Beitrag zur Analyse sicherer Kommunikationsprotokolle im industriellen Einsatz
Bei der Arbeit an sicherheitsgerichteten Kommunikationsprotokollen stellten sich immer wieder die Fragen nach der Eignung von einzelnen Mechanismen der Protokolle, um den Gefährdungen entsprechende Maßnahmen zur Beherrschung entgegenzusetzen. Dabei waren durchweg die Anforderungen der IEC 61508 mit dem Safety Integrity Level 3 zu erfüllen. Die IEC 61508-2 ist mit 5 Zeilen Umfang für die wesentlichen Anforderungen an die sicherheitsgerichtete Kommunikation sehr kurz gehalten und die IEC 61784-3 war zu Beginn der Arbeiten noch nicht veröffentlicht. Aber die IEC 61784-3 stellt auch heute nur einen unvollständigen Kriterienkatalog zusammen. Insbesondere die in IEC 61508-2 geforderte quantitative Analyse wird in der IEC 61784-3 nicht ausreichend thematisiert. In bisherigen sicherheitsgerichteten Protokollen und den relevanten Normen des Anwendungsbereichs fanden die Gefährdungspotentiale, wie Masquerading und Adressierung in offenen Übertragungssystemen, absichtliche Unterminierung der Sicherheitsmechanismen und fehlerhafte Konfiguration keine ausreichende Beachtung und die Gefährdungen durch absehbaren Missbrauch, absehbare Fehlbedienung und unberechtigter Zugriff auf sichere Kommunikationseinrichtungen wurde nur in Randgebieten diskutiert. Hier zeigt die vorliegende Arbeit die Bedeutung dieser für den Einsatz von sicherheitsgerichteten Kommunikationsprotokollen im industriellen Umfeld auf und folgert daraus die entsprechenden Maßnahmen, die in der Verantwortung des Anwenders liegen, bzw. zum Teil auch durch Protokollmechanismen beherrscht werden können. Die Arbeit stellt einen umfassenden Gefährdungskatalog auf und bewertet nach diesem Katalog die am weitest verbreiteten sicherheitsgerichteten Kommunikationsprotokolle nach einem einheitlichen Maßstab. Weiter zeigt die vorgelegte Arbeit, dass auch ein existierendes Zertifikat gemäß IEC 61508 SIL3 nicht in jedem Fall ausreichend ist, um die Eignung eines Protokolls für den Einsatz gemäß dem aktuellen Stand der Normen zu bestätigen. Hervor zu heben ist insbesondere die quantitative Bewertung jeder einzelnen Maßnahme der Protokolle. Bislang wurde diese nur für die Beherrschung von verfälschten Nachrichten durchgeführt. Die Arbeit führt diese quantitative Bewertung der eingesetzten Maßnahmen systematisch durch und zeigt dabei, dass diese Bewertung dringend erforderlich ist, da die betrachteten öffentlichen Protokolle nicht die für SIL3 notwendige Güte für alle ihre Maßnahmen aufweisen, bzw. aufwiesen. Einer der Schwerpunkte dieser Arbeit ist die Definition von Verarbeitungsmodellen für die Berechnung der maximalen Reaktionszeit und der Worst-Case Reaktionszeit. Dazu wurde ein Modell aus 5 Komponenten erstellt, dass geeignet ist, die Reaktionszeit über ein Kommunikationssystem für die im industriellen Umfeld gebräuchlichen Anwendungen zu untersuchen. Diese 5 Komponenten, das Eingangsmodul, die Sicherheitssteuerung, die Kommunikation zwischen beiden, sowie das Ausgangsmodul und die Kommunikation zwischen diesem und der Sicherheitssteuerung. Anhand dieses Modells wurde die maximale Reaktionszeit definiert. Dies ist die Zeit, die von der Änderung eines physikalischen Eingangssignals der Eingangskomponente, bis zur zugehörigen Reaktion des physikalischen Ausgangssignals der Ausgangskomponente, über die Sicherheitssteuerung hinweg, benötigt wird. Die maximale Reaktionszeit betrachtet dabei den Fall, dass im gesamten System aus diesen 5 Komponenten kein Fehler eine Wirkung entfaltet. Die Worst-Case Reaktionszeiten der Protokolle sind auf Grund der verschiedenen Konzepte sehr differenziert zu betrachten. Erschwerend kommt hier noch hinzu, dass die im konkreten System erreichte minimale Worst-Case Reaktionszeit stark von der Implementierung des jeweiligen Herstellers abhängt. Ebenso problematisch ist die unterschiedliche Modellbildung der jeweiligen Protokoll-Organisationen. Es werden Fehlerausschlüsse gemacht, wie die Annahme, dass nur ein Fehler auftritt und dieser Fehler sich nicht auf die Verbindung zwischen Eingangsmodul und Sicherheitssteuerung und auf die Verbindung zwischen Sicherheitssteuerung und Ausgangsmodul gleichzeitig auswirken kann. Da für den sicherheitsgerichteten Einsatz die maximale Reaktionszeit mit Fehlern die relevante Betrachtungseinheit darstellt, wurden anhand des Modells die Worst-Case 1 und 2 Reaktionszeiten definiert. Die erste definiert die Zeit die eine Reaktion maximal benötigt, wenn im Kommunikationssystem eine Fehlerwirkung vorliegt und bei der zweiten wird angenommen, dass mehrere der 5 Komponenten von Fehlerwirkungen betroffen sein können. Um einen vertieften Einblick in die Thematik zu erhalten, wurde im Rahmen dieser Arbeit ein eigenes sicherheitsgerichtetes Kommunikationsprotokoll spezifiziert, entworfen und realisiert. Hierbei wurde besonderer Augenmerk auf die Wirksamkeit des Verfälschungsschutzes mittels CRCs für kurze Nachrichten gelegt und ebenso die Wirksamkeit gekoppelter CRCs betrachtet.
@phdthesis{urn:nbn:de:hebis:34-2012092641851, author ={Hannen, Heinrich-Theodor}, title ={Beitrag zur Analyse sicherer Kommunikationsprotokolle im industriellen Einsatz}, keywords ={620 and Industrie and Kommunikationsprotokoll and Sicherheitsanalyse}, copyright ={https://rightsstatements.org/page/InC/1.0/}, language ={de}, year ={2012-09-26} }