Überwachung sicherheitskritischer Bahnnetzwerke mittels ... · nung des Datenver-kehrs unabhängig...

SIGNALLING + DATACOMMUNICATION (110) 9 / 2018 21

IT-SICHERHEIT | IT SECURITY

Nie war es so einfach wie in diesen Zeiten von Digitalisierung und Vernetzung, Daten über den Zustand von Automatisie-

rungs- oder Produktionsanlagen zu sammeln, zu analysieren und dadurch etwa Ausfallzeiten solcher kritischer Infrastruk-turen zu verringern. Um Digitalisierung und Konnektivität re-alisieren zu können, müssen kritische Infrastrukturen mit dem Internet oder Cloud-Plattformen verbunden sein. Durch diese Öffnung und Anbindung der Netze nimmt die Bedrohung durch Angriffe auf Infrastrukturen jedoch dramatisch zu. Wie also kön-nen Betriebsdaten zu Diagnosezwecken genutzt werden, ohne die Sicherheit des Bahnbetriebs zu kompromittieren?

1 Data Capture Unit (DCU) von Siemens

Eine Antwort darauf bietet die Data Capture Unit (DCU, Bild 1). Sie ist eine vom Eisenbahn-Bundesamt (EBA) zugelassene Einrich-

tung zur Aufzeich-nung des Datenver-kehrs unabhängig von speziellen Pro-tokollen. In „Einsatz von Smart Data Ser-vices in Stellwerken“ (S+D 4/2018) wur-de die DCU bereits kurz vorgestellt. Sie diente dort zum si-cheren und rück-wirkungsfreien Da-tenexport. Die DCU ermöglicht es, kri-tische Netzwerke über eine „Datenein-bahnstraße“ etwa an Dia gnosenetzwerke und Cloud-Analyse-Plattformen nach-weisbar rückwir-kungsfrei anzubin-den. Wie dies im De-tail funktioniert und welche physikali-schen Eigenschaf-ten die DCU mit sich bringt, zeigt dieser Beitrag auf.

Monitoring safety-critical railway networks using unidirectional gateways

Überwachung sicherheitskritischer Bahnnetzwerke mittels eines Einweg-Gateways

Ricarda Weber | Martin Wimmer

T hanks to modern digitisation and connectivity, it has never been easier to collect and analyse data relating to

the state of production or automation equipment, for exam-ple in order to reduce the downtime of critical infrastructure. Digitisation and connectivity mean that infrastructures are connected to the internet and / or cloud computing platforms. However, opening up and interlinking networks comes with a dramatic increase in the risk of attacks on infrastructure sys-tems. How can operational data be made available for diag-nostic purposes without compromising the safety of rail op-erations in the process?

1 Data Capture Unit (DCU) from Siemens

Siemens has provided the answer to this question: the Data Cap-ture Unit (DCU, fig. 1), a device which has been approved for recording data traffic independently of any specific protocols by the German Federal Railway Authority. The DCU was first in-troduced in “The Use of Smart Data Services in Signal Boxes” (S+D 4/2018). This article describes an application where the DCU is used for secure and passive data exports. The DCU ena-bles unidirectional data connections between critical and open networks for remote diagnostics and cloud-based data analyt-ics. This article explains in detail how the DCU ensures a secure connection to the critical networks.

2 Unidirectional communication enables the digitisation of railway networks

Data transfers which are free of interference and strictly unidi-rectional make many digitisation applications possible for rail au-tomation and do so without compromising safety and security. Data collection and analysis using powerful cloud infrastructures is certainly one of the key applications in this regard and it may even prove to be the most important one. A unidirectional net-work connection, as provided by the DCU, allows the continuous monitoring of previously isolated networks. This helps operators to keep an eye on the availability of the critical systems and to in-tervene quickly on site and with the right equipment in the case of an emergency. Finally, this approach also promotes the satisfaction of the end customer, who benefits from stable operations in the rail network. Network monitoring can also be expanded with addi-tional functions and complemented with IT security services such as intrusion detection systems. The increased functionality goes beyond pure availability checks and includes detection options for unauthorised actions, including attempted attacks.

Bild 1: Data Capture Unit (DCU) Fig 1: The Data Capture Unit (DCU) Quelle / Source: Siemens AG

www.eurailpress.de/archiv/cyber+sicherheit

Homepageveröffentlichung unbefristet genehmigt für Siemens AG / Rechte für einzelne Downloads und Ausdrucke für Besucher der Seiten genehmigt von DVV Media Group, 2018.

http://www.eurailpress.de/archiv/cyber%2Bsicherheit

SIGNAL + DRAHT (110) 9 / 201822


The combination of unidirectional transmission paths and in-termediary control systems gives rise to so-called network guard systems which allow secure data imports, i.e. controlled and verified transmissions from the outside into the protected networks, including tightly monitored firmware updates. Such measures ensure that the overall IT security level of previously isolated networks can be uphold.

3 Air gaps, firewalls and data diodes

The DCU is interference-free data handling and transmission. Before describing the operation of the DCU in more detail, however, we will take a brief look at the alternatives in the form of “air gaps”, firewalls and unidirectional data paths (so-called “data diodes”).An “air gap” means that the security-relevant network has no physical link to any open networks. However, this isolation means that the available data volume cannot be exploited to its full potential. The physical separation does not allow the trans-mission of any live data. Instead, diagnostic data is collected lo-cally and then exported, for instance using a diagnostics laptop or by transporting the data on hard drives. However, physical separation often gives a false sense of security. There is always the risk of infection by malware, for example via a maintenance computer which can be connected locally.Firewalls are a first line of defence for any modern network ar-chitecture. They allow the controlled export of diagnostic data, but a firewall does not provide sufficient protection on its own. Why? A firewall is only as effective and secure as the rules which have been configured for it. And these rules can quickly become very complex, making them prone to errors and requiring in-tensive maintenance. In addition, firewalls often have their own security vulnerabilities, as demonstrated by the “Heartbleed” se-curity bug (see Common Vulnerabilities and Exposures CVE-2014-0160*). Last but not least, the use of Transport Layer Secu-rity (TLS, a cryptographic protocol) has eliminated the protocol gap between operating networks and open IT networks, opening a door for attacks because firewalls cannot evaluate and filter the actual communication content when TLS-encrypted communi-cation is used. Such deployment scenarios therefore require an additional layer of defence.Data diodes provide an option for enhancing this first line of defence: they block external attackers from reaching the safe-ty-critical network from the outside, while providing data via a unidirectional transmission path from inside the critical net-work to the outside world. Communication in the opposite di-rection is physically impossible. Data diodes are implemented using fibre technology and they are already being used success-fully, mainly in military and governmental applications. Hence, the data diode approach has been proven to be safe and reliable.

4 Protection objectives

The DCU is very well suited to implement the data diode prin-ciple and to create a unidirectional network bridge.. But what requirements does a data diode need to meet when deployed in railway network monitoring? The fundamental prerequisite for any diagnoses and subsequent decisions on the required meas-ures is the reliability of the data analysed for that purpose. Sub-sequent manipulation of the recorded data must be avoided and any attempts to do so must not go unnoticed so that the integrity of the data is always protected. It is particularly essential that a

2 Unidirektionale Kommunikation ermöglicht die Digitalisierung von Bahnnetzen

Der rückwirkungsfreie und strikt unidirektionale Datentransfer er-möglicht viele Digitalisierungsanwendungsfälle für die Bahnauto-matisierung. Datensammlung und -analyse mittels leistungsfähi-ger Cloud-Infrastrukturen ist sicherlich ein, wenn nicht der promi-nenteste Vertreter hierfür. Generell unterstützt die unidirektiona-le Netzanbindung, wie sie die DCU bietet, bereits die kontinuier-liche Überwachung bislang isoliert betriebener Netzwerkzellen. Dies trägt dazu bei, die Verfügbarkeit kritischer Anlagen immer im Blick zu behalten und im Notfall schnell und mit der richtigen Aus-rüstung vor Ort zu reagieren. Das fördert nicht zuletzt auch die Zufriedenheit der Endkunden, die von einem stabilen Betrieb der Bahnnetze profitieren. Die Netzwerküberwachung kann zudem weiter ausgebaut und durch IT-Sicherheitsdienste wie Angriffs-erkennungsssyteme ergänzt werden. Damit können nicht nur die reine Verfügbarkeit überprüft, sondern auch unbefugte Aktionen bis hin zu Angriffen erkannt werden.Kombiniert man unidirektionale Transferstrecken mit dazwi-schengeschalteten Kontrollsystemen, lassen sich sogenannte Network-Guard-Systeme aufsetzen. Hierüber kann ein Datenim-port, d. h. ein kontrollierter und verifizierter Transfer von außen in isolierten Netze hinein, sicher erfolgen. Auf diesem Weg sind somit auch Firmwareupdates kontrolliert möglich. Das IT-Sicher-heitsniveau bislang isolierter Netze kann dadurch auch weiterhin aufrecht erhalten werden.

3 Air Gaps, Firewalls und Datendioden

Die DCU sichert den rückwirkungsfreien Datenabgriff und -trans-port zu. Bevor auf die Funktionsweise der DCU näher eingegan-gen wird, sollen Alternativen in Form von „Air Gaps“, Firewalls und Dateneinbahnstraßen (sogenannte „Datendioden“) kurz beleuch-tet werden.Im Falle eines „Air Gap“ ist das sicherheitsrelevante Netzwerk phy-sikalisch nicht mit offenen Netzwerken verbunden. Folglich kann das Potenzial der vorhandenen Datenfülle auch nicht völlig aus-geschöpft werden. Die physikalische Trennung ermöglicht keine Übertragung von Live-Daten. Diagnosedaten werden stattdessen lokal aufgezeichnet und nachträglich exportiert, etwa von einem Diagnose-Laptop oder durch Transport von Festplatten. Eine phy-sikalische Trennung vermittelt oft auch ein falsches Sicherheits-gefühl; so besteht immer das Risiko einer Infektion mit Malware, wenn etwa Wartungsrechner lokal angeschlossen werden.Firewalls sind eine erste Verteidigungslinie jeder modernen Netz-werkarchitektur. Diagnosedaten können über Firewalls kontrol-liert exportiert werden. Warum reichen diese alleine nicht aus? Sie sind immer nur so gut und sicher wie die Regeln, die darauf pro-jektiert werden. Selbige können jedoch rasch komplex und damit wartungsintensiv und fehleranfällig werden. Ferner sind Firewalls oft selbst anfällig bezüglich Sicherheitslücken, wie etwa die „Heartbleed“ (Common Vulnerabilities and Exposures CVE-2014-0160*) Schwachstelle gezeigt hat. Nicht zuletzt ist ein Protokoll-bruch zwischen Betriebsnetzen und offenen IT-Netzwerken durch die Nutzung von Transport Layer Security (TLS, ein kryptographi-sches Protokoll) verschwunden. Dies ermöglicht Angriffe, wenn Firewalls die eigentliche Kommunikation nicht auswerten und fil-tern können. Daher ist bei solchen Einsatzszenarien eine zusätzli-che Verteidigungsschicht erforderlich.Diese können Datendioden bieten. Sie nehmen externen Angrei-fern die Möglichkeit, das sicherheitskritische Netzwerk von au-



ßen zu erreichen, erlauben es aber, Daten von innen nach außen über eine unidirektionale Übertragungsstrecke bereitzustellen. Eine Kommunikation in der Gegenrichtung ist physikalisch nicht möglich. Dieses Prinzip kennt man von optischen Dioden. Deren Einsatz ist vor allem von militärischen und behördlichen Anwen-dungsfällen bekannt und erprobt. Der Datendiodenansatz ist er-wiesenermaßen sicher und zuverlässig.

4 Adressierte Schutzziele

Die DCU wird genutzt, um eine unidirektionale Netzwerkbrü-cke zu realisieren und das Prinzip der Datendioden umzusetzen. Doch welche Anforderungen muss eine Datendiode bei der Über-wachung von Bahnnetzwerken zwingend erfüllen? Allgemein ist wichtig, sich bei einer Diagnose und der Entscheidung über zu treffende Maßnahmen auf die zugrundeliegenden Daten verlas-sen zu können. Man muss dafür sorgen, dass die mitgeschnitte-nen Daten nachträglich nicht unbemerkt manipuliert werden können. Die Integrität der Daten muss gesichert sein. Insbeson-dere bei forensischen Untersuchungen von Vorfällen ist zudem die eindeutige Zuordnung (sogenannte Non-Repudiation) einer Datenaufzeichnung zu einer bestimmten Geräteinstanz essenti-ell. Zudem ist natürlich die Verfügbarkeit der Daten ausreichend sicherzustellen. Zumindest aber muss Klarheit bestehen, ob die Datendiode selbst verfügbar und betriebsbereit ist. Ob dagegen das System durch Unbefugte eingesehen wird, ist in den oben angesprochenen Einsatzfeldern meist nicht sicher-heitsrelevant. Beispiel Stellwerke: Hier ist es für die Sicherheit von Schranken oder Weichen nicht wesentlich, ob Hacker die Daten auslesen und so den Zustand des Systems erkennen könnten. Die Vertraulichkeit dieser Daten hat hier oft eine untergeordnete Pri-orität. Entscheidend ist, dass Schranken und Weichen in ihrer ei-gentlichen, Safety-kritischen Funktionsweise nicht manipuliert werden können. Hauptanforderung an eine geeignete Netzwerkanbindung ist so-mit die Rückwirkungsfreiheit der technischen Realisierung. Da-bei müssen Rückwirkungen jeglicher Art auf das Netz mit der höheren Integritätsstufe ausgeschlossen werden. Aber auch die Robustheit der Anbindung ist im Bahnumfeld von zentraler Be-deutung. Sie muss sowohl robust gegenüber äußeren Störein-flüssen als auch selbst störungsfrei sein. Es sind dazu einschlägi-ge Europäische Normen wie etwa EN 60721-3, EN 61000-6 und EN 50121-4 einzuhalten.

5 Das Funktionsprinzip der DCU

Siemens verfolgt mit der DCU einen Datendiodenansatz, der auf einer rein passiven Netzwerk-Tap-Funktionalität basiert. Die DCU kann über Mithöranschlüsse in vorhandene Datenverbindungen eines sicherheitskritischen „switched Ethernet“ eingeschliffen werden, beispielsweise an geeigneten Switches oder relevanten Steuerknoten.Die DCU als Netzwerk-Tap ist rückwirkungsfrei gegenüber dem überwachten Netz. Mittels einer galvanischen Isolierung gibt es keinen direkten elektrischen Leitungspfad zwischen kritischem Netzwerk und Diagnosenetzwerk. Die galvanische Isolierung hin-dert ungewollte oder fehlerhafte elektrische Ströme daran, das kritische Netzwerk zu stören oder gar zu beschädigen. Bild 2 skiz-ziert dieses Funktionsprinzip. Die Rückwirkungsfreiheit der für den Datenmitschnitt bestimmten Ports wird durch den fehlen-den Sendepfad sichergestellt. Die DCU stellt damit physikalisch keinen Pfad vom offenen IT-Netz in das kritische Netz bereit, da

Next-Generation Inside.

Kapsch CarrierCom

Mission-critical communication is in our DNA. We are building the bridge to the future of mobile communication for railways around the world. Join us to take a ride in the Driver´s Cabin and experience our next-gen network, terminals and applications in hall #4.1, booth #414.

Kapsch CarrierCom is a global developer of end-to-end telecommunications solutions for mission critical networks. Kapsch’s innovative technologies, products and services cover the entire value chain, from planning and development to construction and operational management.

innotrans.kapsch.net


http://www.innotrans.kapsch.net

SIGNAL + DRAHT (110) 9 / 201824


ein Übertragungsmedium auf der Netzwerkschicht gar nicht erst vorhanden ist. Dies macht es physikalisch unmöglich, Daten in das überwachte Netzwerksegment zu übermitteln. Die Rückwir-kungsfreiheit ist auch im spannungslosen Zustand der DCU ge-währleistet, da Netzwerkdaten induktiv abgegriffen werden. Eine Änderung des Infrastrukturaufbaus des überwachten Netzes bei Einbringen der Datendiode ist aufgrund der rein passiven Funkti-onsweise der DCU ebenfalls nicht erforderlich.Die DCU kann einerseits als Netzwerk-Tap („Tap Mode“) fungieren und Netzwerkdaten im Sinne eines Flugschreibers („Black Box“) auf ein lokales Speichermedium schreiben, welche nur nach Bedarf offline ausgewertet werden. Dies erlaubt eine Auswertung der Ver-gangenheit – eine retrospektive Analyse –, bei der etwa nach der Ursache eines Vorfalls geforscht werden kann. Für die Speicherung wird das vom Programm Wireshark bekannte Format PCAPNG ver-wendet. So können Experten mit etablierten Tools eine Netzwerk-analyse durchführen. Die DCU kann aber auch zum Aufbau einer unidirektionalen Netzwerkbrücke verwendet werden, um so zum Beispiel Fernwartung zu realisieren. Dies zeigt Bild 3 schematisch. Auch hier ist Rückwirkungsfreiheit garantiert.Im sogenannten „Gateway“-Einsatz werden Diagnosedaten unidi-rektional aus einem Netzsegment mit höherer Schutzstufe in ein solches mit niedrigerer Stufe transferiert. Dabei werden dedizier-te Sende- und Empfangs-Proxies in die Netze eingebracht, wie Bild 4 zeigt. Ein Sende-Proxy sammelt und bereitet die zu transfe-rierenden Daten lokal auf und sendet sie über die unidirektiona-le Netzwerkschnittstelle – realisiert durch die DCU – an den Emp-fangs-Proxy. Dieser stellt die übermittelten Daten den Zielsyste-men im Diagnosenetz zur Verfügung. Dies erlaubt ein kontinuier-liches Analysieren der aufgezeichneten Daten, um etwa Optimie-

recorded event can be clearly assigned to a specific device in the case of forensic investigations into incidents (so-called non-re-pudiation). Another vital prerequisite involves securing the ad-equate availability of the required data. At the very least, it must be clearly visible that the data diode itself is available and ready for use. By contrast, the fact as to whether or not the system has been viewed by unauthorised persons is usually not security-relevant in the application areas mentioned above. Let’s take interlock-ing systems as an example: here, the safety of the railroad cross-ings or switches will generally not be impacted, if hackers are able to read the data and thus detect the state of the system. The confidentiality of such data often takes secondary priority. The crucial thing is that the safety-critical operations of the cross-ing gates and railroad switches cannot be manipulated from the outside. Interference-free technical design is the main requirement for a suitable, secure network connection. This means that all kinds of interference influencing the network with a higher integri-ty level must be reliably prevented. Moreover, the robustness of the connection is also of central importance in rail systems: it must be both impervious to external interferences and robust in the sense of being failure-free. The relevant requirements are defined in European standards such as EN 60721-3, EN 61000-6 and EN 50121-4.

5 The functional principle of the DCU

With the DCU, Siemens has pursued a data diode approach based on purely passive network tap functionality. The DCU can

Bild 2: Netzwerk-Tap-Funktionsprinzip für einen Capture Port (CAP) der DCU Fig 2: The operating principle of a DCU Capture Port (CAP) used as network tap Quelle / Source: Siemens AG




Bild 3: Einsatz der DCU zum Aufzeichnen von Netzwerkkommunikation in kritischen Netzen und Übertrag an Diagnosesysteme Fig 3: Using the DCU to record network communications in critical networks and to transfer the data to the diagnostic systems Quelle / Source: Siemens AG

rungen oder Vorhersagen zu tätigen, beispielsweise im Sinne ei-ner vorausschauenden Wartung.In beiden Fällen, ob bei der Verwendung als Netzwerk-Tap oder als Gateway-Komponent, lässt sich die DCU einfach integrieren und die Menge der aufgezeichneten Daten über konfigurierbare Filter steuern.

6 Die DCU und IT-Sicherheit

Bei einer Diagnoseentscheidung muss man auf die zugrundeliegen-den Daten vertrauen können. Als sichere Netzwerkkomponente bringt die DCU deshalb umfassende IT-Sicherheitsfunktionalität von sich aus mit. Die Firmware der DCU setzt auf einem gehärteten Linux-Betriebs-system auf. Insbesondere für forensische Zwecke ist darüber hinaus die Anforderung von Nichtabstreitbarkeit von zentraler Bedeutung. Die DCU attestiert mithilfe von HMAC-Anhängen (Keyed Hash Message Authentication Codes, eine kryptographisch gesicherte Prüfsumme) und digitalen Signaturen die Datenintegrität der mitgeschnittenen Da-ten. Für forensische Zwecke können die Daten mit ECDSA-Signaturen (Elliptic Curve Digital Signature Algorith, ein kryptographischer Algo-rithmus) versehen und mittels ECC (Error Correcting Code, ein Fehler-korrekturverfahren) geschützt werden. Grundvoraussetzung ist natür-lich das Vorhandensein eines geeigneten Zertifikats- und Schlüsselma-nagements beim jeweiligen Betreiber. Entwicklungsprozess und IT-Si-cherheit-Funktionalität der DCU sind auf die Norm IEC 62443 (mit Secu-rity Level SL3) ausgerichtet. Insbesondere ermöglicht die DCU • eine Überwachung der Betriebsbereitschaft: Über einen HW-Watch-

dog wird die Betriebsbereitschaft der DCU in regelmäßigen Abstän-den überprüft und gegebenenfalls automatisch neu gestartet. Die DCU kann regelmäßig Statusnachrichten, sogenannte „Keepalive“-

be looped into the existing data connections of a safety-critical switched Ethernet network via the listening ports, for example at suitable switches or relevant control nodes.As a network tap, the DCU provides a connection which will not interfere with the monitored network. The galvanic isola-tion ensures that there is no direct electrical path between the critical network and the diagnostics network and it prevents any unwanted or stray electrical currents from interfering with or disrupting the critical network. Fig. 2 outlines this working principle. The ports used to tap the data are free of any interfer-ence, because there is no transmission path in the reverse direc-tion: the DCU does not physically provide a path from the open IT network to the critical network, since the network layer does not include a transmission medium for outside-inside commu-nication. This makes it physically impossible to transfer data to the monitored network segment. Freedom of interference is also guaranteed, even if the DCU is not operational for some reason, because the network data is tapped inductively. What is more, the data diode can be incorporated without having to rearrange the monitored network, since the operating mode of the DCU is purely passive.On the one hand, the DCU can act as a network tap (“tap mode”) and write network data to a local storage medium which is comparable to a “black box” data recorder. The data can then be analysed offline as required. This allows the evalua-tion of past events (a retrospective analysis), for example, when the cause of an incident needs to be investigated. The used stor-age format is PCAPNG, the native file format for the Wireshark application. Experts can use the captured data to carry out net-work analyses using established tools. On the other hand, the


SIGNAL + DRAHT (110) 9 / 201826


Nachrichten, über ihre Netzwerkschnittstelle an die Diagnose-Diens-te senden, sodass der Status der DCU selbst überwacht werden kann.

• einen kontrollierten Startvorgang: Beim Start der DCU wird ein Se-cure-Boot-Prozess durchlaufen, dies gilt sowohl nach dem Einschal-ten der Versorgungsspannung, bei Wiederanlauf nach einem Watch-Dog-Event wie auch bei Neustart infolge eines Kommandos. Secure-Boot hilft sicherzustellen, dass ein Gerät nur mit vertrauenswürdiger Software startet.

• eine sichere Fernkonfiguration: Die DCU verfügt über einen gesicher-ten Zugang zum Laden digital signierter und / oder mit Prüfsummen versehener Konfigurationsdateien über das Netz. Das für die DCU geltende Zertifikatsmanagement ist ebenfalls sicher konfigurierbar.

• ein kontrolliertes Fern-Update: Die Firmware der DCU kann über das Netzwerk aktualisiert werden. Defekte Firmware oder solche unbe-kannter Herkunft wird erkannt. In diesem Fall wird automatisch eine Wiederherstellung durchgeführt.

• eine Überwachung sicherheitsrelevanter Ereignisse: Solche Ereig-nisse wie beispielsweise unautorisierte Zugriffe auf die Netzwerk-schnittstelle oder unbekannte Prozesse im Task-Abbild etc. werden erfasst und an eine Diagnoseeinheit gemeldet. In schwerwiegenden Fällen wird ein Neustart oder ein Systemstopp ausgelöst. Kritische Er-eignisse werden im Systemlog aufgezeichnet, welches per Diagnose-funktion übertragen werden kann.

Diese IT-Sicherheitsfunktionalität ist wesentlich für den zuverlässigen, autonomen Betrieb in Kontrollsystemen, insbesondere, wenn die DCU als sogenannte Edge-Komponente in industriellen IoT-Anwendungsfäl-len (das sogenannte Internet of Things, Internet der Dinge) eingesetzt wird. In diesen Fällen repräsentiert die DCU eine über das Internet er-reichbare Netzwerkkomponente, die potenziellen Angriffen ausgesetzt ist. Sie muss daher über die Betriebszeit hinweg stetig aktualisiert und bezüglich IT-Sicherheit auf dem Stand der Technik gehalten werden.

7 Unterstützte Smart Data Services für Bahnnetzwerke

Die DCU stellt die Grundlage für die sichere Anbindung von Kon-trollsystemen an offene Netzwerke und für die sichere Akquise

DCU can also be deployed to set up a unidirectional network bridge to realize remote maintenance, for example as schemati-cally shown in fig. 3. Freedom of interference is guaranteed in this case as well.When used in the so-called “gateway” mode, the DCU trans-fers diagnostic data unidirectionally from a network segment with a higher protection level to one with a lower level. Dedi-cated sender and receiver proxies have been included in the net-works for this purpose, as shown in fig. 4. A sender proxy locally collects and pre-processes the data to be transferred and trans-mits it via the unidirectional network interface (in this case the DCU) to the receiver proxy. The latter makes the transmitted data available to the target systems within the diagnostic net-work. Such a set-up allows the continuous analysis of the record-ed data as the basis for optimisation measures or predictions, for example for predictive maintenance.The DCU is easy to integrate in both cases and the volume of re-corded data can be defined by means of configurable filters, no matter whether the unit is being used as a network tap or as a gateway component.

6 The DCU and IT security

Reliable data is critical to making accurate and timely diagno-ses. This is why the DCU with its firmware based on a hardened Linux operating system provides comprehensive IT security functionality as a secure network component. An additional key requirement is the non-repudiation of the data, particularly in forensic work. The DCU protects the integrity of the record-ed data with the help of Keyed-Hash Message Authentication Code attachments (HMAC, a cryptographically secured check-sum) and digital signatures. For forensic purposes, data can be protected by the use of ECDSA signatures (Elliptic Cuve Digital Signature Algorithm, a cryptographic algorithm) which are se-cured using Error Correcting Codes (ECC). The basic prereq-uisite is that the given operator must utilise the appropriate cer-

Bild 4: Einsatz der DCU zum Aufbau einer unidirektionalen Netzwerkbrücke mit Sende-Proxy und Empfangs-Proxy Fig 4: Using the DCU to build an unidirectional network bridge, including sending and receiving proxies Quelle / Source: Siemens AG


von Betriebsdaten dar. Damit können im Bahnumfeld etwa fol-gende Einsatzszenarien realisiert werden:• Lokale Datenaufzeichnung im Sinne einer Black Box: Darunter

verstehen wir die zuverlässige Aufzeichnung von Netzwerkda-ten in einem Netzwerk. Eine Datenauswertung erfolgt häufig erst im Nachhinein bei bestimmten Ereignissen, zum Beispiel Fehlerzuständen von Teilsystemen. Das kann für Optimierun-gen, aber auch für juristische Zwecke gefordert sein. Das Ju-ridical Recording System (JRS), welches auf der DCU basiert, erlaubt es, mitgeschnittene Netzwerkdaten für einen langen Zeitraum aufzubewahren, um sie bei Bedarf in forensischen Untersuchungen verwenden zu können. Hier erfolgt zum frü-hestmöglichen Zeitpunkt und Ort die Datenaufzeichnung, wo-bei die Datenintegrität durch Message Authentication Codes sowie digitale Si gnaturen sichergestellt wird. Für jeden Daten-satz lässt sich hierüber stets nachweisen, welches Gerät diese Daten aufgezeichnet hat und dass diese nicht nachträglich ma-nipuliert wurden.

• Fernüberwachung und Diagnose: In diesem Fall wird das si-cherheitskritische Kontrollnetzwerk an ein entferntes, zentra-les Analysesystem angebunden, welches etwa zur Prozessop-timierung und Fehlererkennung verwendet wird. Hierzu ist es erforderlich, wertvolle Daten aus den kritischen Infrastruktu-ren zeitnah zu extrahieren und diese für die Fernüberwachung bereitzustellen.

• Intrusion Detection Systems (IDS): Der Aufbau eines Angriffs-erkennungsssytems stellt einen Sonderfall eines Diagnosesys-tems dar. Es zielt auf das effektive und kontrollierte Absuchen von Netzwerken nach Anomalien oder böswilligen Aktivitäten ab. Ein IDS ist eine Netzwerksicherheitstechnologie zur Entde-ckung von Schwachstellenmissbrauch in einem Netzwerk.

8 Zusammenfassung

Die Data Capture Unit ist eine Netzwerk-Sicherheitskomponente, die die sichere Datenakquise in abgeschlossenen, kritischen Net-zen ermöglicht. Sie ist damit ein wichtiger Baustein, um Digita-lisierungsbestrebungen im Rahmen der „Industrie 4.0“-Initiative im Bahnumfeld zu ermöglichen. Dabei kann sie als Netzwerk-Tap sowohl für die dezentrale, lokale Aufzeichnung von Netzwerk-verkehr wie auch als Datendiode für die gesicherte, da unidirek-tionale Anbindung von Netzen verwendet werden. Die wesent-lichen Vorteile der DCU sind ihre einfache Integration in beste-hende Netzwerktopologien, die zugesicherte Rückwirkungsfrei-heit durch ihre rein passive Funktionsweise und ihre Eignung im industriellen Kontext und speziell im Eisenbahnumfeld. Das EBA hat die DCU bereits zugelassen und ihr Rückwirkungsfreiheit at-testiert. Umfangreiche IT-Sicherheitsfunktionalität runden ihr Profil als sichere Netzwerkkomponente ab. Kombiniert mit dedizierten Sende- und Empfangsvorrichtungen lässt sich mittels der DCU äußerst kosteneffizient eine unidirek-tionale Netzwerkbrücke realisieren. Umfangreiche internationa-le Pilotinstallationen – unter anderem in Belgien, Norwegen, Un-garn und Hongkong – haben die Tauglichkeit der DCU zum Über-wachen von Straßenbahnnetzen und Bahninfrastrukturen bereits unter Beweis gestellt. Wenn Kunden jetzt bei Siemens ein Stell-werk ordern, ist die notwendige Hardware für einen sicheren An-schluss an das Internet der Dinge bereits mit dabei.

Discover intelligent sensors

INNOVATIONS TO SIMPLIFY RAILWAY OPERATIONS.

EXPPERIENCCE TTHE FUTTURE OF TTRAAIN TTRACCKINNG:

InnoTraanss in Berrlin18 –– 21 Septembeer 220188Halll 255 | SStannd 2232

Digitalisation opens up new possibilities in generating a wide range of highly valuable information.

wwww.frauschher.ccom/innootranns


http://www.frauscher.com/innotrans

SIGNAL + DRAHT (110) 9 / 201828


AUTOREN | AUTHORS

Dr. rer. nat. Ricarda WeberResearch Scientist IT Security Siemens AG, Corporate Technology Anschrift /Address: Otto-Hahn-Ring 6, D-80200 München E-Mail: [email protected]

Dr. rer. nat. Martin WimmerSenior Key Expert Network SecuritySiemens AG, Corporate Technology Anschrift /Address: Otto-Hahn-Ring 6, D-80200 München E-Mail: [email protected]

tificate and key management. The development process and the IT security functionality in the DCU have been aligned with the IEC 62443 standard (with Security Level SL3).The key functions enabled by the DCU: • monitoring of operational readiness: the operational readiness

of the DCU is checked at regular intervals using a hardware watchdog and the device is automatically restarted, if necessary. The DCU can send periodic status messages (so-called “keep alive” messages) via its network interface to diagnostic services so that the status of the DCU itself can be continuously moni-tored.

• controlled start-up process: a secure boot process is executed when starting the DCU either during the initial activation of the power supply, when restarting after a watchdog event or during a restart as a consequence of a restart command. The secure boot ensures that the device only boots up with trust-worthy software.

• secure remote configuration: the DCU provides secure access for downloading digitally signed and / or checksum-equipped configuration files over the network. The certificate manage-ment applying to the DCU can also be securely configured.

• controlled remote update: the DCU firmware can be updated over the network. Defective firmware images or those of un-known origin are detected. In such a case, the recovery proce-dure is carried out automatically using a backup image.

• monitoring of security-relevant events: events such as attempts to gain unauthorised access to the network interface or un-known processes in the task image are recorded and reported to the diagnostic unit. A reboot or system stop will be triggered in the case of any serious security threats. Critical events are re-corded in the system log, which can be transmitted via the di-agnostic function.

This comprehensive IT security functionality is essential to ensure the reliable and autonomous operations of the control systems, if the DCU is used as a so-called edge component in industrial IoT (Internet of Things) applications. In these cases, the DCU appears as an internet-accessible network component which is exposed to potential attacks. This means that it must be constantly updated and its IT security must be permanently maintained according to the latest standards.

7 Supported smart data services for railway networks

The DCU creates the basis for a safe connection between critical control systems and open networks and for the safe acquisition of operating data. This enables the deployment of the following ap-plication scenarios in the railway environment:• local data recording comparable to the principle of a “black

box”, i.e. the reliable collection of network data within a net-work. The data is often only analysed in retrospect in response to specific events such as detected sub-system error states. Such an analysis can constitute the basis of any optimisation meas-ures, but may also be required for legal purposes. The Juridi-cal Recording System (JRS), which is based on the DCU, al-lows the storage of recorded network data for long periods of time so that it can be used in forensic examinations whenever required. Data is recorded as soon and as close to its origins as possible, ensuring the data integrity through message authen-tication codes and digital signatures. The system provides evi-dence of which device has recorded different data and that it has not been subsequently tampered with and it does so for each data set.

• remote monitoring and diagnostics: in this case, the safety-critical control network is connected to a remote, centralised system in order to collect data from critical infrastructure systems in a timely manner (for example, for process optimi-sation and fault detection).

• intrusion detection system (IDS): an intrusion detection sys-tem constitutes a special case for a diagnostic system. The purpose of such a system is to scan the networks for anoma-lies or malicious activities – effectively and systematically. An IDS involves network security technology used to discover the exploitation of vulnerabilities in a network.

8 Summary

The Data Capture Unit is a network security component which enables secure data acquisition from closed, critical networks. This makes the DCU an important building block for facilitat-ing digitisation within the framework of the “Industry 4.0” ini-tiative within the railway environment. It can be used both as a network tap for the decentralised, local recording of network traffic and as a data diode for unidirectional (and therefore se-cure) connections to critical networks. The main advantages of the DCU are its ease of integration into existing network topol-ogies, the guaranteed freedom of interference due to its pure-ly passive operations and its suitability for use in an industrial context, specifically in the railway environment. The German Federal Railway Authority has already approved the DCU and certified its freedom of interference. Its profile as a secure net-work component has been supplemented by extensive IT secu-rity functionality. When combined with dedicated sender and receiver proxies, the DCU provides a cost-effective way of creating a unidirectional network bridge. Extensive international pilot installations (in-cluding in Belgium, Norway, Hungary and Hong Kong) have already demonstrated the suitability of the DCU for monitor-ing tram networks and railway infrastructure. Consequently, when customers order an interlocking system from Siemens, the necessary hardware for a secure connection to the Internet of Things is already included in it.


mailto:ricarda.weber%40siemens.com

mailto:martin.r.wimmer%40siemens.com

DVV Media Group

WORLD RAIL MARKET STUDY

WORLDRAILMARKETSTUDY

Commissioned by Conducted by

forecast 2018 to 2023

THE EUROPEAN RAIL INDUSTRY TM

Foto

: © A

dif

Foto

: © S

truk

ton

Rail

/ Mar

tin U

itvlu

gt

Foto

: © S

iem

ens

Foto

: © B

omba

rdie

r Tra

nspo

rtat

ion

New!

Commissioned by Conducted by

The UNIFE World Rail Market Study provides a comprehensive view of the current status and expected development of the total and accessible world rail supply market. Based on project data from UNIFE member companies, a sophisticated forecasting model as well as interviews with rail executives, market volumes are quantifi ed by region and segment.

The largest study of its kind – Order this unique insight to the world rail market right now!

Phone:Fax:

Contact:

Internet:E-Mail:

BU_EW_1805_8770_anz_UNIFE_210x297.indd 1 23.07.2018 16:43:50


http://www.eurailpress.de/study

Überwachung sicherheitskritischer Bahnnetzwerke mittels ... · nung des Datenver-kehrs unabhängig...

Documents

Transcript of Überwachung sicherheitskritischer Bahnnetzwerke mittels ... · nung des Datenver-kehrs unabhängig...