Agiles Cyber Security Testing für Motorsteuerung

Der Grundstein für die Zertifizierung nach IEC 62443

Die Herausforderung

Cyber Security und damit einhergehende Zertifizierungen werden in mehr und mehr vernetzten Infrastrukturen unerlässlich. Die Gefahr von Cyber-Attacken für Unternehmen steigt; Verlust von Daten oder Manipulation vernetzter Systeme können erhebliche Schäden verursachen.

MAN Energy Solutions

Die MAN Energy Solutions SE ist weltweit führender Anbieter von Großdiesel- und Gasmotoren sowie Turbomaschinen. Das Portfolio umfasst Zwei- und Viertaktmotoren für maritime und stationäre Anwendungen ebenso wie Turbolader und Propeller, Gas- und Dampfturbinen, Kompressoren und chemische Reaktoren.

Wie wir geholfen haben

Das neue Motorsteuerungssystem der MAN Energy Solutions macht Schiffe zukunftssicher. XITASO hat dazu beigetragen, die Sicherheitsüberprüfung der Steuerung mit Nachweis der Sicherheitsstufe SL1 als Grundlage für die Zertifizierung nach IEC 62443 sowie der Marine Anforderungen IACS UR E27 zu entwickeln.

  • Spezifikation, Durchführung und Dokumentation von Security Tests an bestehenden Security Konzepten
  • Aufdecken und Beheben möglicher unabsichtlicher oder zufällig auftretender Bugs im bestehenden Security Konzept
  • Erstellen eines Simulators mit zugehörigem Testcode ermöglicht Reproduktion der benötigten Tests

Technologien

Kali Linux OpenVAS Wireshark boofuzz MTF-Storm Python

SaCoS 5000 Motorsteuerung

Die MAN Energy Solutions hat das neue Motorsteuerungssystem SaCoS 5000 entwickelt, um die Robustheit und digitalen Funktionalitäten seines Vorgängers weiter zu verbessern. Mit Unterstützung von XITASO und unserer Expertise im Bereich IT-Security und Security Research konnten Sicherheitslücken im System geschlossen werden, die dazu führen können, Schiffe manövrierunfähig zu machen.

SaCoS 5000 macht Schiffe zukunftssicher, indem es die Leistung und Effizienz des Motors verbessert, fortschrittliche MAN CEON-Datendienste und lokale Datenprotokollierung bereitstellt und Cybersicherheit durch Design bietet.

Weiterhin verfügt die SaCoS 5000 über integrierte Cybersicherheit und nachrüstbare Lösungen, die Reedern und Betreibern dabei helfen, ihre Schiffe im bestmöglichen Betriebszustand zu halten.

Die XITASO Cyber Security Experts haben in iterativer Zusammenarbeit mit Spezialist*innen der MAN Energy Solutions Security Tests an bestehenden Security Konzepten an bestehender OT-Hardware spezifiziert, durchgeführt und dokumentiert, um das Erfüllen der Sicherheitsstufe SL1 nachzuweisen.

Anhand des bestehenden Master Validation Plans von MAN Energy Solutions sollten Security Tests mögliche Bugs, sowie unabsichtliche und zufällig auftretende Fehler aufdecken. So wurde die Steuerung z.B. an verschiedenen Eingabeschnittstellen immer wieder mit Zufallsdaten beschickt (Fuzzing Test) oder auf potentielle Angriffe von außen geprüft (Vulnerability Test).

„Geplant war nur ein einzelnes Testverfahren. Durch die agile und effiziente Arbeitsweise von XITASO konnten wir in der vorgegebenen Zeit wesentlich mehr erreichen als geplant oder erwartet. Wir haben eindeutig mehr bekommen, als wir angefragt haben.”

Jürgen Ammer

MAN Energy Solutions

Der Entwicklungsprozess

Dank engem Austausch und kurzer Feedbackzyklen ist im Laufe des Projektes wesentlich mehr entstanden: Vor Ort wurde eine virtuelle Umgebung geschaffen und eine Testinfrastruktur aufgebaut. Von der Verfeinerung der Testspezifikation, über das Aufsetzen der Testinfrastruktur bis hin zur konkreten Ausgestaltung und Parametrisierung der Testläufe, u.a. beim Fuzzing, hat XITASO das Team der MAN Energy Solutions professionell beraten und begleitet.

Neben den erforderlichen Tests sind weitere Spezifikationen abgefragt und getestet worden, auch Re-Tests konnten durchgeführt werden. Mit dem entstandene Simulator und mit Hilfe des entwickelten Testcodes können die Expert*innen der MAN Energy Solutions notwendige Tests reproduzieren und wiederholen.

Mit dem Simulator lässt sich prüfen, ob eventuelle auftretende Fehler gefixt wurden oder ob nochmal nachjustiert werden muss. Die Steuerung kann auf Sicherheit überprüft werden.

Dank der Unterstützung von XITASO sind die Tests für den Security Level 1 gemäß IEC 62443 der Steuerung erfolgreich abgeschlossen, der Grundstein für die Zertifizierung ist gelegt. Das XITASO Forschungsteam ergründet bereits die Auswirkung der nächsten Generation kryptographischer Verfahren: sie entwickeln Methoden, um existierende Systeme mit quantensicheren Kryptographieverfahren zu versehen, um so eine kosteneffektive und schnelle Migration von Altsystemen zu ermöglichen.

Weitere Projekte

Sie interessieren sich für ein Projekt, eine Leistung oder haben eine sonstige Frage?

Michael Damböck

Tel. +49 821 885 882 888
michael.damboeck@xitaso.com