DE-102024132005-A1 - Erkennung von Cyberbedrohungen in Vorrichtungen

Abstract

Vorgeschlagen wird ein Verfahren und ein System zum Überprüfen einer Vorrichtung auf Cyberbedrohungen, welches Folgendes aufweist: eine Inventar-Datenbank für die Vorrichtung, wobei in der Inventar-Datenbank die Vorrichtung und deren digitale Komponenten erfasst werden. Hinzu kommt mindestens eine Taxonomie, wobei die Taxonomie autoritative Bezeichnungen für Vorrichtungen und digitale Komponenten bereitstellt. Es wird eine Verknüpfung hergestellt zwischen den Einträgen in der Inventar-Datenbank und den Einträgen in der Taxonomie. Dazu eine Lagedatenbank, wobei in der Lagedatenbank Cybersicherheitsinformationen erfasst werden. Ferner Mittel zum Erkennen einer Cyberbedrohung der Vorrichtung, wobei zum Erkennen der Cyberbedrohung auf die Inventar-Datenbank und auf die Lagedatenbank zugegriffen wird. Dabei sind die Mittel eingerichtet, um nach Übereinstimmungen bei der Vorrichtung oder deren digitalen Komponenten in der Inventar-Datenbank und der Lagedatenbank zu suchen. Schließlich ein Bedrohungsregister, wobei in dem Bedrohungsregister die erkannten Cyberbedrohungen erfasst werden und wobei in dem Bedrohungsregister zu jeder erkannten Cyberbedrohung eine Risikobewertung gespeichert ist.

Inventors

• Sven Niedner

Assignees

• Synamic Technologies UG (haftungsbeschränkt)

Dates

Publication Date

20260507

Application Date

20241104

Claims (5)

1. System zum Überprüfen einer Vorrichtung auf Cyberbedrohungen, welches Folgendes aufweist: 1.1. eine Inventar-Datenbank 1.1.1. wobei in der Inventar-Datenbank die Vorrichtung und deren digitale Komponenten (Hardware, Software, Firmware) erfasst werden; 1.1.2. wobei zu der Vorrichtung und deren digitalen Komponenten mindestens die folgenden Angaben gespeichert werden: Bezeichnung, Hersteller, Version; 1.1.3. wobei diese Angaben aus mindestens einer Quelle bezogen werden; 1.2. mindestens eine Taxonomie; 1.2.1. wobei die Taxonomie autoritative Bezeichnungen für Vorrichtungen und digitale Komponenten bereitstellt; 1.2.2. wobei eine Verknüpfung hergestellt wird zwischen den Einträgen in der Inventar-Datenbank und den Einträgen in der Taxonomie; 1.3. eine Lagedatenbank; 1.3.1. wobei in der Lagedatenbank Cybersicherheitsinformationen erfasst werden, welche Vorrichtungen und/oder digitale Komponenten betreffen; 1.3.2. wobei diese Angaben aus mindestens einer Quelle bezogen werden; 1.3.3. wobei eine Verknüpfung hergestellt wird zwischen den Einträgen in der Lagedatenbank und den Einträgen in der Taxonomie; 1.4. Mittel zum Erkennen einer Cyberbedrohung der Vorrichtung; 1.4.1. wobei zum Erkennen der Cyberbedrohung auf die Inventar-Datenbank und auf die Lagedatenbank zugegriffen wird; 1.4.2. wobei zum Erkennen der Cyberbedrohung außerdem auf die Verknüpfungen der Inventar-Datenbank und der Lagedatenbank zur Taxonomie zurückgegriffen wird; 1.4.3. wobei die Mittel eingerichtet sind, um nach Übereinstimmungen bei der Vorrichtung oder deren digitalen Komponenten in der Inventar-Datenbank und der Lagedatenbank zu suchen; 1.5. ein Bedrohungsregister; 1.5.1. wobei in dem Bedrohungsregister die erkannten Cyberbedrohungen erfasst werden; 1.5.2. wobei in dem Bedrohungsregister zu jeder erkannten Cyberbedrohung eine Risikobewertung gespeichert ist.
2. Verfahren zum Überprüfen einer Vorrichtung auf Cyberbedrohungen mittels des Systems nach Anspruch 1 , mit folgenden Schritten: 2.1. Erfassen der Vorrichtung und ihrer digitalen Komponenten in der Inventar-Datenbank; 2.2. Verknüpfen der Einträge in der Inventar-Datenbank mit den Einträgen in der Taxonomie, wobei ungenaue Treffer durch einen Verlässlichkeitsscore beschrieben werden; 2.3. Erfassen von Cybersicherheitsinformationen, welche Vorrichtungen und/oder digitale Komponenten betreffen, in der Lagedatenbank; 2.4. Verknüpfen der Einträge in der Lagedatenbank mit den Einträgen in der Taxonomie; 2.5. wobei die in den Datenbanken erfassten Einträge fortlaufend aktualisiert werden; 2.6. Erkennen von Cyberbedrohungen der Vorrichtung; 2.6.1. wobei zum Erkennen von Cyberbedrohungen nach Verknüpfungen der Inventar-Datenbank und der Lagedatenbank mit dem gleichen Eintrag in der Taxonomie gesucht wird; 2.7. Speichern von erkannten Cyberbedrohungen im Bedrohungsregister; 2.8. Bestimmen einer Risikobewertung zu jeder erkannten Cyberbedrohung; 2.8.1. Speichern der Risikobewertung im Bedrohungsregister.
3. Verfahren nach dem unmittelbar vorhergehenden Anspruch, dadurch gekennzeichnet , - dass in der Lagedatenbank zu jeder gespeicherten Cybersicherheitsinformation Regeln betreffend die Erlaubnis zur Weitergabe gespeichert werden; und - dass beim Erkennen von Cyberbedrohungen der Vorrichtung nur Einträge aus der Lagedatenbank berücksichtigt werden, bei denen die Erlaubnis zur Weitergabe gegeben ist.
4. Verfahren nach einem der beiden unmittelbar vorhergehenden Ansprüche, dadurch gekennzeichnet , - dass eine erkannte Cyberbedrohung als neue Cybersicherheitsinformation in die Lagedatenbank aufgenommen wird.
5. Mittel zur individuellen Risikobewertung einer Cyberbedrohung für eine Vorrichtung und/oder eine digitale Komponente, dadurch gekennzeichnet , - dass für die Risikobewertung Informationen aus dem Inventar und aus der Lagedatenbank zusammengeführt werden.

Description

Gebiet der Erfindung Die Erfindung betrifft das Gebiet der Cybersicherheit und verbessert die Möglichkeiten zur Prävention von Cyberangriffen, indem Cyberbedrohungen erkannt werden, bevor es zu einem Angriff oder Schaden kommt. Stand der Technik Die Erkennung von Cyberbedrohungen in digitalen Komponenten von Maschinen wird derzeit nicht systematisch durchgeführt. Informationen zu Cyberbedrohungen stehen zwar maschinenlesbar zur Verfügung, die Datenqualität und -vollständigkeit ist jedoch nicht ausreichend für eine vollständige Verarbeitung. Inventardaten liegen meist in über unterschiedliche Datenquellen verstreut und können nicht übergreifend analysiert werden. Somit ist die Abbildung auf ein gegebenes Inventar mit bekannten Methoden unzuverlässig und fehlerbehaftet, und wird deswegen kaum praktiziert. Insbesondere die Erkennung betroffener Komponenten stellt große Herausforderungen dar. Verfahren zum vertraulichen Austausch von Informationen zum produkt- und komponentenbezogenen Cyberbedrohungen bestehen nicht, insbesondere nicht in maschinenlesbarer Form. Insbesondere bestehen keine Verfahren, die es ermöglichen, diese Informationen mit Regeln zur Weitergabe zu verknüpfen. Der Stand der Technik sieht allein eine Veröffentlichung in öffentlichen Schwachstellendatenbanken vor. Dadurch besteht nicht die Möglichkeit, Schwachstelleninformationen vor der Veröffentlichung mit direkt betroffenen Partnern zu teilen. Bestehende Lösungen zur Erkennung von Cyberbedrohungen beschränken sich auf die Erkennung von bekannten Schwachstellen in Software. Hardware-Komponenten werden nicht berücksichtigt. Die Zuordnung der Schwachstelle zur konkreten Vorrichtung muss manuell erfolgen. Ebenfalls ist keine automatische Bewertung der Schwachstellen im Hinblick auf ihre potenziellen Auswirkungen möglich. Dies gilt insbesondere, wenn die Ursache für die Cyberbedrohung in einer Komponente der Vorrichtung befindet. Im Stand der Technik ist keine zuverlässige, ausreichend vollständige und automatische Ermittlung von Cyberbedrohungen einer Vorrichtung möglich. Dadurch, dass der Austausch von Cyberbedrohungs-Informationen über öffentliche Plattformen erfolgt, besteht für Angreifer die Möglichkeit, auf diese Weise ihre Angriffe zu planen. Aufgabe Aufgabe der Erfindung ist es, Cyberbedrohungen für komplexe Vorrichtungen zu ermitteln. Das Verfahren muss dabei in der Lage sein, mit unvollständigen, inkonsistenten und zeitlich veränderlichen Daten umzugehen. Dabei ist es notwendig, eine Lösung zu schaffen, die die komplexen Lieferketten von Vorrichtungen in einer gesamtheitlichen Sicht berücksichtigt und insbesondere berücksichtigt, dass Vorrichtungen eine Vielzahl von digitalen Komponenten beinhalten können. Diese Komponenten werden häufig von unterschiedlichen Herstellern bezogen. Die Ermittlung von Cyberbedrohungen in diesem Umfeld muss automatisch, verlässlich und schnell erfolgen. Erforderlich ist dazu weiterhin eine Möglichkeit zum vertraulichen Austausch von Schwachstellen zwischen den verschiedenen Herstellern. Die Erfindung beschränkt dabei den Zugang zu den Informationen auf die direkt beteiligten Parteien. Lösung Verfahren zur automatischen Erkennung von Cyber-Bedrohungen für Vorrichtungen. Erhebung des Inventars digitaler Elemente Das Verfahren versetzt Vorrichtungsbetreiber und Vorrichtungshersteller in die Lage, Cyberbedrohungen automatisiert zu erkennen und zu bewerten. Eine grafische Darstellung des Verfahrens findet sich in 1. Im ersten Schritt wird das Inventar der digitalen Elemente (als Komponenten bezeichnet) der Maschine erfasst. Informationen werden aus verschiedenen Quellen (Betreiber, Hersteller, Dritte Parteien) bezogen und zusammengeführt. Datenquellen und Inventar-Datenbank Folgende Datenquellen können unter anderem für die Erfassung der Inventardatenbank genutzt werden:- Aktive Komponenten- Selbstidentifikation: Komponenten nehmen aktiv Kontakt zu einem System auf, und übermitteln ihre Identität, beispielsweise über ein elektronisches Bus-System oder als Telemetrie. Durch die periodische Übermittlung kann ein zu jedem Zeitpunkt aktuelles Inventar erreicht werden. Die aktive Komponenten-Selbstidentifikation ist eine Funktion der Maschine.- Passive Komponente-Selbstidentifikation: Komponenten stellen eine Schnittstelle zur Verfügung, über die deren Identität beispielsweise über ein elektronisches Bus-System abgefragt werden kann. Ersatzweise kann ein Agent auf der Maschine oder von außerhalb der Maschine die Komponenten aufgrund von charakteristischen Eigenschaften der Kommunikation identifizieren. Die Abfrage der passiven Komponenten-Selbstidentifikation kann automatisiert werden. Durch die periodische Abfrage kann ein zu jedem Zeitpunkt aktuelles Inventar erreicht werden. Die passive Komponenten-Selbstidentifikation ist eine Funktion der Maschine.- Inventarisierung zum Produktionszeitpunkt: Im Rahmen des Produktionsprozesses wird die Identität der integrierten Komponenten erfasst und gespeichert. Diese Informa