Art der Arbeit: Bachelorarbeit

Fachlicher Hintergrund:

In industriellen Steuerungssystemen werden in aller Regel Microcontroller mit zugehöriger Software eingesetzt. Im konkreten Fall steuert ein Controller die Leistung einer Pumpe gemäß einer hinterlegten Kennkurve und liefert aktuelle Leistungsparameter über Modbus an eine übergeordnete Einheit. Die Pumpensteuerung ist in ein vernetztes System integriert. Darüber hinaus hat der Hersteller einige verdeckte Funktionen zur Konfiguration vorgesehen.

Aufgabenbeschreibung:

In dieser Arbeit soll eine Sicherheitsanlyse durchgeführt werden. Dabei können Tests durchgeführt, Berichte über bereits gefundene Sicherheitslücken gesammelt und bereits durchgeführte Tests durch Dritte ausgewertet werden. Die Erfahrungen während der Analyse sollen zur Entwicklung eines Vorgehensmodells für vergleichbare Systeme beitragen.

Es sollen folgende Fragestellungen beantwortet werden:

• Welche Methodik eignet sich für die Untersuchung von Sicherheitsrisiken in industriellen Steuerungssystemen (Operations Technology - OT)?
• Wie hoch ist das Risiko?
• Welche Angriffe sind bekannt?
• Welche Auswirkungen haben diese Angriffe?

Mögliche Arbeitsschritte:

• Betrachtung gängiger Protokolle für die Kommunikation in OT-Systemen
• Betrachtung der Hardware, Untersuchung der Architektur, Zugriff auf Speicherbausteine.
• Betrachtung der Sicherheitsmechanismen der verwendeten Protokolle und des konkreten Systems.
• Entwurf von möglichen Angriffsszenarios.
• Bewertung von Angriffen bezüglich Durchführbarkeit und Auswirkungen (Risiko).
• Sammlung von Informationen über bekannte Angriffe.
• Durchführung von Tests.
• Auswertung.

Die genaue Festlegung des Themas erfolgt in Abstimmung mit dem Betreuer.

Literatur und Ressourcen:

• Öffentliche Unterlagen des Herstellers
• Mannon, Donald. "Build secure networks as backbones for digitalization: Operations technology (OT) and information technology (IT) organizations need to collaborate and build networks that effectively use digitalization to create an efficient and secure environment for companies." Control Engineering 66.5 (2019): 29-31.
• Ginter, Andrew. Secure operations technology. Lulu Publishers, 2019.
• Jiang, Xingbin, Michele Lora, and Sudipta Chattopadhyay. "An experimental analysis of security vulnerabilities in industrial IoT devices." ACM Transactions on Internet Technology (TOIT) 20.2 (2020): 1-24.
• You, Wenzhu, and Haibo Ge. "Design and implementation of Modbus protocol for intelligent building Security." 2019 IEEE 19th International Conference on Communication Technology (ICCT). IEEE, 2019.

Betreuer: Dr. Thomas Mundt (thomas.mundt@uni-rostock.de)

Voraussetzungen: Grundfertigkeiten in den Bereichen "Digitale Forensik", "Mikrocontroller", "Hardwarearchitektur" sind von Vorteil.