Seminararbeit

CyberphysikalischeExperimentierumgebung furIndustrial Control System

Cedric Perez Donfack14. Juli 2014

Prof. Dr. Jan Jurjens Lehrstuhl 14 Software EngineeringFakultat InformatikTechnische Universitat DortmundOtto-Hahn-Straße 1444227 Dortmundhttp://www-jj.cs.uni-dortmund.de/secse

Cedric Perez Donfackperez.donfack@tu-dortmund.deMatrikelnummer: 164666Studiengang: Master Informatik

Sicherheit und Compliance im Softwareengineering und der IndustrieThema: Cyberphysikalische Experimentierumgebung fur Industrial Control System

Eingereicht: 14. Juli 2014

Betreuer: Andreas Schmitz

Prof. Dr. Jan Jurjens Lehrstuhl 14 Software EngineeringFakultat InformatikTechnische Universitat DortmundOtto-Hahn-Straße 1444227 Dortmund

i

ii

Ehrenwortliche Erklarung

Ich erklare hiermit ehrenwortlich, dass ich die vorliegende Arbeit selbststandig ange-fertigt habe; die aus fremden Quellen direkt oder indirekt ubernommenen Gedankensind als solche kenntlich gemacht.

Die Arbeit wurde bisher keiner anderen Prufungsbehorde vorgelegt und auch nochnicht veroffentlicht.

Dortmund, den 14. Juli 2014

Cedric Perez Donfack

INHALTSVERZEICHNIS iii

Inhaltsverzeichnis

Abbildungsverzeichnis iv

1 Einleitung 11.1 Motivation und Hintergrund . . . . . . . . . . . . . . . . . . . . . . . 11.2 Aufbau der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2 Definition relevanter Begriffe 32.1 Cyberphysikalische Systeme . . . . . . . . . . . . . . . . . . . . . . . 32.2 Industrielles Kontrollsystem . . . . . . . . . . . . . . . . . . . . . . . 32.3 Experimentierumgebung . . . . . . . . . . . . . . . . . . . . . . . . . 32.4 Sicherheitsanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.5 Abkurzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

3 Aufbau einer Experimentierumgebung fur ICS 53.1 Cyberphysikalische Systeme fur ICS . . . . . . . . . . . . . . . . . . . 53.2 Anforderungen fur eine Experimentierumgebung fur ICS . . . . . . . 7

3.2.1 die Qualitatsmerkmale der Experimentierumgebung . . . . . . 83.2.2 Leistungsfahigkeit . . . . . . . . . . . . . . . . . . . . . . . . . 9

3.3 Entwurf einer cyberphysikalischen Experimentierumgebung fur ICS . 103.3.1 Lebenszyklus eines Experiments . . . . . . . . . . . . . . . . . 103.3.2 Entwurf eines Testbed und eines Emulab . . . . . . . . . . . . 11

4 Vergleichsanalyse zweier Experimentierumgebungen fur ICS 134.1 Beschreibung cyberphysikalischer Experimentierumgebungen fur ICS 13

4.1.1 Experimentierumgebung von Nai Fovino [NFIG10] . . . . . . . 144.1.2 Experimentierumgebung von B. Genge [BGM12] . . . . . . . . 15

4.2 Vergleichsanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

5 Zusammenfassung und Perspektive 185.1 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185.2 Perspektive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Literaturverzeichnis 19

iv ABBILDUNGSVERZEICHNIS

Abbildungsverzeichnis

3.1 Architektur eines NICS [KSS11] . . . . . . . . . . . . . . . . . . . . . 53.2 Allgemeine SCADA Systemschnittstelle [KSS11] . . . . . . . . . . . . 63.3 DCS Beispiel [KSS11] . . . . . . . . . . . . . . . . . . . . . . . . . . . 63.4 Anwendung des PLC: Beispiel [KSS11] . . . . . . . . . . . . . . . . . 73.5 Lebenszyklus eines Experiments [SM10] . . . . . . . . . . . . . . . . . 113.6 Beispiel einer TestbedEbene [CS13] . . . . . . . . . . . . . . . . . . . 12

4.1 Vorgeschlagene Plattform von Nai Fovino [CS13] . . . . . . . . . . . . 144.2 Vorgeschlagene Plattform von B. Genge [BGM12] . . . . . . . . . . . 154.3 (a) Vergleich von Anforderung fur ein Experiment [BGM12] und (b)

Vergleich von Anforderungen fur Testbed [CS13] . . . . . . . . . . . . 17

KAPITEL 1. EINLEITUNG 1

1 Einleitung

1.1 Motivation und Hintergrund

Bis zum Ende des 17. Jahrhunderts arbeitete man mit manuellen Produktionsan-lagen. Wahrend des 18. Jahrhunderts begann die Mechanisierung durch Dampfma-schinen. Im 19. Jahrhundert ließen sich die Wagen durch Massenproduktion fertigen.Seit dem 1960er Jahren wurden Produktionsanlagen automatisiert.

Gemaß B. Genge [BGM12] waren die ersten automatisierten Produktionsprozessenicht nur cyberphysikalische Systeme (CPS), aber sie verwendeten auch proprietareeingebettete Systeme, proprietares Hardware und proprietare Protokolle. Deswegenwaren die moglichen Bedrohungen erheblich begrenzt, die ein solches System angrei-fen. Heutzutage lassen sich gemaß [Bro10] offene cyberphysikalische Systeme durchdie Entwicklung von eingebetteten Systemen auf Basis programmierbarer Steuer-gerate in vielfaltigen Anwendungsgebieten anwenden. Beispielsweise lassen sich dieCPS im Verkehr, Automobil, in der Robotik, in der Medizintechnik oder auch in derLuftfahrt einsetzen. Da diese Systeme offen sind, lassen sie sich nicht nur angreifen,so gibt es auch eine kontinuierlich starke Bedrohung und Verletzbarkeit des Netzes,der den Cyber-Teil mit dem Physikal-Teil verbindet.

Weil ein CPS fur die industriellen Kontrollsysteme (engl: ICS) entwickelt wird, sokann ein verletztes CPS zu einer starken Storung der Industrieanlage fuhren. ZumBeispiel gab es im Iran im September 2010 den sogenannte Stuxnet-Virus [Kar11].Um die CPS zu sichern, versuchen die Wissenschaftler herauszufinden, wie sich dieMalware verhalt, damit sie eine verstarkte Sicherheit aufbauen konnen. Zum Bei-spiel hat N. Falliere [NFC10] gezeigt, wie der Stuxnet-Virus in einem ICS agiert.Daneben wurde 2012 von Derler und Lee [DL12] ein mathematisches Modell entwi-ckelt, um zu zeigen, wie eine Bedrohung und eine Verletzbarkeit im ICS allgemein zuverstehen sind. Sobald das Verhaltnis verstanden wurde und ein Sicherheitssystementworfen wurde, blieb die Frage: Wie es sich bewerten und validieren ließ. Dafurkam die Versuchsdurchfuhrung in Frage.

Wissenschaftler haben im Bereich vielfaltige Methoden erstellt, durch welche dieFunktionstuchtigkeit der Sicherheit eines ICS zu uberprufen sind. Zum Beispiel hatB. Genge in seiner Veroffentlichung [BGM12] ein allgemeines Framework fur dieExperimentierumgebung entwickelt. In diesem Papier wird seine Losung in zweiAnwendungsgebiete und zwar

”POWER PLANT“ und

”CHEMICAL PROCESS“

2 1.2. AUFBAU DER ARBEIT

einsetzen. Außerdem hat er in einem anderen Artikel [GS11] seine Losung in eindrittes Anwendungsgebiet

”Smart Grid“ veroffentlicht.

1.2 Aufbau der Arbeit

Inhalt dieser Arbeit ist der Aufbau einer Experimentierumgebung fur ICS. Dafurwerden im 2. Kapitel alle relevanten Begriffe erlautert. Danach wird die Anwend-barkeit von Sicherheitsmodellen im Bezug auf ICS im 3. Kapitel besprochen. Im 4.Kapitel lasst sich ein Vergleich von zwei Experimentierumgebungen anzeigen. Nachder Zusammenfassung erfolgt die Perspektive im 5. Kapitel.

KAPITEL 2. DEFINITION RELEVANTER BEGRIFFE 3

2 Definition relevanter Begriffe

In diesem Teil geht es um die Definition der relevanten Begriffe, damit die wichtigenWorte in einem allgemeinen Kontext verstandlich sind. Dafur werden wir zuerst eincyberphysikalisches System erlautern. Danach lasst sich ein industrielles Kontroll-system definieren. Dann lasst sich erklaren, was der Begriff Experimentierumgebungbedeutet. Schließlich wird gesagt, was Sicherheitsanalyse ist. Zum Schluss wird einekleine Tabelle gegeben, um die relevanten und bekannten Abkurzungen zu beschrei-ben.

2.1 Cyberphysikalische Systeme

Laut Lee [LS11] ist ein cyberphysikalisches System die Integration von Berechnungmit den physikalischen Prozessen. Mit anderen Worten werden sowohl eingebette-te Systeme als auch Netzwerke aus dem Informatikbereich physikalische Prozessebeobachtet und kontrolliert.

2.2 Industrielles Kontrollsystem

Im Buch [KSS11] von K. Stouffer bezeichnet ein industrielles Kontrollsystem eine Zu-sammenarbeit von SCADA (engl: Supervisory Control And Data Acquisition), DCS(engl: Distribution Control System) und Steuersystemkonfigurationen beispielsweisePLC (engl: Programmable Logic Control). Diese drei Module sind die Basiskompo-nente, die von ICS in Industrieanlagen eingesetzt werden und sie lassen sich auchdeutlich in diesem Buch auf Seite 15 beschreiben. Wir werden im 3. Kapitel etwasdazu sagen.

2.3 Experimentierumgebung

Eine Experimentierumgebung ist eine Methode, die die Eintrittswahrscheinlichkeitoder das Schadenspotenzial eines Systems einschatzt. Dadurch lasst sich ein sicheresSystem aufbauen. In der Veroffentlichung von B. Genge [BGM12] geht es um einFramework, das die Auswirkung eines Angriffes auf ein ICS bemisst.

2.4 Sicherheitsanalyse

Die Sicherheitsanalyse ist ein Vorgehen, das aus zwei wichtigen Aspekten besteht:Man muss die Eintrittswahrscheinlichkeit einer Bedrohung einschatzen und darauswird das Risiko abgeschatzt. Im ICS handelt es sich um die Sicherheitsanalyse sowohlvon Kommunikationsnetzwerke als auch von jeweiligen Komponenten.

4 2.5. ABKURZUNGEN

2.5 Abkurzungen

Die unten genannte Tabelle fasst alle relevanten Abkurzungen zusammen, die indieser Arbeit vorkommen.

Abkurzung Beschreibung

ICS Industriell Control SystemNICS Networked Industrial ControlCPS cyberphysikalische SystemeICT Information and Communication TechnologieSCADA Supervisory Control And Data AcquisitionDCS Distribution Control SystemPLC Programmable Logic ControlHMI Human Machine InterfaceWAN Wide Area NetworkVPN Virtual Private NetworkTCC Tightly Coupled CodeLCC Loosely Coupled CodeR-PLC Remote-PLC

Tabelle 2.1: Erlauterung der Abkurzungen

KAPITEL 3. AUFBAU EINER EXPERIMENTIERUMGEBUNG FUR ICS 5

3 Aufbau einer Experimentierumgebung fur ICS

In diesem Kapitel handelt es sich hauptsachlich darum, wie eine Experimentierumge-bung aussieht. Dafur muss zuerst ausfuhrlich beschrieben werden, was ein cyberphy-sikalisches System im Bezug auf Industrielles Kontrollsystem genau ist; insbesondereein cyberphysikalisches System fur vernetztes industrielles Kontrollsystem. Um einensinnvollen Vergleich zu erstellen, werden wir auch die relevanten Anforderungen be-schreiben, die sowohl fur eine gute cyberphysikalische Experimentierumgebung furICS als auch Sicherheitsanalyse sind.

3.1 Cyberphysikalische Systeme fur ICS

Um eine Experimentierumgebung fur ICS darstellen zu konnen, mussen wir alleKomponenten des ICS ausfuhrlich erlautern. Ein SCADA, ein DCS und der PLCsind die hauptsachlichen Komponenten. Wenn die Komponenten zusammenhangen,wird uber ein vernetztes industrielles Kontrollsystem (engl: Networked IndustrialControl Systems oder NICS) gesprochen. In Abb. 3.1 lasst sich eine typische Archi-tektur eines NICS darstellen. Ein NICS hat zwei Bestandteile: Im Cyber-Teil gehtes um Informations- und Kommunikationstechnik (engl: Information and Commu-nication Technologie oder ICT) und im Physikal-Teil handelt es sich meistens umIndustrieanlagen, die vom Cyber-Teil verwandt werden mussen.

Abbildung 3.1: Architektur eines NICS [KSS11]

Ein SCADA-System ist fur die verteilten Industrieanlagen geeignet. In heutigen In-dustrieprozessen wird immer mehr versucht, diese zu automatisieren, zu steuern und

6 3.1. CYBERPHYSIKALISCHE SYSTEME FUR ICS

zu uberwachen. Diese Prozesse lassen sich auf einem SCADA-System [KSS11] (sieheAbb. 3.2) einsetzen. Dank der Entwicklung der ICT stehen viele kommerzielle undfreie SCADA-System zur Verfugung. Daraus ergibt sich, dass die heutigen NICSimmer mehr bedroht werden. Ein SCADA-System ist im Cyber-Teil beinhaltet undkann ohne oder mit dem DCS vernetzt werden.

Abbildung 3.2: Allgemeine SCADA Systemschnittstelle [KSS11]

Ein DCS ist fur die Produktionsanlage geeignet, die gleiche Industrieanlagen besit-zen. Ein DCS ermoglicht die Uberwachung von Kontrollsystemen durch eine Menschen-Maschine-Schnittstelle (engl: HMI oder Human Machine Interface) und die Kommu-nikation uber Netzwerke. Es gehort zum Physikal-Teil und kann ohne SCADA (sieheAbb. 3.3) eingesetzt werden, aber sie sind ofter miteinander vernetzt.

Abbildung 3.3: DCS Beispiel [KSS11]

KAPITEL 3. AUFBAU EINER EXPERIMENTIERUMGEBUNG FUR ICS 7

Ein PLC ist die meist verwendete Komponente zur Steuerung der Gerate. Am An-fang war ein PLC fur die logischen Operationen gedacht, aber er wird heutzutageauch bei komplexen Aktionen verwendet. Das PLC wird sowohl im SCADA-Systemals auch im DCS (siehe Abb. 3.4) eingesetzt.

Abbildung 3.4: Anwendung des PLC: Beispiel [KSS11]

Die Industrieanlage ist der Physikal-Teil des NICS und besteht aus vielen Steuergera-ten beispielsweise Sensorgerat, Ventile und Motoren. Wenn sich die Industrieanlageim gleichen Ort mit den Uberwachungs-, Steuerungs- und Kontrollsystem befindet,dann lassen sich sowohl SCADA-System als auch DCS einsetzen, ansonsten ist nurdas SCADA-System zu empfehlen.

3.2 Anforderungen fur eine Experimentierumgebung fur ICS

In der meisten Veroffentlichungen werden die Anforderungen in zwei hauptsachlichenGruppen aufgeteilt. Es gibt die Qualitatsmerkmale und die Leistungsfahigkeit derExperimentierumgebung. Bei den Qualitatsmerkmalen handelt es sich um die Mengeder Funktionalitaten und deren Zuverlassigkeit, indem es sowohl alle zu einem NICSspezifischen Funktionalitaten als auch alle zu einem Experiment-Management spezi-fischen Funktionalitaten gesucht wird, die in der Experimentierumgebung vorhandensein mussen. Dann wird unterschieden, welche starker oder schwacher sind. Wahrendbei der Leistungsfahigkeit geht es darum, wie schnell die Experimentierumgebungensind. Durch die Auflosung, die Miss Rate und die Umleitung der Betriebssystemuhrlasst sich die Umgebung bewerten.

3.2.1 die Qualitatsmerkmale der Experimentierumgebung

8 3.2. ANFORDERUNGEN FUR EINE EXPERIMENTIERUMGEBUNG FUR ICS

Bei der Erstellung einer Experimentierumgebung mussen die Komponenten entwederaus einem Simulator (simulierte Komponenten), einem Testbed (wie reale Kompo-nenten) oder echten realen Komponenten stammen. Im nachsten Kapitel kommenwir nochmal dazu. Aber weil sich diese Arbeit mit vernetzten industriellen Kontroll-systemen (NICS) beschaftigt, werden die Funktionalitaten beispielsweise in der Ar-beit von Genge [BGM12] in zwei Kategorien gruppiert. Es gibt die Funktionalitaten,die fur das NICS relevant sind und die fur die Verwaltung der Experimentierumge-bung notwendig sind. Daraus ergibt sich, dass eine interessante Experimentierum-gebung alle unter genannten Funktionalitaten beinhalten muss.Einerseits lassen sich folgende fur das NICS relevante Funktionalitaten beschreiben:

•”A wide range of physical processes“ bedeutet, dass mehrere physikalische Pro-

zesse experimentiert werden konnen. D.h auf die Plattform konnen beispiels-weise sowohl chemische als auch hydraulische Prozesse durchgefuhrt werden.Diese Funktionalitat ist nur relevant, wenn die Experimentierumgebung alsFramework zu sehen ist.

•”Typical NICS“ ist das zentrale Element und muss immer erfullt sein. Sie ge-

wahrleistet, dass alle NICS Komponenten beispielsweise PLC, SCADA-Systemund/oder DCS vorhanden sind.

•”Real malware/SCADA software“ ermoglicht einem, eine Bedrohung gegen Vi-

ren, Computer- oder Internetwurmer auf der Plattform zu testen. Sie kann voneiner ahnlichen Funktionalitat ersetzt werden, je nachdem was als Bedrohunguberpruft werden muss. Zum Beispiel konnen menschliche Fehler wie geloschteDaten experimentiert werden.

•”High fidelity of Cyber/Physical layer“ bedeutet, dass die Sicherheitsanforde-

rungen angewandt wurden und dadurch kann die Plattform vor cyberphysika-lischen Angriffen geschutzt werden. Diese Funktionalitat muss immer in einerExperimentierumgebung existieren.

•”Safe Security/resilience experiments“ ist fur die Implementierung der safe-

ty Eigenschaften geeignet. D.h es durfen alle unerwarteten Ereignisse nichtgeschehen. Diese Funktionalitat ist keine Notwendigkeit, aber ihre Implemen-tierung wird empfohlen.

Andererseits sind folgende fur die Verwaltung der Experimentierumgebung notwen-dige Funktionalitaten zu erlautern:

•”Control of the experiment environnement“ ist fur die Auswirkung der Va-

riablen auf die Annahmen geeignet. Dadurch kann man das Verhaltnis derHypothese bei der Anderung des Variablenwerts uberprufen.

•”Experiment clock“ ist fur Synchronisierung der Experimentierumgebungsuhr

und der Betriebssystemuhr gedacht. Dadurch kann zum Beispiel ein Ereignisin einer bestimmten Zeit auftreten oder eine Variable einen anderen Wertannehmen, je nachdem, wie die Realitat aussieht.

KAPITEL 3. AUFBAU EINER EXPERIMENTIERUMGEBUNG FUR ICS 9

•”Separation of control, measurement and experiment planes“ bedeutet, dass

die Kontrolle, die Messung und das Experiment in verschiedenen Ebenen seinmussen. Da sie nicht abhangig sind und eine/s allein stattfinden kann.

•”Storage facilities“ ist fur die Datensammlung geeignet und ist als Datenbank

zu sehen, Wodurch die Daten gesichert werden mussen. Die Daten konnen zumBeispiel aus Messungen oder Fehlerbeschreibungen stammen.

•”Heterogeneity of technologies“ bedeutet, dass die Experimentierumgebung

nicht mit einer bestimmten Software oder Hardware beschrankt ist. Dadurchkann die Plattform mit einer neuen Technologie verwendet werden.

•”Clean reconfiguration“ ist fur die Konfiguration der Experimentierumgebung

relevant. indem es zum Beispiel einen chemischen Prozess durch hydraulischenProzess ersetzt werden kann, ohne dass das Experiment aus dem vorherigenProzess dessen aus dem laufenden Prozess beeinflusst.

•”ressources utilisation monitoring“ ist fur die Ressourcenverwaltung geeignet.

Dadurch weiß die Plattform, welche Ressourcen zur Verfugung stehen undwelche verlangen sind.

•”Authentication, Authorization and Accounting“ ist fur die Kontoverwaltung

und fur den Zugriff auf die Daten geeignet. Der Kontoinhaber darf auf dieExperimentierumgebung zur Verwaltung zugreifen, aber er darf die laufendenExperimente nicht storen.

•”Remote access“ bedeutet doch, dass man von AuSSerhalb auf die Plattform

zugreifen kann.

•”Repeatable experiments“ ist fur Wiederholung des Experiments geeignet. in-

dem man auch moglicherweise mehrfache Experimente einsetzen kann. Da-durch lassen sich die Ergebnisse analysieren und das experimentierte Systemkann abgeschatzt werden.

•”Extensibility for futur need“ ist fur die Erweiterung der Experimentierumge-

bung wichtig. Sie ermoglicht einem, zukunftige Anforderungen hinzuzufugen.Es muss auch die Moglichkeit geben, eine ganz neue Komponente zu integrie-ren.

•”Experiment automation and rapid reconfiguration“ ist fur die Automatisie-

rung und fur neue schnelle Konfigurationen geeignet. Dadurch brauchen wirnur einmal die Daten einzugeben und konnen dann so viele Fehler vermeiden.

3.2.2 Leistungsfahigkeit

Die oben genannten Funktionalitaten sind beim Entwurf der Experimentierumge-bung anzufordern. Daneben sind wahrend eines gegebenen Experiments drei rele-vante Maßnahmen zu beobachten. Dies ist nicht nur fur die Validierung erforderlich,

10 3.3. ENTWURF EINER CYBERPHYSIKALISCHEN EXPERIMENTIERUMGEBUNG FUR ICS

sondern ermoglichen auch ein vertrauenswurdiges zuverlassiges Experiment. In derArbeit von B. Genge [BGM12] werden sie als Leistungsfahigkeit genannt und lassensich folgendes beschreiben.

•”Auflosung“ Leistungsfahigkeit ist als die minimale Laufzeit zwischen zwei ex-

perimentierten Systemen oder Modellen definiert und ist fur die Bemessungder Ausfuhrungszeit des Algorithmus geeignet. Dadurch lasst sich bewerten,ob die Algorithmen gut optimiert sind oder nicht.

•”Miss Rate“ Leistungsfahigkeit ist als die Prozentangabe zwischen die Laufzeit

bei miss Schreiben/miss Lesen im Puffer und die gesamte Laufzeit bei Schrei-ben und Lesen im Puffer bezeichnet. Dadurch wird die Latenz beobachtet.

•”Umleitung der Betriebssystemuhr“ Leistungsfahigkeit ist als die Differenz zwi-

schen der Zeit bei Ausfuhrung eines experimentierten Modell und der Zeit imBetriebssystem. Dadurch lasst sich die Echtzeit der Plattform gut uberprufen.

3.3 Entwurf einer cyberphysikalischen Experimentierumgebung furICS

Zur Erprobung wird ein Systemmodell benotigt, was auf Experimente hin untersuchtwerden kann. In den heutigen Tagen wird das Testbed als Plattform fur Systemmo-delle erstellt. Auf dem Testbed wird ein Emulab [Emu] fur ein gegebenes System-modell aufgebaut. Auf dem Emulab wird das Systemmodell fur einen bekanntenFehlerhaft entworfen. In diesem Abschnitt werden wir nicht nur beschreiben, wie einTestbed aussieht, sondern wird auch ein Entwurf von Emulab besprochen.

3.3.1 Lebenszyklus eines Experiments

Ein Testbed fur NICS muss alle oben genannten Anforderungen erfullt und diesesind sechs Ebenen im Lebenszyklus eines Experiments ( siehe Abb. 3.5) aufgeteilt.Hier wird jede Ebene kurz beschrieben.

• In der”Entwurfsphase“ wird der Forscher durch das Systemmodell das ent-

sprechenden Experiment aufbauen. indem die Sicherheitsanforderungen be-rucksichtigt werden mussen. Außerdem mussen alle moglichen Verbindungenerstellt werden.

• In der”Initialisierungsphase“ werden alle in der Entwurfsphase verwendeten

Ressourcen initialisiert, die das Experiment berucksichtigen mussen.

• In der”Ausfuhrung- und Bemessungsphase“ konnen mehrere Experimente zur

besseren Datenanalyse ausgefuhrt werden. Außerdem mussen Ereignisse undAktionen in relevanten Zeitpunkten erstellt werden, damit man am ZeitpunktInformationen messen kann.

• In der”Terminierungsphase“ mussen alle Ressourcen wieder initialisieren und

die Konfiguration der Plattform erneuern.

KAPITEL 3. AUFBAU EINER EXPERIMENTIERUMGEBUNG FUR ICS 11

Abbildung 3.5: Lebenszyklus eines Experiments [SM10]

• In der”Wiederholungsphase“ kann man entweder das vorherige Experiment

wiederholen oder eine neue Konfiguration erstellen, um eine neue Variante zuexperimentieren.

• In der”Analysephase“ versuchen die Forscher das Risiko abzuschatzen. Indem

sie mit mathematischen Modellen die erzeugten Daten interpretieren.

3.3.2 Entwurf eines Testbed und eines Emulab

Nachdem wir den Lebenszyklus eines Experiments beschrieben haben, wird nungezeigt, wie die Philosophie bei Entwurf von Testbed und Emulab zu verstehen ist.In der Abbildung 3.6, die aus der Arbeit von C. SIATERLIS [CS13] stammt, lasstsich ein Beispiel darstellen.

Die Abb. 3.6 zeigt einen realen Cyber-Teil und einen simulierten Physikal-Teil. Das

”Pool of Available ressources“ ist das Testbed und beinhaltet vervielfaltige Gerate,

die fur den Cyber-Teil benotigt werden. Diese Gerate sind miteinander vollstandigverknupft, damit alle moglichen Kombinationen nutzlich sein konnen. Bei einem ge-gebenen Experiment lasst sich folgendes funktionieren.

Erstens bekommt man die Beschreibung des Experiments und erzeugt dann einSkript, das zum Emulab eingegeben wird. Dies beinhaltet Informationen uber beno-tigte Ressourcen und auch wie der Physikal-Teil aufgebaut werden muss. Zweitenswird das Emulab durch das Skript auf dem Testbed alle Ressourcen gebucht und zurVerfugung gestellt. Drittens wird das Emulab die Konfiguration auf diesen Ressour-cen erstellt. Dadurch lasst sich die Topologie erstellt, die das Experiment entspricht.

12 3.3. ENTWURF EINER CYBERPHYSIKALISCHEN EXPERIMENTIERUMGEBUNG FUR ICS

Abbildung 3.6: Beispiel einer TestbedEbene [CS13]

Zum Schluss fuhrt das Emulab das entsprechende physikalische Modul aus. In All-gemeinen muss ein Testbed vier wesentliche Sicherheitsanforderungen erfullen:

1. Die Ehrlichkeit: Das Testbed muss so ahnlich wie die Realitat aussehen.

2. Die Wiederholbarkeit: Die wiederholten Ergebnisse mussen ahnlich sein undstatistisch verwendbar.

3. Die Genauigkeit der Messung: Der bemessene Wert muss dem Ereignisder Ak-tion entsprechen und ubereinstimmen, fur die die Messung gemacht wurde.

4.”Safety“: Alle unerwarteten Ereignisse mussen beispielsweise bei Angriff ent-

deckt und berucksichtigt werden.

KAPITEL 4. VERGLEICHSANALYSE ZWEIER EXPERIMENTIERUMGEBUNGEN FUR ICS 13

4 Vergleichsanalyse zweier Experimentierumgebungen fur

ICS

Der Entwurf eines Experiments durch eine Testumgebung ist nicht immer leicht zuverstehen. Je nach Anwendungsziel lassen sich die Losungen von den Forschern her-ausfinden. Heutzutage gibt es viele veroffentlichte Experimentierumgebungen, aberwenige davon gehoren zum Bereich Cyber-Physikall. Laut B. Genge [BGM12] lasstsich neben seiner Veroffentlichung auch die Arbeit von Nai Fovino [NFIG10] als in-teressant darstellen. Ein besseres Modell im Vergleich zu Nai Fovino und B. Gengehaben wir nicht gefunden. Dadurch wird in diesem Kapitel das Modell von B. Gengeund von Nai Fovino beschrieben. Die Beschreibung fuhrt zu kleinem Vergleich. DerVergleich hangt von den oben genannten Anforderungen ab.

Um das nachzuvollziehen, werden wir in der ersten Abschnitt mit dem Modell vonNai Fovino anfangen. Dies wird vom Modell von B. Genge in der zwei Abschnittgefolgt. Zum Schluss lassen sich die beiden Modelle vergleichen.

4.1 Beschreibung cyberphysikalischer Experimentierumgebungenfur ICS

Bevor wir mit den Beschreibungen anfangen konnen, lasst sich feststellen, dass dieKomponenten einer Experimentierumgebung entweder simuliert oder via Testum-gebung (engl: Testbed) emuliert sind. Weil die echten Komponenten bei großemExperiment viel Aufwand benotigen, wird die simulierte Hardware vor echter Hard-ware bevorzugt. Je nachdem ob man simulierte oder emulierte echte Komponentenverwendet, wird das Ergebnis erheblich beeinflusst und das ist im Artikel von B.Genge [BGM12] beobachtbar.

Unter dem Begriff Simulator versteht man eine Plattform, wo eine Komponenteprogrammiert werden kann und generierte Werte verwendet. Daneben gibt es denEmulab [Emu], der am meisten auf einem Testumgebung lauft. Er bezeichnet einenCluster von Testbed, deren Konfiguration von dem Benutzer je nach physikalischemModell gemacht wird. Ein entwickelter Emulab ist fur einen geforderten Anwen-dungsgebiet geeignet. In unserem Fall geht es um NICS. Zum Schluss bezeichneteine Testumgebung eine Plattform, wo echte Hardware gestellt wurden und mit-einander verbunden sind. Sie sind fur ein gegebenes Forschungsziel aufgebaut. Diemeisten Testumgebungen sind zur Erzeugung von Emulab gedacht.

14 4.1. BESCHREIBUNG CYBERPHYSIKALISCHER EXPERIMENTIERUMGEBUNGEN FUR ICS

Weil eine Testumgebung fur ein bestimmtes Forschungsgebiet entworfen wurde, wirdimmer echte Datenbank zur Verfugung gestellt. Damit lassen sich die ausgestellteProdukte durch ein Experiment getestet. Deswegen gibt es in jeder Stufe des Produk-tionsprozess eine entsprechende Testumgebung. Im Automobil gibt es zum Beispieleine Testumgebung fur die Instandhaltung des Autos.

Nun werden wir das cyberphysikalischen SystemModell von Genge [BGM12] undNai Favino [NFIG10] beschreiben. Sie haben in ihrem Modell simulierte und/oderemulierte Komponente verwenden.

4.1.1 Experimentierumgebung von Nai Fovino [NFIG10]

Das Systemmodel wurde auf einem realen Cyber- und Physikal-Teil eingesetzt. Die-ses Modell beschaftigt sich hauptsachlich mit dem Angriff auf einem SCADA. NaiFovino wendet das Systemmodell auf einen

”Power Plant“ physikalischen Prozess an.

Die Plattform besteht aus einem cyberphysikalischen Testbed, auf dem das System-modell lauft. Die Abb. 4.1 zeigt uns, wie das aussieht. Die wesentlichen Funktiona-litaten, die die Plattform beinhalten, sind folgendes.

Abbildung 4.1: Vorgeschlagene Plattform von Nai Fovino [CS13]

•”Field Network“ ist fur die Verbindung zwischen dem SCADA und dem Ge-

rat geeignet, auf dem der PLC-code lauft. Außerdem stellt sie dem SCADAdie gesteuerten physikalischen Komponenten beispielsweise Aktuatoren undSensoren zur Verfugung.

•”Process Network“ ermoglicht Verbindung zwischen SCADA und allen entfern-

ten Physikalischen Prozessen, die vom SCADA verwaltet wurden. Dies wirddurch die

”Field Network“ erstellt. Durch diese Verbindung kann der SCADA-

Server die Informationen erhalten und bewerten.

•”Intranet“ ist fur die Auswirkung des Personalverhaltens auf einem NICS ge-

eignet, indem sie ein privates Netzwerk mit vernetzten PCs erstellt und die

KAPITEL 4. VERGLEICHSANALYSE ZWEIER EXPERIMENTIERUMGEBUNGEN FUR ICS 15

Verbindung mit dem physikalischen Prozess baut. Sie gibt auch die Moglich-keit per WAN (engl: Wide Area Network) oder VPN (engl: Virtual PrivateNetwork) auf dem physikalen Prozess zuzugreifen.

•”Demilitarized Zone“ ermoglicht, dass der Benutzer nicht direkt die Daten von

dem SCADA-Server bekommt, sondern kann er eine Datenbank abfragen, dieeinen beschrankten Zugriff eingesetzt wurde. Dies gibt dem SCADA-Servereine gute Effizienzsteigerung.

•”External Network“ ist fur die Auswirkung des Netzwerkes auf dem NICS ge-

eignet. Beispielsweise wird die Beeinflussung von Internets auf einem SCADAberucksichtigt.

•”Observer Network“ ist fur die vollstandige Analyse der Auswirkung der An-

griffe auf eines NICS wahrend des Experiments geeignet. Sie sammelt alleInformationen, die von unerwartete Ereignissen erzeugt wurden. Dies wird se-parat mit der Plattform analysiert.

•”Horizontal Services Network“ ist fur die Verwaltung der Plattform gedacht,

indem sie die Experimentierumgebung viele Services beispielsweise eine Daten-bankbackup, eine FTP-Server und eine Analyseservice zur Verfugung stellt.

4.1.2 Experimentierumgebung von B. Genge [BGM12]

Das Systemmodell von Genge wurde von der Arbeit von Siaterlis [CS13] inspiriert.Der Cyber-Teil wird durch das Testbed eingesetzt, das im 3 gezeigt wurde. Und derPhysikal-Teil wird durch Matlab-Simulink simuliert. Die wesentlichen Komponentenlassen sich folgendes (siehe Abb. 4.2) beschreiben.

Abbildung 4.2: Vorgeschlagene Plattform von B. Genge [BGM12]

•”Remote PLC Unit“ ist fur die PLCcode zustandig. Einerseits kann ein PLC-

code lokal ausgefuhrt werden. Dann spricht man uber TCC oder”Tightly Cou-

pled Code“. Im Fall wird der Kode sequentiell mit dem Physikalischen Modellausgefuhrt. Andererseits kann es entfernt eingesetzt werden. Dann spricht manuber LCC oder

”Loosely Coupled Code“. Im Fall wird der Kode parallel aus-

gefuhrt. Auf dies kann ein Miss entstehen. Um diese beiden Codegruppen zu

16 4.2. VERGLEICHSANALYSE

verwalten, besteht das R-PLC oder Remote-PLC aus drei Modulen. Erstensist das

”Modbus Handler“ fur die Kommunikation zwischen R-PLC und Mas-

ter Unit geeignet. Zweitens ist das”Remoting Handler“ fur den Austausch der

Informationen zwischen R-PLC und SC Unit geeignet. Außerdem ermoglichter auch die ferne Ausfuhrung von PLC-code. Zum Schluss ist das LCC fur dieAusfuhrung von TCC im lokalen Register.

•”Master Unit“ ist fur die Datenbearbeitung und Datenanalyse geeignet. Da-

fur besteht es aus zwei Modulen. Ein Modul ist fur die Datenbearbeitunginsbesondere das

”Modbus Handler“ aufgebaut. Indem es Daten von R-PLC

bekommt, einordnet und dem Anderen sie zur Verfugung stellt. Das Andere istfur die Datenanalyse insbesondere das

”Decision Algorithm“ gedacht. Dadurch

erzeugt man Entscheidung, die fur das Abschatzung des Schadrisikos relevantist.

• SC Unit oder”Simulation Core Unit“ ist sowohl fur die Kommunikation mit

dem physikalischen Prozess als auch fur Erstellung eines Echtzeitsystems zwi-schen dem Emulab und dem Betriebssystem gedacht. Es besteht aus vier Mo-dulen. Erstens ist der

”Logger“ fur die Ereignismeldung wahrend der Durchfuh-

rung von Experimenten dargestellt. Zweitens ist das”Core Timer“ fur den Da-

tenaustausch zwischen Modulen und auch fur die Synchronisation der Uhren.Drittens erhalt das

”Remoting Handler“ Information uber PLC-Code und uber-

mittelt dem L-PLC. Viertens ist das”Model Handler“ fur den Zugriff auf den

physikalischen Prozess geeignet. Dafur benotigt es das L-PLC. Zum Schlussist das

”L-PLC“ fur die Bearbeitung der LCC geeignet. das L-PLC besteht aus

zwei Modulen. Ein Modul ist die Ausfuhrung des PLC-Code insbesondere das

”TCC Code Runner“ dargestellt und das andere ist fur die Synchronisation

von lokalen und fernen Registern aus R-PLC Unit.

4.2 Vergleichsanalyse

Fur die Vergleichsanalyse wurden zwei Analysen erstellt. Bei einer handelt es sichdarum, welche der beiden Experimentierumgebungen die Anforderungsanalysen ambesten erfullt. Diese Analyse [BGM12] wurde von B. Genge veroffentlicht. Wah-rend bei der Zweiten es darum geht, welche Experimentierumgebung am besten dieTestbed-Anforderungen erfullt. Die Veroffentlichung [CS13] wurde von C. SIATER-LIS erstellt. Die unter gegebenen Abb. 4.3(a) und 4.3(b) zeigt uns, wie die Ergebnisseaussehen.

KAPITEL 4. VERGLEICHSANALYSE ZWEIER EXPERIMENTIERUMGEBUNGEN FUR ICS 17

(a) (b)

Abbildung 4.3: (a) Vergleich von Anforderung fur ein Experiment [BGM12] und (b)Vergleich von Anforderungen fur Testbed [CS13]

In der Abb. 4.3(a) bedeutet”H“ eine starte Bewertung,

”L“ eine schwache Bewer-

tung und”-“ :Die Anforderung ist nicht vorhanden. In der Abb. 4.3(b) bedeutet

”...“ (eine starte Bewertung),

”..“ (eine schwache Bewertung) und

”.“ (eine schlechte

Bewertung).

18

5 Zusammenfassung und Perspektive

5.1 Zusammenfassung

Im Vergleich zu den vergangenen cyberphysikalischen industriellen Kontrollsyste-men, die am meisten noch privat verwendet wurden, lassen sich viele offene ICSheutzutage einsetzen. Dies fuhrt zu einem Anstieg der Bedrohung. Um eine Losungherauszufinden, untersuchen die Forscher die Sicherheitslosung auf Experiment hin.Da ein Experiment eine Abschatzung ermoglicht, indem sich eine geeignete Sicher-heitslosung anwenden lasst.

Aufgrund des großen Aufwands in Ressourcen bei der Sicherheitsanalyse und dergroßen Anzahl von Bedrohungen ist das Experiment durch Simulation oder Emula-tion als mogliche Losung zur Uberprufung von cyberphysikalischen Systemen. An-statt eine Analyse mit realen Komponenten durchzufuhren. In dieser Arbeit wurdeden Lesern die Moglichkeit gegeben, das Problem nachzuvollziehen.

Dafur wurden alle relevanten Begriffe und verwendeten Abkurzungen erlautert, da-mit man leicht versteht, worum es sich handelt. Danach ließ sich die wesentlichenGrundlagen berucksichtigen. Dadurch wurden nicht nur alle betroffenen Anforde-rungen kurz beschrieben, sondern wir haben ebenso einen ausfuhrlichen Aufbau derPlattform durchgefahren. Bei den Anforderungen haben wir uns fur die Leitungsfa-higkeit und Funktionalitaten interessiert, wahrend wir beim Aufbau mit den unter-schiedlichen Ebenen beschaftigt waren.

Um etwas Konkret und nicht mehr abstrakt zu sein, haben wir zwei erheblicheArbeiten analysiert. Danach wurden die Beiden Modelle verglichen, um ein besseresModell je nach Anforderungen zu erhalten. Dadurch lasst sich deutlich feststellen,dass das Modell von B. Genge vielfaltiger als die Anderen ist.

5.2 Perspektive

Weil das Modell von Nai Fovino erheblicher ist und nur den realen Cyber- undPhysikall-Teil bearbeitet, kann nicht wirklich die große NICS-Infrastruktur experi-mentiert werden. Hinzu kommt, dass wir unseren eigenen Vergleich hatten machenwollen. Aber es war nicht moglich aus zwei Grunden. Auf der ersten Seite gab eskeine vorhandenen Plattform weder von B. Genge noch von Nai Fovino. Auf deranderen Seite hatten wir nicht genug Zeit, um dies entweder zu entwickeln oder zu

KAPITEL 5. ZUSAMMENFASSUNG UND PERSPEKTIVE 19

recherchieren. Um eine Kopie einer Plattform zu erhalten, kann man beispielsweiseKontakt mit den entsprechenden Forschern knupfen.

20 LITERATURVERZEICHNIS

Literaturverzeichnis

[BGM12] I. Nai Fovino Bela Genge C. Siaterlis und M. Masera.”A cyber-physical

experimentation environment for the security analysis of NICS“. In:Computers and Electrical Engineering 38 (2012), S. 1146–1161.

[Bro10] Manfred Broy. Cyber-Physical Systems. Hrsg. von Manfred Broy. Aca-tech Diskutiert. Springer, 2010. isbn: 9783642149016. url: http://

books.google.de/books?id=BGI1F3MXPe0C.

[CS13] M. HOHENADEL C. SIATERLIS B. GENGE.”EPIC: A Testbed for

Scientifically Rigorous Cyber-Physical Security Experimentation“. In:IEEE TRANSACTIONS ON: EMERGING TOPICS IN COMPUTING1 (2013), S. 1–12.

[DL12] P. Derler und E.A. Lee.”Modeling Cyber-Physical Systems“. In: Procee-

dings of the IEEE 100 : Issue: 1 (2012), S. 13–28.

[Emu] Emulab”http://www.emulab.net/ (Juni 2014).

[GS11] Bela Genge und Christos Siaterlis.”Developing Cyber-Physical Experi-

mental Capabilities for the Security Analysis of the Future Smart Grid“.In: IEEE 0 (2011), S. 1–7. url: http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=06162766.

[Kar11] S. Karnouskos.”Stuxnet Worm Impact on Industrial Cyber-Physical

System Security“. In: ECON 2011 - 37th Annual Conference on IEEEIndustrial Electronics Society. 1553-572X. Melbourne, VIC: IEEE, Nov.2011, S. 4490 –4494.

[KSS11] J. Falco K. Stouffer und K. Scarfone. Guide to Industrial Control Systems(ICS) Security. Hrsg. von J. Falco K. Stouffer und K. Scarfone. NationalInstitute of Standards und Technology, 2011.

[LS11] E. A. Lee und S. A. Seshia. Introduction to Embedded Systems - A Cyber-Physical Systems Approach. Hrsg. von E. A. Lee und S. A. Seshia. 978-0-557-70857-4 1.08. UC Berkeley, 2011, S. 1–519. url: LeeSeshia.org.

[NFC10] Liam O Murchu Nicolas Falliere und Eric Chien.”W32.Stuxnet Dossier“.

In: Sysmantec: Security Response 1.3 (2010), S. 1–64. url: http://

www.wired.com/images_blogs/threatlevel/2010/11/w32_stuxnet_

dossier.pdf.

LITERATURVERZEICHNIS 21

[NFIG10] Guidi L Nai Fovino I Masera M und Carpi G.”An Experimental Platform

for Assessing SCADA Vulnerabilities and Countermeasures in PowerPlants“. In: Human System Interactions (HSI), 3rd Conference on (2010),S. 679–686.

[SM10] C. Siaterlis und M. Masera.”A survey of software tools for the creation of

networked testbeds“. In: International Journal On Advances in Security3 (2010), S. 1–12.