Information security for industrial applications

dc.contributor.advisorKrüger, Jörg
dc.contributor.advisorSeifert, Jean-Pierre
dc.contributor.authorHorn, Christian
dc.contributor.grantorTechnische Universität Berlinen
dc.contributor.refereeKrüger, Jörg
dc.contributor.refereeSeifert, Jean-Pierre
dc.contributor.refereeMeier, Michael
dc.date.accepted2019-05-23
dc.date.accessioned2019-07-22T08:23:57Z
dc.date.available2019-07-22T08:23:57Z
dc.date.issued2019
dc.description.abstractThe society that we are living in today makes essential demands on the security of supply for people, especially in large urban metropolitan areas. At the same time, attempts are being made to meet these requirements with the help of technological developments, particularly in automation technology. The implementation of information and communication systems for smart control of machines and plants in domains such as critical infrastructures, goods production, transport or home is making increasing progress. This cyber infrastructure as a secondary infrastructure has reached a high degree of complexity and automation and the dependence of primary infrastructures on it is constantly growing. Securing these infrastructures, especially in security-critical areas, is one of the central challenges for operators. Attacks on these cyber infrastructures in security-critical areas such as Stuxnet or Duqu demonstrated the fundamental vulnerability of even encapsulated systems. The increasing connection to the Internet, for example via wireless technologies at the field level, further increases the vulnerability of these systems. This applies not only to the individual layers of the IT architecture and the control technology installed, but also to organizational structures and work processes as well as the security technology, which is intended to physically protect systems from unauthorized access. This increasing threat situation to systems due to increasing expansion of attack surfaces requires new methods for detection of attacks in order to be able to react efficiently and in a controlled manner. This work analyses the current state of basic principles, threats, attack models and countermeasures for automation infrastructures. It is revealed that measures are particularly necessary to detect anomalies and that related work has not been developed with practical application context requirements in mind. Therefore, the need of operators to develop a methodology to derive a detection concept was addressed. This methodology is developed on basis of requirements and data from eleven real use cases, four critical infrastructures, six production companies and one academic example. The resulting generalized concept can be used as a template in conjunction with the methodology to generate application-specific concepts for new use cases much faster. A prototypical implementation is evaluated based on practical requirements and attack scenarios. The realistic test environment utilized in this works is parametrized with real data from the respective application scenario. It is shown that a decision fusion of different detection services and data sources has a better detection performance than individual solutions. Furthermore, analysis, implementation and evaluation lead to several new findings that lead to new research questions that could be answered by further work. Last, but not least, a new attack vector was found during experiments: the fastest wins. This attack requires a well calculated timing in conjunction with access to the subnet of a Programmable Logic Controller.en
dc.description.abstractDie Gesellschaft, in der wir heute leben, stellt wesentliche Anforderungen an die Versorgungssicherheit der Menschen, speziell in großen urbanen Metropolen. Zeitgleich wird versucht, diesen Anforderungen mithilfe der technologischen Entwicklung, insbesondere in der Automatisierungstechnik, beizukommen. Die Implementierung von zahlreichen Systemen und Kommunikationsverbindungen zur intelligenten Steuerung von Maschinen und Anlagen in Domänen wie kritischen Infrastrukturen, Warenproduktion, Transport oder Zuhause schreitet dabei zunehmend voran. Diese Cyber-Infrastruktur als Sekundärinfrastruktur hat einen hohen Grad an Komplexität und Automatisierung erreicht und die Abhängikeit der Primärinfrastrukturen von dieser wächst stetig. Die Absicherung dieser Infrastrukturen, insbesondere in sicherheitskritischen Bereichen, stellt eine der zentralen Herausforderungen für die Betreiber dar. Angriffe auf diese Cyber-Infrastrukturen in sicherheitskritischen Bereichen wie Stuxnet oder Duqu demonstrieren die prinzipielle Verwundbarkeit selbst gekapselter Systeme. Die zunehmende Vernetzung mit dem Internet, etwa über kabellose Technologien auf der Feldebene, erhöht die Verwundbarkeit der Systeme weiter. Dies bezieht sich sowohl auf die einzelnen Schichten der IT-Architektur und die verbaute Steuerungstechnik, als auch auf die organisationalen Strukturen und Arbeitsprozesse sowie die Sicherheitstechnik, die die Anlagen vor unautorisiertem Zugang physisch schützen soll. Die zunehmende Bedrohung der Systeme durch die tendenziell steigende Ausweitung der Angriffsflächen erfordert neue Verfahren zur Detektion von Angriffen, um effizient und kontrolliert reagieren zu können. Diese Arbeit analysiert den aktuellen Stand der Grundprinzipien, Bedrohungen, Angriffsmodelle und Gegenmaßnahmen für Automatisierungsinfrastrukturen. Daraus ergibt sich, dass insbesondere Gegenmaßnahmen zur Erkennung von Anomalien notwendig sind und verwandte Arbeiten nicht mit Blick auf Anforderungen aus dem praktischen Anwendungskontext entwickelt wurden. Daher wurde dem Bedarf der Betreiber der Entwicklung einer Methodik zur Ableitung eines Detektionskonzepts entsprochen. Diese Methodik wird auf der Grundlage von Anforderungen und Daten aus elf realen Anwendungsfällen, vier kritischen Infrastrukturen, sechs Produktionsunternehmen und einem akademischen Beispiel, entwickelt. Das resultierende verallgemeinerte Konzept kann als Vorlage in Verbindung mit der Methodik verwendet werden, um anwendungsspezifische Konzepte für neue Anwendungsfälle wesentlich schneller zu generieren. Eine prototypische Implementierung wird anhand von Anforderungen und Angriffsszenarien aus der Praxis bewertet. Das dafür zur Verfügung stehende realitätsgetreue Testfeld arbeitet dabei mit realen Datenerfassungen aus dem jeweiligen Anwendungsszenario. Es wird gezeigt, dass eine Entscheidungsfusion verschiedener Detektionsdienste und Datenquellen eine bessere Erkennungsleistung hat als individuelle Lösungen. Darüber hinaus führen Analyse, Implementierung und Bewertung zu mehreren neuen Erkenntnissen, die wiederum zu neuen Forschungsfragen führen, welche von nachfolgenden Forschungsarbeiten beantwortet werden könnten. Zuletzt wurde bei den Experimenten auch ein neuer Angriffsvektor gefunden: der schnellste gewinnt. Dieser Angriff erfordert ein gut berechnetes Timing in Verbindung mit dem Zugriff auf das Subnetz der Speicherprogrammierbaren Steuerung.de
dc.identifier.urihttps://depositonce.tu-berlin.de/handle/11303/9497
dc.identifier.urihttp://dx.doi.org/10.14279/depositonce-8551
dc.language.isoenen
dc.rights.urihttps://creativecommons.org/licenses/by/4.0/en
dc.subject.ddc620 Ingenieurwissenschaften und zugeordnete Tätigkeitende
dc.subject.othersecurityen
dc.subject.otherautomationen
dc.subject.otherdetectionen
dc.subject.otheranomalous valuesen
dc.subject.otherindustrial controlen
dc.subject.otherprogrammable logic controlleren
dc.subject.otherSCADAen
dc.subject.otherCyber-Sicherheitde
dc.subject.otherAutomatisierungde
dc.subject.otherDetektionde
dc.subject.otheranomale Wertede
dc.subject.otherindustrielle Steuerungde
dc.subject.otherspeicherprogrammierbare Steuerungde
dc.titleInformation security for industrial applicationsen
dc.title.subtitledetection of anomalous values in industrial automation technology infrastructuresen
dc.title.translatedInformationssicherheit in industriellen Anwendungende
dc.title.translatedsubtitleDetektion anomaler Werte in industriellen Automatisierungsinfrastrukturende
dc.typeDoctoral Thesisen
dc.type.versionacceptedVersionen
tub.accessrights.dnbfreeen
tub.affiliationFak. 5 Verkehrs- und Maschinensysteme::Inst. Werkzeugmaschinen und Fabrikbetrieb::FG Industrielle Automatisierungstechnikde
tub.affiliation.facultyFak. 5 Verkehrs- und Maschinensystemede
tub.affiliation.groupFG Industrielle Automatisierungstechnikde
tub.affiliation.instituteInst. Werkzeugmaschinen und Fabrikbetriebde
tub.publisher.universityorinstitutionTechnische Universität Berlinen

Files

Original bundle
Now showing 1 - 1 of 1
Loading…
Thumbnail Image
Name:
horn_christian.pdf
Size:
12.91 MB
Format:
Adobe Portable Document Format
Description:
License bundle
Now showing 1 - 1 of 1
No Thumbnail Available
Name:
license.txt
Size:
5.75 KB
Format:
Item-specific license agreed upon to submission
Description:

Collections