Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Automated defense and prevention measures designed to protect industrial automation and control systems often compromise their real-time processing, resilience and redundancy. Therefore, they need to be performed as non-invasively as possible. Nevertheless, particularly minimally invasive security analysis and incident response are still poorly researched. This work presents solutions based on new semantic- and SDN-based approaches to some of the most important problems in these areas

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Industrielle Steuerungs- und Automatisierungssysteme erleben in den letzten Jahren eine zunehmende Vernetzung und bestehen mehr und mehr aus Komponenten, bei denen Off-the-Shelf-Software und offene Standards zum Einsatz kommen. Neben den unbestreitbaren Vorteilen, die diese Entwicklungen mit sich bringen, vergrößert sich damit jedoch auch die Angriffsfläche solcher Systeme. Gleichzeitig führt die, durch diese Evolution entstehende, zusätzliche Flexibilität zu zusätzlicher Komplexität in der Konfiguration und einer Zunahme von ausnutzbaren Schwachstellen. Die Homogenität der Soft- und Hardware macht die Ausnutzung dieser Schwachstellen für Angreifer zudem attraktiver, da weniger Aufwand in Individualangriffe fließen muss. Es ist so nicht verwunderlich, dass die Anzahl von Angriffen betroffener industrieller Systeme in den letzten fünfzehn Jahren einen deutlichen Zuwachs erfahren hat. Dies ist besonders bedenklich, weil erfolgreiche Angriffe auf diese Systeme, anders als in der Büro-IT, oft gefährliche Auswirkungen auf ihre Umwelt haben. Wie auch in anderen Domänen mit hoher technologischer Komplexität, haben sich computergestützte Verfahren zu einem wichtigen Bestandteil industrieller Systeme entwickelt. Sie werden dabei u.a. zur Sicherstellung korrekter Konfiguration, Identifikation von Schwachstellen, Bedrohungen und Gegenmaßnahmen, sowie Angriffsdetektion und -reaktion eingesetzt. Allerdings bestehen aufgrund der Garantien industrieller Systeme und ihrer Netzwerke bezüglich Aspekten wie Echtzeitverarbeitung, Ausfallsicherheit und Redundanz, Einschränkungen im Einsatz von Werkzeugen und Maßnahmen. Um also möglichst wenig in das System einzugreifen, müssen beispielsweise Sicherheitsanalysen und Vorfallreaktionen so wenig invasiv wie möglich (minimalinvasiv) durchgeführt werden. Für automatisierte Sicherheitsanalysen hat es sich daher zur guten Praxis entwickelt, Modelle der Systeme zu erstellen und diese computergestützt zu analysieren. Als besonders geeignet haben sich in der Forschung dabei wissensbasierte, bzw. ontologiebasierte, Ansätze erwiesen. Existierende Lösungen leiden jedoch unter Problemen wie der fehlenden Konfigurierbarkeit für unterschiedliche Umgebungen, der fehlenden Optimierbarkeit (da in der Regel nur bestimmte Inferenzmechanismen anwendbar sind), der fehlenden Wiederverwendbarkeit und Austauschbarkeit von Modellerweiterungsschritten und Analysen, der fehlenden Unterstützung verschiedener Akteure und mehrerer Analysearten wie Bedrohungs-, Schwachstellen-, Konfigurations- und Konformitätsanalysen, sowie der mangelnden technischen Detailtiefe und Komponentenabdeckung, um bestimmte Analysen überhaupt durchführen zu können. Bei der Vorfallreaktion sind die genannten Garantien sogar der Grund für den Mangel an Lösungen, die in industriellen Systemen eingesetzt werden können. Denn der Großteil der automatisierbaren Reaktionen liegt im Gebiet der Abschottung und greift somit garantiegefährdend in das entsprechende System ein. In dieser Dissertation werden die eben aufgezählten Probleme der Sicherheitsanalyse und Vorfallreaktion adressiert. Für die Sicherheitsanalyse wurden Konzepte und Methoden entwickelt, die jedes der aufgezählten Probleme mindern oder lösen. Dafür wird unter anderem eine auf den offenen Standards AutomationML und OPC UA basierende Methode zur Modellierung und Extraktion von Netzwerkinformationen aus Engineering-Werkzeugen, Untersuchungsergebnisse verschiedener Abbildungsstrategien zur Erstellung ontologiebasierter Digitaler Zwillinge, ein Konzept zur Sprachenunabhängigen Modellerzeugung für Netzwerkzugriffskontrollinstanzen und Konzepte und Methoden zur wiederverwendbaren, austauschbaren, automatisierten Modellverarbeitung und Sicherheitsanalyse für mehrere Analysearten vorgestellt. Für diese und damit verbundene Konzepte und Methoden wurde zudem ein konsistentes, auf Separation-of-Concerns basierendes Rahmenwerk für wissensbasierte Sicherheitsanalyselösungen entworfen, prototypisch implementiert und evaluiert. Das Rahmenwerk, die Implementierung und die Ergebnisse der Evaluationen werden ebenfalls in dieser Arbeit vorgestellt. Damit wird die erste Lösung für die zuvor genannten Probleme präsentiert und eine Basis für eine neue Art von kollaborativ verwalt- und optimierbaren Sicherheitsanalysen geschaffen. Des Weiteren wird ein Konzept zur automatisierten Vorfallreaktion auf Basis des Netzwerkparadigmas Software-Defined-Networking (SDN) vorgestellt. Dabei wird ein Ansatz gewählt, der auf vordefinierten Reaktionen auf sicherheitsrelevante Ereignisse basiert und diese über Restriktionen individuell und automatisiert einschränkt. Wobei sich die Restriktionen auf explizit modelliertes Wissen über zu schützende Endgeräte, Netzwerkkomponenten und Verbindungen stützen. Das Konzept nutzt außerdem aus, dass die Netzwerksteuerung durch den SDN-Controller auf detaillierten Daten über die aktuelle Netzwerktopologie verfügt und verwendet die optimierten Algorithmen des SDN-Controllers zur Neukonfiguration. Mit dem Konzept wird ein Ansatz präsentiert, der es erstmals ermöglicht, auch in industriellen Systemen die Vorteile automatisierter Vorfallreaktion, wie die kurze Reaktionszeit und verfügbare Topologiekenntnis, zu nutzen

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Automated defense and prevention measures designed to protect industrial automation and control systems often compromise their real-time processing, resilience and redundancy. Therefore, they need to be performed as non-invasively as possible. Nevertheless, particularly minimally invasive security analysis and incident response are still poorly researched. This work presents solutions based on new semantic- and SDN-based approaches to some of the most important problems in these areas

Abbildung von UMLSec-Vertraulichkeitsanalysen auf Data-Centric Palladio

Die Vertraulichkeit von Daten ist heutzutage ein wichtiger Aspekt von Informationssystemen. Ein unzureichender Schutz dieser Daten kann hohe Bußgelder oder den Verlust von Kunden zur Folge haben. Die sichere Behandlung von sensitiven Daten stellt damit eine zentrale Qualitätseigenschaft eines Softwaresystems dar und muss bereits während des Architekturentwurfs beachtet werden, um teure Änderungen spät im Entwicklungsprozess zu vermeiden. Ein Ansatz zur Modellierung von Sicherheitseigenschaften auf der Architekturebene ist Data-Centric Palladio (DCP). DCP reichert das Architekturmodell um ein Datenflussmodell an, um Analysen der Vertraulichkeitseigenschaften von Daten zu ermöglichen. Es ist jedoch unklar, ob der in DCP gewählte Ansatz bezüglich der Ausdrucksmächtigkeit äquivalent zu etablierten Ansätzen der Modellierung und Analyse von Sicherheitseigenschaften ist. Daher wird in dieser Arbeit die Ausdrucksmächtigkeit von DCP mit der Ausdrucksmächtigkeit von UMLsec verglichen. Dazu werden UMLsec-Analysen anhand von definierten Auswahlkriterien auf ihre Eignung untersucht, in DCP umgesetzt zu werden. Für Analysen, die sich für eine Umsetzung in DCP eignen, werden äquivalente Analysen in DCP definiert und implementiert. Zudem werden Modelltransformationen zwischen den Eingabemodellen der UMLsec-Analyse und der DCP-Analyse spezifiziert, mit derer Hilfe die Evaluation der erstellten DCP-Analyse erfolgt. Die UMLsec-Analysen Secure Links und Secure Dependencies sind in dieser Arbeit als DCP-Analysen umgesetzt. Es ist zu erkennen, dass der datenflussbasierte Ansatz von DCP dazu führt, dass in den DCP-Varianten dieser beiden Analysen wesentlich detailliertere Analyseergebnisse ermittelt werden können. Dagegen ist für die kontrollflussbasierte UMLsec-Analyse Fair Exchange keine Umsetzung in DCP möglich, da der Analyseansatz von DCP nicht in der Lage ist, einen Angreifer zu modellieren, der aktiv den Kontrollfluss des Systems modifiziert. Schließlich ist an der UMLsec-Analyse des sicheren Informationsflusses gezeigt, dass DCP zwar in der Lage ist, eine semantisch ähnliche Analyse auf einer höheren Abstraktionsebene umzusetzen, der direkte Vergleich zu der UMLsec-Analyse allerdings aufgrund des hohen Abstraktionsunterschieds dieser Analysen nicht möglich ist. Für den Vergleich der Ausdrucksmächtigkeit der beiden Ansätze ist schließlich gezeigt, dass weder DCP, noch UMLsec strikt mächtiger ist, als der jeweils andere Ansatz. Stattdessen ist der erwartete Anwendungsfall von erheblicher Bedeutung für die Auswahl des geeigneten Analyseansatzes

A model-based approach for Objectification of the Risk Analysis according to ISO 26262

Die Entwicklung elektrischer Fahrzeugsysteme wird in Zukunft voraussichtlich immer mehr von der ISO 26262 beeinflusst. Eine wesentliche Anforderung der Norm ist die Durchführung einer Gefährdungsidentifikation und Risikobewertung (GuR). Ziel dieser GuR ist es vom zu entwickelnden System ausgehende Gefährdungen zu identifizieren und hinsichtlich ihres Risikopotenzials zu bewerten. Sind potenzielle Gefährdungen erkannt, können diese mittels des in ISO 26262 vorgeschlagenen Ansatzes zur Ableitung eines Automotive Safety Integrity Levels (ASIL) hinsichtlich des von ihnen ausgehenden Risikos bewertet werden. Diese Bewertung basiert in hohem Maße auf der subjektiven - meist konservativen - (Experten-)Einschätzung der den ASIL charakterisierenden Parameter Expositionswahrscheinlichkeit (E), Schadensausmaß (S) und Kontrollierbarkeit (C), weswegen Sicherheitsfunktionen häufig überdimensioniert werden. In dieser Arbeit wird eine Methode beschrieben, wie diese subjektiven Einflüsse durch Simulation und Analyse von Petrinetz-Modellen reduziert werden können. Hierbei wird sich nach intensiver Diskussion der die ASIL-Parameter bestimmenden Faktoren auf die modellbasierte Objektivierung des Parameters E beschränkt. Die Methode und die Struktur der, wie zunächst angenommen, einem deterministischem Verhalten folgenden Modelle werden im Sinne einer Anwendbarkeitsstudie zur Einstufung der Expositionswahrscheinlichkeit exemplarisch angewendet, validiert und plausibilisiert. Im Folgenden wird davon ausgegangen, dass eine Vielzahl von reale Fahrsituationen charakterisierenden Faktoren einem stochastischem Verhalten folgen. In diesem Fall stößt die analytische Berechnung von E an ihre Grenzen, weswegen deren Plausibilität nur noch durch den Vergleich mit herkömmlichen Schätzungen überprüft werden kann. Die entwickelte Methode kann sowohl zu einer ASIL-Reduktion, und damit einhergehenden Einsparpotenzialen bei den Entwicklungskosten, als auch zu einer ASIL-Erhöhung,und damit verbundenem Mehraufwand bei der Entwicklung, führen. In beiden Fällen kann die Methode aufgrund ihres strukturierten modellbasierten Ansatzes helfen die ASIL-Einstufung gegenüber Entscheidungsträgern zu vertreten, wodurch die praktische Verwertbarkeit der Methode gegeben ist.The development of future electrical systems in motor vehicles is expected to be more and more influenced by the standard ISO 26262. This standard provides requirements for the entire safety lifecycle. One essential requirement of ISO 26262 consists in performing a hazard analysis and risk assessment. The objective of this phase is to identify and categorize the hazards emanating from the item to be developed in terms of their risk potential. Once the hazards have been identified, these can be evaluated in terms of the risk posed by them, using the approach recommended in ISO 26262 to determine an Automotive Safety Integrity Level (ASIL). This assessment is largely based on subjective - mostly conservative - (experts`)estimations of the ASIL-characterizing parameters: probability of exposure (E), severity (S) and controllability (C). This is the reason why safety related systems are often oversized. In this thesis a method is described thanks to which these subjective evaluations can be reduced by simulation and analysis of Petri net models. After an intensive discussion of the ASIL-determining parameters (E, S and C), the scope of the method is limited to the model-based objectification of the parameter E. The developed Petri net models, initially supposed to be obeying a deterministic behavior, are used to determine E and to validate the gleaned values and the correctness of the model against the results of an event tree analysis. Moreover, the determined parameter E is validated with respect to its plausibility by comparing it with the result of an assessment carried out conventionally under the terms of ISO 26262. In the following it is assumed that a large number of factors characterizing real driving situations are following a stochastic behavior. In this case, the analytical calculation of E is limited and the determined values` plausibility can only be validated by comparison with the results of a conventional estimation. The developed method logically can lead to both, an ASIL-reduction, and thus to a reduction of the development costs, as well as an ASIL-increase, and thus to related additional effort in the development. In both cases due to its structured model-based approach, the presented method can back up an ASIL-classification in front of decision-makers. Thus the practical usefulness of the method is given

About the proof of safety case for a bord autonomous satellite based localisation unit for railways

Mit dieser Arbeit wird ein Beitrag zur Steigerung der Attraktivität des Schienenverkehrs durch den Wechsel von traditioneller streckenseitiger auf satellitenbasierte fahrzeugseitige Ortung geleistet. Hierbei wird eine Grundlage für den Entwicklungsprozess für die Selbstortung des Schienenfahrzeugs ohne streckenseitige Einrichtungen oder Aktivitäten des Fahrers erstellt, um die Zertifizierung und Typzulassung einer bordautonomen, mit ETCS Level 3 konformen satellitenbasierten Ortungseinheit für den Schienenverkehr zu erreichen. Anstelle der momentan im Schienenverkehr üblichen diskreten Zugortung können mit Einführung der satellitenbasierten kontinuierlichen Ortung eine Vielzahl an Vorteilen durch einen effizienteren Betrieb und den Verzicht auf streckenseitige Ortungskomponenten sowie Signalisierung ermöglicht und realisiert werden. Die hier konzipierte Ortungseinheit muss für eine Zertifizierung entsprechend dem gültigen normativen Rahmen entwickelt werden. Dafür werden der normative Rahmen und dessen historische Entwicklung analysiert und die beteiligten Organisationen im Normerstellungsprozess sowie die Entwicklungsprozesse in Europa betrachtet. Um die Ergebnisse dieser Arbeit auch weltweit für Entwicklungsprozesse nutzen zu können, wird auch der internationale normative Rahmen fokussiert. Darauf aufbauend soll die Begutachtung und Zertifizierung der satellitenbasierten Ortungseinheit im Schienenverkehr durchgeführt und der Prozess nachvollzieh und wiederholbar dargestellt werden. Die satellitenbasierte Zugortung soll in moderne Zugbeeinflussungssysteme eingebunden werden und ist somit nicht separat einsetzbar. Für die somit notwendige Integration wird hier die Grundlage gelegt, die Umsetzung erfolgt durch ein modulares Modellkonzept für die Schnittstellen.This thesis contributes to a more attractive railways by enhancing the change from traditional track side to satellite based vehicle self localisation. The development process for the self localisation of a rail vehicle without track side infrastructure and activities of the driver is created to reach the certification and type approval of a board autonomous localisation unit for railways compatible with ETCS level 3. Instead of the currently used discrete localisation in railways the advantages of satellite based localisation can be used for a continuous localisation. This leads to various benefits by an efficient operation and the abandonment of track side localisation as well as signalling components. The localisation unit designed in this thesis has to be developed for a certification according the normative background which is therefore analysed. Furthermore the historical background of the normative background is analysed and the participating organisations in the creation of a norm as well as the development process in Europe are focused. To use the results of this work for worldwide development processes, the international normative background is focused as well. On this basis, the certification and assessment of the satellite based localisation unit for railways is carried out with consistent and comprehensive process. The satellite based train localisation is integrated in modern train control system and can therefore not be used separately. For the necessary integration the fundamental work is done, the implementation is carried out by a modular model concept for the interfaces. To enable a clear structured description, a terminologically consistent approach is introduced and used. The focus is on the terms relevant for development and certification to enhance the comprehensibility and for a consistent implementation. This work is the basis for a safe system development and the connected certification with a clearly structured system. These are introduced here and are necessary to know the relevant parts for the safety analysis. This approach enables to identify potential problems and difficulties early and to adopt adequate solutions to be included in the development process. The necessary processes are introduced in general and subsequently applied to the certification of the satellite based localisation in railways