:quality(80)/p7i.vogel.de/wcms/8f/a0/8fa038067940f4f5c49215cbb247b622/0112519526.jpeg "Auch Mendix 10 bekam ordentlich KI unter die Haube: Ein anpassbarer Best Practice Bot, ein Data Validation Bot sowie ein Schritt in Richtung generativer KI mit Mendix Chat sollen das Assist-Portfolio an KI-gestützten Entwicklungstools ergänzen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/06/a906f028f922064597c90a762c130001/0111161743.jpeg "Einer aus dem Dreierteam: Der vierrädrige Roboter Husky im Einsatz auf dem „Mond“. (Bild: FZ Forschungszentrum Informatik)")
:quality(80)/p7i.vogel.de/wcms/c3/e2/c3e2817babb15c4588d3a86955065788/0110467380.jpeg "Deutschlands Leitkongress für Embedded Software Engineering findet vom 4. bis 8. Dezember 2023 in der Stadthalle in Sindelfingen statt. Reichen Sie jetzt Ihren Beitrag ein und werden Sie Speaker auf Deutschlands Leitmesse für Embedded Software Engineering! (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/bb/ee/bbee87c9f6e1cd8f7c0585245912e408/0109800544.jpeg "Zielbild: Modulare Intelligenz und Technologien für zukünftige Mobilitätssysteme (Bild: Institut für Kraftfahrzeuge, RWTH Aachen University)")
:quality(80)/p7i.vogel.de/wcms/27/b9/27b9cfbb678630047f85e1adc55f7df7/0114455762.jpeg "Bild 1. Unterschiedliche Verarbeitungszeiten und Garantien für eine bestimmte Echtzeit-Task (Bild: LDRA)")
:quality(80)/p7i.vogel.de/wcms/ac/c6/acc6dd1a0d33df772c9c921d3dd557de/0113763472.jpeg "Melden Sie sich jetzt zum ESE 2023 an und profitieren Sie vom Frühbucherrabatt, der bis zum 31. Oktober gilt. (Bild: VCG )")
:quality(80)/p7i.vogel.de/wcms/96/cf/96cf8ee3ce89479620a24efd9239f673/0111389170.jpeg "Neil Puthuff, RTI (Bild: RTI)")
:quality(80)/p7i.vogel.de/wcms/fa/fb/fafb91c7affa621e7d4ef2a657ca58d7/0115383398.jpeg "Neue Trends kennenlernen, Wissen austauschen, Kontakte knüpfen oder die Kenntnisse erweitern – der ESE Kongress bietet für jeden etwas. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/92/a3/92a329ed3731c287e1a0d82c12d8a80d/0112796671.jpeg "Die Revolution durch Künstliche Intelligenz: Eine Betrachtung des Potenzials (Bild: Copyright (c) 2022 Blue Planet Studio/Shutterstock. No use without permission.)")
:quality(80)/p7i.vogel.de/wcms/86/91/8691ac20a6b0d28da930e3e9f783a294/0115104202.jpeg "Sicherheitsnormen: Software, die Teil sicherheitskritischer Systeme ist, muss angemessen verifiziert werden. (Bild: Gerd Altmann, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/5a/a5/5aa55e03a0f2dbae2dc60f836d2e03a2/0114431110.jpeg "Michael Plagge ist Vice President Ecosystem Development der Eclipse Foundation. (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9c/e1/9ce1e5a9cd2b5c6dda9cf817e2ea7bc1/0111860365.jpeg "Ein Arbeitgeber muss die Ausbildung und Fortbildung als wertvolles Gut betrachten und seine Mitarbeiter entsprechend unterstützen. Mitarbeiter sind das wichtigste Kapital des Arbeitgebers und der Schlüssel zu anhaltendem Geschäftserfolg (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/f5/51/f551f5778d5bd171b3f17d73ff593723/72055891.jpeg "(Bild: Clipdealer)")
:quality(80)/p7i.vogel.de/wcms/3e/6d/3e6df867e075bbd32be8a440e80c9f95/0112830296.jpeg "Android als Betriebssystem: Sowohl in der industrielle Automation oder Automobil setzt sich Android durch. Ein Vorteil des Betriebssystems ist die schnelle Java-Programmierung von Anwendungen auf Basis von Android APIs. (Bild: andrekheren )")
:quality(80)/p7i.vogel.de/wcms/09/f4/09f4cd13cfa544c5ba7464c32917666a/0111368304.jpeg "VW arbeitet an einer eigenen Software, die sich plattform- und markenübergreifend skalieren lässt. Dieses Vorhaben ist offenbar komplexer als zunächst angenommen. (Bild: Volkswagen AG)")
:quality(80)/p7i.vogel.de/wcms/87/52/8752b159480d8cf75f7f58f702aa0ce7/0112816316.jpeg "Softwaretests: Mithilfe von künstilcher Intelligenz können sensible und gleichzeitig hochbeanspruchte Komponenten für den Einsatz im Weltraum getestet werden. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/0f/56/0f56440b91620ecab4063bd807884227/0111334152.jpeg "Bestätigt: dSpace-Tools dürfen in sicherheitsrelevanten Entwicklungsprojekten nach ISO 26262:2018 für alle Automotive Safety Integrity Levels (ASIL) eingesetzt werden. (Bild: dSPACE GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/78/0c782ecd788c9280b7e94ad34f23442d/0115220517.jpeg "Viacheslav Gromov: Gründer und Geschäftsführer vom Embedded-KI-Anbieter AITAD. (Bild: AITAD)")
:quality(80)/p7i.vogel.de/wcms/38/99/3899201d40c29970f598747c22c937c8/0115220396.jpeg "Planen eine enge Zusammenarbeit: Jensen Huang von Nvida (links) zusammen mit Youg Liu von Foxconn. Mithilfe von Nvidia will Auftragsfertiger Foxconn KI-basierte Fabriken und Rechenzentren aufbauen. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/b7/63/b7639e9da1ca1d887531838f45b5c853/0114878507.jpeg "Einzigartig: Das Urheberrecht für Firmware und Mikrocode hat sich in mehreren Fällen als wirksames Mittel zum Schutz von Innovationen in der Rechnerarchitektur erwiesen. Eingebettete KI-Modelle machen die Situation jedoch komplexer. (Bild: © Martina Berg – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/18/d91836c6b6ab6c0718dd3834dd8fc1ab/0114546230.jpeg "Trotz steigender Hardware-Fähigkeiten ist es immer noch die Software, die bestimmt, wie der Datenfluss gesteuert wird. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/94/43/94436767ec04f9eedc80a0d9564502e3/0110183599.jpeg "Die Sicherheit wird m IoT-Zeitalter immer wichtiger. Hackerangriffe können für User und Hersteller verheerend sein. (Bild: frei lizenziert/ Bild von Gerd Altmann auf Pixabay )")
:quality(80)/p7i.vogel.de/wcms/e2/4b/e24b52dba628d199853fb606a97f9334/0108601399.jpeg "Wie eine bessere Absicherung der vernetzten Systeme gelingen kann, können Sie auf dem diesejährigen ESE-Kongress erfahren. (Bild: Perforce )")
:quality(80)/p7i.vogel.de/wcms/a7/67/a7677d18c5dcb651b31dc1e66460f1f2/0107504500.jpeg "SSV stellt ein adaptives Bausteinkonzept mit einer Hardware-agnostischen Firmware für Edge-Gateways vor. Die Firmware ist individuell anpassbar und läuft sowohl auf verschiede-nen Embedded-Plattformen als auch in Docker-Containern. (Bild: SSV)")
:quality(80)/p7i.vogel.de/wcms/4d/96/4d9621a180cfee96ba85d2da83163461/0105948132.jpeg "Eine effektive Verwaltung und nahtlose Orchestrierung verschiedener Softwarekomponenten auf einem einzigen SoC kann auf vielfältige Weise erreicht werden. (Bild: Siemens Software )")
:quality(80)/p7i.vogel.de/wcms/34/05/3405327567eb345e9c0c326a590cd9ae/0105886699.jpeg "Mithilfe der UDE 2022 können Entwickler alle Funktionseinheiten aus einer Umgebung heraus ansprechen. Kerne lassen sich gemeinsam, in Gruppen oder einzeln debuggen. (Bild: PLS)")
:quality(80)/p7i.vogel.de/wcms/74/a1/74a1fcd5d60af69422390e97fbf77dcd/0109296819.jpeg "Das war der ESE Kongress 2022. (Bild: Elisabeth Wiesner)")
:quality(80)/p7i.vogel.de/wcms/5d/06/5d06c990c23f740700e79851e71ac6ba/0109150162.jpeg "Nadine Riederer, Avision: „Die Wahl der Programmiersprache ist und bleibt eine Wette. Etablierte Sprachen haben dabei eindeutig die besseren Quoten, wenn es um die langfristige und sichere Planung geht.“ (Bild: TWX Photography)")
Wie realisiert man vernetzte sicherheitskritische Systeme?
Ob Analyse von Prozessdaten oder effiziente Umsetzung von Software-Updates im Feld: Das IoT-Zeitalter verspricht eine bessere Nutzung von Steuergeräten, erfordert aber auch die Öffnung einst abgeschotteter sicherheitskritischer Systeme. Wie lässt sich ein sicherheitsbezogenes, vernetztes unter Einhaltung relevanten Security- & Safety-Standards realisieren?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/119600/119672/65.png "Logo_hoch_600x600.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/97400/97430/65.png "Logo single.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
In der Automatisierungstechnik vollzieht sich seit einigen Jahren ein Wandel hin zu modularen, vernetzten Systemen. Im Zuge dessen wird Cybersicherheit zur unabdingbaren Voraussetzung für funktional sicherheitskritische Systeme. Erst Anfang des Jahres 2018 zeigte der Triton-Malware-Angriff auf eine Industrieanlage im Nahen Osten, wie verwundbar aktuelle sicherheitskritische, industrielle Steuerungssysteme sind.
Bild 1 zeigt das Anwendungsbeispiel eines vernetzten E-Antrieb-Controllers, der unter anderem in Wasserkraftwerken und leistungsstarken Maschinen eingesetzt wird.
:quality(80)/images.vogel.de/vogelonline/bdb/1539200/1539201/original.jpg "Bild 2: Safety & Security Lifecycle Prozess")
:quality(80)/images.vogel.de/vogelonline/bdb/1539200/1539202/original.jpg "Bild 3: Prozess Risk Assessment & Top Down Design nach IEC62443-3-2")
:quality(80)/images.vogel.de/vogelonline/bdb/1539200/1539203/original.jpg "Bild 4: Security Lifecycle nach NIST Standard")
:quality(80)/images.vogel.de/vogelonline/bdb/1539200/1539204/original.jpg "Tabelle 1: Beispiel einer High Level Risiko Analyse")
Das zu betrachtende System (SuC) des Anwendungsbeispiels regelt die Steuerung eines E-Motors und ist mit einer Backend-/Cloud-Infrastruktur vernetzt. Dies ermöglicht einerseits die Überwachung des Steuerungsprozesses und andererseits auch Updates nicht funktional sicherheitsbezogener Software-Anteile.
Die zentrale Safety-Funktion für den Antrieb ist die sogenannte Safe-Torque-Off-Funktion (STO), die in Bezug auf Cybersicherheit besonders geschützt werden muss. Weitere zu schützende Funktionen sind beispielsweise die E-Motor-Regelung, der Maschinenstatus, die Diagnose, das Software-Update und die Analyse der Prozessdaten. Relevante Standards in diesem Umfeld sind vor allem IEC62443, IEC61508, ISO13849, EN62061 und IEC61800-5.
Safety & Security Prozess
Bild 2 zeigt den von Assystem für das Anwendungsbeispiel angewendeten Lifecycle Prozess für sicherheitskritische Systeme.
Das Mapping des Prozesses für den Top-Down-Entwurf nach IEC62443-3-2 ist in Bild 3 und des Prozesses „Security Lifecycle“ nach NIST Standard in Bild 4 dargestellt. Damit ergibt sich ein generischer Entwicklungs- und Wartungsprozess, der sowohl zu relevanten Safety-Standards als auch zu den relevanten Security-Standards kompatibel ist.
Die Entwicklungsphase des Lifecycle Prozesses (Bild 2) ist in den Bereiche „Design“, „Realisierung“ und „Admin“ gegliedert. Der Bereich „Betrieb“ stellt die operative Phase dar. Für jeden Block sind entsprechende Input-/Output Artefakte, Verantwortlichkeiten bzw. Rollen und Aktivitäten beschrieben.
Entscheidend ist, dass die Safety-bezogene Systementwicklung von der Security-bezogenen Systementwicklung ab Phase P4.1 durch geeignete Systempartitionierung unabhängig erfolgen kann.
Security-Risikoanalyse – Methodik & Normen am Beispiel
Nach Definition des „System under Consideration“ (SuC) wird eine High Level Risikoanalyse für wesentliche Schützgüter (Assets) des SuC durchgeführt unter Berücksichtigung der physischen Schnittstellen, Stakeholder und der Use-Cases in der geplanten Systemumgebung (vgl. Tabelle 1).
Dabei werden potentielle Bedrohungen, Schwachstellen und Auswirkungen im Falle eines Exploits je Assetgruppe analysiert. Bedrohungen und Schwachstellen wird zunächst qualitativ eine Wahrscheinlichkeit zugeordnet. Der potentielle Schaden (Auswirkung) wird ebenfalls qualitativ abgeschätzt. Die qualitativen Werte der Wahrscheinlichkeit und des Schadens müssen vor Erstellung der Risikoanalyse definiert werden (vgl. Rationale in Bild 5). Beispielsweise wird eine Manipulation der Safety-Funktion als katastrophal eingestuft und die Bestimmung der Wahrscheinlichkeit wird in Relation zur Anzahl der Controller im Feld und einer Zeitspanne gesetzt.
Daraus ergibt sich im ersten Schritt ein qualitatives Risiko je Assetgruppe. Je Assetgruppe werden dann Foundational Requirements (FRs) festgelegt zur Risikoreduktion. Den Foundational Requirements wird ein sogenannter Ziel-Security-Level (SL-T) zugeordnet gemäß Definition in Tabelle 2.
Safety-Konzept und Architektur
Die zentrale Safety-Funktion des Antriebscontrollers ist die sogenannte Safe-Torque-Off-(STO)-Funktion, die eine sichere Abschaltung des Drehmoments gewährleistet.
Bild 6 zeigt die zweikanalige Architektur der STO-Funktion vom Eingang bis zum Ausgang. Dadurch erfüllt die STO die Anforderungen der ISO13849 für PLe und der Normen IEC61508, IEC61800-5 für SIL3. Für den Sicherheitsnachweis wird der Diagnosepfad zur Überwachung der STO-Hardware-Pfade separat betrachtet. Dabei wurde die Diagnose der STO-Hardware-Pfade einen SI Level niedriger eingestuft als die eigentliche STO-Funktion und erfüllt die Anforderungen nach IEC61508 für den SIL 2.
Da der FPGA-Hersteller keine quantitativen Fehleranalysen zur Verfügung stellt, wurde die Diagnosefunktion durch zwei unabhängige Pfade im FPGA realisiert. Durch zusätzliche Maßnahmen zur Erkennung bzw. Vermeidung von Common-Cause-Fehlern wie zu hohe oder zu niedrige Umgebungstemperatur, Versorgungsspannung, Taktung und EMV, können Einzelfehler im FPGA nicht zum Ausfall der Diagnosefunktion führen. Zusätzlich wird eine quantitativ nachweisbare hohe Safe Failure Fraction (SFF nach IEC61508) möglich.
Security-Konzept, Anforderungen und Architektur
Ergebnis der High-Level-Risikoanalyse auf Systemebene ist die Ableitung von Foundational Requirements (FRs) je Asset anhand der Bedrohungsszenarios. Für die einzelnen Foundational Requirements auf Systemebene wird dabei ein Ziel-Security-Level (SL-T) entsprechend dem erforderlichen Sicherheitsniveau festgelegt (vgl. Tabelle 1).
Anschließend wird eine Systemarchitektur für das zu betrachtende System (SuC) durch Anwendung des „Defense in Depth“-Prinzips entworfen. Dabei wird das System in sogenannte Sicherheitszonen und Conduits aufgeteilt. Die Aufteilung in Zonen und Conduits kann sowohl physisch als auch logisch (in Software) erfolgen und die Gruppierung erfolgt beispielsweise anhand der Kritikalität der Assets, der Funktion, des physischen / logischen Ablageorts oder der Zugangsberechtigung (vgl. IEC62443-3-2).
Durch den Prozess der strukturierten Risikoanalyse und Top Down Designs (vgl. Bild 3) erhält man für das Gesamtsystem (SuC) durch Anwendung des „Defense in Depth“-Prinzips eine Aufteilung in physische und logische Sicherheitszonen (Bild 7 und Bild 8).
Jede Zone beinhaltet ein oder mehrere Systeme, die wiederum aus elementaren Komponenten bestehen. Zonen wird dabei ein bestimmter Security oder Trust Level inklusive der Foundational Requirements zugeordnet und jede Zone stellt nur die wirklich relevanten Schnittstellen nach Außen, d.h. für andere Zonen zur Verfügung. Zwischen den Zonen erfolgt in der Regel eine Authentifizierung, Verschlüsselung und Begrenzung des Datenflusses. Eingangsdaten sollten vor interner Verwendung immer validiert und Ausgangsdaten vor Ausgabe nach Möglichkeit bereinigt werden, so dass keine kritischen Informationen nach Außen preisgegeben werden.
Zusammenfassung und Ausblick
Zusammenfassend ergeben sich durch die dargestellte methodische Vorgehensweise für unser Anwendungsbeispiel zahlreiche Vorteile für Systemintegratoren und Anlagenbetreiber. Der Controller kann durch den damit erreichten hohen Sicherheitslevel und der Zertifizierung in eine Vielzahl von Anwendungen zur Ansteuerung leistungsstarker E-Motoren integriert werden. Die sichere Cloud-/Backend-Anbindung ermöglicht die Vernetzung der Steuerung zur Prozessdatenanalyse sowie einfache und sichere Updates im Feld für Non-Safety-Funktionen. Zusätzlich kann der Controller durch das modulare Design für den jeweiligen Bedarf skaliert werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1274700/1274726/original.jpg "Ein System gilt als \"Safety Critical System\", wenn hierbei ein Ausfall oder eine Fehlfunktion fatale folgen für menschliche Sicherheit hat. Dabei sind nicht nur schwere Anlagen gemeint; auch Systemfehler in alltäglichen Anwendungen können in diese Kategorie fallen. (Clipdealer)")
Systemarchitekturen für sicherheitskritische Systeme
:quality(80)/images.vogel.de/vogelonline/bdb/1331100/1331138/original.jpg "Gerade mit Blick auf Autonomes Fahren müssen Fahrzeugentwickler besonders scharf auf Security-Aspekte achten. Zu diesem Zweck hat Blackberry ein grundlegendes Konzept zur Sicherung vernetzter und automer Fahrzeuge vorgestellt. (Daimler)")
7 Security-Grundlagen für vernetzte und autonome Fahrzeuge
(Dieser Beitrag wurde mit freundlicher Genehmigung des Autors dem Tagungsband Embedded Software Engineering Kongress 2018 entnommen.)
Der Autor
* Markus Maier verfügt über langjährige Erfahrung in der Entwicklung funktional sicherheitskritischer Systeme in der Automobil- und Industrie-Branche und beschäftigt sich seit einigen Jahren intensiv mit dem Thema Cyber-Sicherheit, insbesondere mit der Härtung von Embedded Systemen und industriellen Steuerungen.
Artikelfiles und Artikellinks
(ID:45824644)
:quality(80)/p7i.vogel.de/wcms/d9/ce/d9cec568cf2bf464153d2c308f7641f6/0112255816.jpeg "0112255816 (Bild: frei lizenziert)")
![Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)](https://cdn1.vogel.de/UGbXqgVVeVJNAuf_PrgzWWtdzWk=/392x392/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/5d/67/5d67e4c73c7d2ad87efc155a20b34c10/0111515949.jpeg "Die ursprüngliche Richtlinie MISRA C:2012 [MISRA3] enthält 159 Vorgaben. (Bild: frei lizenziert)")