Dr. Hesse, Peter

Master Thesis, Hochschule Wismar, Juli 2022

Autor: Dr. Peter Hesse

Titel: Konzeptionierung und Analyse von automatisierten forensischen Verfahren im Zusammenhang mit Prozessinformationen von Automationsanlagen zur Ermittlung von dolosen Handlungen

Abstrakt:

Durch den Fokus auf die Industrie 4.0 stehen Automationssysteme im Spannungsdreieck zwischen den neuen Cyber-Physischen Systemen, dem klassischen Betreiber-Verhalten bzgl. Patch-Management und der gewünschten Zusammenführung von IT- und OT-Systemen. Auf alle drei Punkte des Spannungsdreiecks wird im Folgenden kurz eingegangen. Unter Cyber-Physischen Systemen wird die Kombination zwischen der physikalischen Automation und dem digitalen Zwilling verstanden. Durch den notwendigen zyklischen Abgleich beider, können Automationssysteme nicht mehr durch mechanische Schutzsysteme vom Internet abgekoppelt werden, sondern müssen online sein. Weiterhin wird das klassische Verhalten bzgl. des Patch-Managements betrachtet. Hier werden entweder die klassischen Komponenten so gut wie gar nicht aktualisiert oder in den seltensten Fällen eine Software-as-a-Service (SaaS) Struktur eingesetzt. Der dritte Punkt im Spannungs- dreieck ist das Zusammenführen von IT-Strukturen mit den enthaltenen IT-Security-Maßnahmen und den hierfür nicht vorbereiteten OT-Systemen in der Produktion. In diesem Spannungsdreieck der Produktion existieren zwei Rollen, welche für den Betrieb verantwortlich sind. Aus Sicht der IT-Technik wirkt ein CISO (Chief Information Security Officer) und überwacht die Struktur der digitalen Netze. Ein Prozesstechniker ist verantwortliche für den Maschinenprozess und überwacht die Materialien und die Verarbei- tungsprozesse. Werden Ausfallszenarien von Maschinenabläufen betrachtet existieren einige Szenarien, welche durch das separierte Raster der beiden Betrachtungen nicht er- kannt werden. D.h. der Prozesstechniker sieht ein Problem mit dem Maschinenprozess, findet jedoch die Ursache nicht. Gleichzeitig sieht der CISO keine Auffälligkeit in seinen digitalen Netzen. Diese Arbeit soll die Lücke zwischen den beiden Betrachtungen mit einem ersten Schritt anfangen zu schließen. Es wird ein Ansatz mit Hilfe einer Prozess- Forensischen-Auswerteeinheit diskutiert. Die Auswerteeinheit soll einerseits die forensischen Auswertungen sowie den Einbezug von Prozessinformationen zu Ergebnissen ermöglichen. Hierdurch sollen in Automationsanlagen die Möglichkeit geschaffen werden dolose, d.h. schädliche, Handlungen effektiver ermitteln zu können. Mit Hilfe dieser Prozess-Forensischen-Auswerteeinheit sollen eine Differenzbetrachtung zwischen einem Ur-Zustand und dem aktuellen Problemzustand und die Analyse dieses Problemzustands ermöglicht werden. Dieser Ablauf soll so weit wie möglich automatisiert werden, um die Akzeptanz bei den Nutzern zu erhöhen und die Effektivität der folgenden manuellen Forensik zu verbessern.

Abstract

Due to the focus on Industry 4.0, automation systems are in the triangle of tension between the new cyber-physical systems, the classic operator behavior regarding patch management and the desired merging of IT and OT systems. All three points of the tension triangle are briefly discussed below. Cyber-physical systems are the combination between physical automation and the digital twin. Due to the necessary cyclical comparison of both, automation systems can no longer be decoupled from the internet by mechanical protection systems but must be online. Furthermore, the classic behavior regarding patch management is considered. Here, either the classic components are hardly updated at all or, in the rarest of cases, a Software-as-a-Service (SaaS) structure is used. The third point in the tension triangle is the merging of IT structures with the included IT security measures and the OT systems in production that are not prepared for this purpose. In this tension triangle of production, there are two roles that are responsible for operation. From the point of view of IT technology, a CISO (Chief Information Security Officer) acts and monitors the structure of the digital networks. From the point of view of the machine process, a process technician works to monitor the machine, its materials, and the processing process. If failure scenarios of machine processes are considered, there are some scenarios that are not recognized by the separate grid of the two considerations. This means that the process technician sees a problem with the machine process but does not find the cause. At the same time, the CISO sees no conspicuousness in its digital networks. This work is intended to begin to close the gap between the two considerations with a first step. An approach with the help of a Process-Forensic-Evaluation-Unit is discussed. On the one hand, this evaluation unit is intended to enable forensic evaluations and, on the other hand, the inclusion of process information. This is intended to create the possi- bility in automation systems to be able to determine fraudulent, i.e., harmful, actions more effectively. With the help of this process forensic evaluation unit, a difference between a primordial state and the current problem state and the analysis of this problem state will be made possible. This process should be automated as much as possible to increase ac- ceptance and improve the effectiveness of the following manual forensics.

Download PDF-Dokument

Folien zum Vortrag Download PDF-Dokument