Verfahren und Vorrichtung zum sicheren Übertragen von Signaldaten in einer Anlage

Die Erfindung betrifft ein Verfahren zur sicheren Übertragung von Signaldaten in einer Prozess- und/oder Fertigungsanlage, oder kurz Anlage. In der Automatisierungstechnik werden Steuerungen eingesetzt, die über Zusatzbaugruppen analoge und digitale Signale mit einzelnen, zu steuernden Anlagenkomponenten der Anlage austauschen. Die Zusatzbaugruppe liest Beobachtungsdaten der ihr zugeordneten Anlagenkomponente, also beispielsweise Sensor- signale oder Zustandsparameter, aus und steuert daraufhin gemäß einem vorgegebenen Regelalgorithmus einen Aktor der Anlagenkomponente durch Stellsignale an. Eine solche Zusatzbau ^¬ gruppe wird im Folgenden als Erfassungs- und Stellvorrichtung bezeichnet. Solche Erfassungs- und Stellvorrichtungen sind lokal an den einzelnen Anlagenkomponenten angeordnet.

Alle ausgetauschten Daten werden im Folgenden unter dem Begriff Signaldaten zusammengefasst . Bei kleinen Anlagen oder Maschinen kann auch direkt eine Signalverarbeitungseinheit angeordnet sein, die aus den Beobachtungsdaten die passenden Signaldaten zum Erzeugen der Stellsignale lokal berechnet.

Bei größeren Anlagen sind dagegen in der Regel die Zusatzbaugruppen zwar weiterhin für die Signalwandlung lokal an den Anlagenkomponenten angeordnet und damit in der Anlage ver- teilt. Ihre Beobachtungsdaten werden aber über einen sogenannten Feldbus (gemäß Norm IEC 61158 "Digital data communi- cation for measurement and control - Fieldbus for use in in- dustrial control Systems") standardisiert, insbesondere einen Profi-Bus (Process Field Bus, als Standard für die Feldbus- Kommunikation in der Automatisierungstechnik) , an eine zentrale Steuervorrichtung übertragen, in welcher aus den einzelnen, zyklisch übertragenen Datensätzen aus Beobachtungsdaten der Erfassungs- und Stellvorrichtungen (Beobachtungsdatensät- ze) zugehörige Datensätze mit Stelldaten gemäß einem vorbe ^¬ stimmten Regelalgorithmus ermittelt werden. Die Stelldaten ^¬ sätze werden dann wieder über den Feldbus an die einzelnen Erfassungs- und Stellvorrichtungen übertragen, die daraufhin in der beschriebenen Weise die Stellsignale erzeugen.

Als Basis-Technologie bzw. für die physikalische Schicht für die Realisierung eines Feldbusses wird zunehmend auch das aus der Bürowelt bekannte Ethernet verwendet. Die bekanntesten, ethernet-basierten Feldbusse sind Profinet, EtherCat und Ser- cos-III .

Alle verwenden oberhalb von Ethernet eigene Protokolle und sind nicht kompatibel zueinander. Allen gemeinsam ist aber, dass die Telegramme mit normalen Ethernet-Geräten und -

Analyse-Software abgehört werden können. Speziell die Tele ^¬ gramme für Echtzeitdaten, die eine reale Anlage steuern, sind nicht geschützt, so dass veränderte Telegramme eine Anlage beeinflussen oder sogar schädigen können.

Auch wird zunehmend zum Realisieren der zentralen Steuervorrichtung auf Standard-Technologie zurückgegriffen, also z. B. herkömmliche PCs (PC - Personal Computer) mit einem Betriebs ^¬ system, durch welches nicht nur das eigentliche Regelungspro- gramm für den Regelalgorithmus, sondern auch weitere Nutzerprogramme ausgeführt werden. Entsprechend sind solche, auf Standard-Technologien basierende Anlagensteuerungen auch anfällig für das Abhören oder Manipulieren durch Dritte, wenn z. B. auf einer zentralen Steuervorrichtung ein Schadprogramm Zugriff auf die Beobachtungsdaten, das Regelungsprogramm oder die Stelldaten erhält. Aufgrund der Verwendung von Ethernet als Feldbus-Basis kann auch leicht physikalischer Zugang zum Anlagennetzwerk möglich sein. Insbesondere bei sicherheitskritischen Anlagen, beispielswei ^¬ se einem Kraftwerk, einem Energieversorgungswerk oder einer Signalanlage (Verkehr, Bahn) , muss hier gegen das Abhören und Manipulieren ein wirksamer Schutz bereitgestellt sein. Die Übertragung der Feldbus-Telegramme erfolgt generell ohne weitere Sicherung. Einziger Schutz ist die Trennung der Anlage bzw. deren Teilnetz vom restlichen Netzwerk einer Firma oder Produktionsstätte. Diese Trennung erfolgt entweder phy ^¬ sikalisch, so dass keine Verbindung der Netze besteht oder über spezielle Netzwerkkomponenten, die nur einen autorisierten Zugang vom Firmennetz zum Anlagennetz zulassen. Die beschriebenen Maßnahmen sind vollkommen wirkungslos, wenn sich jemand physikalisch in das Anlagennetz einkoppelt, was wie oben beschrieben mit jedem beliebigen Computer funktioniert . Die Verlagerung der Rechenleistung aus der Anlage in ein Rechenzentrum erhöht den Bedarf zur Sicherung der Daten weiter immens. Im Cloud-Computing der IT-Welt werden Daten generell verschlüsselt übertragen, da die Verbindungswege zwischen lo ^¬ kalem Anwender und Cloud-Server praktisch unbekannt sind. Die dort übertragenen Daten sind jedoch nicht zeitkritisch, so dass die dortigen Verfahren sich nicht direkt in die Automa ^¬ tisierungswelt übernehmen lassen.

Während es aus der Bürowelt bekannt ist, die Datenübertragung über ein Ethernet durch eine Verschlüsselung zu schützen, ist dies bei den zeitkritischen Anwendungen der Anlagenregelung nicht direkt umsetzbar. Die Eingangsdatensätze müssten bei der zentralen Steuervorrichtung dann nämlich zunächst entschlüsselt werden und später die große Menge der Ausgangsda- ten, also die Stelldatensätze, vor dem Aussenden wieder verschlüsselt werden. Dies kostet Rechenzeit, die insbesondere bei Echtzeitanwendungen der Anlagenregelung oftmals die Leistungsfähigkeit der verfügbaren Prozessoren übersteigt. Denn in proprietären Steuerungen ist nicht zuletzt aus Kostengrün- den die Rechenleistung begrenzt.

Die Verschlüsselung erfolgt heute über Software- oder Hard ^¬ ware-Module, wobei die Daten aber immer über den Hauptprozes- sor und dessen Speicher laufen. Über die Ethernet- Schnittstelle können sowohl verschlüsselte als auch unver ^¬ schlüsselte Daten übertragen werden. Somit ist eine Umgehung der Verschlüsselung prinzipbedingt immer möglich.

Figur 1 zeigt die physikalische Verschaltung von beispielhaf ^¬ ten Modulen sowie die zugehörigen logischen Datenpfade.

Über einen Feldbus BUS sind die einzelnen Module Rechenwerk CPU und daran hängendem Datenspeicher RAM, Security Modul SEC, Zugangsmodul 18, mit zumindest OSI Layer 1 PHY und Layer 2 MAC Schicht und weiteren Modulen MOD mit einander verbunden. Die eingezeichneten Pfeile 11, 12, 13, 14 zeigen die verschiedenen Möglichkeiten, wie Signaldaten DATA ausgegeben werden können, nämlich unverschlüsselt über 11 oder ver- schlüsselt über (12, 13,) 14.

Zukünftig wird das Problem der Datensicherheit bei der Anla ^¬ genregelung noch größer, da die Rechenleistung gemäß einer aktuellen Tendenz weniger in der Anlage selbst zu finden sein wird, sondern in einem eigenen Rechenzentrum für diese Anlage, das beispielsweise auch als PLC-Computerverbund (PLC - Programmable Logic Controller, oder SPS, speicherprogrammierbare Steuerung) realisiert sein kann, das ähnlich wie das aus der Bürowelt bekannte Cloud-Computing strukturiert sein wird.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Vorrichtung anzugeben, welches eine sichere Datenübertragung in einer beschriebenen Anlage realisiert. Die Aufgabe wird durch ein Verfahren gemäß Patentanspruch 1, eine Vorrichtung gemäß Patentanspruch 12, sowie ein Computerprogrammprodukt gemäß Patentanspruch 23 gelöst. Vorteilhafte Weiterbildungen der Erfindung sind durch die Unteransprüche gegeben .

Das Verfahren und die Vorrichtung dienen zum sicheren Übertragen von Signaldaten in einer Prozess- und/oder Fertigungsund/oder Stellanlage, die aus - einem Rechenwerk zur Verar- beitung von Signaldaten, einem mit dem Rechenwerk verbundenen Speicher, welcher Signaldaten beinhaltet, einem Security- Modul, zur Verschlüsselung der Signaldaten, einem internen Netzwerk über das das Rechenwerk, das Security Modul, und ein Zugangsmodul miteinander verbunden sind, und einem Zugangsmo ^¬ dul welches eine Verbindung aufweist zu einem weiteren externen Netzwerk besteht.

Erfindungsgemäß werden die Signaldaten in das weiteres, ex ^¬ ternes Netzwerk übertragen, wobei alle Signaldaten in dem Se curity Modul verschlüsselt werden, bevor sie über das Zu ^¬ gangsmodul in das weitere, externe Netzwerk übertragen wer ^¬ den . Kern dieser Erfindung ist die implizit verschlüsselte Über ^¬ tragung der Signaldaten bei Verwendung der Übertragung über einen Feldbus. Diese Verschlüsselung verhindert zuverlässig ein unerwünschtes Mitlesen der Daten, was die Sicherheit der gesamten Anlage massiv erhöht.

Die Verschlüsselung erfolgt erfindungsgemäß mittels eines Se- curity-Moduls , vorteilhafterweise in einer Hardware- Ausführung, das sich im Datenpfad der Feldbusübertragung befindet (als sogenannte „inline Security Komponente") . Sie wird dazu in jedes Gerät zwischen dem MAC-Layer und dem verarbeitenden Rechenwerk CPU o.ä. eingeschleift. Diese Kompo ^¬ nente arbeitet für die CPU als auch für den MAC-Layer trans ^¬ parent. Daher bietet die Verschlüsselungskomponente in einer vorteilhaften Ausführungsform für das Rechenwerk die gleiche Schnittstelle an wie der MAC-Layer, und umgekehrt. Dies be ^¬ trifft sowohl den Daten- als auch auch den Control-Pfad .

Schließlich gehört zu der Erfindung noch ein Computerprogrammprodukt. Erfindungsgemäß sind die Computerprogramme da bei dazu ausgelegt, eine Ausführungsform des erfindungsgemä ßen Verfahrens durchzuführen. Im Folgenden ist die Erfindung anhand eines konkreten Ausführungsbeispiels näher erläutert. Hierzu zeigt die Figur 2 die wesentliche Ausführungsform der Erfindung. Figur 3 zeigt einen Überblick über eine erfindungsgemäße Anlage.

Bei dem im Folgenden erläuterten Ausführungsbeispiel stellen die beschriebenen Komponenten der Ausführungsform und die beschriebenen Schritte des Verfahrens jeweils einzelne, unab ^¬ hängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren sind die beschriebenen Ausführungs ^¬ formen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.

Die Figur 2 zeigt die Verschlüsselung mit einem Security- Modul SEC vorteilhafterweise in Hardware realisiert, das sich im Datenpfad der Feldbusübertragung BUS befindet („inline Se- curity Komponente") .

Die Figur 2 zeigt die physikalische Verschaltung von bei ^¬ spielhaften Modulen sowie die zugehörigen logischen Datenpfade gemäß der Erfindung.

Über einen Feldbus BUS sind die einzelnen Module Rechenwerk CPU und daran hängendem Datenspeicher RAM, Security Modul SEC, Zugangsmodul 18, mit zumindest OSI Layer 1 PHY und Layer 2 MAC Schicht und weiteren Modulen MOD mit einander verbun- den. Die eingezeichneten Pfeile 12, 19 zeigen die verbliebenen Möglichkeiten, wie Signaldaten DATA ausgegeben werden können, nämlich nur noch verschlüsselt.

Das Security Modul SEC wird in jedes Gerät zwischen dem MAC- Layer MAC und dem verarbeitenden Rechenwerk CPU eingeschleift, d. h. sämtlicher ein- und ausgehender Datentransfer läuft über das Security Modul. Diese Komponente arbeitet transparent für das Rechenwerk CPU und auch für den MAC-Layer. Das bedeutet für das Rechenwerk CPU bietet diese Verschlüsselungskomponente die gleiche

Schnittstelle 99 an wie der MAC-Layer 92 und für den MAC Lay- er MAC die gleiche Schnittstelle 98 wie die Schnittstelle 91 des Rechenwerks CPU. Dies betrifft sowohl den Daten- wie auch den Control-Pfad, alle Signaldaten werden jetzt zusätzlich mit der Verschlüsselungsfunktion verschlüsselt. Die Figur 2 zeigt insbesondere die gegenüber dem Stand der

Technik veränderten Datenpfade 12, 19. Entscheidend ist, dass über die physikalische Ethernet- Verbindung PHY, Ethernet, nur noch verschlüsselte Signaldaten (Datenpakete) empfangen und verschickt werden können, so dass eine Umgehung der Ver- Schlüsselung ausgeschlossen wird.

Das Verschlüsselungsverfahren kann dabei entweder mit symmetrischen oder mit asymmetrischen Schlüsseln ausgestaltet werden. Wird jeder an den Feldbus BUS angeschlossenen Station MOD, RAM, CPU ... dabei ein individueller Schlüssel KEY1, KEY2, zugeteilt, ist die Abhörsicherheit weiter erhöht, da das Kna ^¬ cken eines einzelnen Schlüssels nicht automatisch alle ande ^¬ ren Geräte zugänglich macht.

Die Verschlüsselung findet vorteilhafterweise auf dem Layer 2 des ISO/OSI-Modells statt, da die Signaldaten wegen ihrer Zeitkritikalität direkt auf dieser Ebene übertragen werden, während weitere Daten, wie Parametrierdaten, auf höheren Ebe- nen (z. B. TCP/IP) übertragen werden.

Solange in dem Security-Modul SEC kein Schlüssel hinterlegt wurde, arbeitet es vollständig transparent, so dass auch die Kompatibilität zu heutigen Geräten gewahrt bleibt. Sobald aber ein Schlüssel KEY1, KEY2, in dem Gerät abgelegt wird, kann dieser nur noch über eine verschlüsselte Signaldatennachricht geändert bzw. entfernt werden, da unverschlüsselte Nachrichten nicht mehr an das Rechenwerk CPU weitergegeben werden .

Gängige Verschlüsselungsverfahren lassen sich durch spezielle Hardware-Bausteine realisieren, was vor allem auf Systemen mit wenig Rechenleistung einen deutlichen Gewinn bei der Verarbeitungszeit bedeutet. Des Weiteren hat die Realisierung in Hardware gegenüber der in Software den Vorteil, immer gleich schnell zu sein, so dass der Determinismus der Daten erhalten bleibt. Zudem arbeitet die Hardware echt parallel zum norma ^¬ len Prozessor eines Gerätes, so dass dieser erst nach der Verschlüsselung eingreift und die Daten verarbeitet.

Die implizite Verschlüsselung der Signaldaten auf einem Feld- bus bringt viele Vorteile mit sich.

Die Anlagensicherheit wird erheblich gesteigert, da die Kom ^¬ munikation und somit die wichtigen Signaldaten weder abgehört noch manipuliert werden können.

Das Einbringen der Verschlüsselung in den physikalischen Datenpfad erlaubt keine Umgehung der Verschlüsselung.

Bei Verwendung individueller Schlüssel ist die Sicherheit noch höher, da der Aufwand zum vollständigen Abhören der Anlage mit der Anzahl der Geräte steigt.

Der individuelle Schlüssel eines Gerätes wird bei der Inbe ^¬ triebnahme vergeben, so dass auch nicht ein kompromittiertes Gerät statt eines vorhandenen eingesetzt werden kann, da die ^¬ ses den Schlüssel nicht kennt.

Des Weiteren ist der individuelle Schlüssel eine zweite, un ^¬ abhängige Identifikation eines an den Feldbus BUS angeschlos- senen Gerätes oder Moduls neben der Netzwerkadresse, so dass sich zudem eine Verifikationsmöglichkeit ergibt, dass die Da ^¬ ten vom richtigen Gerät kommen, was bei ausschließlicher Prüfung der Adresse nicht der Fall ist. Die genannten Vorteile können nur mit mit dem Bus gemäß dem Protokoll Profinet genutzt werden, aber nicht mit den Proto ^¬ kollen EtherCat oder Sercos-III, weil diese sogenannte Broad- cast-Telegramme verwenden. Die Steuerung schickt ein (EtherCat) oder auch mehrere (Sercos-III) Telegramme mit Signalda ^¬ ten über die Leitung, bei denen die Byte-Position im Telegramm entscheidet, welches Gerät welche Daten verarbeitet. Bei Profinet hingegen werden dedizierte Telegramme zwischen Steuerung und den Feldbus-Geräten verwendet, bei denen die im Teigramm vorhandene Adresse das Gerät bestimmt.

Da bei jeglicher Verschlüsselung die Daten einer zu verschlüsselten Nachricht verändert werden und auch die Position der Daten in der verschlüsselten Nachricht nicht vorhersagbar ist, können die beiden Protokolle EtherCat und Sercos-III keine Verschlüsselung für Signaldaten realisieren, so dass sich ein echter Wettbewerbsvorteil für Profinet gegenüber den anderen Protokollen ergibt.

In der Figur 3 ist eine Prozess- und/oder Fertigungs ^¬ und/oder Stellanlage oder kurz Anlage 10 gezeigt, in welcher einzelne Anlagenkomponenten 82, 84, 86, 88 durch Zusatzbaugruppen oder Erfassungs- und Stellvorrichtungen, kurz Vor- richtungen 20, 22, 24, 26, beobachtet und gesteuert werden. Jede der Vorrichtungen 20, 22, 24, 26 kann dabei an der jeweiligen Anlagenkomponente 82, 84, 86, 88, die ihr zugeordnet ist, oder in deren Nähe angeordnet sein. Sie erfassen zum einen Beobachtungsdaten, beispielsweise Sensorsignale oder Zu- Standsparameter, und erzeugen zum anderen Stellsignale zum Stellen von Aktoren der jeweiligen Anlagenkomponente 82, 84, 86, 88. Hierzu weist jede der Vorrichtungen 20, 22, 24, 26 eine jeweilige, nicht näher dargestellte Erfassungseinheit und Stelleinheit auf, die beispielsweise als Programmmodule in einem Programm einer speicherprogrammierbaren Steuerung bereitgestellt sein können. Jede der Vorrichtungen 20, 22, 24, 26 ist über eine (nicht näher dargestellte) Übertragungseinheit, beispielsweise ein Bus-Kommunikationsmodul, über einen Feldbus 28 mit einer zentralen Steuervorrichtung 30, beispielsweise eine Worksta- tion oder einem Personalcomputer, verbunden. Durch die zentrale Steuervorrichtung 30 wird ein Regelalgorithmus ausge ^¬ führt, der als Eingabedaten die Beobachtungsdaten der Vorrichtungen 20, 22, 24, 26 als jeweilige, zu vorbestimmten Zeitpunkten übertragene Beobachtungsdatensätze empfängt und hieraus Stelldaten erzeugt, die als Stelldatensätze an die jeweiligen Vorrichtungen 20, 22, 24, 26 über den Feldbus 28 wieder ausgesendet werden. Die zentrale Steuervorrichtung 30 kann zum Bereitstellen des Regelalgorithmus ein Steuerpro ^¬ grammmodul 32 aufweisen, von welchem über eine Übertragungs- einrichtung der Steuervorrichtung 30 die Beobachtungsdaten empfangen werden und die daraus ermittelten Stelldaten erzeugt werden. Die Beobachtungsdaten und die Stelldaten bilden zusammen Signaldaten 34, die einen Bestandteil des Steuerpro ^¬ grammmoduls 32 bilden.

Bei der zentralen Steuervorrichtung 30 muss es sich nicht um dedizierte Hardware handeln, sondern es können auch weitere Benutzerapplikationen durch die zentrale Steuervorrichtung 30 bereitgestellt sein. Beispielsweise kann die zentrale Steuer- Vorrichtung 30 ein zentraler Server sein oder ein Arbeits- platzcomputer, die außerhalb einer Fertigungshalle angeordnet ist, in welcher sich die Anlagenkomponenten 12 bis 18 und die zugehörigen Vorrichtungen 20 bis 26 befinden. In dem gezeigten Beispiel ist es einer nicht autorisierten Person, d.h. einem Hacker 36, gelungen, ein Schadprogramm 38 in die Steuervorrichtung 30 einzuschleusen und das Schadprogramm auszuführen. Über eine Datenverbindung 40, beispielsweise eine Internetverbindung, liest der Hacker 36 mittels des Schadpro ^¬ gramms 38 die Beobachtungsdaten 34 beispielsweise aus einem Hauptspeicher der zentralen Steuervorrichtung 30 aus, um Informationen über den Zustand der Anlage 10 zu erhalten. Bei der Anlage 10 ist aber wirkungsvoll verhindert, dass der Ha- cker 36 die Regelungsdaten 34 interpretieren kann, geschweige denn gezielt manipulieren kann.

Hierzu werden durch die Vorrichtungen 20 bis 26 die jeweili- gen Beobachtungsdatensätze verschlüsselt und nur in ver ^¬ schlüsselter Form über den Datenbus 28 an die zentrale Steu ^¬ ervorrichtung 30 ausgesendet.

Bezugs zeichenliste

CPU Rechenwerk

BUS internes Netzwerk, Feldbus

DATA Steuerungsdaten

EDATA Verschlüsselte Daten

Ethernet Externes Netzwerk, Ethernet

KEY1,2 Schlüssel

MAC MAC Layer 2

MOD Modul

PHY Physical Layer 1

RAM Speicher

SEC Security Modul

SOC System-On-a-Chip

11, 12, 16 Datenpfade im System (verschlüsselt)

13, 14, 15 Datenpfade im System (unverschlüsselt)

18 Schnittstellenmodul

91, 92 ,98,99 Schnittstellen