabei einen Status des Überwachens mit Serien ^¬ nummern von Produkten des Automatisierungssystems korrelie- ren. Dadurch kann auch nachträglich bei einem Produkt überprüft werden, ob die Integrität der Produktionsmaschinen während der Herstellung dieses Produkts erfüllt war.

In einem Beispiel umfasst ein Computerprogrammprodukt Pro- gramm-Code, der von mindestens einem Prozessor ausgeführt werden kann. Das Ausführen des Programm-Codes bewirkt, dass der mindestens eine Prozessor ein Verfahren ausführt. Das Verfahren umfasst das Erhalten von Zustandsdaten eines industriellen Automatisierungssystems. Die Zustandsdaten be- schreiben den Betriebszustand des Automatisierungssystems.

Das Verfahren umfasst weiterhin das Erhalten von Sensordaten, welche eine Umweltbeeinflussung des Automatisierungssystems beschreiben. Das Verfahren umfasst ferner das Durchführen ei- nes Vergleichs zwischen den Zustandsdaten und den Sensordaten sowie das Überwachen der Integrität des Automatisierungssys ^¬ tems basierend auf dem Vergleich.

In einem Beispiel umfasst ein Computerprogramm Programm-Code, der von mindestens einem Prozessor ausgeführt werden kann. Das Ausführen des Programm-Codes bewirkt, dass der mindestens eine Prozessor ein Verfahren ausführt. Das Verfahren umfasst das Erhalten von Zustandsdaten eines industriellen Automatisierungssystems. Die Zustandsdaten beschreiben den Betriebs ^¬ zustand des Automatisierungssystems. Das Verfahren umfasst weiterhin das Erhalten von Sensordaten, welche eine Umweltbeeinflussung des Automatisierungssystems beschreiben. Das Ver ^¬ fahren umfasst ferner das Durchführen eines Vergleichs zwischen den Zustandsdaten und den Sensordaten sowie das Überwachen der Integrität des Automatisierungssystems basierend auf dem Vergleich.

In einem Beispiel umfasst eine Steuereinheit mindestens einen Prozessor, der eingerichtet ist, um die folgenden Schritte auszuführen: Erhalten von Zustandsdaten eines industriellen Automatisierungssystems, wobei die Zustandsdaten den Be ^¬ triebszustand des Automatisierungssystems beschreiben; und Erhalten von Sensordaten, die eine Umweltbeeinflussung des Automatisierungssystems beschreiben; und Durchführen eines Vergleichs zwischen den Zustandsdaten und den Sensordaten; und basierend auf dem Vergleich: Überwachen der Integrität des Automatisierungssystems.

Die oben beschriebenen Beispiele können in weiteren Beispielen miteinander kombiniert werden.

KURZE BESCHREIBUNG DER FIGUREN

FIG. 1 illustriert schematisch Automatisierungssystem ge mäß verschiedener Beispiele. FIG. 2 illustriert schematisch eine Steuereinheit eines Auto ^¬ matisierungssystems gemäß verschiedener Beispiele.

FIG. 3 illustriert schematisch eine Steuereinheit gemäß ver- schiedener Beispiele.

FIG. 4 ist ein Flussdiagramm eines beispielhaften Verfahrens.

FIG. 5 illustriert schematisch das Erhalten von Zustandsda- ten, Steuerdaten sowie Sensordaten gemäß verschiedener Beispiele .

FIG. 6 illustriert schematisch das Vergleichen von Zustands ^¬ daten, Steuerdaten sowie Sensordaten mittels eines Modells gemäß verschiedener Beispiele.

FIG. 7 illustriert einen schematischen Zeitverlauf einer von beispielhaften Zustandsdaten beschriebenen Komponentenaktivität einer Komponente eines Automatisierungssystems sowie ei- ner Umweltbeeinflussung des Automatisierungssystems, die mit der Komponentenaktivität korreliert.

FIG. 8 illustriert schematisch Referenz-Zustandsdaten, Referenz-Steuerdaten sowie Referenz-Sensordaten gemäß verschiede- ner Beispiele.

FIG. 9 illustriert schematisch Zustandsdaten, Steuerdaten sowie Sensordaten von mehreren Automatisierungssystemen gemäß verschiedener Beispiele.

DETAILLIERTE BESCHREIBUNG VON AUSFÜHRUNGSFORMEN

Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Nachfolgend wird die vorliegende Erfindung anhand bevorzugter Ausführungsformen unter Bezugnahme auf die Zeichnungen näher erläutert. In den Figuren bezeichnen gleiche Bezugszeichen gleiche oder ähnliche Elemente. Die Figuren sind schematische Repräsentationen verschiedener Ausführungsformen der Erfindung. In den Figuren dargestellte Elemente sind nicht notwen ^¬ digerweise maßstabsgetreu dargestellt. Vielmehr sind die ver ^¬ schiedenen in den Figuren dargestellten Elemente derart wie- dergegeben, dass ihre Funktion und genereller Zweck dem Fachmann verständlich wird. In den Figuren dargestellte Verbindungen und Kopplungen zwischen funktionellen Einheiten und Elementen können auch als indirekte Verbindung oder Kopplung implementiert werden. Eine Verbindung oder Kopplung kann drahtgebunden oder drahtlos implementiert sein. Funktionale

Einheiten können als Hardware, Software oder eine Kombination aus Hardware und Software implementiert werden.

Nachfolgend werden Techniken beschrieben, um die Integrität von industriellen Automatisierungssystem zu überwachen. Es können unterschiedliche Gründe vorliegen, die eine Beein ^¬ trächtigung der Integrität bewirken. Ein beispielhafter Grund für die Beeinträchtigung der Integrität ist Fremdzugriff auf das entsprechende Automatisierungssystem, also insbesondere unautorisierter Fremdzugriff.

Die hierin beschriebenen Techniken beruhen auf einer kombinierten Überwachung von Zustandsdaten, welche einen Betriebszustand des Automatisierungssystems beschreiben, sowie von Sensordaten, die eine Umweltbeeinflussung des Automatisierungssystems beschreiben. Beispielsweise kann aus den Zu ^¬ standsdaten die erwartete Umweltbeeinflussung im Normalfall abgeleitet werden. Solche Modellierungsinformationen können dann genutzt werden, um einen Abgleich des Ist-Verhaltens mit dem erwarteten Verhalten zu realisieren und darüber Integritätsänderungen festzustellen. Die hierin beschriebenen Techniken beruhen in verschiedenen Beispielen darauf, Sensordaten und Zustandsdaten - die beispielsweise IT-bezogen sind - gemeinsam zu berücksichtigen und auszuwerten. Es kann eine Überprüfung auf Konsistenz bzw. Plausibilität aus einem Vergleich der Sensordaten mit den Zustandsdaten erfolgen. Dadurch ergibt sich eine neue Qualität der Integritätsüberwachung, da zum Beispiel auch Manipulationen an Sensoren oder Aktuatoren erkannt werden können. Weiterhin wird eine hohe Robustheit erreicht, da für einen unbe- merkten Angriff eine Vielzahl von Integritätsdaten auf unterschiedlichen Systemen gleichzeitig konsistent manipuliert werden müssten. Weiterhin können unterschiedliche Arten der Integritätsbeeinträchtigung - beispielsweise Manipulation von Sensoren oder Aktuatoren, Manipulation der Verkabelung, Mani- pulation von Konfigurationsdaten, Manipulation von Firmware, Manipulation der Steuerungskommunikation, etc. - gemeinsam erfasst und bearbeitet werden. Dadurch können Beeinträchti ^¬ gungen der Integrität von Automatisierungssystemen von unterschiedlicher Art erkannt werden. Die hierin beschriebenen Techniken zur Überwachung der Integrität beziehen sich dabei insbesondere nicht nur auf spezielle IT-Teilfunktionen von Komponenten eines Automatisierungssystems, sondern betreffen einen umfassenden Ansatz. Die hierin beschriebenen Techniken können flexibel skaliert werden. Erweiterbarkeit ist gegeben. Flexibel können je nach Bedarf zusätzliche Sensordaten und/oder Zustandsdaten berücksichtigt werden. Auch können kritische Bereiche eines Automa ^¬ tisierungssystems mit höherem Aufwand überwacht werden, als vergleichsweise unkritische Bereiche. Zum Beispiel könnten für kritische Bereiche mehr Sensordaten oder Zustandsdaten erhalten werden, etwa pro Zeiteinheit.

Die hierin beschriebenen Techniken ermöglichen auch das Nach- rüsten von bestehenden Automatisierungssystemen. Zum Beispiel könnten gezielt zusätzliche Sensoren zum Bereitstellen von Sensordaten verwendet werden. Dies ermöglicht es, grundsätzlich ungeschützte Betriebssoftware, Automatisierungskomponen- ten und Werkzeugmaschinen bzw. Produktionssysteme weiter zu verwenden. Es können im Allgemeinen Komponenten eines Automatisierungssystems weiterverwendet werden, die selbst keinen oder nur einen unzureichenden Schutz vor Fremdzugriff aufwei- sen .

Auf Grundlage der vorliegenden Techniken wäre es beispiels ^¬ weise möglich, eine Protokolldatei zu erzeugen, welche das Ergebnis der Überwachung protokolliert. Beispielsweise könn- ten Zeitstempel verwendet werden. Diese Informationen könnten dann dazu genutzt werden, Chargen von erzeugten Produkten des Automatisierungssystems in Bezug auf Beeinträchtigung der In ^¬ tegrität zu überwachen. Derart lässt sich auch im Nachgang überprüfen, ob die Integrität von einzelnen Chargen von Pro- dukten beeinflusst sein könnte, etwa aufgrund eines unzuläs ^¬ sigen oder sogar unautorisierten Fremdzugriffs.

Ein unautorisierter Fremdzugriff ist oftmals dadurch gekennzeichnet, dass eine unzulässige Modifikation eines Automati- sierungssystems erfolgt. Dies kann auch durch Benutzer erfol ^¬ gen, die eine Zugangsberechtigung, z.B. zu einem Servicemodus, zu einer Komponente des Systems haben und z.B. die Firm ^¬ ware oder die Projektierungsdaten einer Komponente modifizieren können. Die erfindungsgemäße Lösung verbessert die

Resilience, da auch unzulässige Änderungen der Anlagenkonfiguration erkennbar sind, die von Servicetechnikern oder über schwach oder nicht geschützte Serviceschnittstellen erfolgen.

FIG. 1 illustriert schematisch Aspekte in Bezug auf ein Auto- matisierungssystem 100. Das Automatisierungssystem 100 um- fasst eine Vielzahl von Komponenten 101 - 106,111 - 112, 18 - 119, 120. Die Komponenten können auch als sogenannte Internet der Dinge (engl. Internet of Things, IoT) -Geräte bezeichnet werden .

Beispielsweise könnten die Komponenten 101 - 106 Aktuatoren implementieren, die eine Umweltbeeinflussung hervorrufen. Eine solche Umweltbeeinflussung könnte zum Beispiel der Betrieb einer Fertigungslinie sein oder die Steuerung von Verkehrs ^¬ leitsystemen .

Beispielsweise könnten die Komponenten 111 - 112 Sensoren be- zeichnen, welche die Umweltbeeinflussung der Aktuatoren 101 - 106 zumindest teilweise vermessen.

Beispielsweise könnten die Komponenten 118 - 119 Steuerfunktionalität implementieren, die ein oder mehrere der weiteren Komponenten 101 - 106, 111 - 112 steuern; dies bedeutet, dass die Komponenten 118 - 119 Ressourcen einer Computerhardware bereit stellen können. Auch eine zentrale Steuereinheit 120 ist vorgesehen. Im Zusammenhang mit FIG. 1 sind außerdem auch externe Senso ^¬ ren 151, 152 dargestellt; diese Sensoren 151, 152. insoweit nicht Teil des Automatisierungssystems 100, da sie nicht in einer Kommunikationsverbindung mit den übrigen Komponenten 101 - 106, 111 - 112, 118 - 120 stehen. Solche Sensoren 151, 152 könnten beispielsweise speziell mit der Zielsetzung der Integritätsüberwachung installiert werden und zum Beispiel physikalisch geschützt angebracht werden. Dies hat den Vor ^¬ teil, dass ein solcher Sensor 151, 152 nicht von einer kompromittierten Automatisierungskomponente über die Kommunika- tionsverbindung manipuliert werden kann. In einer Variante kann diesen systemunabhängigen Sensoren eine andere Gewichtung bei der Auswertung gegeben werden.

In FIG. 1 ist dargestellt, dass ein Fremdzugriff 90 auf die Integrität des Automatisierungssystems 100 erfolgen kann.

Beispielsweise könnte Ziel des Fremdzugriffs 90 eine Beein ^¬ trächtigung der Funktionsweise des Automatisierungssystems 100 sein. Der Fremdzugriff 90 kann unzulässig oder sogar unautorisiert sein.

Nachfolgend werden Techniken beschrieben, die es ermöglichen, einen solchen Fremdzugriff 90 zu erkennen und gegebenenfalls abzuwehren . Entsprechende Logik kann zum Beispiel im Zusammenhang mit ei ^¬ ner Steuereinheit 160 implementiert sein. Die Steuereinheit 160 ist in dem Szenario der FIG. 1 wiederum nicht Teil des Automatisierungssystems 100. Zum Beispiel könnte die Steue ^¬ rung 160 Teil eines Backend-Systems sein. Zum Beispiel könnte Cloud-Computing oder Edge-Computing zum Betrieb der Steuereinheit 160 verwendet werden. FIG. 2 illustriert Aspekte in Bezug auf die zentrale Steuer ^¬ einheit 120. In manchen Beispielen könnte auch die Steuereinheit 120 eingerichtet sein, um die Überwachung der Integrität zu implementieren. Die Steuereinheit 120 umfasst mindestens einen Prozessor 121, beispielsweise einen Mehrkern-Prozessor. Ein Speicher 122 ist vorgesehen. Es könnte Programm-Code in dem Speicher 122 gespeichert sein. Der Prozessor 121 kann den Programm-Code aus dem Speicher 122 laden und ausführen. Das Ausführen des Programm-Codes kann bewirken, dass die zentrale Steuereinheit 120 Techniken im Zusammenhang mit einer oder mehreren der folgenden Elemente ausführt: Erhalten und/oder Analysieren von Zustandsdaten des Automatisierungssystems 100; Erhalten und/oder Analysieren von Sensordaten, die eine Umweltbeeinflussung des Automatisierungssystems beschreiben; Durchführen eines Vergleichs zwischen den Zustandsdaten und den Sensordaten; und Überwachen der Integrität des Automatisierungssystems; und Überwachen von Fremdzugriff auf Automa ^¬ tisierungssystem, etwa mit dem Ziel, die Integrität zu beein ^¬ trächtigen bzw. zu verletzen. FIG. 3 illustriert Aspekte in Bezug auf die Backend-

Steuereinheit 160. Die Steuereinheit 160 umfasst mindestens einen Prozessor 161, beispielsweise einen Mehrkern-Prozessor. Ein Speicher 162 ist vorgesehen. Es könnte Programm-Code in dem Speicher 162 gespeichert sein. Der Prozessor 161 kann den Programm-Code aus dem Speicher 162 laden und ausführen. Das Ausführen des Programm-Codes kann bewirken, dass die Steuereinheit 160 Techniken im Zusammenhang mit einem oder mehreren der folgenden Elemente ausführt: Erhalten und/oder Analysie- ren von Zustandsdaten des Automatisierungssystems 100; Erhal ^¬ ten und/oder Analysieren von Sensordaten, die eine Umweltbeeinflussung des Automatisierungssystems beschreiben; Durchführen eines Vergleichs zwischen den Zustandsdaten und den Sensordaten; und Überwachen der Integrität des Automatisie ^¬ rungssystems .

FIG. 4 ist ein Flussdiagramm eines beispielhaften Verfahrens. Beispielsweise könnte das Verfahren gemäß dem Beispiel der FIG. 4 von der Steuereinheit 120 oder von der Steuereinheit 160 ausgeführt werden.

Zunächst werden in Block 1001 Zustandsdaten erhalten. Die Zustandsdaten beschreiben dem Betriebszustand eines Automati- sierungssystems . Beispielsweise könnten die Zustandsdaten aus ein oder mehreren Steuereinheiten des Automatisierungssystems erhalten werden oder auch direkt von Aktuatoren oder Sensoren des Automatisierungssystems. Zum Beispiel könnten die Zustandsdaten einen Zustand einer Betriebssoftware des Automatisierungssystems umfassen. Die Zustandsdaten könnten zumindest ein Element der folgenden Gruppe umfassen: eine Komponentenregistrierung einer Vielzahl von aktiven Komponenten des Automatisierungssystems; und eine Komponentenaktivität einer Vielzahl von Komponenten des Auto ^¬ matisierungssystems; ein Fehlerzustand einer Betriebssoftware des Automatisierungssystems; ein Parameter einer Kommunikati ^¬ onsschnittstelle des Automatisierungssystems; und eine Res ^¬ sourcenbelegung von Computerhardware des Automatisierungssys- tems .

Beispielsweise könnte die Komponentenregistrierung alle akti ^¬ ven Komponenten, die an einer zentralen Steuereinheit des Automatisierungssystems registriert sind, auflisten. Abgemel- dete Komponenten können entsprechend gelistet werden. Dadurch kann eine Übersicht erhalten werden, welche Komponenten des Automatisierungssystems grundsätzlich eine Umweltbeeinflus ^¬ sung vornehmen können. Beispielsweise könnte die Komponentenaktivität einen Auslas ^¬ tungsgrad oder einen Betriebszyklus von verschiedenen Kompo ^¬ nenten bezeichnen. Beispielsweise könnte im Zusammenhang mit Aktuatoren eine Amplitude der Aktivität beschrieben werden. Derart kann es möglich sein, eine Stärke der Umweltbeeinflus ^¬ sung aufgrund von Aktuatoren des Automatisierungssystems ab ^¬ zuschätzen . Der Fehlerzustand kann beispielsweise einer Log-Datei der Be ^¬ triebssoftware entsprechen. Darin können zum Beispiel unerwartete Abbrüche von Programmsoftware hinterlegt sein. Es könnten auch fehlerhafte Speicherzugriffe hinterlegt sein. Es könnten auch abgewehrte Fremdzugriffe hinterlegt sein. Es könnten auch alle ausgeführten Prozesse dargestellt sein.

Der Parameter der Kommunikationsschnittstelle des Automati ^¬ sierungssystems kann zum Beispiel eine Aktivität der Kommuni ^¬ kationsschnittstelle und mögliche Kommunikationspartner indi- zieren. Beispielsweise könnte die Menge an ausgetauschten Da ^¬ ten hinterlegt sein. Beispielsweise könnte eine verwendete Verschlüsselung indiziert sein. Beispielsweise könnten die aktiven Kommunikationsverbindungen und die assoziierten Anwendungen hinterlegt sein.

Die Ressourcenbelegung der Computerhardware kann beispiels ^¬ weise eine Auslastung des Speichers oder eine Auslastung von Festspeicher oder eine Auslastung von verfügbaren Prozessoren beschreiben .

In Block 1002 werden Sensordaten erhalten. Beispielsweise können die Sensordaten von ein oder mehreren Sensoren des Automatisierungssystems erhalten werden. Alternativ oder zusätzlich wäre es auch möglich, dass die Sensordaten von ein oder mehreren externen Sensoren erhalten werden. Die Sensordaten können eine physikalische Messgröße bzw. Observable quantifizieren. Die Messgröße kann eine Umweltbeeinflussung des Automatisierungssystems beschreiben. Beispielsweise könn- te ein oder mehrere der folgenden physikalischen Observablen durch die Sensordaten beschrieben werden: Temperatur; Ver- kehrsfluss; erzeugte Produkte; Ausschuss; Druck; Volumen; Ge ^¬ schwindigkeit; Position; Strom; Spannung; erzeugte elektri- sehe Energie; etc.

Dann erfolgt in Block 1003 das Durchführen eines Vergleichs zwischen den Zustandsdaten aus Block 1001 und den Sensordaten aus Block 1002. Beispielsweise könnte eine Korrelation zwi- sehen den Zustandsdaten und den Sensordaten durchgeführt werden. Es könnte eine Fusion der Sensordaten und Zustandsdaten durchgeführt werden.

Grundsätzlich könnten im Rahmen des Vergleichs in Block 1003 auch weitere Daten berücksichtigt werden. Zum Beispiel wäre es möglich, auch Steuerdaten für ein oder mehrere Aktuatoren des Automatisierungssystems, die die Umweltbeeinflussung be ^¬ wirken, zu erhalten. Dann könnten beim Vergleich in Block 1003 auch die Steuerdaten berücksichtigt werden

Beim Vergleich könnte eine Abweichung der Umweltbeeinflussung von einer Referenz berücksichtigt werden. Diese Referenz kann in Abhängigkeit der Zustandsdaten bestimmt werden. Dabei könnte zum Beispiel ein deterministisches Modell oder auch ein empirisches Modell verwendet werden.

Abschließend können in Block 1005 (optional) Gegenmaßnahmen und/oder Warnungen in Abhängigkeit von dem Überwachen aus Block 1004 ausgelöst werden. Beispielsweise könnte in Abhän- gigkeit des Überwachens eine Protokolldatei erstellt werden, die den Status des Überwachens mit Seriennummern von Produk ^¬ ten des Automatisierungssystems korreliert. Derart könnte auch im Nachgang überprüft werden, ob möglicherweise einzelne Produkte oder Produktchargen von der Beeinträchtigung der In- tegrität beeinflusst waren. Es wäre auch möglich, in Abhän ^¬ gigkeit von dem Überwachen eine Warnung über eine Benutzerschnittstelle auszugeben und/oder den Betrieb des Automati ^¬ sierungssystems automatisch in einen Schutzzustand zu über- führen. Beispielsweise könnte es möglich sein, im Schutzzu ^¬ stand die Umweltbeeinflussung einzuschränken, sodass Personen etc. nicht zu Schaden kommen können. Es wäre auch möglich, eine Kommunikationsschnittstelle des Automatisierungssystems 100 zu deaktivieren, sodass ein möglicher Fremdzugriff nicht aktiv durchgeführt werden kann.

FIG. 5 illustriert schematisch Aspekte in Bezug auf eine Fu ^¬ sion von unterschiedlichen Daten des Automatisierungssystems. Aus FIG. 5 ist ersichtlich, dass von einer Teilmenge der Ak- tuatoren 101, 103, 105 Zustandsdaten 181 und/oder Steuerdaten 182 erhalten werden. Die Zustandsdaten 181 können einen Betriebszustand des jeweiligen Aktuators 101, 103, 105 be ^¬ schreiben. Die Steuerdaten 182 können eine Art und Weise bzw. eine Stärke der Umweltbeeinflussung des jeweiligen Aktuators 101, 103, 105 beschreiben.

Außerdem werden von den Sensoren 111, 112, 151, 152 Sensordaten 183 erhalten. Die Sensordaten beschreiben die Umweltbe- einflussung des Automatisierungssystems 100.

In dem Beispiel der FIG. 5 werden ferner von den Hardware- Ressourcen 118, 119 Zustandsdaten 181 erfasst. Außerdem werden von der zentralen Steuereinheit 120 Zustandsdaten 181 er- fasst.

Alle diese Daten 181, 182, 183 werden der Steuereinheit 160 bereitgestellt. Diese kann dann eine Fusion der Daten durchführen, d. h. einen Vergleich zwischen den verschiedenen Da- ten 181, 182, 183. Basierend auf diesem Vergleich kann die Integrität von Automatisierungssystemen überwacht werden. Das ist auch im Zusammenhang mit FIG. 6 dargestellt.

FIG. 6 illustriert Aspekte in Bezug auf das Vergleichen der verschiedenen Daten 181, 182, 183. FIG. 6 illustriert insbe ^¬ sondere eine Funktionsweise beispielsweise der Steuereinheit 160 oder der Steuereinheit 120 in Bezug auf das Überwachen der Integrität, wobei etwa Beeinträchtigungen der Integrität aufgrund von unzulässigem oder sogar unautorisiertem Fremdzugriff 90 erkannt werden können.

Aus FIG. 6 ist ersichtlich, dass ein Modell 250 für den Ver- gleich verwendet wird. Als Ergebnis wird ein Ergebnissignal 189 erhalten. Das Ergebnissignal 189 kann beispielsweise in- dikativ dafür sein, ob eine Beeinträchtigung der Integrität und/oder Fremdzugriff 90 vorliegt oder nicht. Das Ergebnis ^¬ signal 189 könnte eine entsprechende Wahrscheinlichkeit indi- zieren. Das Ergebnissignal kann Warnungen und/oder Gegenmaß ^¬ nahmen auslösen.

In manchen Beispielen kann ein deterministisches Modell 250 verwendet werden. Das deterministische Modell 250 kann vorge- geben sein und beispielsweise auf Grundlage von physikali ^¬ schen Zusammenhängen bzw. der Architektur des Automatisierungssystems 100 erstellt werden. Es wäre zum Beispiel mög ^¬ lich, dass das Modell 250 als Funktion der Zustandsdaten 181 einen Plausibilitätsbereich von Sensordaten indiziert. Dann kann im Rahmen des Vergleichs überprüft werden, ob die Sen ^¬ sordaten eine Umweltbeeinflussung innerhalb dieses Plausibi- litätsbereichs indizieren; ist dies nicht der Fall, kann von einer Beeinträchtigung der Integrität ausgegangen werden. Solche Techniken sind im Zusammenhang mit FIG. 7 illustriert.

FIG. 7 illustriert Aspekte in Bezug auf das Vergleichen von Zustandsdaten 181 und Sensordaten 183. Beispielsweise könnte eine entsprechende Funktionsweise durch das Modell 250 imple ^¬ mentiert werden.

In dem Beispiel der FIG. 7 indizieren die Zustandsdaten 181 die Aktivität 301 eines Aktuators als Funktion der Zeit. In dem Beispiel der FIG. 7 schwankt die Aktivität des Aktuators 301 zwischen zwei Werten (durchgezogene Linie) .

In FIG. 7 ist auch die Referenz 310 dargestellt, die auf Grundlage des Modells 250 basierend auf der Aktivität 301 er ^¬ halten wird (gepunktete Linie) . Ein entsprechender Plausibi- litätsbereich 311 ist schraffiert. Eine Abweichung aus dem Plausibilitätsbereich 311 könnte etwa im Zusammenhang mit einer Anomaliedetektion erkannt werden. In FIG. 7 ist ferner der Zeitverlauf der durch die Sensorda ^¬ ten 183 gemessenen Umweltbeeinflussung 306, beispielsweise der Temperatur in der Umgebung des entsprechenden Aktuators, dargestellt. Es ist ersichtlich, dass ab einem gewissen Zeit ^¬ punkt der Abstand 312 zwischen der gemessenen Umweltbeein- flussung 306 einerseits und der Referenz 310 andererseits den Plausibilitätsbereich 311 verlässt; dort kann eine Beeinträchtigung der Integrität etwa aufgrund von Fremdzugriff 90 angenommen werden. Ein entsprechendes Modell 250 kann nicht nur deterministisch abgeleitet werden, z.B. durch ein bei der Konstruktion einer Maschine oder Anlage erstelltes Digital-Twin-

Simulationsmodell . Es könnten auch Techniken des maschinellen Lernens verwendet werden. Dieses im Zusammenhang mit FIG. 8 dargestellt.

FIG. 8 illustriert Aspekte in Bezug auf das Bestimmen der Re ^¬ ferenz 310 bzw. des Modells 250. In FIG. 8 ist dargestellt, dass während einer Betriebsphase 191 die Daten 181, 182, 183 vom System 100 bzw. den Sensoren 151, 152 erhalten werden.

Die Überwachung der Integrität erfolgt während der Betriebs ^¬ phase .

Während zweier Lernphasen 192, 193 werden Referenz- Zustandsdaten 181A, 181B, sowie Referenz-Sensordaten 183A, 183B erhalten. Optional können auch Referenz-Steuerdaten 182A, 182B erhalten werden. Im Allgemeinen wird nur eine Lernphase benötigt. Beispielsweise könnte die Lernphase 193 im Zusammenhang mit einem Rollout des Automatisierungssystems 100 definiert sein. Dort kann ein überwachter Betrieb erfolgen. Die Lernphase 192 könnte dem normalen Betrieb des Automatisierungssystems 100 entsprechen, d. h. historische Daten 181A, 182A, 183A beschreiben .

Es ist dann möglich, dass ein empirisches Modell 250 basie- rend aus einem Vergleich zwischen diesen Referenz-Daten 181A, 182A, 183A, 181B, 182B, 183B bestimmt wird. Dann kann die Referenz 310 insbesondere als Abweichung zum Normalbetrieb er ^¬ mittelt werden. Ein aufwändiges Bestimmen eines deterministi ^¬ schen Modells entfällt. Außerdem können unterschiedliche Quellen für die Daten flexibel berücksichtigt werden, sodass eine Erweiterbarkeit des Modells 250 gefördert wird. Zum Bei ^¬ spiel könnte das empirische Bestimmen des Modells 250 durch Techniken des maschinellen Lernens erfolgen. Alternativ oder zusätzlich zu einem solchen Definieren von Referenz-Daten im Zeitraum in Bezug auf die Lernphasen 192, 193 wäre es auch möglich, die Referenz 310 aus dem Betrieb eines weiteren Automatisierungssystems abzuleiten. Entspre ^¬ chende Techniken sind im Zusammenhang mit der FIG. 9 illus- friert.

FIG. 9 illustriert Aspekte in Bezug auf das Bestimmen der Re ^¬ ferenz 310 bzw. des Modells 250. In FIG. 9 ist dargestellt, dass neben dem Überwachen des Betriebs des Automatisierungs- Systems 100 auch der Betrieb eines weiteren Automatisierungs ^¬ systems 100 ^λ überwacht werden kann. Entsprechende Referenz- Zustandsdaten 181 Referenz-Steuerdaten 182 ^λ und Referenz- Sensordaten 183' können von dem weiteren Automatisierungssystem 100 ^λ erhalten werden. Derart kann die Referenz 310 ermit- telt werden.

Selbstverständlich können die Merkmale der vorab beschriebe ^¬ nen Ausführungsformen und Aspekte der Erfindung miteinander kombiniert werden. Insbesondere können die Merkmale nicht nur in den beschriebenen Kombinationen, sondern auch in anderen Kombinationen oder für sich genommen verwendet werden, ohne das Gebiet der Erfindung zu verlassen. Zum Beispiel können die hierein beschriebenen Techniken auch für die Überwachung der Integrität von anderen System eingesetzt werden, z.B. im Allgemeinen von Sensor-Aktuator- Systemen, etwa autonomen Maschinen usf.

Während obenstehend verschiedene Beispiele im Zusammenhang mit der Beeinträchtigung der Integrität von Automatisierungs Systemen aufgrund von Fremdzugriff beschrieben wurden, wäre es in manchen anderen Beispielen aber auch möglich, die Beeinträchtigung der Integrität aufgrund von anderen auslösenden Ereignissen zu überwachen.