Die Erfindung betrifft ein Verfahren zum Dokumentieren von Logbuchdaten von einem oder mehreren ersten Feldgeräten, wobei jedes der ersten Feldgeräte jeweils eine erste Ressourcenleistung aufweist, wobei ein zweites Feldgerät mit einer zweiten Ressourcenleistung vorgesehen ist, wobei die zweite Ressourcenleistung größer jede der ersten Ressourcenleistungen ist, wobei jedes der ersten Feldgeräte kontinuierlich entsprechende Logbuchdaten erzeugt, wobei die Logbuchdaten insbesondere sicherheitsrelevante Daten und/oder Daten bezüglich des Betriebs des jeweiligen ersten Feldgeräts enthalten. Des Weiteren betrifft die Erfindung ein System, umfassend ein oder mehrere erste Feldgeräte der Automatisierungstechnik und ein zweites Feldgerät der Automatisierungstechnik.

Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen zum Einsatz kommen. In der Prozessautomatisierungstechnik ebenso wie in der Fertigungsautomatisierungstechnik werden vielfach Feldgeräte eingesetzt. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Messgeräte, bzw. Sensoren. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktoren verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Messgeräten und Aktoren werden unter Feldgeräten auch Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.

Viele Einsatzgebiete, in denen die oben beschriebenen Feldgeräte zum Einsatz kommen zeichnen sich durch erhöhte Sicherheitsanforderungen aus. Zu nennen sind beispielsweise die pharmazeutische Industrie oder kritische Infrastruktur, wie beispielsweise Atomkraftwerke oder Trinkwasserversorgung. Eine der dort wesentlichen Aufgaben ist dabei die sichere Nachweisführung und Dokumentation des Anlagenzustands, ein sogenanntes “Audit Trail”, aus welchem sich beispielsweise während der Dauer der Produktion einer Charge eines Medikaments der Anlagenzustand und Veränderungen in den Betriebseinstellungen nachträglich nachvollziehen lassen. Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.

In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, Foundation® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Nur im Ausnahmefall werden Schnittstellen mit inhärenter Netzwerkfähigkeit, z.B. auf Basis von Internetprotokollen verwendet. Neuerdings verfügen Feldgeräte häufiger auch über Kurzstrecken-Funksysteme, wie Bluetooth oder nach dem IEEE-802.15.4-Standard. Im Sinne der vorliegenden Offenbarung wird zwischen netzwerkfähigen Wide-Area-Network (WAN)- Kommunikationsschnittstellen einerseits (z.B. auf Basis von Internet-Protokollen) und lokalen Kommunikationsschnittstellen (z.B. Kurzstreckenfunk oder klassische Feldbussysteme ohne Netzwerk-Datenvermittlung) unterschieden.

Normalerweise handelt es sich bei den übergeordneten Einheiten um Leitsysteme (DCS) bzw. Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung), welche in der Regel keine WAN-Datenverbindung zu Feldgeräten zulassen. Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, Prozessvisualisierung, Prozessüberwachung sowie zur Inbetriebnahme der Feldgeräte. Die Schnittstellen und Schnittstellenprotokolle sind dabei im Allgemeinen nicht notwendig netzwerkfähig. Aus Sicherheitsgründen werden insbesondere sicherheitsrelevante Netzwerke bewusst von Wide-Area-Netzwerken wie dem Internet getrennt, um Angriffsmöglichkeiten von außen zu verhindern.

Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.

Für Feldgeräte entsteht zunehmend ein Bedarf der Absicherung gegen Manipulationen im Sinne des englischen Begriffs „Security“, zusätzlich zur Absicherung im Sinne des englischen Begriffs „Safety“. Eine hierfür wesentliche Teilkomponente ist die sichere und manipulationssichere Ablage von Geräteinformationen in Logbüchern.

Bezüglich der sicher zu archivierenden Daten sind dabei die folgenden Aspekte wichtig: eine manipulationssichere Ablage, die beispielsweise für den Fall eines Störfalls eine nachträgliche Manipulation entscheidender Informationen unterbindet; eine zur Übertragung der Daten erforderliche Auslesedauer, bzw. der auf einer Kommunikationsschnittstelle verfügbaren Übertragungsgeschwindigkeit; und eine zur Archivierung erforderliche Größe eines persistenten Speichers.

Im Vorfeld eines Angriffs ist dabei unklar, welche Information für eine spätere Analyse überwacht werden muss und für welchen Zeitpunkt relevante Daten zu einem späteren Zeitpunkt benötigt werden. Daher ist es erstrebenswert, den Gerätezustand kontinuierlich, umfassend und dauerhaft zu überwachen. Jedoch können hierbei über Betriebszeiten von bis zu mehreren Jahren sehr große Datenmengen anfallen. Diese Datenmengen können insofern problematisch werden, als dass die Speicherkapazität die Ressourcen eines Geräts überschreitet. Andererseits kann selbst bei Verfügbarkeit eines großen Speichers in einem Gerät die Übertragungsgeschwindigkeit auf den Schnittstellen ein begrenzender Faktor werden, wenn z.B. die Übermittlung der Logbuchinhalte mehrere Stunden erfordert.

Diese Aspekte stellen viele, insbesondere kleine kostengünstige Feldgeräte vor technische Herausforderungen, weil diese beispielsweise nur Kommunikationsschnittstellen geringer Geschwindigkeit und/oder Speicher geringer Größe enthalten. Mit Blick auf Langzeit- Manipulationsresistenz ist auch das Risiko der Kompromittierung der für die Absicherung der Logbuchinhalte verwendeten kryptographischen Schlüssel zu berücksichtigen, insbesondere für den Fall, dass das Feldgerät nicht über spezielle Security Chipsätze (sogenannte „Secure-Elements)“ verfügt, die es beispielsweise gestatten, Schlüssel für sichere Prüfsummen/Signaturen auslesesicher zu speichern und kryptographische Berechnungen mit Seitenkanalschutz durchzuführen. Ohne solche spezialisierten Security-Chipsätze kann gegebenenfalls nicht sichergestellt werden, dass auch bei Nutzung von Schlüsseln mit langen Gültigkeitsdauern (englisch “long-term-keys") das Risiko sogenannter kompromittierter Schlüssel beherrscht werden kann.

Im Stand der Technik sind Server-Lösungen zur Archivierung von Daten, z.B. auf PC in einem Server-Rack in einem Rechenzentrum bekannt. Im industriellen Kontext können diese Lösungen jedoch häufig nicht zum Einsatz kommen, weil WAN-Netzwerkverbindungen zu den Feldgeräten mit dem Ziel der Verhinderung von Angriffen von außen durch ein sogenanntes “wire gap” nicht zugelassen werden oder weil die Feldbusschnittstellen keine Netzwerkverbindungen von außen zu einem Logbuch-Archivierungs-Server in einem Rechenzentrum unterstützen.

Weiterhin sind schlüsselbasierte Prüfsummen-Verfahren zur Absicherung von Daten bekannt. Dabei lassen sich auf Basis der verwendeten Schlüssel symmetrische Prüfsummen (z.B. HMAC-SHA256, sogennannte “Keyed-Hashes” oder Message-Authentication-Codes) einerseits und asymmetrische Prüfsummen, bzw. Signaturen (z.B. ECDSA, EdDSA) andererseits unterscheiden. Dabei werden symmetrische Prüfsummen mit dem gleichen symmetrischen Schlüssel sowohl erzeugt als auch verifiziert, während bei asymmetrischen Prüfsummen für die Erzeugung ein privater und für die Verifikation ein öffentlicher Schlüssel eines Schlüsselpaars verwendet wird.

Im Sinne dieser Offenbarung ist relevant, dass der Rechenleistungsbedarf zur Erzeugung einer asymmetrischen Prüfsumme (Signatur) gegebenenfalls die Rechenressourcen eines kleinen Feldgeräts überschreiten kann. Dies gilt insbesondere für den Fall sogenannter “Post-Quantum”- Algorithmen, die auch mit Hilfe von ggf. künftig verfügbaren Quantencomputern nicht kryptoanalytisch gebrochen werden können. Hierzu entstehen derzeit neue Sicherheitsstandards, die erhöhten Anforderungen genügen, aber im Vergleich zu den bisherigen Verfahren (insbesondere auf Basis des RSA- Verfahrens oder elliptischer Kurven) erhöhte Rechenleistungs- und Speicheranforderungen aufweisen. Beispiele für solche Post-Quantum-Algorithmen sind hash- basierte Signaturen, Code-Basierte Verfahren wie McElice, Isogenie-Verfahren auf elliptischen Kurven und Verfahren auf Basis von diskreten Gittern. Aktuell laufen hierzu u.a. bei der amerikanischen NIST-Standardbehörde Wettbewerbe.

Oft sind insbesondere kritische Anlagenteile mit voller Absicht in vollständig getrennten Subnetzen verbaut, die beispielsweise dadurch, dass physisch keine Kabelverbindung existiert, keine direkte Netzwerk-Datenverbindung in einen Serverraum gestatten. Lokal im Subnetz ist damit dann gegebenenfalls nur Kommunikation der Feldgeräte untereinander, nicht jedoch mit externen Server- Komponenten möglich. Im Falle von Feldgeräten mit Kurzstreckenfunk (wie Bluetooth) ist mit diesem gegebenenfalls eine Datenverbindung der lokal in einem Anlagenteil verbauten Feldgeräte möglich, beispielsweise von einem Feldgerät zu einem benachbarten Feldgerät, wegen der Distanz jedoch nicht jedoch eine direkte Funkkommunikation zu einer Anlagenzentrale im Serverraum.

Die auf kurzen Strecken lokal vernetzenden Feldbus- und Funkdatenverbindungen unterscheiden sich in der Regel auch bezüglich der Qualitätsmerkmale, wie Verfügbarkeit und maximale Ausfalldauern bei Wartungen oder Software-Updates von üblichen WAN-Netzwerken, wie sie zunehmend auch über Langstrecken-Funk über Mobilfunknetze (z.B. entsprechend den sogenannten 4G und 5G-Standards) vorbereitet werden. Wesentlich ist dabei, dass eine lokale Datenkommunikation von einem Feldgerät zu einem benachbarten Feldgerät in der Regel als verlässlicher eingestuft werden kann als eine Verbindung zu Servern, welche den Einsatz von WAN- Netzwerken erfordert.

Viele Anlagenbetreiber definieren heute Security-Policies (beispielsweise ausgestaltet als Zonen- Konzept), in der Feldgeräte keinen direkten Zugriff außerhalb der Automatisierungs-, beziehungsweise Teilanlage (bzw. ihrer zugeordneten Zone) besitzen dürfen. Leistungsschwache Geräte müssen aber dennoch ihre Security-relevanten Daten (bspw. Informationen über Login von Benutzer, Änderungshistorien, etc.) und/oder Schutzrechtsinformationen (beispielsweise verfahrenstechnische Sensormessdaten, Sensor-Sample-Daten, Sensor-Kurven...) in einen sicheren Speicher auditierbar und nachvollziehbar speichern. Ein mögliches Sicherheitskonzept zur Anbindung eines lokalen Netzwerkes an ein WAN-Netzwerk besteht im Einsatz einer sogenannten Datendiode, bei der Informationen nur unidirektional vom lokalen Netzwerk ins WAN gesendet werden können, aber keine Daten aus dem WAN-Netzwerk empfangen werden können.

Zu berücksichtigen ist dabei auch, dass aus Kostengründen in einfachen Sensoren (z.B. ein kostenoptimierter, auf Basisfunktionalität reduzierter Temperatursensor) nur geringe Ressourcen vorgehalten werden können.

Ausgehend von dieser Problematik liegt der Erfindung die Aufgabe zugrunde, ein Verfahren vorzustellen, welches eine sichere Archivierung der Logbuchdaten in Anlagen auch unter Einbeziehung ressourcenschwacher Feldgeräte ermöglicht.

Die Aufgabe wird durch ein Verfahren zum Dokumentieren von Logbuchdaten von einem oder mehreren ersten Feldgeräten, wobei jedes der ersten Feldgeräte jeweils eine erste Ressourcenleistung aufweist, wobei ein zweites Feldgerät mit einer zweiten Ressourcenleistung vorgesehen ist, wobei die zweite Ressourcenleistung größer jede der ersten Ressourcenleistungen ist, wobei jedes der ersten Feldgeräte kontinuierlich entsprechende Logbuchdaten erzeugt, wobei die Logbuchdaten sicherheitsrelevante Daten und/oder Daten bezüglich des Betriebs des jeweiligen ersten Feldgeräts enthalten, umfassend:

Etablieren einer sicheren, das heißt authentifizierten, integritätsgeprüften und gegebenenfalls verschlüsselten Kommunikationsverbindung zwischen einem oder mehreren der ersten Feldgeräte und dem zweiten Feldgerät;

Übermitteln der aktuellen Logbuchdaten von dem ersten Feldgerät, bzw. den jeweiligen ersten Feldgeräten kontinuierlich oder zu vorgesehenen Zeitpunkten über die Kommunikationsverbindung;

Akkumulieren der aktuellen Logbuchdaten durch das zweite Feldgerät und Speichern der akkumulierten Logbuchdaten in einer Speichereinheit des zweiten Feldgeräts.

Erfindungsgemäß wird somit vorgeschlagen, die Logbuchdaten ressourcenschwächerer erster Feldgeräte kontinuierlich während des Betriebs an ein ressourcenstärkeres zweites Feldgerät zu übermitteln, welches zweite Feldgerät die Logbuchdaten in seinem, insbesondere persistenten, Speicher kontinuierlich aggregiert, sammelt und einem Anwender bei Bedarf für eine Analyse zur Verfügung stellt. Die ersten Feldgeräte weisen hierbei insbesondere Kommunikationsschnittstellen auf, welche eine wesentlich langsamere Datenkommunikation verglichen zu den Kommunikationsschnittstellen des zweiten Feldgeräts ermöglichen. Da die zu übertragenden Logbuchdatenmenge der ersten Feldgeräte jedoch relativ klein ist, beispielsweise ungefähr 1 kByte pro Minute, sind die üblicherweise in den ersten Feldgeräten vorhanden Kommunikationsschnittstellen ausreichend, um die Logbuchdaten an das zweite Feldgerät zu übermitteln - die sich in diesem Falle im Verlauf von beispielsweise eines Jahres ansammelnde Datenmenge von 500 Megabyte könnte aber in den ersten Feldgeräten weder gespeichert noch über deren langsamere Kommunikationsschnittstellen ausgelesen werden.

Beispiele für Feldgeräte, welche im Zusammenhang mit dem erfindungsgemäßen Verfahren genannt werden, sind im einleitenden Teil der Beschreibung aufgeführt worden.

Der Begriff „Sicherheit“ umfasst im Sinne dieser Erfindung dabei sowohl die Dimension der Betriebssicherheit im Sinne des englischen Begriffs “Safety” als auch Sicherheit mit Blick auf versehentliche oder vorsätzliche Manipulation (englisch “Security”).

Im Sinne dieser Anmeldung wird unter dem Begriff “Ressourcenleistung” die Zusammenfassung der Merkmale einer beschränkten Kapazität eines persistenten Datenspeichers (z.B. EEProm oder Flash-Speicherbaustein) und/oder der beschränkten Kapazität der verfügbaren Kommunikationsschnittstellen und/oder der verfügbaren Rechenleistung und/oder die Fähigkeit kryptographische Schlüsselinformationen auslesesicher über längere Zeit zu verwahren, verstanden.

Als erste Feldgeräte werden ressourcenbeschränkte Feldgerätebezeichnet, welche beispielsweise Temperaturtransmitter sind, welche beispielsweise mit einem HART-Feldbus (Nenn- Kommunikationsbandbreite in der Größenordnung von ca. 50 Bytes pro Sekunde Übertragungsgeschwindigkeit) oder einem Bluetooth-Low-Energy-Interface (gegebenenfalls in der Größenordnung von ca. 200 Bytes pro Sekunde Übertragungsgeschwindigkeit), die typischerweise von einer 12 Volt-Spannungsversorgung bei 3.5 mA Stromstärke betrieben werden.

Bei dem zweiten Feldgerät handelt es sich im Vergleich zu den ersten Feldgeräten um ein ressourcenstärkere Feldgerät, welches insbesondere einen größeren Speicherausbau, schnellere Kommunikationsschnittstellen und/oder eine stärkere Stromversorgung verfügt. Insbesondere ist das zweite Feldgerät zum Einbau von sicheren Security-Chipsätzen (sogenannte „Secure Elements“, SE) geeignet. Beispiele für solche zweiten Feldgeräte sind. „Schreiber“-Geräte oder größere Durchflussmessgeräte, die beispielsweise von einer 230 V- oder 24 V-Spannungsversorgung mit beispielsweise einer Leistung von. 20 W betrieben werden und neben langsameren Bluetooth-Low- Energy- oder HART Kommunikationsschnittstellen ggf. auch über schnelle WLAN- oder Ethernet- Schnittstellen verfügen. Vorteilhafterweise sind die weiteren Schritte vorgesehen:

Zusätzliche Absicherung der akkumulierten Logbuchdaten mit den Mitteln des zweiten Feldgeräts (z.B. ergänzende durchs zweite Feldgerät erzeugte Prüfsummen);

Sicheres Bereitstellen der akkumulierten Logbuchdaten durch das zweite Feldgerät an eine berechtigte Auswerteeinheit oder an einen Anwender; und Prüfen der Logbuchdaten (z.B. gegen Manipulation).

Eine Ausgestaltung des Verfahrens sieht vor, dass die sichere Kommunikationsverbindung schlüsselbasiert realisiert wird. Hierbei wird für den Aufbau einer sicheren Kommunikationsverbindung zwischen erstem und zweitem Feldgerät ein symmetrisches Schlüsselpaar verwendet, wobei sich dieser Schlüssel auf beiden Feldgeräten befindet.

Alternativ wird für den Aufbau einer sicheren Kommunikationsverbindung jeweils ein asymmetrisches Schlüsselpaar bestehend aus einem privaten Schlüssel und einem öffentlichen Schlüssel verwendet, wobei sich jeweils der private Schlüssel des jeweiligen symmetrischen Schlüsselpaares auf dem entsprechenden Feldgerät befindet und der öffentliche Schlüssel des symmetrischen Schlüsselpaars sich auf dem Kommunikationspartner befindet.

Es kann hierbei vorgesehen sein, die Vertrauensbasis für den Aufbau der Kommunikationsverbindung (das heißt, welche öffentliche Schlüssel vertrauenswürdig sind) durch Nutzung einer Public-Key-Infrastruktur zu etablieren.

Aus dem Stand der Technik sind verschiedene Verfahren zum Aufbau einer abgesicherten Verbindung bekannt (beispielsweise nach dem TLS-Standard), wobei die Absicherung in der Regel zunächst eine ein- oder beidseitige Authentizitätsprüfung der Kommunikationspartner auf Basis der oben genannten symmetrischen oder asymmetrischen Schlüsselinformationen umfasst, sowie im Anschluss bei Erfolg das Aushandeln eines Sitzungsschlüssels.

In einer vorteilhaften Ausgestaltung des Verfahrens ist vorgesehen, dass jedes der ersten Feldgeräte seine aktuellen Logbuchdaten vor dem Übermitteln an das zweite Feldgerät mit einer Prüfsumme versieht, welche Prüfsumme aus den aktuellen Logbuchdaten und optional einem weiteren Schlüssel berechnet wird. Vorteilhafterweise aggregiert das zweite Feldgerät die empfangenen aktuellen Logbuchdaten der entsprechenden ersten Feldgeräte jedoch nur dann, wenn die Prüfsumme erfolgreich verifiziert werden kann. In einer vorteilhaften Ausgestaltung des Verfahrens ist vorgesehen, dass die dann auch in der Speichereinheit des zweiten Feldgeräts befindlichen Logbuchdaten von dem zweiten Feldgerät mit einer zusätzlichen zweiten Prüfsumme versehen werden. Der Vorteil durch diese zweite Prüfsumme besteht darin, dass das zweite Feldgerät hierzu besser geschützte Schlüssel (beispielsweise bei Verwendung eines „secure element“-Chipsatzs) oder besser geschützte, rechenaufwändigere Verfahren nutzen kann, die mit Blick auf die beschränkten Ressourcen des ersten Feldgeräts dort gegebenenfalls nicht zum Einsatz kommen können.

In einer vorteilhaften Ausgestaltung des Verfahrens ist vorgesehen, dass die in der Speichereinheit des zweiten Feldgeräts befindlichen Logbuchdaten von dem zweiten Feldgerät an einen Benutzer ausgegeben werden oder von einem Benutzer von dem zweiten Feldgerät abgerufen werden. Insbesondere können die in der Speichereinheit des zweiten Feldgeräts befindlichen Logbuchdaten aber nur in dem Falle an den Benutzer ausgegeben, bzw. von dem Benutzer abgerufen werden, falls der Benutzer sich erfolgreich gegenüber dem zweiten Feldgerät authentifiziert und/oder falls der Benutzer eine korrekte Benutzerrolle besitzt. Das Ausgeben kann dabei beispielsweise unter Verwendung von Speichermedien (beispielsweise ein USB-Stick o.ä.) oder unter Verwendung von Kommunikationsschnittstellen des zweiten Feldgeräts erfolgen.

Unter dem Begriff „Benutzer“ wird sowohl ein menschlicher Benutzer, als auch eine elektronische Instanz, beispielsweise eine Anlagenzentrale, verstanden.

In einer vorteilhaften Ausgestaltung ist vorgesehen, dass das zweite Feldgerät, welches temporär oder dauerhaft an ein WAN-Netzwerk angeschlossen ist und bei Verfügbarkeit einer WAN- Verbindung die akkumulierten Logbuchdaten sicher (d.h. nach Authentifizierung und/oder integritätsgeprüft und verschlüsselt) an eine Server-Anwendung übermittelt, beispielsweise auf Anfrage oder in einem vorkonfigurierten Zeitraster. In vorteilhafter Weise erfolgt diese Kommunikation über ein unidirektional gesendetes Telegramm, um auch mit WAN-Verbindungen mit einer aus Security-Gründen vorgesehenen “Daten-Diode" arbeiten zu können. Das kann beispielsweise dadurch erfolgen, dass die Logbuchdaten vom versendeten Feldgerät kryptographisch signiert werden und der Empfänger eine Signaturprüfung implementiert. Ein solches Verfahren ermöglicht in gleicher weise auch alternative unidirektionale Datenverbindungen, beispielsweise unter Verwendung von USB-Sticks oder SD-Karten als Datenträger.

Vorteilhafterweise kann die Signatur dabei über ein privates/öffentliches-Schlüsselpaar erzeugt und geprüft werden. Der Vorteil einer asymmetrischen Signatur besteht dann darin, dass der empfangende Server und das Feldgerät beide nur Zugriff auf eine gemeinsame zertifikatsausgebende Zertifikatsautorität einer PKI benötigen und ansonsten eine unidirektionale Kommunikation vom Feldgerät zu einem zentralen Server ausreicht. Des Weiteren wird die Aufgabe durch ein System gelöst, welche ein oder mehrere erste Feldgeräte der Automatisierungstechnik und ein zweites Feldgerät der Automatisierungstechnik umfasst, wobei jedes der ersten Feldgeräte über eine entsprechende erste Kommunikationsschnittstelle in einem Automatisierungsnetzwerk integriert ist und dazu ausgestaltet ist, Messgrößen bezüglich eines verfahrenstechnischen Prozesses zu erfassen und über das Automatisierungsnetzwerk auszusenden und/oder Steuergrößen bezüglich des verfahrenstechnischen Prozesses zu empfangen, wobei jedes der ersten Feldgeräte jeweils eine erste Ressourcenleistung aufweist, wobei das zweite Feldgerät eine zweite Ressourcenleistung aufweist, wobei die zweite Ressourcenleistung größer jede der ersten Ressourcenleistungen ist, wobei jedes der ersten Feldgeräte zum kontinuierlichen Erzeugen von Logbuchdaten ausgestaltet ist, wobei die Logbuchdaten sicherheitsrelevante Daten und/oder Daten bezüglich des Betriebs des jeweiligen ersten Feldgeräts enthalten, Etablieren einer Kommunikationsverbindung einem oder mehreren der ersten Feldgeräte und dem zweiten Feldgerät, wobei jedes der ersten Feldgeräte ausgestaltet ist, seine aktuellen Logbuchdaten per sicherer Kommunikationsverbindung, welche über die erste Kommunikationsschnittstelle via dem Automatisierungsnetzwerk oder über eine zweite Kommunikationsschnittstelle der jeweiligen ersten Feldgeräte via einem weiteren Netzwerk etabliert ist, zu vorgesehenen Zeitpunkten an das zweite Feldgerät zu übermitteln, wobei das zweite Feldgerät dazu ausgestaltet ist, die aktuellen Logbuchdaten zu akkumulieren und die akkumulierten Logbuchdaten in einer Speichereinheit, insbesondere ein persistenter Speicher, des zweiten Feldgeräts zu speichern.

In einer vorteilhaften Ausgestaltung des Systems ist es vorgesehen, dass das zweite Feldgerät dazu ausgestaltet ist, eigene Logbuchdaten zu erstellen, zu akkumulieren und in regelmäßigen Zeitabständen in der Speichereinheit zu speichern.

In einer vorteilhaften Ausgestaltung des Systems ist es vorgesehen, dass das zweite Feldgerät ebenfalls Teil des Automatisierungsnetzwerks ist und dazu ausgestaltet ist, Messgrößen bezüglich eines verfahrenstechnischen Prozesses zu erfassen und über das Automatisierungsnetzwerk auszusenden und/oder Steuergrößen bezüglich des verfahrenstechnischen Prozesses zu empfangen. Hierbei kann es vorgesehen sein, die Funktionalitäten des Empfangens der aktuellen Logbuchdaten der jeweiligen ersten Feldgeräte, des Akkumulierens der empfangenen aktuellen Logbuchdaten und des Speicherns der empfangenen Logbuchdaten durch ein Zusatzmodul zu realisieren, welches Zusatzmodul mit dem zweiten Feldgerät verbunden ist.

In einer alternativen Ausgestaltung des Systems ist es vorgesehen, dass es sich bei dem zweiten Feldgerät um ein Netzwerkgerät, insbesondere ein Gateway, Switch oder Edge Device, um eine Steuereinheit, oder um einen PC handelt. Eine vorteilhafte Ausgestaltung des Systems umfasst zusätzlich eine cloudbasierte Plattform, wobei das zweite Feldgerät dazu ausgestaltet ist, die in der Speichereinheit enthaltenen akkumulierten Logbuchdaten an die cloudbasierte Plattform zu übermitteln, insbesondere per Internet. Eine cloudbasierte Plattform ist ein über ein WAN-Netzwerk kontaktierbarer Server oder Serversystem, auf welche eine oder mehrere Applikationen lauffähig sind, die beispielsweise ein Speichern und/oder Verarbeiten der Logbuchdaten erlauben.

Die Erfindung wird anhand der nachfolgenden Figur näher erläutert. Es zeigt

Fig. 1 : ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens.

Fig. 1 zeigt ein Automatisierungsnetzwerk AN. In diesem Automatisierungsnetzwerk AN sind zwei erste Feldgerät FG1 , FG1‘, sowie ein zweites Feldgerät FG2 eingebunden. Selbstverständlich können neben diesen Feldgeräten FG1 , FG1 ‘, FG2 noch eine Vielzahl weiterer Feldgeräte im Automatisierungsnetzwerk AN eingebunden sein. Bei den ersten Feldgeräten FG1 , FG1‘ handelt es sich beispielsweise um Messgeräte zum Erfassen von Prozessvariablen eines verfahrenstechnischen Prozesses. Bei dem zweiten Feldgerät FG2 handelt es sich beispielsweise um einen Datenschreiber, um ein Netzwerkgerät, insbesondere ein Gateway, Switch oder Edge Device, um eine Steuereinheit, oder um einen PC.

Jedes der Feldgeräte FG1 , FG1 ‘, FG2 weist Ressourcen in Form von jeweils mindestens einer Elektronikeinheit EE1 , EE1 ‘, EE2, jeweils mindestens einer Kommunikationsschnittstelle KS1 , KS1 ‘, KS2 und jeweils mindestens einer Speichereinheit SE1 , SE1‘, SE2 auf.

Die Ressourcenleistung des zweiten Feldgeräts FG2 ist dabei höher als jene der ersten Feldgeräte FG1 , FG1‘. Das bedeutet, dass mindestens eine der Ressourcen des zweiten Feldgeräts FG2 eine größere Leistung aufweist als die entsprechende Ressource des jeweiligen ersten Feldgeräts FG1 , FG1 ‘. Eine größere Leistung bedeutet beispielsweise bei einer Speichereinheit, dass mehr Speicherplatz vorhanden ist. Eine größere Leistung bedeutet beispielsweise bei einer Elektronikeinheit, dass diese eine höhere Rechenleistung aufweist. Eine größere Leistung bedeutet beispielsweise bei einer Kommunikationsschnittstelle, dass diese eine höhere Datenrate empfangen und aussenden kann. Eine größere Leistung bedeutet beispielsweise bei einem Schlüsselspeicher, dass dieser ein höheres Maß an Ausleseschutz aufweist.

Jedes der Feldgeräte FG1 , FG1 ‘, FG2 erhebt kontinuierlich Logbuchdaten LD1 , LD1‘, LD2. Diese Logbuchdaten LD1 , LD1 ‘, LD2 enthalten unter anderem sicherheitsrelevante Daten (beispielsweise Konfigurations- oder Benutzerinformationen) und/oder Daten bezüglich des Betriebs des jeweiligen Feldgeräts FG1 , FG1‘, FG2, also beispielsweise Betriebsstunden, oder ähnliches. Die Logbuchdaten werden in den entsprechenden Speichereinheiten SE1 , SE1 ‘, SE2 der jeweiligen Feldgeräte FG1 , FG1 ‘, FG2 gespeichert. Der Speicherbedarf pro erzeugten Logbuchdaten LD1 , LD1 ‘, LD2 ist zwar nicht allzu groß (bspw. 10 Kilobyte), verursachte aber durch die kontinuierliche Erzeugung (bspw. jede Minute) eine Datenmenge, die auf den Speichereinheiten SE1 , SE1 ‘ der ersten Feldgeräte FG1 , FG1‘ nicht speicherbar ist. Ein Auslesen dieser Datenmenge aus den ersten Feldgeräten FG1 , FG1 ‘ ist aufgrund deren langsamer Kommunikationsschnittstellen KS1 , KS1 ‘ nur mit Einschränkungen möglich.

Die ersten Feldgeräte FG1 , FG1 ‘ sind daher derart ausgestaltet, dass die Logbuchdaten LD1 , LD1‘ kontinuierlich an das zweite Feldgerät FG2 übermittelt werden. Dafür wird eine sichere Kommunikationsverbindung zwischen den jeweiligen ersten Feldgeräten FG1 , FG1 ‘ und dem zweiten Feldgerät FG2 über das Automatisierungsnetzwerk AN aufgebaut. Es ist auch möglich, sollten die ersten Feldgeräte FG1 , FG1 ‘ neben den für die Verbindung mit dem Automatisierungsnetzwerk AN verwendeten Kommunikationsschnittstelle über weitere Kommunikationsschnittstellen verfügen (bspw. drahtgebunden oder drahtlos), die Kommunikationsverbindung für die Logbuchdaten darüber (und nicht mit Hilfe des Automatisierungsnetzwerks AN) zu etablieren.

Für die sichere Kommunikationsverbindung wird beispielsweise unter Verwendung eines schlüsselbasierten Vertrauensverhältnisses zwischen zweitem Feldgerät FG2 und entsprechendem ersten Feldgerät FG1 , FG1 ‘ die Kommunikationsverbindung authentifiziert und gegebenenfalls verschlüsselt. Das Vertrauensverhältnis kann dabei unter Verwendung eines auf beiden Seiten bekannten symmetrischen Schlüssels beruhen. Alternativ kann das Vertrauensverhältnis auf zwei asymmetrischen Schlüsselpaaren beruhen, wobei jedem Kommunikationspartner neben seinem eigenen privaten Schlüssel auch der öffentliche Schlüssel übergeben wird. Auch eine Prüfsumme kann den Logbuchdaten LD1 , LD1’ angehängt werden, wobei das zweite Feldgerät FG2 die empfangenen Logbuchdaten LD1 , LD1 ‘ nur akzeptiert, wenn die Prüfsumme plausibel ist.

Der Vorteil der Verwendung asymmetrischer Schlüssel besteht dabei darin, dass der Verwaltungsaufwand unter Verwendung einer sogenannten Public-Key-Infrastruktur reduziert werden kann, bei der eine zertifikatsausgebende Stelle die Vertrauenswürdigkeit von Kommunikationspartnern mit einem öffentlichen Schlüssel PKa über ein zugehöriges durch die zertifikatsausgebende Stelle signiertes Zertifikat bestätigt. Bei Nutzung einer solchen PKI kann die Vertrauensstellung zwischen den Kommunikationspartnern auf eine gemeinsam als vertrauenswürdig anerkannte zertifikatsausgebende Stelle zurückgeführt werden. Die zu übertragende Datenmenge der Logbuchdaten LD1 , LD1‘ ist hierbei so gering, dass diese Aufgabe von den Kommunikationsschnittstellen KS1 , KS1‘ der entsprechenden ersten Feldgeräte FG1 , FG1‘ ohne Probleme erfüllt werden kann. Das zweite Feldgerät FG2 empfängt die entsprechenden Logbuchdaten LD1 , LD1‘, aggregiert diese und speichert sie in seiner Speichereinheit SE2. Das zweie Feldgerät FG2 kann hierbei auch eigene Logbuchdaten LD2 erzeugen, welche dann zusätzlich in der Speichereinheit SE2 gespeichert werden. Die Speichereinheit SE2 des zweiten Feldgeräts FG2 ist hierbei derart groß, dass die Logbuchdaten LD1 , LD1 ‘ über einen längeren Zeitraum gespeichert werden können. Weiterhin kann das Feldgerät FG2 die Logbuchdaten LD1 , LD1 ’ auf Basis der im FG2 gespeicherten Schlüsselinformationen mit einer Prüfsumme versehen, wobei der Vorteil darin besteht, dass das Feldgerät FG2 die dazu verwendeten Schlüssel besser gegen Auslesen schützen kann (bei Verwendung spezieller Secure- Element Chipsätze) oder rechenaufwändigere, aber besser geschützte Verfahren (z.B. Post- Quantum-Algorithmen) einsetzen kann.

Für die sichere Kommunikationsverbindung zum Austausch der Logbuchdaten LD1 , LD1 ’ zwischen Feldgerät FG1 , FG1 ’ und FG2 können dabei verschiedene Verfahren zum Einsatz kommen:

In einer ersten Ausführung erfolgt der Austausch dadurch, dass eine abgesicherte Verbindung im Sinne eines kryptographisch abgesicherten Ende-zu-Ende-Verbindung (beispielsweise unter Nutzung des TLS-Protokolls) zwischen FG1 , FG1 ’ und FG2 aufgebaut wird in dem anschließend die Logbuchdaten LD1 , LD1’ übermittelt werden. In dieser Ausführung basiert die Prüfung der Datenintegrität durch das Feldgerät FG2 auf dem Schutz durch die Ende-Zu-Ende-Verbindung auf dem für diese Verbindung ausgehandelten Schlüssel und der in der Ende-Zu-Ende-Verbindung integrierten Integritätsprüfung der übertragenen Nutzdaten.

In einer alternativen Ausführung ergänzt das Feldgerät FG1 , FG1 ’ zunächst die Logbuchdaten um eine erste Prüfsumme, beispielsweise auf Basis eines dort gespeicherten symmetrischen Schlüssels (z.B. der secret-key Algorithmus HMAC-SHA256 nach RFC4688), und übermittelt diese ggf. auch ohne Verwendung einer Ende-Zu-Ende- Verschlüsselung ohne weiteren Schutz an das Feldgerät FG2. In diesem Fall erfolgt die Integritätsprüfung durch das Feldgerät FG2 über die Kontrolle der ersten Prüfsumme.

Wesentlich ist dabei, dass das Feldgerät FG2 nur dann Daten in seinem Speichereinheit SE2 aggregiert, sofern die Prüfung erfolgreich abgeschlossen wird.

Die im zweiten Feldgerät derart gespeicherten Logbuchdaten LD1 , LD1 ‘, LD2 können von einem Benutzer abgerufen werden (bspw. über eine Bedieneinheit, welche mit dem zweiten Feldgerät FG2 drahtlos oder drahtgebunden kommuniziert). Es kann auch vorgesehen sein, dass das zweite Feldgerät FG2 die Logbuchdaten auf Initiative eines Benutzers, in regelmäßigen Zeitabständen und/oder zu vorbestimmten Zeitpunkten per Internet (oder ähnlicher geeigneter Verbindung) an eine cloudbasierte Plattform CP übermittelt.

Bezugszeichenliste

AN Automatisierungsnetzwerk

CP cloudbasierte Plattform EE1.EE1 ¹ , EE2 Elektronikeinheiten

FG1, FG1‘, FG2 Feldgeräte

KS1, KS1‘, KS2 Kommunikationsschnittstellen

LD1, LD1‘, LD2 Logbuchdaten

SE1, SE1‘, SE2 Speichereinheiten