Advertisement

Industrial Security by Design

Nachverfolgbare Informationssicherheit für Cyber-Physische Produktionssysteme
  • Christopher Gerking
  • Eric Bodden
  • Wilhelm Schäfer
Living reference work entry
Part of the Springer Reference Psychologie book series (SRP)

Zusammenfassung

Das Zukunftsszenario der Industrie 4.0 ist geprägt durch einen massiven Anstieg der unternehmensübergreifenden Vernetzung. Um einer Bedrohung durch unautorisierte Weitergabe oder Sabotage vertraulicher Daten entgegenzuwirken, muss der Informationssicherheit bereits im Entwurf der cyber-physischen Produktionssysteme ein hoher Stellenwert eingeräumt werden. Dieses Paradigma wird als Security by Design bezeichnet. Über den gesamten Entstehungsprozess hinweg muss nachverfolgt werden können, ob die Systeme spezifische Anforderungen an die Informationssicherheit erfüllen und damit die Eigenschaft der Industrial Security gewährleisten. Dieser Beitrag stellt einen Entwurfsansatz zur Nachverfolgung der Informationssicherheit vor, der durch Integration softwaretechnischer Methoden in das Systems Engineering eine Entwicklung nach dem Paradigma Security by Design ermöglicht.

Schlüsselwörter

Nachverfolgbarkeit Industrial Security Security by Design Systems Engineering Cyber-Physical Systems 

Literatur

  1. acatech. (Hrsg.). (2011). Cyber-Physical Systems. Innovationsmotoren für Mobilität, Gesundheit, Energie und Produktion. (acatech POSITION 11). Berlin/Heidelberg: Springer. ISBN : 978-3-642-27566-1.Google Scholar
  2. Alt, O. (2014). Modellbasiertes Systems Engineering und seine Technologien als Schlüssel für Industrie 4.0. In M. Maurer und S.-O. Schulze (Hrsg.), Tag des Systems Engineering, Bremen, 12.–14. Nov. 2014 (S. 1–9). München: Carl Hanser. ISBN: 978-3-446-44357-0.Google Scholar
  3. Bachlechner, D. et al. (Hrsg.).(2016). IT-Sicherheit für die Industrie 4.0. Produktion, Produkte, Dienste von morgen im Zeichen globalisierter Wertschöpfungsketten. Abschlussbericht. Bundesministerium für Wirtschaft und EnergieGoogle Scholar
  4. Bärwald, A., & Beine, M. (2010). Sichere Codegenerierung. Modellbasierte Entwicklung sicherheitskritischer Systeme. Hanser Automotive, 2(1–2), 30–33.Google Scholar
  5. Basin, D. A., Doser, J., & Lodderstedt, T. (2006). Model driven security. From UML models to access control infrastructures. ACM Transactions on Software Engineering and Methodology, 15(1), 39–91.CrossRefGoogle Scholar
  6. Bedner, M., & Ackermann, T. (2010). Schutzziele der IT-Sicherheit. Datenschutz und Datensicherheit – DuD, 34(5), 323–328.CrossRefGoogle Scholar
  7. Bell, D. E., & LaPadula, L. J. (1996). Secure computer systems. A mathematical model. Journal of Computer Security, 4(2–3), 229–263.Google Scholar
  8. Biba, K. J. (1975). Integrity considerations for secure computer systems. Techn. Ber. MTR-3153. MITRE Corporation.Google Scholar
  9. Binkley, D. (2007). Source code analysis: A road map. In L. C. Briand & A. L. Wolf (Hrsg.), Future of software engineering, FOSE 2007, Minneapolis, 23.–25. Mai 2007 (S. 104–119). Los Alamitos: IEEE Computer Society. ISBN: 0-7695-2829-5.Google Scholar
  10. Bodden, E., et al. (2013a). In M. Waidner, M. Backes & J. Müller-Quade (Hrsg.), Entwicklung sicherer Software durch Security by Design. Trend- und Strategiebericht (SIT Technical Reports SIT-TR-2013-01). Stuttgart: Fraunhofer. ISBN: 978-3-8396-0567-7.Google Scholar
  11. Bodden, E., Hermann, B., Lerch, J., & Mezini, M. (2013b). Reducing human factors in software security architectures. In M. Lauster (Hrsg.), 8th future security. Security research conference. Proceedings, Berlin, 17.–19. Sep. 2013 (S. 275–285). Stuttgart: Fraunhofer. ISBN: 978-3-8396-0604-9.Google Scholar
  12. Bohner, S. A. (2002). Software change impacts. An evolving perspective. In International conference on software maintenance. Proceedings, ICSM 2002. Maintaining Distributed Heterogeneous Systems, Montreal, 3.–6. Okt. 2002 (S. 263–272). Los Alamitos: IEEE Computer Society. ISBN: 0-7695-1819-2.Google Scholar
  13. Breu, R., Sillaber, C., & Brunner, M. (2016). Security im Produkt-Lifecycle. Lästige Pflicht oder Chance? Informatik-Spektrum, 39(5), 353–361.Google Scholar
  14. Bundesamt für Sicherheit in der Informationstechnik. (2016). Zertifizierte IT-Sicherheit. Prüfstandards für IT-Sicherheit, Technische Richtlinien und Schutzprofile. Konformitätsbewertung, Zertifizierung und Anerkennung. Bonn.Google Scholar
  15. Chandola, V., Banerjee, A., & Kumar, V. (2009). Anomaly detection. A survey. ACM Computing Surveys, 41(3), 15.1–15.8.Google Scholar
  16. Cleland-Huang, J., Gotel, O., & Zisman, A. (Hrsg.). (2012). Software and systems traceability. Mit einem Vorw. von A. Finkelstein. London: Springer. ISBN: 978-1-4471-2238-8.Google Scholar
  17. Czarnecki, K. (2005). Overview of generative software development. In J. Banâtre, P. Fradet, J. Giavitto & O. Michel (Hrsg.), Unconventional programming paradigms. Revised selected and invited papers, International workshop UPP 2004, Le Mont Saint Michel, 15.–17. Sep. 2004. (Lecture notes in computer science, Bd. 3566, S. 326–341). Berlin/Heidelberg: Springer. ISBN: 3-540-27884-2.Google Scholar
  18. Delgado, N., Gates, A. Q., & Roach, S. (2004). A taxonomy and catalog of runtime software-fault monitoring tools. IEEE Transactions on Software Engineering, 30(12), 859–872.CrossRefGoogle Scholar
  19. Devanbu, P. T., & Stubblebine, S. G. (2000). Software engineering for security. A roadmap. In A. Finkelstein (Hrsg.), The future of software engineering, 22nd international conference on software engineering, Limerick, 4.–11. Juni 2000 (S. 227–239). New York: ACM. ISBN: 1-58113-253-0.Google Scholar
  20. Diedrich, C., Meyer, M., Evertz, L., & Schäfer, W. (2014). Dienste in der Automatisierungstechnik. atp edition – Automatisierungstechnische Praxis, 56(12), 24–35.CrossRefGoogle Scholar
  21. Dobrica, L., & Niemelä, E. (2002). A survey on software architecture analysis methods. IEEE Transactions on Software Engineering, 28(7), 638–653.CrossRefGoogle Scholar
  22. Dumitrescu, R., Bremer, C., Kühn, A., Trächtler, A., & Frieben, T. (2015). Modellbasierte Entwicklung von Produkten, Prozessen und Produktionsressourcen. Ein zustandsorientierter Ansatz für ein integriertes Systemmodell von Objekten, Prozessen und Systemen. at – Automatisierungstechnik. Methoden und Anwendungen der Steuerungs-, Regelungs und Informationstechnik, 63(10), 844–857.Google Scholar
  23. Eckert, C., & Fallenbeck, N. (2015). Industrie 4.0 meets IT-Sicherheit. Eine Herausforderung! Informatik-Spektrum, 38(3), 217–223.CrossRefGoogle Scholar
  24. Gabmeyer, S., Kaufmann, P., Seidl, M., Gogolla, M., & Kappel, G. (2017). A feature-based classification of formal verification techniques for software models. Software & Systems Modeling. https://doi.org/10.1007/s10270-017-0591-z.
  25. Garlan, D. (2014). Software architecture. A travelogue. In J. D. Herbsleb & M. B. Dwyer (Hrsg.), Future of software engineering. Proceedings, FOSE 2014, Hyderabad, 31. Mai–7. Juni 2014 (S. 29–39). New York: ACM. ISBN: 978-1-4503-2865-4.Google Scholar
  26. Gausemeier, J., Frank, U., Donoth, J., & Kahl, S. (2008). Spezifikationstechnik zur Beschreibung der Prinziplösung selbstoptimierender Systeme des Maschinenbaus (Teil 2). Konstruktion – Zeitschrift für Produktentwicklung und Ingenieur-Werkstoffe, 9, 4.Google Scholar
  27. Gausemeier, J., Dumitrescu, R., Steffen, D., Czaja, A. M., Tschirner, C., & Wiederkehr, O. (2013a). Systems Engineering in der industriellen Praxis. In Tag des Systems Engineering, 7.–9. Nov. 2013. München: Carl Hanser. ISBN: 978-3-446-43946-7.Google Scholar
  28. Gausemeier, J., Tschirner, C., & Dumitrescu, R. (2013b). Der Weg zu Intelligenten Technischen Systemen. Industrie Management, 29(1), 49.Google Scholar
  29. Gausemeier, J., Klocke, F., Dülme, C., Eckelt, D., Kabasci, P., Kohlhuber, M., Schön, N., & Schröder, S. (2016). Industrie 4.0. Internationaler Benchmark, Zukunftsoptionen und Handlungsempfehlungen für die Produktionsforschung. Paderborn und Aachen: Heinz Nixdorf Institut, Universität Paderborn und Werkzeugmaschinenlabor WZL der Rheinisch-Westfälischen Technischen Hochschule Aachen. ISBN: 978-3-942044-87-5.Google Scholar
  30. Gay, R., Mantel, H., & Sprick, B. (2012). Service automata. In G. Barthe, A. Datta & S. Etalle (Hrsg.), Formal aspects of security and trust. Revised selected papers, 8th international workshop, FAST 2011, Leuven, 12.–14. Sep. 2011. (Lecture notes in computer science, Bd. 7140, S. 148–163). Berlin/Heidelberg: Springer. ISBN: 978-3-642-29419-8.Google Scholar
  31. Gerking, C. (2016). Traceability of information flow requirements in cyber-physical systems engineering. In S. Nejati & R. Salay (Hrsg.), MoDELS-DS 2016. Doctoral symposium at MoDELS 2016. Proceedings of the Doctoral symposium at the 19th ACM/IEEE international conference of model-driven engineering languages and systems 2016 (MoDELS 2016), Saint Malo, 2. Okt. 2016. CEUR workshop proceedings 1735.Google Scholar
  32. Ghassemi, F., Meyer, M., Pohlmann, U., & Priesterjahn, C. (2017). Verteilte statische Analyse zur Identifikation von kritischen Datenflüssen für vernetzte Automatisierungs- und Produktionssysteme. In E. Bodden, F. Dressler, R. Dumitrescu, J. Gausemeier, F. Meyer auf der Heide, C. Scheytt & A. Trächtler (Hrsg.), Wissenschaftsforum Intelligente Technische Systeme (WInTeSys) 2017, Paderborn, 11.–12. Mai 2017. (Verlagsschriftenreihe des Heinz Nixdorf Instituts, Bd. 369, S. 373–384). Heinz Nixdorf Institut, Universität Paderborn. ISBN: 978-3-942-647-88-5.Google Scholar
  33. Goguen, J. A., & Meseguer, J. (1982). Security policies and security models. In IEEE. symposium on security and privacy, Oakland, 26.–28. Apr. 1982 (S. 11–20). Los Alamitos: IEEE Computer Society. ISBN: 0-8186-0410-7.Google Scholar
  34. Gorecky, D., Schmitt, M., & Loskyll, M. (2014). Mensch-Maschine-Interaktion im Industrie 4.0-Zeitalter. In T. Bauernhansl, M. ten Hompel & B. Vogel-Heuser (Hrsg.), Industrie 4.0 in Produktion, Automatisierung und Logistik. Anwendung · Technologien · Migration (S. 525–542). Springer Vieweg: Wiesbaden. ISBN: 978-3-658-04681-1.CrossRefGoogle Scholar
  35. Haley, C. B., Laney, R. C., Moffett, J. D., & Nuseibeh, B. (2008). Security requirements engineering. A framework for representation and analysis. IEEE Transactions on Software Engineering, 34(1), 133–153.CrossRefGoogle Scholar
  36. Hänisch, T., & Rogge, S. (2017). IT-Sicherheit in der Industrie 4.0. In V. P. Andelfinger & T. Hänisch (Hrsg.), Industrie 4.0. Wie cyber-physische Systeme die Arbeitswelt verändern (S. 91–98). Springer Fachmedien: Wiesbaden. ISBN: 978-3-658-15557-5.Google Scholar
  37. Hedin, D., & Sabelfeld, A. (2012). A perspective on information-flow control. In T. Nipkow, O. Grumberg & B. Hauptmann (Hrsg.), Software safety and security. Tools for analysis and verification (NATO science for peace and security series D: Information and communication security, Bd. 33, S. 319–347). Washington, DC: IOS Press. ISBN: 978-1-61499-027-7.Google Scholar
  38. Hertel, M. (2015). Risiken der Industrie 4.0. Eine Strukturierung von Bedrohungsszenarien der Smart Factory. HMD – Praxis der Wirtschaftsinformatik, 52(5), 724–738.CrossRefGoogle Scholar
  39. Junker, H. (2015). IT-Sicherheit für Industrie 4.0 und IoT. Datenschutz und Datensicherheit – DuD, 39(10), 647–651.CrossRefGoogle Scholar
  40. Jürjens, J. (2005). Secure systems development with UML. Berlin/Heidelberg: Springer. ISBN: 978-3-540-00701-2.Google Scholar
  41. Kagermann, H., Lukas, W.-D., & Wahlster, W. (2011). Industrie 4.0. Mit dem Internet der Dinge auf dem Weg zur 4. industriellen Revolution. VDI nachrichten, 2011(13), 2.Google Scholar
  42. Kagermann, H., Helbig, J., Hellinger, A., & Wahlster, W. (2013). Umsetzungsempfehlungen für das Zukunftsprojekt Industrie 4.0. Deutschlands Zukunft als Produktionsstandort sichern. Abschlussbericht des Arbeitskreises Industrie 4.0. Promotorengruppe Kommunikation der Forschungsunion Wirtschaft – Wissenschaft und acatech – Deutsche Akademie der Technikwissenschaften.Google Scholar
  43. Kagermann, H., Riemensperger, F., Hoke, D., Helbig, J., Stocksmeier, D., Wahlster, W., Scheer, A.W., & Schweer, D. (2014). Smart Service Welt. Umsetzungsempfehlungen für das Zukunftsprojekt Internetbasierte Dienste für die Wirtschaft. Arbeitskreis Smart Service Welt und acatech – Deutsche Akademie der Technikwissenschaften.Google Scholar
  44. Kobes, P. (2016). Leitfaden Industrial Security. IEC 62443 einfach erklärt. Berlin/Offenbach: VDE Verlag. ISBN: 978-3-8007-4165-6.Google Scholar
  45. Lass, S., & Kotarski, D. (2014). IT-Sicherheit als besondere Herausforderung von Industrie 4.0. In W. Kersten, H. Koller & H. Lödding (Hrsg.), Industrie 4.0. Wie intelligente Vernetzung und kognitive Systeme unsere Arbeit verändern. Schriftenreihe der Hochschulgruppe für Arbeits- und Betriebsorganisation e.V. (HAB) (S. 397–419). Berlin: GITO.Google Scholar
  46. Lunt, T. F. (1993). A survey of intrusion detection techniques. Computers & Security, 12(4), 405–418.CrossRefGoogle Scholar
  47. Mantel, H. (2001). Preserving information flow properties under refinement. In 2001 IEEE. symposium on security and privacy, Oakland, 14.–16. Mai 2001 (S. 78–91). Los Alamitos: IEEE Computer Society. ISBN: 0-7695-1046-9.Google Scholar
  48. McLean, J., Schell, R. R., & Brinkley, D. L. (2002). Security Models. In J. J. Marciniak (Hrsg.), Encyclopedia of Software Engineering. New York: Wiley. ISBN: 978-0-471-37737-5.Google Scholar
  49. Montrieux, L., Jürjens, J., Haley, C. B., Yu, Y., Schobbens, P., & Toussaint, H. (2010). Tool support for code generation from a UMLsec property. In C. Pecheur, J. Andrews & E. D. Nitto (Hrsg.), ASE 2010, 25th IEEE/ACM international conference on automated software engineering, Antwerpen, 20.–24. Sep. 2010 (S. 357–358). New York: ACM. ISBN: 978-1-4503-0116-9.Google Scholar
  50. Nguyen, P.H., Ali, S., & Yue, T. (2017). Model-based security engineering for cyber-physical systems. A systematic mapping study. Information & Software Technology, 83, 116–135.Google Scholar
  51. Niggemann, O., & Frey, C. (2015). Datengetriebene Anomalieerkennung in Cyber-Physischen Produktionssystemen. at – Automatisierungstechnik. Methoden und Anwendungen der Steuerungs-, Regelungs und Informationstechnik, 63(10.): Industrie 4.0. J. Beyerer, J. Jasperneite und O. Sauer (Hrsg.), 821–832.Google Scholar
  52. Object Management Group. (2015). OMG Unified Modeling Language (OMG UML). formal/März 2015. Version 2.5.Google Scholar
  53. Paelke, V., & Röcker, C. (2015). User Interfaces for cyber-physical systems. Challenges and possible approaches. In A. Marcus (Hrsg.), Design, user experience, and usability. Design discourse, 4th international conference, DUXU 2015. Proceedings, Part I, Los Angeles, 2.–7. Aug. 2015. (Lecture notes in computer science, Bd. 9186, S. 75–85). Cham: Springer. ISBN: 978-3-319-20885-5.Google Scholar
  54. Pincus, J. D., & Baker, B. (2004). Beyond stack smashing. Recent advances in exploiting buffer overruns. IEEE Security and Privacy, 2(4), 20–27.CrossRefGoogle Scholar
  55. Prähofer, H., Angerer, F., Ramler, R., & Grillenberger, F. (2017). Static code analysis of IEC 61131-3 programs. Comprehensive tool support and experiences from large-scale industrial application. IEEE Transactions on Industrial Informatics, 13(1), 37–47.CrossRefGoogle Scholar
  56. Sánchez, Ó., Molina, F., García-Molina, J., & Toval, A. (2009). ModelSec. A generative Architecture for model-driven security. Journal of Universal Computer Science, 15(15), 2957–2980.Google Scholar
  57. Schäfer, W., & Wehrheim, H. (2010). Model-driven development with MechatronicUML. In G. Engels, C. Lewerentz, W. Schäfer, A. Schürr & B. Westfechtel (Hrsg.), Graph transformations and model-driven engineering (Lecture notes in computer science, Bd. 5765, S. 533–554). Berlin/Heidelberg: Springer. ISBN: 978-3-642-17321-9.CrossRefGoogle Scholar
  58. Schneider, F. B. (2000). Enforceable security policies. ACM Transactions on Information and System Security, 3(1), 30–50.CrossRefGoogle Scholar
  59. Schneider, F. B. (2012). Blueprint for a science of cybersecurity. The Next Wave, 19(2), 47–57.Google Scholar
  60. Seifermann, S., Taspolatoglu, E., Reussner, R. H., & Heinrich, R. (2016). Challenges in secure software evolution. The role of software architecture. Softwaretechnik-Trends, 36(1), 8–11Google Scholar
  61. Shostack, A. (2014). Threat Modeling. Designing for Security. Indianapolis: Wiley. ISBN: 978-1-118-80999-0.Google Scholar
  62. Sünnetcioglu, A., Brandenburg, E., Auricht, M. & Stark, R. (2014). Durchgängiger Traceability-Prozess im Systems Engineering. In M. Maurer & S.-O. Schulze (Hrsg.), Tag des Systems Engineering, Bremen, 12.–14. Nov. 2014 (S. 133–142). München: Carl Hanser. ISBN: 978-3-446-44357-0.Google Scholar
  63. Winzer, P., Schnieder, E., & Bach, F.-W. (Hrsg.). (2010). Sicherheitsforschung. Chancen und Perspektiven (acatech DISKUTIERT). Berlin/Heidelberg: Springer. ISBN: 978-3-642-04980-4.Google Scholar
  64. Zheng, J., Williams, L. A., Nagappan, N., Snipes, W., Hudepohl, J. P., & Vouk, M. A. (2006). On the value of static analysis for fault detection in software. IEEE Transactions on Software Engineering, 32(4), 240–253.CrossRefGoogle Scholar

Copyright information

© Springer-Verlag GmbH Deutschland 2018

Authors and Affiliations

  • Christopher Gerking
    • 1
  • Eric Bodden
    • 2
  • Wilhelm Schäfer
    • 3
  1. 1.Fachgruppe SoftwaretechnikUniversität Paderborn, Heinz Nixdorf InstitutPaderbornDeutschland
  2. 2.Fachgruppe SoftwaretechnikFraunhofer IEM & Universität Paderborn, Heinz Nixdorf InstitutPaderbornDeutschland
  3. 3.Universität PaderbornPaderbornDeutschland

Personalised recommendations