Functional diversity with asymmetrically located comparison and its use for steering angle acquisition

Elektronik und Dutzende elektronische Steuereinheiten (ECUs) dominieren mittlerweile das Automobil und alle seine Funktionen. Ein Lenkwinkelsensormodul stellt beispielsweise verschiedensten Fahrzeugfunktionen die aktuelle Fahrtrichtung bereit. Fehlerbedingte Ausgabe falscher Winkel führt in einer verknüpften Assistenzfunktion mit eigenständiger Beeinflussung der Quer- und Längsdynamik des Fahrzeugs zu einem unvertretbaren Gefahrenrisiko. Zur Risikominderung werden sich bei Versagen gefährlich auswirkende Funktionalitäten gemäß der Norm ISO 26262 entwickelt. Dazu werden in dieser Norm unter anderem ein geeignetes Sicherheitskonzept und seine Anwendung gefordert. Um die höchste normgemäße Sicherheitsintegritätsstufe ASIL D zu erreichen, ist das altbewährte Sicherheitskonzept EGAS in aller Regel zu schwach, weil es nur ein nichtredundantes Rechnersystem (MC) vorsieht. Unter der Bedingung, ebenfalls mit einem einzigen MC auszukommen, wird zur Lösung dieses Problems ein neuartiges Sicherheitskonzept entwickelt. Es sieht vor, von MC berechnete Ausgangsgrößen funktionell diversitär auf redundante Sensorgrößen umzurechnen. Die im zweiten Sensorbaustein integrierte und damit asymmetrisch angeordnete Vergleichseinrichtung (AAV) stellt unabhängig von MC und für jeden einzelnen von MC erarbeiteten Funktions- und Ausgabewert die Integrität sowohl der Daten als auch der Rechner- und Sensorhardware sicher. Weiterhin vereinfacht dieser Aufbau den Verifikationsaufwand entscheidend, weil weder Sensoren noch umfangreiche MC-Software, sondern allein die Funktion der weit weniger komplexen AAV verifiziert werden muss. Die Beschränkung auf neben MC nur zwei weitere integrierte Schaltungen (ICs) stellt ebenfalls eine für die funktionale Sicherheit vorteilhafte Vereinfachung dar, denn zwei gleiche, jedoch funktionell diversitär erfassende Sensor-ICs verringern die Komplexität des neuen Konzepts auf das Notwendigste. Im Gegensatz zum EGAS-Konzept ist allmähliche Leistungsabsenkung sowie Notlauf einzelner Funktionalitäten möglich. Dies wird durch von Ende zu Ende abgesicherte Freigabe- bzw. Abschaltbotschaften erreicht, die AAV nach Vergleichen unabhängig von MC an die Aktorik sendet. Im konkreten Einsatz zur Lenkwinkelerfassung wird demonstriert, wie bzw. dass die höchsten normativen Anforderungen an die Hardwaresicherheitsintegrität für eine ECU mit nur einem Rechnersystem erfüllt werden. Anschließend wird in einer tiefgreifenden und umfassenden Bewertung der Sicherheitsintegrität in Systemen mit dem vorgestellten Sicherheitskonzept verallgemeinernd seine Eignung für Fahrzeugfunktionalitäten mit Sicherheitszielen bis ASIL D gezeigt und nachgewiesen

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Automated defense and prevention measures designed to protect industrial automation and control systems often compromise their real-time processing, resilience and redundancy. Therefore, they need to be performed as non-invasively as possible. Nevertheless, particularly minimally invasive security analysis and incident response are still poorly researched. This work presents solutions based on new semantic- and SDN-based approaches to some of the most important problems in these areas

Modellbasierte Entwicklung funktional sicherer Hardware nach ISO 26262

Die Absicherung von funktionaler Sicherheit nach dem Standard ISO 26262 ist im Kontext der zunehmenden Elektrifizierung von Fahrzeugen ein herausforderndes Unterfangen. Diese Arbeit liefert ein Konzept und eine Vorgehensweise zur modellbasierten Entwicklung funktional sicherer Hardware. Diese zeichnet sich durch die Beschreibung von Hardwaredesigns, Anreicherung um Fehlerinformationen sowie Ausführung der geforderten Sicherheitsevaluationen aus

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Industrielle Steuerungs- und Automatisierungssysteme erleben in den letzten Jahren eine zunehmende Vernetzung und bestehen mehr und mehr aus Komponenten, bei denen Off-the-Shelf-Software und offene Standards zum Einsatz kommen. Neben den unbestreitbaren Vorteilen, die diese Entwicklungen mit sich bringen, vergrößert sich damit jedoch auch die Angriffsfläche solcher Systeme. Gleichzeitig führt die, durch diese Evolution entstehende, zusätzliche Flexibilität zu zusätzlicher Komplexität in der Konfiguration und einer Zunahme von ausnutzbaren Schwachstellen. Die Homogenität der Soft- und Hardware macht die Ausnutzung dieser Schwachstellen für Angreifer zudem attraktiver, da weniger Aufwand in Individualangriffe fließen muss. Es ist so nicht verwunderlich, dass die Anzahl von Angriffen betroffener industrieller Systeme in den letzten fünfzehn Jahren einen deutlichen Zuwachs erfahren hat. Dies ist besonders bedenklich, weil erfolgreiche Angriffe auf diese Systeme, anders als in der Büro-IT, oft gefährliche Auswirkungen auf ihre Umwelt haben. Wie auch in anderen Domänen mit hoher technologischer Komplexität, haben sich computergestützte Verfahren zu einem wichtigen Bestandteil industrieller Systeme entwickelt. Sie werden dabei u.a. zur Sicherstellung korrekter Konfiguration, Identifikation von Schwachstellen, Bedrohungen und Gegenmaßnahmen, sowie Angriffsdetektion und -reaktion eingesetzt. Allerdings bestehen aufgrund der Garantien industrieller Systeme und ihrer Netzwerke bezüglich Aspekten wie Echtzeitverarbeitung, Ausfallsicherheit und Redundanz, Einschränkungen im Einsatz von Werkzeugen und Maßnahmen. Um also möglichst wenig in das System einzugreifen, müssen beispielsweise Sicherheitsanalysen und Vorfallreaktionen so wenig invasiv wie möglich (minimalinvasiv) durchgeführt werden. Für automatisierte Sicherheitsanalysen hat es sich daher zur guten Praxis entwickelt, Modelle der Systeme zu erstellen und diese computergestützt zu analysieren. Als besonders geeignet haben sich in der Forschung dabei wissensbasierte, bzw. ontologiebasierte, Ansätze erwiesen. Existierende Lösungen leiden jedoch unter Problemen wie der fehlenden Konfigurierbarkeit für unterschiedliche Umgebungen, der fehlenden Optimierbarkeit (da in der Regel nur bestimmte Inferenzmechanismen anwendbar sind), der fehlenden Wiederverwendbarkeit und Austauschbarkeit von Modellerweiterungsschritten und Analysen, der fehlenden Unterstützung verschiedener Akteure und mehrerer Analysearten wie Bedrohungs-, Schwachstellen-, Konfigurations- und Konformitätsanalysen, sowie der mangelnden technischen Detailtiefe und Komponentenabdeckung, um bestimmte Analysen überhaupt durchführen zu können. Bei der Vorfallreaktion sind die genannten Garantien sogar der Grund für den Mangel an Lösungen, die in industriellen Systemen eingesetzt werden können. Denn der Großteil der automatisierbaren Reaktionen liegt im Gebiet der Abschottung und greift somit garantiegefährdend in das entsprechende System ein. In dieser Dissertation werden die eben aufgezählten Probleme der Sicherheitsanalyse und Vorfallreaktion adressiert. Für die Sicherheitsanalyse wurden Konzepte und Methoden entwickelt, die jedes der aufgezählten Probleme mindern oder lösen. Dafür wird unter anderem eine auf den offenen Standards AutomationML und OPC UA basierende Methode zur Modellierung und Extraktion von Netzwerkinformationen aus Engineering-Werkzeugen, Untersuchungsergebnisse verschiedener Abbildungsstrategien zur Erstellung ontologiebasierter Digitaler Zwillinge, ein Konzept zur Sprachenunabhängigen Modellerzeugung für Netzwerkzugriffskontrollinstanzen und Konzepte und Methoden zur wiederverwendbaren, austauschbaren, automatisierten Modellverarbeitung und Sicherheitsanalyse für mehrere Analysearten vorgestellt. Für diese und damit verbundene Konzepte und Methoden wurde zudem ein konsistentes, auf Separation-of-Concerns basierendes Rahmenwerk für wissensbasierte Sicherheitsanalyselösungen entworfen, prototypisch implementiert und evaluiert. Das Rahmenwerk, die Implementierung und die Ergebnisse der Evaluationen werden ebenfalls in dieser Arbeit vorgestellt. Damit wird die erste Lösung für die zuvor genannten Probleme präsentiert und eine Basis für eine neue Art von kollaborativ verwalt- und optimierbaren Sicherheitsanalysen geschaffen. Des Weiteren wird ein Konzept zur automatisierten Vorfallreaktion auf Basis des Netzwerkparadigmas Software-Defined-Networking (SDN) vorgestellt. Dabei wird ein Ansatz gewählt, der auf vordefinierten Reaktionen auf sicherheitsrelevante Ereignisse basiert und diese über Restriktionen individuell und automatisiert einschränkt. Wobei sich die Restriktionen auf explizit modelliertes Wissen über zu schützende Endgeräte, Netzwerkkomponenten und Verbindungen stützen. Das Konzept nutzt außerdem aus, dass die Netzwerksteuerung durch den SDN-Controller auf detaillierten Daten über die aktuelle Netzwerktopologie verfügt und verwendet die optimierten Algorithmen des SDN-Controllers zur Neukonfiguration. Mit dem Konzept wird ein Ansatz präsentiert, der es erstmals ermöglicht, auch in industriellen Systemen die Vorteile automatisierter Vorfallreaktion, wie die kurze Reaktionszeit und verfügbare Topologiekenntnis, zu nutzen

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Automated defense and prevention measures designed to protect industrial automation and control systems often compromise their real-time processing, resilience and redundancy. Therefore, they need to be performed as non-invasively as possible. Nevertheless, particularly minimally invasive security analysis and incident response are still poorly researched. This work presents solutions based on new semantic- and SDN-based approaches to some of the most important problems in these areas

Modellbasierte Entwicklung funktional sicherer Hardware nach ISO 26262

The compliance with functional safety according to the standard ISO 26262 in context of the increasing electrification of road vehicles is a significant challenge. This work provides a concept and methodology for the model-based development of functional safe hardware. This is characterized by the description of hardware designs, annotation of failure data and performing the demanded safety evaluations