Verfahren und System zur manipulationssicheren Übertragung von Steuerdaten

Die Erfindung betrifft ein Verfahren und System zur manipulationssicheren Übertragung von Steuerdaten zwischen Steuereinheiten eines Netzwerkes. Fig. 1 zeigt eine Darstellung eines herkömmlichen Netzwerkes, bei dem Steuerdaten zwischen Steuereinheiten übertragen bzw. ausgetauscht werden. Bei dem in Fig. 1 dargestellten Beispiel sind zwei Steuernetzwerke über ein Übertragungsnetzwerk mit ^¬ einander verbunden. Die beiden Steuernetzwerke weisen jeweils ein Gateway zum Anschluss an das Übertragungsnetzwerk auf.

Die beiden Steuernetzwerke enthalten jeweils mehrere Steuer ^¬ einheiten SE, die beispielsweise über einen Bus an das Gate ^¬ way des Steuernetzwerkes angeschlossen sind. Die beiden Steu ^¬ ernetzwerke tauschen über das Übertragungsnetzwerk Steuerda- ten SD1, SD2, SD3... aus. Bei den Steuereinheiten SE kann es sich um unterschiedliche Vorrichtungen handeln, beispielswei ^¬ se Steuerrechner, speicherprogrammierbare Steuerungen, Robo ^¬ terarme, Sensoren, Aktoren und dergleichen. Weiterhin ist es möglich, dass ein Steuernetzwerk mit einer Leitstelle über das Übertragungsnetzwerk kommuniziert, beispielsweise einem SCADA-System.

Bei dem Übertragungsnetzwerk kann es sich beispielsweise um ein Ethernet-basiertes oder IP-basiertes Produktionsnetzwerk handeln, das Steuernetzwerke unterschiedlicher Fertigungszel ^¬ len miteinander verbindet. Weiterhin kann es sich bei dem Übertragungsnetzwerk auch um ein Zugnetzwerk handeln, das Netzwerke verschiedener Zugwaggons miteinander verbindet. Zü ^¬ ge verfügen beispielsweise über Datennetzwerke zur Durchfüh- rung der Zugsteuerung bzw. Fahrzeugsteuerung oder sonstiger Betreiberfunktionen. Weiterhin kann es sich bei dem Übertragungsnetzwerk um ein Netzwerk eines Energieautomatisierungs ^¬ netzes handeln. Eine korrekte Ausführung der Steuerungsüberwachungsfunktionen macht es erforderlich, dass das Steuernetzwerk und die darüber verbundenen Steuerungskomponenten bzw. Steuereinheiten ordnungsgemäß funktionieren. Bei einer Manipulation des Steuernetzwerkes ist dies jedoch nicht gewährleistet. Dadurch kann ein ordnungsgemäßer Betrieb und gegebenenfalls die Si ^¬ cherheit der gesteuerten Anlage beeinträchtigt werden. In einer räumlich eng zusammenhängenden Umgebung kann durch physikalische Schutzmaßnahmen das Steuernetzwerk vor Manipulationen geschützt werden, so dass das Steuernetzwerk für einen Angreifer nicht zugänglich ist. Bei verteilten Steuernetzwerken, die beispielsweise bei einer Produktionsanlage oder in einem Fahrzeug, beispielsweise einem Zug, verlegt sind, ist dies jedoch nicht möglich. Bei derartigen verteil ^¬ ten Steuernetzwerken werden Steuerdaten typischerweise über ein Übertragungsnetzwerk zwischen getrennten Netzwerkbereichen übertragen. So kann beispielsweise eine Datenübertragung zwischen Zugteilen (Waggons) erfolgen. Weiterhin kann eine Datenübertragung zwischen räumlich getrennten Bereichen innerhalb eines Zuges geschehen, beispielsweise zwischen einem Schaltschrank und einer Steuerkomponente, die in einem De ^¬ ckencontainer oder im Boden eines Zugwaggons verbaut sind. Weiterhin werden beispielsweise Steuerdaten von einem Stellwerk zu einer Fahrwegsignaleiheit oder einer Weiche übertra ^¬ gen. Ein weiteres Beispiel ist die Übertragung von Daten zwischen Fertigungszellen, die unterschiedliche Steuernetzwerke besitzen. Weiter kann eine Datenübertragung zwischen einem Sensor/Aktor und einer Steuerung einer Prozessautomatisie- rungsanlage, beispielsweise einer Raffinerie, über ein Über ^¬ tragungsnetzwerk durchgeführt werden. Ein weiteres Beispiel ist die Übertragung von Daten zwischen einem Substation- Controller eines Energieautomatisierungssystems und einer Leitstelle.

Daher werden Steuernetzwerke oft physikalisch zugangsge ^¬ schützt verlegt, beispielsweise in speziellen Kabelschächten, so dass sie nicht für Dritte zugänglich sind und Manipulatio ^¬ nen möglichst verhindert werden. Dies ist jedoch in der Regel kostenaufwändig und wegen der aufwändigen Installation und Notwendigkeit, die Durchführung von Wartungsmaßnahmen zu ermöglichen, nicht allgemein umsetzbar.

Weiterhin ist bekannt, Daten bei der Übertragung durch eine Prüfsumme, beispielsweise mit einer CRC Prüfungssumme zu schützen. Diese Prüfsumme eignet sich jedoch nur, um zufälli ^¬ ge Übertragungsfehler zu erkennen. Daher werden herkömmlicher Weise auch kryptographische Prüfsummen eingesetzt bzw. ver ^¬ wendet, beispielsweise ein Message Authentication Code oder eine digitale Signatur. Hierbei werden die übertragenen Steu ^¬ erdaten um eine kryptographische Prüfsumme ergänzt. Die kryp ^¬ tographische Prüfsumme wird bei Empfang geprüft. Auf Seiten des empfangenen Steuergerätes werden nur solche Steuerdaten weiter verarbeitet, deren kryptographische Prüfsumme erfolg ^¬ reich geprüft wurde. Die übertragenen Steuerdaten sind somit durch die kryptographische Prüfsumme geschützt. Ein derarti ^¬ ger kryptographischer Schutz ist jedoch nur aufwändig in existierenden Komponenten zu integrieren, da sie eine bestimmte Rechenleistung, einen bestimmten Speicherplatz und einen bestimmten Nachrüstungsaufwand verlangen. Das Vorsehen einer separaten Verschlüsselungsvorschaltkomponente, welche die Daten vor der Übertragung verschlüsselt bzw. mit einer kryptographischen Prüfsumme versieht, ist ebenfalls nur mit erheblichem technischen Aufwand realisierbar. Ein weiterer Nachteil besteht darin, dass die durchgeführten kryptographischen Rechenoperationen zu Verzögerungen führen, was insbesondere bei echtzeitkritischen Steuerungs- und Regelungsauf ^¬ gaben unerwünscht ist oder sogar die Sicherheit beeinträchti ^¬ gen kann. Weiterhin ist das Vorsehen einer derartigen Ver- schlüsselungsvorschaltkomponente nicht rückwirkungsfrei auf die entsprechende Steuerungsanlage.

Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zur manipulationssicheren Übertragung von Steuerdaten zwischen Steuereinheiten über ein Netz- werk zu schaffen, die mit einem geringen technischen Aufwand implementierbar sind und dennoch einen hohen Schutz gegenüber Manipulationen bei der Übertragung von Steuerdaten bieten. Diese Aufgabe wird durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.

Die Erfindung schafft ein Verfahren zum Erkennen einer Manipulation bei der Übertragung von Steuerdaten von einer ersten Steuereinheit zu einer zweiten Steuereinheit über ein Netz ^¬ werk mit den Schritten:

(a) Senderseitiges Erzeugen von Integritätsprüfinformations- daten für die von der ersten Steuereinheit gesendeten Steuer- daten durch eine Integritätsprüferzeugungseinheit ;

(b) Berechnen einer kryptographischen Prüfsumme für die senderseitig erzeugten Integritätsprüfinformationsdaten durch die Integritätsprüferzeugungseinheit mittels eines kryp- tographischen Schlüssels;

(c) Übertragen der senderseitig erzeugten Integritätsprüfin- formationsdaten und der zugehörigen von der Integritätsprüf- erzeugungseinheit berechneten kryptographischen Prüfsumme zu einer Integritätsprüfverifikationseinheit , welche die kryp- tographische Prüfsumme mittels einer kryptographischen

Schlüssels empfangsseitig verifiziert;

(d) Empfangsseitiges Erzeugen von Integritätsprüfinformati- onsdaten für die durch die zweite Steuereinheit empfangenen

Steuerdaten durch die Integritätsprüfverifikationseinheit ; und

(e) Vergleichen der durch die Integritätsprüfverifikations- einheit empfangsseitig erzeugten Integritätsprüfinformations ^¬ daten und der zusammen mit der durch die Integritätsprüfveri- fikationseinheit verifizierten kryptographischen Prüfsumme empfangenen senderseitig erzeugten Integritätsprüfinformati- onsdaten zur Erkennung einer Manipulation der übertragenen Steuerdaten .

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens werden die Steuerdaten in Steuerdatenpaketen, die Paketverwaltungsdaten und Nutzdaten aufweisen, unverschlüsselt übertragen.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens werden die erzeugten Integritätsprüfinformations- daten durch einen Hash-Wert von zumindest einem Teil der in einem Steuerdatenpaket oder in einer bestimmten Anzahl von Steuerdatenpaketen enthaltenen Steuerdaten und/oder Paketver waltungsdaten gebildet.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens werden die Integritätsprüfinformationsdaten durch die Integritätsprüferzeugniseinheit für jedes Steuerdatenpa ^¬ ket erzeugt, wobei die Integritätsprüfinformationsdaten aufweisen:

einen Hash-Wert der Paketverwaltungsdaten des Steuerdatenpaketes,

einen Hash-Wert der Nutzdaten des Steuerdatenpaketes und einen Zeitstempel zur Angabe des Zeitpunktes der senderseiti gen Erzeugung der Integritätsprüfinformationsdaten .

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens werden die Integritätsprüfinformationsdaten in re gelmäßigen Zeitabständen durch die Integritätsprüferzeugungs einheit erzeugt.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens werden die Steuerdaten über ein drahtloses oder ein drahtgebundenes Übertragungsnetzwerk in Echtzeit übertra gen .

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens wird die durch die Integritätsprüferzeugungsein- heit berechnete kryptographische Prüfsumme zusammen mit den senderseitig erzeugten Integritätsprüfinformationsdaten über das Übertragungsnetzwerk für die Steuerdaten oder über eine separate Kommunikationsverbindung von der ersten Steuerein- heit zu der zweiten Steuereinheit übertragen.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens erzeugt die Integritätsprüfverifikationseinheit bei Erkennung einer bei der Übertragung der Steuerdaten von der ersten Steuereinheit zu der zweiten Steuereinheit aufge ^¬ tretenen Manipulation eine Alarmmeldung und sendet diese erzeugte Alarmmeldung an die zweite Steuereinheit.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens geht die zweite Steuereinheit nach Empfang der

Alarmmeldung durch die Integritätsprüfverifikationseinheit in einen betriebssicheren Zustand über.

Die Erfindung schafft ferner ein Datenübertragungssystem zur Übertragung von Steuerdaten von einer ersten Steuereinheit zu einer zweiten Steuereinheit über ein Netzwerk mit:

(a) mindestens einer Integritätsprüferzeugungseinheit, wel ^¬ che senderseitig Integritätsprüfinformationsdaten für die von der ersten Steuereinheit gesendeten Steuerdaten erzeugt und eine kryptographische Prüfsumme für die erzeugten Integri ^¬ tätsprüfinformationsdaten mittels eines kryptographischen Schlüssels berechnet und mit (b) mindestens einer Integritätsprüfverifikationseinheit , welche die von der Integritätsprüferzeugungseinheit sender ^¬ seitig erzeugten Integritätsprüfinformationsdaten und die zugehörige berechnete kryptographische Prüfsumme empfängt und die kryptographische Prüfsumme mittels eines kryptographi- sehen Schlüssels verifiziert,

wobei die Integritätsprüfverifikationseinheit die Integri ^¬ tätsprüfinformationsdaten für die durch die zweite Steuereinheit empfangenen Steuerdaten empfangsseitig erzeugt und diese empfangsseitig erzeugten Integritätsprüfinformationsdaten mit den zusammen mit der verifizierten kryptographischen Prüfsumme empfangenen senderseitig erzeugten erhaltenen Integritätsprüfinformationsdaten zur Erkennung einer Manipulation der übertragenen Steuerdaten vergleicht.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Datenübertragungssystems ist die erste Steuereinheit an einem ersten Steuernetzwerk angeschlossen, das ein erstes Gateway aufweist,

wobei die zweite Steuereinheit an ein zweites Steuernetzwerk angeschlossen ist, das ein zweites Gateway aufweist,

wobei die beiden Gateways der Steuernetzwerke über ein Über ^¬ tragungsnetzwerk miteinander verbunden sind.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Datenübertragungssystems ist das erste Steuernetzwerk und/oder das zweite Steuernetzwerk und/oder das Übertragungsnetzwerk ein Ethernet, insbesondere ein Profinet.

Bei einer möglichen Aus führungs form des erfindungsgemäßen Datenübertragungssystems weisen die Steuereinheiten jeweils Sensoren, Aktoren und einen Steuerrechner auf. Bei einer möglichen Aus führungs form des erfindungsgemäßen Datenübertragungssystems ist das Netzwerk ein Fahrzeugnetzwerk, insbesondere ein Zugnetzwerk.

Bei einer weiteren möglichen Aus führungs form des erfindungs- gemäßen Datenübertragungssystems ist das Netzwerk ein Ener ^¬ giesteuerungsnetzwerk .

Bei einer weiteren möglichen Aus führungs form des erfindungsgemäßen Datenübertragungssystems ist das Netzwerk ein Automa- tisierungssteuerungsnetzwerk, insbesondere ein Prozesssteue- rungsnetzwerk oder ein Produktionssteuerungsnetzwerk . Bei einer möglichen Aus führungs form des erfindungsgemäßen Datenübertragungssystems ist die Integritätsprüferzeugungsein- heit in dem ersten Gateway des ersten Steuernetzwerkes und die Integritätsprüfverifikationseinheit in dem zweiten Gate ^¬ way des zweiten Steuernetzwerkes integriert.

Im Weiteren werden mögliche Aus führungs formen des erfindungsgemäßen Verfahrens des erfindungsgemäßen Datenübertragungs ^¬ systems zur manipulationssicheren Übertragung von Steuerdaten zwischen Steuereinheiten über ein Netzwerk unter Bezugnahme auf die beigefügten Figuren beschrieben.

Es zeigen:

Fig. 1 ein Diagramm zur Darstellung der Datenübertragung zwischen Steuereinheiten für ein Übertragungsnetzwerk bei einem herkömmlichen System;

Fig. 2 ein Diagramm zur Darstellung einer möglichen Ausführungsform zur manipulationssicheren Übertragung von Steuerdaten zwischen Steuereinheiten bei einem erfindungsgemäßen Datenübertragungssystem;

Fig. 3 ein weiteres Diagramm zur Darstellung einer möglichen Aus führungs form zur modulationssicheren Übertragung von Steuerdaten zwischen Steuereinheiten bei einem erfindungsgemäßen Datenübertragungssystem;

Fig. 4 ein Ablaufdiagramm zur Darstellung einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens zur manipulationssicheren Übertragung von

Steuerdaten zwischen Steuereinheiten.

Fig. 5 ein Signaldiagramm zur Darstellung einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens zur manipulationssicheren Übertragung von

Steuerdaten zwischen Steuereinheiten. Wie man aus Fig. 2 erkennen kann, werden bei einer möglichen Aus führungs form des erfindungsgemäßen Datenübertragungssystems 1 Steuerdaten SD zwischen Steuereinheiten SE über ein Übertragungsnetzwerk 2 des Datenübertragungssystems 1 über ^¬ tragen. Bei dem in Fig. 2 dargestellten Ausführungsbeispiel sind zwei getrennte Steuernetzwerke 3-1, 3-2 über das Über ^¬ tragungsnetzwerk 2 miteinander verbunden. Bei dem in Fig. 2 dargestellten Ausführungsbeispiel weist jedes der beiden Steuernetzwerke 3-1, 3-2 ein Gateway 4-1, 4-2 zum Anschluss des jeweiligen Steuernetzwerkes an das Übertragungsnetzwerk 2 auf. An jedes der beiden Gateways 4-1, 4-2 ist mindestens ei ^¬ ne Steuereinheit SE über einen Bus 5-i angeschlossen. Die beiden Steuernetzwerke 3-1, 3-2 bilden beispielsweise Steuer- netzwerke unterschiedlicher Fertigungszellen in einer Produktionsanlage .

Bei dem erfindungsgemäßen Verfahren wird zunächst in einem Schritt Sl, wie in dem Ablaufdiagramm gemäß Fig. 4 darge- stellt, senderseitig, das heißt auf Seiten einer sendenden Steuereinheit SE, Integritätsprüfinformationsdaten IPID für die von der Steuereinheit gesendeten Steuerdaten durch eine Integritätsprüferzeugungseinheit IPEE erzeugt. Die Integri ^¬ tätsprüferzeugungseinheit IPEE kann beispielsweise in dem ersten Gateway 4-1 des ersten Steuernetzwerkes 3-1 integriert sein .

In einem weiteren Schritt S2 wird senderseitig eine kryp- tographische Prüfsumme KPS für die senderseitig erzeugten In- tegritätsprüfinformationsdaten IPID durch die Integritätsprü- ferzeugungseinheit IPEE mittels eines kryptographischen

Schlüssels berechnet. Bei einer möglichen Aus führungs form erhält die in dem Gateway 4-1 des ersten Steuernetzwerks 3-1 integrierte Integritätsprüferzeugungseinheit IPEE von einer über den Bus 5-1 angeschlossenen Steuereinheit SE des ersten Steuernetzwerkes 3-1 Steuerdaten und erzeugt die Integritäts ^¬ prüfinformationsdaten IPID für die von der Steuereinheit SE erhaltenen Steuerdaten. Die in dem Gateway 4-1 integrierte Integritätsprüferzeugungseinheit IPEE berechnet anschließend eine kryptographische Prüfsumme KPS für die senderseitig er ^¬ zeugten Integritätsprüfinformationsdaten IPID mittels eines kryptographischen Schlüssels.

Anschließend werden in einem Schritt S3 die senderseitig er ^¬ zeugten Integritätsprüfinformationsdaten IPID und die zugehörige von der Integritätsprüferzeugungseinheit IPEE berechnete kryptographische Prüfsumme KPS mit den Steuerdaten SD oder zeitlich versetzt zu einer Integritätsprüfverifikationsein- heit IPVE übertragen, welche beispielsweise in dem Gateway 4- 2 des zweiten Steuernetzwerkes 3-2 integriert ist. Das Über ^¬ tragen der Integritätsprüfinformationsdaten IPID erfolgt in einer Variante separat von der Übertragung der Steuerdaten SD. Insbesondere kann die Übertragung der Integritätsprüfin- formationsdaten IPID und der Steuerdaten SD in unterschiedlichen Datenframes bzw. unterschiedlichen Datenpaketen erfolgen. In einer Variante erfolgt die Übertragung der Integritätsprüfinformationsdaten IPID und der Steuerdaten SD über unterschiedliche Netzwerke bzw. über unterschiedliche virtu ^¬ elle Lokale Netzwerke VLAN. Die Integritätsprüfverifikations- einheit IPVE verifiziert die erhaltene kryptographische Prüf ^¬ summe KPS mittels eines kryptographischen Schlüssels. Bei einem weiteren Schritt S4 werden zudem empfangsseitig Integritätsprüfinformationsdaten IPID' für die unverschlüsselt empfangenen Steuerdaten SD durch die Integritätsprüfverifika- tionseinheit IPVE erzeugt. In einem weiteren Schritt S5 werden die durch die Integritätsprüfverifikationseinheit IPVE empfangsseitig erzeugten Integritätsprüfinformationsdaten IPID' mit den senderseitig erzeugten Integritätsprüfinformationsdaten IPID die zusammen mit der durch die Integritätsprüfverifikationseinheit IPVE verifizierten kryptographischen Prüfsumme KPS empfangenen werden zur Erkennung einer Manipulation der übertragenen Steuerdaten SD verglichen. Wie in Fig. 2 dargestellt, werden die Steuerdaten SD bei einer möglichen Aus führungs form in Steuerdatenpaketen, die Paketverwaltungsdaten und Nutzdaten aufweisen, übertragen. Bei dem erfindungsgemäßen Verfahren werden die Steuerdaten SD un- verändert bzw. unverschlüsselt über das Übertragungsnetzwerk 2 übertragen. Es wird jedoch eine kryptographisch geschützte PrüfInformation bzw. eine kryptographische Prüfsumme KPS für Steuerdaten SD separat zu den Steuerdaten über das Übertragungsnetzwerk 2 mitübertragen. Bei dem in Fig. 2 dargestell- ten Ausführungsbeispiel sendet das Gateway 4-1 des ersten

Steuernetzwerkes 3-1 zu den Steuerdaten SD, die von dem ersten Steuernetzwerk 3-1 zu dem zweiten Steuernetzwerk 3-2 übertragen werden, zusätzlich eine kryptographische Prüfinformation bzw. eine kryptographische Prüfsumme KPS, die durch das zweite Gateway 4-2 überprüft wird. Bei dem erfindungsge ^¬ mäßen Verfahren werden die über das Übertragungsnetzwerk 2 kryptographisch geschützten Steuerdaten an einer Prüfstelle erfasst und eine PrüfInformation der Steuerdaten SD separat zu den Steuerdaten an eine entfernte Prüfeinheit übertragen. Die entfernte Prüfeinheit, das heißt die Integritätsprüfveri- fikationseinheit IPVE, befindet sich bei dem in Fig. 2 darge ^¬ stellten Beispiel in einem separaten Teilnetzwerk. Die Integritätsprüfverifikationseinheit IPVE erfasst ebenfalls die über das Übertragungsnetzwerk 2 empfangenen Steuerdaten SD und führt eine Prüfung unter Verwendung der empfangenen Prüfinformation durch. Falls die empfangsseitig erzeugten Integ ^¬ ritätsprüfinformationsdaten IPID' von den senderseitig erzeugten Integritätsprüfinformationsdaten IPID abweichen besteht die Möglichkeit, dass die übertragenen Steuerdaten SD manipuliert worden sind. In diesem Falle kann eine Steueraktion bzw. eine Fehlerbehandlung veranlasst werden. Bei einer möglichen Aus führungs form erzeugt die Integritätsprüfverifi- kationseinheit IPVE bei Erkennung einer bei der Übertragung der Steuerdaten SD von der ersten Steuereinheit SEI zu der zweiten Steuereinheit SE2 aufgetretenen Manipulation eine

Alarmmeldung und sendet diese Alarmmeldung beispielsweise an die zweite Steuereinheit SE2. Die zweite Steuereinheit kann nach Empfang der Alarmmeldung durch die Integritätsprüfveri- fikationseinheit IPVE in einen betriebssicheren Zustand übergehen. Alternativ kann das gesamte empfangende Steuernetzwerk 3-2 in einem betriebssicheren Zustand verbracht werden. Weiterhin ist es möglich, dass die Alarmmeldung lediglich einer Bedienperson angezeigt wird. Der betriebssichere Zustand kann beispielsweise durch eine Notabschaltung bzw. einen Nothalt initiiert werden. Weiterhin ist es möglich, dass die netzba ^¬ sierte Steuerung in den betriebssicheren Zustand eingeschränkt wird, beispielsweise indem das entsprechende Gateway blockiert wird. In diesem Falle erfolgt nur noch eine autono ^¬ me Steuerung. Weiterhin kann ein Warnhinweis an einen Bedie- ner bzw. eine explizite Warnbestätigung durch eine Bedienperson eingefordert werden. Bei einer möglichen Aus führungs form des erfindungsgemäßen

Verfahrens wird die im Schritt Sl senderseitig erzeugten In- tegritätsprüfinformationsdaten IPID durch einen Hash-Wert von zumindest einem Teil der in einem Steuerdatenpaket oder in einer bestimmten Anzahl von Steuerdatenpaketen enthaltenen Steuerdaten und/oder Paketverwaltungsdaten gebildet. Dabei kann zur Berechnung des Hash-Wertes eine kryptographische Hash-Funktion eingesetzt werden, beispielsweise MD5, SHA-1, SHA256. Bei einer möglichen Aus führungs form werden die Integ- ritätsprüfinformationsdaten IPID durch die Integritätsprüfer- zeugungseinheit IPEE für jedes Steuerdatenpaket erzeugt. Da ^¬ bei können die Integritätsprüfinformationsdaten IPID einen Hash-Wert der Paketverwaltungsdaten des Steuerdatenpaketes, einen Hash-Wert der Nutzdaten des Steuerdatenpaketes sowie einen Zeitstempel zur Angabe eines Zeitpunktes der sendersei- tigen Erzeugung der Integritätsprüfinformationsdaten IPID aufweisen .

Bei einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens werden die Integritätsprüfinformationsdaten IPID im Schritt Sl in regelmäßigen Zeitabständen durch die Integritätsprüferzeugungseinheit IPEE erzeugt. Die durch die In ^¬ tegritätsprüferzeugungseinheit IPEE berechnete kryptographi ^¬ sche Prüfsumme KPS wird bei einer möglichen Aus führungs form zusammen mit den senderseitig erzeugten Integritätsprüfinfor- mationsdaten IPID über das Übertragungsnetzwerk 2 übertragen. Alternativ wird die berechnete kryptographische Prüfsumme KPS über eine separate Kommunikationsverbindung von der ersten Steuereinheit SEI des ersten Steuernetzwerkes 3-1 zu der zweiten Steuereinheit SEI des zweiten Steuernetzwerkes 3-2 übertragen. Jede der in Fig. 2 dargestellten Steuereinheiten SE kann jeweils über Sensoren, Aktoren und einen integrierten Steuerrechner verfügen.

Bei der in Fig. 2 dargestellten Aus führungs form ist die Integritätsprüferzeugungseinheit IPEE in dem ersten Gateway 4-1 des ersten Steuernetzwerkes 3-1 integriert und die Integri- tätsprüfverifikationseinheit IPVE ist in dem zweiten Gateway 4-2 des zweiten Steuernetzwerkes 3-2 integriert. Bei einer alternativen Aus führungs form kann Integritätsprüferzeugungseinheit IPEE und die Integritätsprüfverifikationseinheit IPVE jeweils als separates Zusatzgerät ausgebildet sein. Fig. 3 zeigt ein derartiges Ausführungsbeispiel. Dabei bilden die Integritätsprüferzeugungseinheit IPEE und die Integritäts ^¬ prüfverifikationseinheit IPVE jeweils ein separat an das je ^¬ weilige Steuernetzwerk anschließbares Gerät. Beispielsweise können diese Zusatzgeräte IPEE und IPVE als Vorschaltgruppe ausgebildet sein. Bei einer weiteren möglichen Ausführungs- form kann die Integritätsprüferzeugungseinheit IPEE in eine sendende Steuereinheit SE und die Integritätsprüfverifikati ^¬ onseinheit IPVE in einer empfangenden Steuereinheit SE integ ^¬ riert sein. Bei einer möglichen Aus führungs form umfasst ein Zusatzgerät sowohl eine Integritätsprüferzeugungseinheit IPEE als auch eine Integritätsprüfverifikationseinheit IPVE und ist somit auf beiden Seiten der Übertragung einsetzbar.

Bei einer möglichen Aus führungs form kann die PrüfInformation bzw. die berechnete kryptographische Prüfsumme KPS seiner- seits kryptographisch geschützt übertragen werden, beispielsweise über MACsec, IPsec oder SSL/TLS. Die PrüfInformation kann durch eine kryptographische Prüfsumme, beispielsweise einen Message Authentication Code oder eine digitale Signa ^¬ tur, geschützt werden.

Bei einer möglichen Aus führungs form wird die PrüfInformation bzw. die berechnete kryptographische Prüfsumme KPS verzögert übertragen. Beispielsweise wird die PrüfInformation bzw. die kryptographische Prüfsumme KPS alle 1 Sekunden oder alle 5 Sekunden oder alle 60 Sekunden übertragen. Die empfangende Steuereinheit kann bei dieser Aus führungs form die empfangenen Steuerdaten SD unmittelbar verarbeiten. Falls die später durch die Steuereinheit empfangene PrüfInformation bzw. die kryptographische Prüfsumme KPS eine mögliche Manipulation an ^¬ zeigt, kann die empfangende Steuereinheit SE2 entsprechend reagieren .

Bei einer möglichen Aus führungs form werden die Steuerdaten SD über ein drahtgebundenes Übertragungsnetzwerk übertragen. Bei einer alternativen Aus führungs form werden die Steuerdaten SD über ein drahtloses Übertragungsnetzwerk 2 übertragen. Bei einer möglichen Aus führungs form erfolgt die Übertragung der Steuerdaten SD in Echtzeit.

Fig. 5 zeigt ein Beispiel zur Erläuterung des erfindungsgemä ^¬ ßen Verfahrens zur manipulationssicheren Übertragung von Da- ten zwischen Steuereinheiten SE . In dem dargestellten Beispiel überträgt eine Steuereinheit SEI drei Steuerdatenpakete SD an eine zweite Steuereinheit SE2, die sich beispielsweise in dem zweiten Steuernetzwerk 3-2 befindet. Die Integritäts- prüferzeugungseinheit IPEE ermittelt für die Steuerdaten SD eine kryptographisch geschützte PrüfInformation und überträgt diese an die Integritätsprüfverifikationseinheit IPVE. Diese Integritätsprüfverifikationseinheit IPVE prüft anhand der er ^¬ haltenen kryptographischen Prüfsummen KPS, ob die empfangenen Steuerdaten SD korrekt sind. Falls nicht, so wird durch die Integritätsprüfverifikationseinheit IPVE eine Alarmmeldung erzeugt. Die Alarmmeldung kann an die empfangene Steuereinheit SE2 übertragen werden, die in einem betriebssicheren Zustand übergeht. Wie man in Fig. 5 erkennen kann, erfolgt bei dem zweiten Steuerdatenpaket SD in dem dargestellten Beispiel eine Mani ^¬ pulation M. In dem dargestellten Beispiel wird erst nach der Übertragung von drei Steuerdatenpaketen SD1, SD2, SD3 eine kryptographische Prüfsumme KPS durch die Integritätsprüfer- zeugungseinheit IPEE berechnet: KPS=F(PIi, PI2, PI ₃ ) , wobei F eine kryptographische Funktion ist. Diese berechnete kryp ^¬ tographische Prüfsumme KPS wird an die Integritätsprüferzeu- gungseinheit IPVE übertragen. Bei dem in Fig. 5 dargestellten Beispiel wird auf Seiten der Integritätsprüferzeugungseinheit IPEE für jedes übertragene Steuerdatenpaket SD eine PrüfIn ^¬ formation PI gebildet und zwischengespeichert. Nach Aussenden einer vorgegebenen Anzahl HI3 von Steuerdatenpaketen SD er- folgt dann senderseitig die Berechnung der kryptographischen Prüfsumme KPS und das Aussenden der Prüfsumme KPS an die In- tegritätsprüfverifikationseinheit IPVE. Auf Seiten der Integ- ritätsprüfverifikationseinheit wird bei Empfang eines Steuer ^¬ datenpakets SD in dem dargestellten Beispiel ebenfalls je- weils eine PrüfInformation PI ermittelt und zwischengespei ^¬ chert. Mittels der empfangenen kryptographischen Prüfsumme KPS werden die empfangsseitig gespeicherten PrüfInformationen PI in einem Verifikationsschritt V verifiziert. Falls eine Abweichung bzw. eine Manipulation in einem oder mehreren der Steuerdatenpakete SD befürchtet werden muss, so veranlasst die Integritätsprüfverifikationseinheit IPVE einen Nothalt NH der die manipulierten Steuerdaten SD2' empfangenden Steuereinheit SE2, wie in Fig. 5 dargestellt. Bei dem in Fig. 5 dargestellten Beispiel besteht die kryptographische Prüfin- formation PI aus mehreren Einträgen, wobei für jedes Steuerdatenpaket SD jeweils ein Eintrag erfolgt. Bei einer mögli ^¬ chen Aus führungs form besteht jeder Eintrag aus einem Zeitstempel, einem Hash-Wert der Paketverwaltungsdaten sowie einem Hash-Wert der Nutzdaten. Die Paketverwaltungsdaten umfas- sen beispielsweise eine Senderadresse, eine Empfängeradresse sowie ein verwendetes Protokoll. Bei weiteren möglichen Aus ^¬ führungsformen kann ein in den Steuerdaten SD enthaltener Zählerwert hinzugefügt werden. Die Kodierung bietet den Vor- teil, dass für unveränderte Werte, das heißt Header und Nutz ^¬ daten, kein neuer Hash-Wert berechnet werden muss.

Eine mögliche Ausbildung einer kryptographischen Prüfinforma- tion, die aus drei Einträgen besteht, beispielsweise:

20100517-163325 129.87.3.2 129.76.2.15 TCP/657-80 03AE6 20100517-163327 129.87.3.1 129.76.2.12 UDP/312 4A1EFE23 20100517-163412 129.87.3.4 129.77.2.14 TCP/80-3123 9E6B8A26

Die kryptographische PrüfInformation PI besteht aus drei Ein ^¬ trägen: einem Zeitstempel im Format: YYYYMMDD-HHMMSS , einer Sende-IP-Adresse, einer Empfangs-IP-Adresse sowie ein Proto ^¬ koll (TCP/UDP) . Ferner hat jeder Eintrag eine Sende-Port- Nummer und eine Empfangs-Port-Nummer, die einen 32 Bit Hash- Wert des Datenfeldes aufweisen.

In einer weiteren Art der Codierung können Wertebereiche von Messgrößen bzw. von Steueranweisungen angegeben werden, die in einem gewissen Zeitraum vorliegen. Es kann bei einer zyklischen Datenkommunikation vorteilhaft sein, bei der eine hohe Redundanz der übertragenen Daten vorliegt.

Das erfindungsgemäße Verfahren kann als kryptographisches In- tegritäts-Overlay-Netzwerk verstanden werden, wobei über das Integritäts-Overlay kryptographische PrüfInformationen mani ^¬ pulationsgeschützt übertragen werden, um die korrekte Über ^¬ tragung der Steuerdaten SD zu verifizieren. Werden bei dem erfindungsgemäßen Verfahren Steuerdaten SD, die über das Übertragungsnetzwerk 2 übertragen werden, manipuliert, wird dies erkannt und ein Bediener gewarnt bzw. au ^¬ tomatisch eine Safety-Funktion ausgelöst. Bei einer möglichen Manipulation der Steuerdaten wird eine die Sicherheit gefähr- dende Situation für die jeweilige Anlage verhindert.

Das erfindungsgemäße Verfahren ist bei bereits bestehenden Systemen und Anlagen in einfacher Weise implementierbar und nachrüstbar, da nicht die eigentliche Steuerungskommunikation kryptographisch geschützt wird, sondern eine kryptographisch geschützte Überwachung der Steuerungsdatenübertragung zusätzlich ergänzt erfolgt. Die eigentliche Steuerungskommunikation bleibt bei einem erfindungsgemäßen Verfahren unverändert. Das erfindungsgemäße Verfahren ist zudem Ressourcen-sparend imp ^¬ lementierbar, da nicht für jedes Steuerdatenpaket SD eine se ^¬ parate kryptographische Prüfsumme berechnet werden muss.