Gollmann, DieterDieterGollmann1132276268Krotofil, MarinaMarinaKrotofil2023-02-142023-02-142023Technische Universität Hamburg (2023)http://hdl.handle.net/11420/14745Cyber-physische Systeme (CPS) bestehen aus informations- und softwaretechnischen Systemen, die in Anwendungen der physischen Welt "eingebettet'' sind. Sie umfassen Sensoren, Aktoren, Steuereinheiten, Bedienerkonsolen und Kommunikationsnetze. Einige dieser Systeme sind sicherheitskritisch, weil sie Teil einer für die Gesellschaft wichtigen Infrastruktur sind. Dem Schutz kritischer Infrastrukturen wurde in den letzten zehn Jahren viel Beachtung geschenkt. Einerseits weil sie die Nutzung des Internets und handelsüblicher Hard- und Software Sicherheitsbedrohungen aussetzt, von denen sie zuvor abgeschottet waren, und andererseits, weil die potenziellen Auswirkungen von Angriffen auf kritische Infrastrukturen nicht länger ignoriert werden können. Cyber-Angriffe auf physische Systeme werden als cyber-physische Angriffe bezeichnet. Die Fähigkeit, physischen Schaden anzurichten, ist der Hauptunterschied zu den herkömmlichen Cyber-Angriffen auf IT-Systeme. In dieser Arbeit zeigen wir, dass die Sicherheitskonzepte aus dem IT-Bereich nicht genügen, um die Sicherheitsbedürfnisse von cyber-physischen Systeme zu beschreiben, und dass IT-Sicherheitsmaßnahmen nicht ausreichend sind. Wir schlagen daher vor, den Cyber-Teil eines cyber-physischen Systems als Steuerungssystem zu betrachten und sich auf die Schnittstellen zwischen physischem und Cyberspace aus Sicht des Angreifers zu konzentrieren. Wir vertreten die Auffassung, dass die Defence-in-Depth im CPS-Bereich auf die Ebene der physischen Prozesse selbst ausgeweitet werden muss. Diese Dissertation besteht aus vier Teilen. Im ersten Teil behandeln wir die Herausforderung, dass es an realistischen, groß angelegten Testumgebungen für die Untersuchung von cyber-physische Angriffen und deren Auswirkungen auf physikalische Prozesse mangelt. Wir stellen zwei Modelle kontinuierlicher Prozesse vor (Tennessee Eastman und Vinylacetat), die wir erweitert und mit Funktionen ausgestattet haben, um cyber-physische Sicherheitsforschung zu betreiben (Kapitel 3). Im zweiten Teil zeigen wir am Beispiel eines Denial of Service (DoS) Angriffs auf Sensor- und Aktorsignale, dass die klassischen IT-Sicherheitsmaßnahmen für die Kommunikationsinfrastruktur nicht ausreichen, um Angriffe abzuwehren, die sich die Eigenschaften von Steuerungssystemen gezielt zunutze machen (Kapitel 4). Im dritten Teil führen wir eine Datensicherheitseigenschaft ein, die wir Veracity oder Vertrauenswürdigkeit nennen. Wir zeigen, dass die Wahrhaftigkeit von Daten eine Eigenschaft ist, die von keinem der bekannten IT-Infrastruktursicherheitsdienste garantiert wird, und schlagen eine physische, prozessorientierte Methode vor, um nicht vertrauenswürdige Prozessdaten nahezu in Echtzeit zu erkennen und zu orten (Kapitel 5). Schließlich schlagen wir auf der Grundlage der gewonnenen Erkenntnisse ein Modell des Lebenszyklus eines cyber-physisches Angriffs vor und demonstrieren seine Anwendbarkeit am Beispiel der Entwicklung eines Szenarios für dauerhafte wirtschaftliche Schäden in einem Chemiewerk für Vinylacetat (Kapitel 6). Wir schließen die Dissertation mit der Anregung ab, prozessbewusste Sicherheitsmechanismen weiterzuentwickeln, die sich nicht nur auf IT-Sicherheitsansätze beziehen. In den Schlussfolgerungen werden Empfehlungen für die künftige Forschung vorgeschlagen.Cyber-physical systems (CPS) consist of IT or cyber systems "embedded'' in applications in the physical world. They combine sensors, actuators, control units, operator consoles, and communication networks. Some of these systems are critical because they are part of an infrastructure critical for society. Critical infrastructure protection had become a high profile topic in the last decade, partly because the use of the Internet and commodity hardware and software have exposed the industry to security threats from which it has historically been isolated, and partly because the potential impact of attacks on critical infrastructures can no longer be ignored. Cyber attacks on physical systems are called cyber-physical attacks. The implications of this class of attacks, namely the ability to inflict physical damage, is the main difference that puts them apart from conventional cyber attacks. In this thesis we show that the security concepts from the IT domain are not sufficient to describe the security needs of cyber-physical systems nor are the defenses effective against cyber-physical attacks. We therefore propose to treat the cyber part of a cyber-physical system as a control system and focus on the interfaces between physical space and cyberspace from the attacker perspective. We argue that in the CPS domain defence-in-depth has to be extended to the level of the physical process itself. This thesis consists of four parts. In the first part we address the challenge of lacking realistic large-scale test beds for studying cyber attacks and their effects on physical processes. We present two models of continuous processes, Tennessee Eastman and Vinyl Acetate Monomer, which we enhanced and instrumented with capabilities to conduct cyber-physical security research (Chapter 3). In the second part, using an example of DoS attacks on sensor and actuator signals, we demonstrate that canonical IT security measures for communication infrastructure are insufficient to defend against attacks which take advantage of control system properties (Chapter 4) In the third part we introduce a data security property called veracity or trustworthiness. We illustrate that data veracity is not a property guaranteed by any of the familiar IT infrastructure security services and propose a physical process-aware method to detect and locate non-veracious process data in near-real time (Chapter 5). Lastly, based on the knowledge gained, we propose a model of the cyber-physical attack life cycle and illustrate its applicability on the example of designing persistent economic damage scenario in a Vinyl Acetate Monomer chemical plant (Chapter 6). We conclude the thesis with the encouragement to further develop process-aware cyber security mechanisms that do not solely rely on IT security approaches. Directions for future research are outlined in the conclusions.enhttps://creativecommons.org/licenses/by/4.0/InformatikPhysikDoctoral Thesis10.15480/882.491310.15480/882.4913Freiling, FelixFelixFreilingPhD Thesis