Art der Arbeit

Masterarbeit, Bachelorarbeit, Projektarbeit

Fachlicher Hintergrund

Feldbusse werden in industriellen Steuerungsanlagen und Gebäudeautomatisierungssystemen eingesetzt, um Sensoren und Aktoren mit den Controller-Bausteinen zu verbinden. Komfortgewinn, Kosteneinsparungen und Flexibilität sind klassische Vorteile solcher Feldbus-Installationen gegenüber herkömmlichen Direktverdrahtungen. Jedoch werden diese Feldbusnetze bei der IT-Sicherheit oftmals sträflich missachtet und stellen ein willkommenes Einfallstor in weitere Teile der sonstigen IT-Infrastruktur dar. Wesentliche Schutzziele der Informationssicherheit, wie beispielsweise die Vertraulichkeit der Kommunikation können in Systemen die derzeit auf dem Markt zu finden sind häufig nicht garantiert werden. Klassische Standardinstallationen des im Gebäudemanagement üblichen KNX-Standards bieten beispielsweise keinerlei Verschlüsselung der zu übertragenden Telegramme an. Eine Erweiterung des Standards gestattet eine theoretische Nachrüstung der Verschlüsselung, scheitert in der Praxis aber beispielsweise an mangelnden kompatiblen Geräten oder hierfür nötigen, erheblichen Umrüstungen im bestehenden Netzwerk.

Trotz der mangelnden IT-Sicherheit wurden solche Systeme häufig bereits in umfangreichen, teure Strukturen verbaut. Insbesondere bei Gebäuden ist zudem eine mehrere Dekaden in die Zukunft reichende Laufzeit keine Seltenheit, was das Problem zusätzlich verschärft.

Wir erforschen neue Möglichkeiten die Sicherheit solcher Kommunikationssysteme durch zusätzliche, nachträglich ergänzbare Bausteine zu erhöhen. Um Installations- und Kostenaufwand möglichst gering zu halten, sind besonders solche Ansätze im Fokus, die auf die bestehenden Kommunikationsmöglichkeiten aufbauen.

Bei der Bearbeitung des Projektes kann auf einen von uns entwickelten Demonstrator eines KNX-Feldbusnetzwerkes zurückgegriffen werden. Die Ergebnisse einer erfolgreichen Bearbeitung werden im Rahmen des Sindabus-Projekts zur Erhöhung der Sicherheit in Nicht-IP-basierten Netzwerken mit den Projektpartnern geteilt.

Aufgabenbeschreibung

Es ist denkbar neben der Übertragung der für das spezifizierte Protokoll nötigen Informationen zusätzliche Informationen mittels Seitenkanälen zwischen Netzwerkteilnehmern auszutauschen. Ein Beispiel hierfür könnten detaillierte Modifikationen am Signalverlauf sein. Beispielsweise könnten besonders sensible Netzwerkteilnehmer Modualtionen an übertragenen Signalverläufen erzeugen bzw. detektieren, die für das ursprünglich spezifizierte Protokoll transparent sein könnenten. Auf diese Weise ließen sich zusätzlichen Informationsgehalt austauschen ohne die Abwärtskom­pa­ti­bi­li­tät zu bestehenden Installationen zu gefärden.

Gegenstand der Arbeit soll die Frage sein, ob und wenn ja, in welchem Umfang sich Schutzziele der Informationssicherheit durch die Einführung von Seitenkanälen in der Feldbus-Kommunikation nachrüsten lassen?

Es sollen unter anderem folgende Aufgaben behandelt werden:

  • Konzeptentwicklung zur Erhöhung/Nachrüstung klassischer IP-Schutzziele durch zusätzlich übertragene Information
  • Bestimmung von Anforderungen an die zusätzlich zu übertragenden Informationen
  • Skizzierung eines Entwurfs für einen Seitenkanal zur Inband-Übertragung dieser zusätzlichen Information in Feldbussystemen
  • Evaluation der entwickelten Konzepte anhand eines prototypischen Proof of Concept

Mögliche Arbeitsschritte

  • Erwerb eines Grundlagenwissens zu Feldbuskommunikation (konkretes Protokollbeispiel KNX)
  • Herausarbeitung von IT-Schutzzielen, welche durch zusätzliche Informationsübertragung realisiert werden können
  • Betrachtung der Informationscodierung des KNX-Protokolles
  • Herausarbeitung möglicher zusätzlicher (versteckter) Kommunikationskanäle
  • Betrachtung typischer/möglicher Angriffe auf Feldbuskommunikation
  • Prototypische Umsetzung des entwickelten Konzeptes
  • Erprobung
  • Wissenschaftliche Auswertung des Konzeptes (Was ging bisher?, Was geht jetzt?, Was geht nicht?)

Die genaue Festlegung des Themas erfolgt in Abstimmung mit den Betreuern unter Berücksichtigung eventuell schon an andere Studenten vergebener Themengebiete. Eine gemeinsame Bearbeitung verschiedener Teilthemen durch mehrere Studenten ist unter Umständen möglich. 

Literatur und Ressourcen

  • Sokollik, Frank; Helm, Peter; Seela Ralph; "KNX für die Gebäudesystemtechnik in Wohn- und Zweckbau"; ISBN: 978-3-8007-4055-0; Berlin: VDE-Verlag; (2017).
  • Eckert, Claudia; "IT-Sicherheit. Konzepte – Verfahren – Protokolle"; ISBN: 978-3-486-71975-8; München : Oldenbourg; (2012)
  • Mundt, Thomas; Wickboldt, Peter; "Security in building automation systems-a first analysis"; ISBN: 978-1-5090-0709-7; 2016 International Conference On Cyber Security And Protection Of Digital Services (Cyber Security). IEEE, 2016. S. 1-8.

Voraussetzungen

Interesse/Grundverständnis für Protokollkommunikation sollte Vorhanden sein. Darüber hinaus ist ein grundlegendes Verständnis der elektrischen Eigenschaften von Netzwerken zur Bearbeitung hilfreich.