(19)
(11) EP 3 367 320 A1

(12) EUROPÄISCHE PATENTANMELDUNG

(43) Veröffentlichungstag:
29.08.2018  Patentblatt  2018/35

(21) Anmeldenummer: 17158378.4

(22) Anmeldetag:  28.02.2017
(51) Internationale Patentklassifikation (IPC): 
G06Q 50/06(2012.01)
(84) Benannte Vertragsstaaten:
AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR
Benannte Erstreckungsstaaten:
BA ME
Benannte Validierungsstaaten:
MA MD

(71) Anmelder: Siemens Aktiengesellschaft
80333 München (DE)

(72) Erfinder:
  • Geischläger, Herbert
    2020 Hollabrunn (AT)
  • Hanak, Peter
    1090 Wien (AT)
  • Hochleitner, Kurt
    1210 Wien (AT)
  • Maierhofer, Harald
    2824 Seebenstein (AT)

(74) Vertreter: Maier, Daniel Oliver 
Siemens AG Postfach 22 16 34
80506 München
80506 München (DE)

   


(54) VERFAHREN ZUR STEIGERUNG DER BETRIEBSSICHERHEIT UND ZUGEHÖRIGES SYSTEM


(57) Die Erfindung betrifft auf ein Verfahren zur Steigerung einer Betriebssicherheit eines hierarchischen Systems (ES), insbesondere eines Energiemanagementsystems, sowie das System (ES) zur Durchführung des erfindungsgemäßen Verfahrens. Das System (ES) umfasst dabei zumindest eine zentrale Steuereinheit (TS) sowie eine Vielzahl an in zumindest zwei Hierarchieebenen (H2, H3) organisierten Komponenten (DC1, DC2, DC3, E1,...,E8), welche der zentralen Steuereinheit (TS) untergeordnete Datenkonzentrationseinheiten (DC1, DC2, DC3) sowie jeweils den Datenkonzentrationseinheiten (DC1, DC2, DC3) untergeordnete Endgeräteeinheiten (E1,...,E8) umfassen. Im Betrieb werden zwischen der zentralen Steuereinheit (TS) und den untergeordneten Komponenten (DC1, DC2, DC3, E1,...,E8) Steuerbefehle (ST) und Daten (D) ausgetauscht. Das System (ES) wird von einem unsicheren Ausgangsmodus (LM) stufenweise über zumindest zwei Zwischenmodi (CM, MM) in einen so genannten End-to-End-Sicherheitsmodus (EM) übergeführt. Während einer Überführung kann zumindest ein Teil der Komponenten (DC1, DC2, DC3, E1,...,E8), insbesondere ein Teil der Endgeräteeinheiten (E1,...,E8), in einen unsicheren Betrieb zurückgesetzt bzw. unsicher betrieben werden. Die gegenständliche Erfindung bietet damit den Vorteil die Sicherheit eines bestehenden Systems (ES), welches eine Vielzahl an Endgeräteeinheiten (E1,...,E8) aufweist wie z.B. ein Energiemanagementsystem, kontrolliert und ohne großen Aufwand stufenweise zu steigern.




Beschreibung

Technisches Gebiet



[0001] Die vorliegende Erfindung betrifft ein Verfahren zur Steigerung der Betriebssicherheit eines hierarchischen Systems, insbesondere eines Energiemanagementsystems, sowie ein System zur Durchführung des erfindungsgemäßen Verfahrens. Das hierarchische System besteht dabei aus zumindest einer zentralen Steuereinheit sowie aus einer Vielzahl an in zumindest zwei Hierarchieebenen organisierten Komponenten. Diese Komponenten umfassen der zentralen Steuereinheit untergeordnete Datenkonzentrationseinheiten und jeweils den Datenkonzentrationseinheiten untergeordnete Endgeräteeinheiten. Im Betrieb werden zwischen der zentralen Steuereinheit und den hierarchisch organisierten bzw. den jeweils untergeordneten Komponenten Steuerbefehle und Daten ausgetauscht.

Stand der Technik



[0002] Hierarchisch organisierte Systeme, in welchen zwischen Komponenten beispielsweise Daten und/oder Steuerbefehle ausgetauscht werden, zeichnen sich dadurch aus, dass ausgehend von einer zentralen Einheit bzw. einer zentralen Steuereinheit mehrere untergeordnete Komponenten angesprochen werden. Diese Komponenten können beispielsweise in Hierarchieebenen organisiert sein. Das bedeutet, dass ein Teil der Komponenten von der zentralen Steuereinheit direkte angesprochen wird, und dass von diesem Teil der Komponenten wieder auf eine Mehrzahl von untergeordneten Komponenten zugegriffen wird. Diese Instanzenkette bzw. die Anzahl der Hierarchieebenen kann auf eine beliebige Tiefe erweitert werden.

[0003] Derartige hierarchische bzw. hierarchisch organisierte Systeme sind beispielsweise im Bereich der elektrischen Energieversorgung im Einsatz. Bei dieser Anwendung werden einzelne Verbrauchsstellen wie z.B. Haushalte mit einer Endgeräteeinheit ausgestattet. Die in den Haushalten angebrachten Endgeräteeinheiten können dabei einerseits die an die jeweilige Verbrauchsstelle gelieferte Energiemenge bzw. gegebenenfalls die von der Verbrauchsstelle (z.B. mittels Photovoltaik erzeugte und) in das Niederspannungsnetz eingespeiste Energiemenge messen. Andererseits können die Endgeräteeinheiten auch Schalthandlungen (z.B. Ein- und Ausschalten der gesamten oder eines Teils der Energiezufuhr an die Verbrauchsstelle oder Energieeinspeisung der Verbrauchsstelle) vornehmen.

[0004] Als Endgeräteeinheiten werden meist so genannte intelligente Zähler oder Smart-Meter eingesetzt, welche beispielsweise mit Datenübertragungseinheiten ausgestattet sind, um digitale Daten (z.B. Messdaten, Zählerstände, etc.) an hierarchisch höher angeordnete Instanzen zu übermitteln und/oder um Steuerbefehle von hierarchisch höher angeordneten Instanzen zu empfangen. Als Übertragungsweg wird dabei häufig die so genannte "Powerline Communication" oder PLC eingesetzt, bei welcher die vorhandenen elektrischen Leitungen eines Niederspannungsnetzes für die Datenübertragung genutzt werden.

[0005] Die hierarchisch höher angeordnete Instanz - eine Datenkonzentrationseinheit - ist üblicherweise in einer Transformatorstation angeordnet, von welcher die jeweils angebundenen Verbraucherstellen versorgt werden. Von der Datenkonzentrationseinheit werden die von den einzelnen Endgeräteeinheiten bzw. intelligenten Zählern empfangenen Daten gesammelt und an eine zentrale Steuereinheit (die höchste hierarchische Ebene des Systems) weitergeleitet.

[0006] Ein Datenfluss zum Aussenden von Steuerbefehlen verläuft in dazu entgegengesetzter Richtung. Die Aussendung von Steuerbefehlen beginnt bei der zentralen Steuereinheit und endet üblicherweise bei der jeweils angesprochenen Komponente des hierarchischen Systems, wie beispielsweise bei einer Datenkonzentrationseinheit oder mittels Weiterleitung durch die jeweilige Datenkonzentrationseinheit bei den einzelnen Endgeräteeinheiten bzw. intelligenten Zählern. Mittels der Steuerbefehle können beispielsweise Messdaten von den Endgeräteeinheiten zu bestimmten Zeitpunkten (z.B. Monatswechsel, etc.) abgefragt werden, welche beispielsweise für eine Verrechnung der verbrauchten Energiemenge der einzelnen Verbrauchsstellen herangezogen werden. Weiterhin können z.B. auch Schaltbefehle an die Datenkonzentrationseinheiten und/oder die Endgeräteeinheiten gesendet werden.

[0007] Die Übertragung zwischen der zentralen Steuereinheit und den in den Transformatorstationen angeordneten Datenkonzentrationseinheiten läuft dabei üblicherweise über ein herkömmliches Kommunikationsnetz. Es können entweder drahtgebundene Kommunikationsnetze wie z.B. ein lokales drahtgebundenes Netz (LAN), etc. oder Funknetze zur Datenübertragung (z.B. Wireless LAN, UMTS oder GPRS) für die Übertragung von Steuerbefehlen und Daten eingesetzt werden.

[0008] Die Übertragung der Daten und Steuerbefehle innerhalb des Energiemanagementsystems - insbesondere zwischen der zweiten Hierarchieebene (Datenkonzentrationseinheiten) und der dritten Hierarchieebenen (Endgeräteeinheiten) - erfolgt derzeit weitgehend unsicher bzw. ungesichert. Das bedeutet, dass z.B. eine Übertragung der von den Endgeräteeinheiten an die zentrale Steuereinheit gesendeten Daten nicht vertraulich erfolgt und z.B. Steuerbefehle, die von der zentralen Steuereinheit an die Endgeräteeinheiten gesendet werden, nicht auf Integrität und Authentizität des Absenders geprüft werden. Steuerbefehle und/oder Daten können damit sehr einfach während der Übertragung mitgelesen und/oder manipuliert werden. Weiterhin besteht die Möglichkeit durch beispielsweise gefälschte Steuerbefehle Daten der Endgeräteeinheiten (z.B. Zählerstände, etc.) auszulesen oder zu verändern.

[0009] Für eine Verbesserung der Sicherheit eines bestehenden Energiemanagementsystems können beispielsweise die Endgeräteeinheiten durch entsprechende sichere Endgeräteeinheiten, welche nur schwer auslesbar bzw. manipulierbar sind, ausgetauscht werden. Eine derartige Vorgehensweise ist allerdings sehr aufwendig und kostenintensiv - insbesondere bei bestehenden Energiemanagementsystemen mit einer großen Anzahl an Endgeräteeinheiten bzw. angeschlossenen Zählern. Weiterhin können z.B. bereits montierte und/oder im Einsatz befindliche, intelligente Zähler bzw. Endgeräteeinheiten nicht weiterverwendet werden.

Darstellung der Erfindung



[0010] Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zur Steigerung der Betriebssicherheit in einem System sowie ein zugehörige System zur Durchführung dieses Verfahrens anzugeben, durch welche auf einfache und kontrollierte Weise ausgehend von einem unsicheren Ausgangsmodus des Systems eine Umstellung auf einen sicheren Betrieb ermöglicht wird, wobei die Komponenten des bestehenden Systems weiter genutzt werden können.

[0011] Diese Aufgabe wird durch ein Verfahren sowie durch ein System der eingangs genannten Art mit den Merkmalen gemäß den unabhängigen Patentansprüchen gelöst. Vorteilhafte Ausführungsformen der vorliegenden Erfindung sind in den abhängigen Ansprüchen beschrieben.

[0012] Erfindungsgemäß erfolgt die Lösung der Aufgabe durch ein Verfahren der eingangs erwähnten Art, bei welchem ein hierarchisch organisiertes System bestehend aus zumindest einer zentralen Steuereinheit und in einer Vielzahl von in zumindest zwei Hierarchieebenen organisierten Komponenten von einem unsicheren Ausgangsmodus stufenweise in einen so genannten End-to-End-Sicherheitsmodus übergeführt wird. Dabei kann während einer Umstellung bzw. Überführung des Systems zumindest ein Teil der Komponenten, vor allem ein Teil der Endgeräteeinheiten, bei Bedarf wieder in eine unsichere Betriebsweise zurückgeschaltet oder unsicher betrieben werden.

[0013] Der Hauptaspekt der gegenständlichen Erfindung besteht darin, dass ein bestehendes System kontrolliert und ohne großen Aufwand bzw. ohne Austausch von Komponenten in einen End-to-End-Sicherheitsmodus übergeführt werden kann. Während einer Übergangsphase vom unsicheren Ausgangsmodus zum End-to-End-Sicherheitsmodus besteht immer die Möglichkeit das System gänzlich oder zumindest teilweise unsicher zu betreiben. D.h. im unsicheren Betrieb erfolgt eine Übertragung von Steuerbefehlen und Daten zwischen zentralen Steuereinheit und insbesondere den Endgeräteeinheiten unverschlüsselt sowie ohne Prüfung von Vertraulichkeit und Integrität.

[0014] Ein stufenweiser Übergang von einem unsicheren Betrieb zu einem End-to-End-sicheren Betrieb ist besonders nützlich, wenn für einen End-to-End-Sicherheitsmodus eine Vielzahl an Endgeräteeinheiten vorab mit z.B. neuen Steuermitteln für einen sicheren Betrieb (z.B. Aufspielen und/oder Aktivieren einer neuen Firmware, etc.) versehen werden müssen und weiterhin die Ablauffähigkeit dieser neuen Steuermitteln getestet werden muss. Im Fehlerfall können dann z.B. betroffene Komponenten wieder in den unsicheren Betrieb zurückversetzt werden, welche im Prinzip dem unsicheren Ausgangsmodus entspricht.

[0015] Weiterhin bietet das erfindungsgemäße Verfahren die Möglichkeit, dass insbesondere bei einer Vielzahl an Komponenten in einem bestehenden System ein Aufrüsten der Komponenten für den End-to-End-Sicherheitsmodus schrittweise erfolgen kann. D.h. mit entsprechenden Steuermitteln aufgerüstete Komponenten können dann bereits sicher betrieben werden, während aufzurüstende Komponenten noch wie im unsicheren Ausgangsmodus betrieben werden. Erst wenn alle Komponenten des bestehenden Systems entsprechend aufgerüstet und funktionsfähig sind, wird das System in den End-to-End-Sicherheitsmodus geschaltet.

[0016] Eine zweckmäßige Weiterführung der Erfindung sieht vor, dass für eine stufenweise Überführung des Systems in den End-to-End-Sicherheitsmodus zumindest zwei Zwischenmodi durchlaufen werden. Durch einen Einsatz von zumindest zwei Zwischenmodi kann das System sehr einfach mit Hilfe von definierten Zwischenschritten in den End-to-End-Sicherheitsmodus übergeführt werden. Durch die Zwischenmodi wird weiterhin berücksichtigt, dass bei der Überführung beispielsweise nur ein Teil der Komponenten, insbesondere nur ein Teil der Endgeräteeinheiten, ablauffähige Steuermittel für einen sicheren Betrieb aufweisen. Es kann sehr einfach berücksichtigt werden, dass bei einer Vielzahl an Komponenten, insbesondere an Endgeräten, ein Aufrüsten der Komponenten mit den entsprechenden Steuermitteln für den sicheren Betrieb eine längere Zeitdauer in Anspruch nehmen kann. Durch die Zwischenmodi kann allerdings bereits ein Teil der Komponenten sicher betrieben werden, noch bevor alle Komponenten mit den Steuermitteln für den sicheren Betrieb aufgerüstet sind. Weiterhin kann im Fehlerfall beim Aufrüsten bzw. bei Fehlfunktionen der neuen Steuermittel für den sicheren Betrieb entsprechend reagiert werden.

[0017] Beim sicheren Betrieb des Systems bzw. von Teilen des Systems bzw. der Komponenten wird eine Datenübertragung zwischen der zentralen Steuereinheit und den jeweiligen Komponenten verschlüsselt durchgeführt und Vertraulichkeit und Integrität von zwischen der zentralen Steuereinheit und den jeweiligen Komponenten übertragenen Steuerbefehlen geprüft. Sicher betriebene Komponenten bzw. Systemteile sind daher beispielsweise vor Mitlesen der Daten und/oder Steuerbefehle, vor Manipulationen/Veränderungen und/oder vor Auslesen von Daten der Endgeräteeinheiten durch nicht berechtigte Personen geschützt.

[0018] Weiterhin ist es vorteilhaft, wenn ein erster Zwischenmodus durchlaufen wird, bei welchem von zumindest einem Teil der Komponenten Steuermittel für den sicheren Betrieb aufgewiesen werden, und in welchen alle Komponenten des Systems weiterhin im unsicheren Betrieb wie beim unsicheren Ausgangsmodus betrieben werden. Im ersten Zwischenmodus weist zumindest ein Teil der Komponenten, insbesondere ein Teil der Endgeräteeinheiten, bereits Steuermittel für den sicheren Betrieb auf. Der Betrieb des Systems erfolgt allerdings noch im unsicheren Betrieb. D.h., die Steuerbefehle werden zwar von der zentralen Steuereinheit entsprechend signiert. Diese Signatur wird allerdings auf der Hierarchieebene der Datenkonzentrationseinheiten bzw. von den Datenkonzentrationseinheiten entfernt und die jeweiligen Steuerbefehle ohne Signatur an die untergeordneten Endgeräteeinheiten weitergesendet. Weiterhin werden im ersten Zwischenmodus Daten von den Endgeräteeinheiten unverschlüsselt über die jeweils übergeordneten Datenkonzentrationseinheiten an die zentrale Steuereinheit gesendet.

[0019] Zusätzlich ist es auch günstig, wenn bei der Überführung in den End-to-End-Sicherheitsmodus ein zweiter Zwischenmodus durchlaufen wird, in welchem jener Teil der Komponenten, welcher ablauffähige Steuermittel für den sicheren Betrieb aufweist, sicher betrieben wird. Insbesondere im zweiten Zwischenmodus können Komponenten mit Steuermittel für den sicheren Betrieb bereits sicher betrieben werden. Komponenten, insbesondere Endgeräteeinheiten, welche z.B. erst mit Steuermittel für den sicheren Betrieb aufgerüstet werden müssen oder bei welchen die Steuermittel für den sicheren Betrieb erst aktiviert werden müssen, können im zweiten Zwischenmodus weiterhin unsicher betrieben werden. Das bedeutet, im zweiten Zwischenmodus erfolgt ein Parallelbetrieb von Komponenten mit ablauffähigen bzw. aktivierten Steuermitteln für den sicheren Betrieb und von Komponenten, welche z.B. nur über ablauffähige Steuermittel für den unsicheren Betrieb verfügen, wobei die Komponenten mit ablauffähigen Steuermitteln für den sicheren Betrieb sicher betrieben werden.

[0020] Beim zweiten Zwischenmodus ist der zentralen Steuereinheit bzw. den jeweiligen Datenkonzentrationseinheiten bekannt, welche Endgeräteeinheiten sicher betreibbar sind bzw. welche Endgeräteeinheiten über ablauffähige Steuermittel für einen sicheren Betrieb verfügen. An diese Endgeräteeinheiten werden Steuerbefehle von der zentralen Steuereinheit signiert gesendet und von der jeweiligen Datenkonzentrationseinheit signiert weitergeleitet. Die Daten von diesen sicheren Endgeräteeinheiten werden verschlüsselt über die jeweils übergeordnete Datenkonzentrationseinheit an die zentrale Steuereinheit gesendet. Weiterhin sind den Datenkonzentrationseinheiten die jeweils untergeordneten Endgeräteeinheiten ohne ablauffähige Steuermittel für den sicheren Betrieb bekannt. An diese werden die jeweiligen Steuerbefehle der zentralen Steuereinheit von der zuständigen Datenkonzentrationseinheit weiterhin ohne Signatur weitergeleitet.

[0021] Idealerweise wird im zweiten Zwischenmodus ein Zurücksetzen von sicher betriebenen Komponenten in den unsicheren Betrieb ermöglicht. D.h., dass z.B. im Fehlerfall ein oder mehrere bereits sicher betriebene Komponenten in den unsicheren Betrieb zurückgesetzt werden können, in welchem Steuerbefehle für die Endgeräteeinheiten zumindest von der jeweiligen Datenkonzentrationseinheit ohne Signatur weitergeleitet bzw. Daten von den Endgeräten unverschlüsselt übertragen werden. Im zweiten Zwischenmodus ist jeder Zeit eine parallele Betriebsführung von sicheren und unsicheren Komponenten, insbesondere Endgeräteeinheiten, möglich, wobei die Vorteile des End-to-End-Sicherheitsmodus zumindest bei Komponenten mit fehlerfrei ablauffähigen und aktivierten Steuermitteln für den sicheren Betrieb bereits genutzt werden können.

[0022] Im End-to-End-Sicherheitsmodus wird dann nur mehr ein sicherer Betrieb der Komponenten, insbesondere Endgeräteeinheiten, ermöglicht. Ein Zurücksetzen in einen unsicheren Betrieb einzelner Komponenten, von Teilen der Komponenten oder aller Komponenten des Systems ist dann nicht mehr möglich. Im End-to-End-Sicherheitsmodus weisen daher alle Komponenten und damit auch alle Endgeräteeinheiten ablauffähige und aktivierte Steuermittel für den sicheren Betrieb auf. Eine Übertragung der Steuerbefehle von der zentralen Steuereinheit über die jeweiligen Datenkonzentrationseinheiten an die jeweils untergeordneten Endgeräteeinheiten erfolgt dann nur mehr mit Signatur, um die Integrität des Steuerbefehls überprüfen zu können. Die Daten von den Endgeräteeinheiten werden dann nur mehr verschlüsselt über die jeweiligen Datenkonzentrationseinheiten an die zentrale Steuereinheit gesendet.

[0023] Weiterhin wird die Aufgabe mit einem System zur Durchführung des erfindungsgemäßen Verfahrens gelöst, wobei dieses System hierarchisch mit zumindest zwei Hierarchieebenen organisiert ist. Dabei umfasst das System zumindest eine zentrale Steuereinheit, der zentralen Steuereinheit untergeordnete Datenkonzentrationseinheiten sowie den jeweiligen Datenkonzentrationseinheiten untergeordnete Endgeräteeinheiten. Dabei sind auf den Datenkonzentrationseinheiten und/oder auf den Endgeräteeinheiten für eine Überführung in einen End-to-End-Sicherheitsmodus Steuermittel für einen unsicheren Betrieb und Steuermittel für einen sicheren Betrieb ablauffähig.

[0024] Die Vorteile des erfindungsgemäßen Systems liegen vor allem darin, dass ein unsicher betreibbares Bestandsystem auf einfache Weise und ohne großen Kostenaufwand in ein System überführbar ist, welches in einem End-to-End-Sicherheitsmodus betrieben werden kann. Während der Überführung in den End-to-End-Sicherheitsmodus können für das System ohne Risiko bereits die Vorteile der End-to-End-Sicherheit (Datenverschlüsselung, Prüfung von Vertraulichkeit und Integrität) genutzt werden, da mit Fehlerfall zumindest fehlerhaft funktionierende Komponenten wieder in den unsicheren Betrieb zurückschaltbar sind.

[0025] Es ist weiterhin vorteilhaft, wenn für eine Übertragung von Steuerbefehlen und Daten zwischen der zentralen Steuereinheit und den Datenkonzentrationseinheiten ein Kommunikationsnetz einsetzbar ist. Dabei können beispielsweise drahtgebundene Kommunikationsnetze (z.B. LAN, etc.) oder Funkkommunikationsnetze (z.B. Mobilfunk wie z.B. GPRS, UMTS, Wireless LAN, etc.) zum Einsatz kommen. Für eine Übertragung von Steuerbefehlen und Daten zwischen den jeweiligen Datenkonzentrationseinheiten und den jeweils untergeordneten Endgeräteeinheiten ist idealerweise so genannte Powerline Communication oder PLC im Einsatz, bei welcher die vorhandenen elektrischen Leitungen eines Niederspannungsnetzes für die Datenübertragung genutzt werden. Weiterhin können die genutzte Datenkommunikation auch dazu eingesetzt werden, um die Komponenten, insbesondere die Endgeräteeinheiten, mit den Steuermitteln für den sicheren Betrieb aufzurüsten oder die bereits auf den Komponenten befindlichen Steuermittel für den sicheren Betrieb zu aktivieren und ablauffähig zu machen.

Kurzbeschreibung der Zeichnung



[0026] Die Erfindung wird nachfolgend in beispielhafter Weise anhand der beigefügten Figuren erläutert. Dabei zeigen:
Figur 1
beispielhaft und schematisch eine Aufbau eines hierarchisch organisierten Systems für die Durchführung des erfindungsgemäßen Verfahrens zur Steigerung der Betriebssicherheit
Figur 2
schematisch einen beispielhaften Ablauf des erfindungsgemäßen Verfahrens zur Steigerung der Betriebssicherheit im beispielhaften hierarchisch organisierten System

Ausführung der Erfindung



[0027] Figur 1 zeigt schematisch ein beispielhaftes System ES, welches in mehreren Hierarchieebenen H1, H2, H3 organisiert ist. Das System ES, bei welchem es sich beispielsweise um ein Energiemanagementsystem ES handelt, weist auf einer ersten Hierarchieebene H1 eine zentrale Steuereinheit TS auf. Die zentrale Steuereinheit TS ist beispielsweise zentral bei einem Energieanbieter oder Energienetzbetreiber angebracht. Von der zentralen Steuereinheit TS können beispielsweise für eine zentrale Steuerung (z.B. Fernschaltung, Fernabfrage, etc.) der weiteren Komponenten DC1, DC2, DC3, E1 bis E8 des Systems ES Steuerbefehle an diese Komponenten DC1, DC2, DC3, E1 bis E8 ausgesendet werden bzw. es können von den zentralen Steuereinheit TS Daten D der Komponente DC1, DC2, DC3, E1 bis E8 empfangen, verwaltet und/oder ausgewertet werden. Neben der zentralen Steuereinheit TS umfasst das hierarchische System ES eine Vielzahl an beispielhaft dargestellten Komponenten DC1 bis DC3 bzw. E1 bis E8, welche in weiteren Hierarchieebenen H2, H3 organisiert sind. Dabei wird ein Teil der Komponenten DC1, DC2, DC3 von der zentralen Steuereinheit TS direkt angesprochen. Von diesen Komponenten DC1, DC2, DC3, welche in einer zweiten Hierarchieebenen H2 organisiert sind, wird auf eine große Anzahl an untergeordneten Komponenten E1 bis E8 zugriffen.

[0028] Die Komponenten DC1, DC2, DC3 der zweiten Hierarchieebenen sind im beispielshaft dargestellten Energiemanagementsystem ES beispielsweise als Datenkonzentrationseinheiten DC1, DC2, DC3 ausgeführt, welche üblicherweise in Transformatorstationen angeordnet sind. Die Datenkonzentrationseinheiten DC1, DC2, DC3 sind über ein Kommunikationsnetz wie z.B. ein drahtgebundenes Kommunikationsnetz (z.B. LAN, etc.) oder ein Funkkommunikationsnetz (z.B. Mobilfunknetz wie z.B. GPRS, UMTS, Wireless LAN, etc.) für einen Übertragung und/oder Weiterleitung von Steuerbefehlen ST und Daten D an die zentrale Steuereinheit TS angebunden. Üblicherweise werden von den Datenkonzentrationseinheiten DC1, DC2, DC3 empfangenen Daten D gesammelt bzw. Steuerbefehle ST an die jeweils untergeordneten Komponenten E1 bis E8 weitergeleitet.

[0029] Weiterhin umfasst das hierarchisch System ES den jeweiligen Datenkonzentrationseinheiten DC1, DC2, DC3 untergeordnete Endgeräteeinheiten E1 bis E8, welche in einer dritten Hierarchieebene H3 organisiert sind. Als Endgeräteeinheiten E1 bis E8 sind beim hierarchisch organisierten Energiemanagementsystem ES z.B. intelligente Zähler E1 bis E8 vorgesehen, die bei den jeweiligen Energie-Verbrauchsstellen (z.B. Haushalten, etc.) angeordnet sind. Diese Endgeräteeinheiten bzw. intelligenten Zähler E1 bis E8 weisen Datenübertragungseinheit auf, um digitale Daten D (Messdaten, Zählerstände, etc.) an hierarchisch höhere Instanzen wie z.B. jeweils übergeordnete Datenkonzentrationseinheiten DC1, DC2, DC3 und/oder die zentrale Steuereinheit TS zu übertragen und um der zentralen Steuereinheit TS ausgesendete und von der jeweiligen Datenkonzentrationseinheit DC1, DC2, DC3 weitergeleitete Steuerbefehle ST zu empfangen. Für die Übertragung zwischen den Datenkonzentrationseinheiten DC1, DC2, DC3 und den jeweils untergeordneten Endgeräteeinheiten bzw. Zählern E1 bis E8 werden üblicherweise vorhandene Leitungen eines Niederspannungsnetzes und die so genannten Powerline Communication oder PLC genutzt.

[0030] Weiterhin weisen die Datenkonzentrationseinheiten DC1, DC2, DC3 sowie die Endgeräteeinheiten E1 bis E8 für eine Durchführung des erfindungsgemäßen Verfahrens bzw. für einen Überführung in einen so genannten End-to-End-Sicherheitsmodus EM Steuermittel für einen sicheren Betrieb sowie Steuermittel für einen unsicheren Betrieb auf. Beim so genannten End-to-End-Sicherheitsmodus EM bzw. beim sicheren Betrieb wird die Übertragung von Daten D zwischen der zentralen Steuereinheit TS und den jeweiligen Komponenten DC1, DC2, DC3, E1 bis E8 - vor allem die Übertragung der Daten D der Endgeräteeinheiten E1 bis E8 über die Datenkonzentrationseinheiten DC1, DC2, DC3 an die zentrale Steuereinheit TS - verschlüsselt durchgeführt. Weiterhin werden von der zentralen Steuereinheit TS ausgesendete Steuerbefehle ST von jeweils empfangenen Komponenten DC1, DC2, DC3, E1 bis E8 - insbesondere von fernschaltbaren und/oder fernabfragbaren Endgerätekomponenten E1 bis E8 - auf Vertraulichkeit und Integrität geprüft. D.h. die Übertragung von Steuerbefehlen ST von der zentralen Steuereinheit TS über die weiterleitenden Datenkonzentrationseinheiten DC1, DC2, DC3 zu den Endgeräteeinheiten E1 bis E8 bzw. von Daten von den Endgeräteeinheiten E1 bis E8 über die Datenkonzentrationseinheiten DC1, DC2, DC3 zur zentralen Steuereinheit TS erfolgt im sicheren Betrieb bzw. im End-to-End-Sicherheitsmodus EM geschützt vor Manipulation, Veränderung und Auslesen von Daten D und/oder Steuerbefehlen ST durch unberechtigte Personen.

[0031] Figur 2 zeigt schematisch einen beispielhaften Ablauf des erfindungsgemäßen Verfahrens zur Steigerung der Betriebssicherheit im beispielhaften in Figur 1 dargestellten hierarchisch organisierten System ES. Dabei wird insbesondere die Vielzahl der Endgeräteeinheiten E1 bis E8 und damit das gesamte System ES von einem unsicheren Ausgangsmodus LM stufenweise in den so genannten End-to-End-Sicherheitsmodus EM übergeführt. Bei der stufenweisen Überführung werden zwei Zwischenmodi CM, MM durchlaufen. Die Modi von unsicherem Ausgangsmodus LM über die Zwischemodi CM, MM bis zum End-to-End-Sicherheitsmodus EM sind je Datenzelle - d.h. je Datenkonzentrationseinheit DC1, DC2, DC3 inklusive der jeweils angebundenen, untergeordneten Endgeräteeinheiten/Zähler E1 bis E8 - möglich.

[0032] Zu Beginn des erfindungsgemäßen Verfahrens befindet sich das hierarchische System ES in einem unsicheren Ausgangsmodus LM. Im Ausgangsmodus LM kennen vor allem die Endgeräteeinheiten bzw. Zähler E1 bis E8 keinen Sicherheitsbetrieb bzw. weisen nur Steuermittel für einen unsicheren Betrieb auf. Die Endgeräteeinheiten E1 bis E8 und damit das System ES können daher nur in einem unsicheren Betrieb betrieben werden. Das bedeutet, dass die Übertragung von Steuerbefehlen ST und Daten D ungesichert und nicht vertraulich durchgeführt wird und eine Integrität von Steuerbefehlen nicht geprüft wird.

[0033] Bei einem ersten Übergang U1 vom unsicheren Ausgangsmodus LM in einen ersten Zwischenmodus CM werden beispielsweise die Komponenten DC1, DC2, DC3 bzw. E1 bis E8 - insbesondere die Endgeräteeinheiten E1 bis E8 - mit Steuermitteln für den sicheren Betrieb ausgestattet. Für den ersten Übergang U1 können beispielsweise alte Endgeräteeinheiten E1 bis E8 durch neue Endgeräteeinheiten E1 bis E8 ersetzt, welche neben Steuermittel für den unsicheren Betrieb auch Steuermittel für den sicheren Betrieb aufweisen. Alternativ oder zusätzlich können auch bestehende, im System ES bereits installierte Endgeräteeinheiten E1 bis E8 mit einer neuen so genannten Firmware ausgestattet werden, welche Steuermittel für den sicheren Betrieb umfasst. Im ersten Zwischenmodus CM ist den Datenkonzentrationseinheiten DC1, DC2, DC3 des Systems ES außerdem der sicherer Betrieb bekannt. Die Endgeräteeinheiten E1 bis E8 werden allerdings im ersten Zwischenmodus weiterhin im unsicheren Betrieb betrieben. Das bedeutet, dass im ersten Zwischenmodus CM von der zentralen Steuereinheit TS ausgesendete Steuerbefehle ST bereits mit einer Signatur für die Prüfung von Vertraulichkeit und Integrität ausgesendet werden. Diese Signatur wird allerdings auf der zweiten Hierarchieebene H2 von den Datenkonzentrationseinheiten DC1, DC2, DC3 entfernt. Die Steuerbefehle ST werden dann ohne Signatur an die Endgeräteeinheiten E1 bis E8 weitergeleitet. Weiterhin werden im ersten Zwischenmodus CM Daten D von den Endgeräteeinheiten E1 bis E8 unverschlüsselt an die zentrale Steuereinheit TS gesendet. Ein Rücksetzen R1 vom ersten Zwischenmodus CM in den Ausgangsmodus LM ist nach Aufrüsten der jeweiligen Endgeräteeinheiten E1 bis E8 mit den Steuermitteln für den sicheren Betrieb nicht möglich.

[0034] Bei einem zweiten Übergang U2 vom ersten Zwischenmodus CM zu einem zweiten Zwischenmodus MM werden bei jenen Endgeräten E1 bis E8, welche bereits Steuermittel für den sicheren Betrieb aufweisen, die Steuermittel für den sicheren Betrieb aktiviert. Der zweite Übergang U2 in den zweiten Zwischenmodus MM wird beispielsweise durchgeführt, wenn ca. 70 bis 80% der Endgeräteeinheiten E1 bis E8 mit der entsprechenden Firmware aus- bzw. aufgerüstet sind. Mit der Aktivierung weisen die entsprechenden Endgeräteeinheiten E1 bis E8 ablauffähige Steuermittel für den sicheren Betrieb auf und können sicher betrieben werden.

[0035] Im zweiten Zwischenmodus MM ist der zentralen Steuereinheit TS und den Datenkonzentrationseinheiten DC1, DC2, DC3 bekannt, welche der jeweils untergeordneten Endgeräteeinheiten E1 bis E8 über aktivierte bzw. ablauffähige Steuermittel für den sicheren Betrieb verfügen. Die Aktivierung der Steuermittel für den sicheren Betrieb auf den Endgeräteeinheiten E1 bis E8 wird beispielsweise durch einen entsprechenden Steuerbefehl ST der zentralen Steuereinheit TS getriggert. Das Aufrüsten der Endgeräteeinheiten E1 bis E8 mit neuer Firmware erfolgt im Energiemanagementsystem ES üblicherweise mittels PLC über das Niederspannungsnetz. Die entsprechend aufgerüsteten Endgeräteeinheiten E1 bis E8 melden sich dann beispielsweise bei der jeweils übergeordneten Datenkonzentrationseinheit DC1, DC2, DC3 an. An diese Endgeräteeinheiten E1 bis E8 werden von der zentralen Steuereinheit die Steuerbefehle ST signiert gesendet und von der jeweiligen Datenkonzentrationseinheit DC1, DC2, DC3 signiert weitergeleitet. Eine Datenübertragung von diesen sicher betriebenen Endgeräteeinheiten E1 bis E8 wird dann verschlüsselt durchgeführt, wobei für die Verschlüsselung der Daten z.B. ein so genannter Elliptic Curve Diffie-Hellman-(ECDH-)-Algorithmus verwendet wird.

[0036] Weiterhin sind den Datenkonzentrationseinheiten DC1, DC2, DC3 die jeweils untergeordneten Endgeräteeinheiten ohne ablauffähige Steuermittel für den sicheren Betrieb bekannt. An diese werden die jeweiligen Steuerbefehle der zentralen Steuereinheit von der zuständigen Datenkonzentrationseinheit weiterhin ohne Signatur weitergeleitet.

[0037] Im zweiten Zwischenmodus MM erfolgt daher ein Parallelbetrieb von sicher betriebenen Endgeräteeinheiten E1 bis E8 und unsicher betriebenen Endgeräteeinheiten E1 bis E8, welche entweder erst mit Steuermittel für den sicheren Betrieb ausgerüstet werden müssen oder deren Steuermittel für den sicheren Betrieb erst aktiviert werden müssen oder bei welchen die Steuermittel für den sicheren Betrieb nicht fehlerfrei funktionieren. Weiterhin kann im zweiten Zwischenmodus MM über ein Rücksetzen R2 das System ES oder Teile des Systems ES - z.B. eine bestimmte Datenkonzentrationseinheit DC1, DC2, DC3 mit den zugehörigen Endgeräteeinheiten E1 bis E8 - wieder in den ersten Zwischenmodus CM und damit in den unsicheren Betrieb zurückgesetzt werden.

[0038] Erst wenn alle Endgeräteeinheiten E1 bis E8 des Systems ES über ablauffähige Steuermittel für den sicheren Betrieb verfügen und ein fehlerfreier Ablauf der Steuermittel für den sicheren Betrieb sichergestellt ist, wird in einem dritten Übergang U3 das System ES vom zweiten Zwischenmodus MM in den End-to-End-Sicherheitsmodus EM umgeschaltet. D.h. die Endgeräteeinheiten E1 bis E8 sind nur mehr im sicheren Betrieb betreibbar und die Datenkonzentrationseinheiten DC1, DC2, DC3 werden im dritten Übergang U3 ebenfalls auf den End-to-End-Sicherheitsmodus EM umgeschaltet.

[0039] Im End-to-End-Sicherheitsmodus EM ist damit nur mehr ein sicherer Betrieb des Systems ES und der Komponenten DC1, DC2, DC3 bzw. E1 bis E8) möglich. Ein Zurücksetzen R3 in einen unsicheren Betrieb einzelner Komponenten bzw. in den zweiten Zwischenmodus MM ist dann nicht mehr möglich. Die Übertragung der Steuerbefehle ST von der zentralen Steuereinheit TS über die jeweiligen Datenkonzentrationseinheiten DC1, DC2, DC3 an die jeweils untergeordneten Endgeräteeinheiten E1 bis E8 erfolgt im End-to-End-Sicherheitsmodus EM nur mehr mit Signatur, um Vertraulichkeit und Integrität der Steuerbefehle ST überprüfen zu können. Die Daten D von den Endgeräteeinheiten werden nur mehr mittels Verschlüsselung durch z.B. den so genannten Elliptic Curve Diffie-Hellman-(ECDH-)-Algorithmus über die jeweiligen Datenkonzentrationseinheiten DC1, DC2, DC3 an die zentrale Steuereinheit TS übertragen.


Ansprüche

1. Verfahren zur Steigerung einer Betriebssicherheit eines hierarchischen Systems (ES), insbesondere eines Energiemanagementsystems, welches zumindest eine zentralen Steuereinheit (TS) und eine Vielzahl an in zumindest zwei Hierarchieebenen (H2, H3) organisierten Komponenten (DC1, DC2, DC3, E1,...,E8) umfasst, wobei das System (ES) als Komponenten (DC1, DC2, DC3, E1,...,E8) der zentralen Steuereinheit (TS) untergeordnete Datenkonzentrationseinheiten (DC1, DC2, DC3) und jeweils den Datenkonzentrationseinheiten (DC1, DC2, DC3) untergeordnete Endgeräteeinheiten (E1,...,E8) aufweist, und wobei im Betrieb des Systems (ES) zwischen der zentralen Steuereinheit (TS) und den untergeordneten Komponenten (DC1, DC2, DC3, E1,...,E8) Steuerbefehle (ST) und Daten (D) übertragen werden, dadurch gekennzeichnet, dass das System (ES) von einem unsicheren Ausgangsmodus (LM) stufenweise in einen so genannten End-to-End-Sicherheitsmodus (EM) übergeführt wird, wobei während einer Überführung zumindest ein Teil der Komponenten (DC1, DC2, DC3, E1,...,E8), insbesondere der Endgeräteeinheiten (E1,...,E8), in einen unsicheren Betrieb zurückgeschaltet und unsicher betrieben werden kann.
 
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass für eine stufenweise Überführung des Systems (ES) in den End-to-End-Sicherheitsmodus (EM) zumindest zwei Zwischenmodi (CM, MM) durchlaufen werden.
 
3. Verfahren nach einem der Ansprüche 1 bis 2, dadurch gekennzeichnet, dass bei einem sicheren Betrieb (EM) eine Datenübertragung zwischen der zentralen Steuereinheit (TS) und den jeweiligen Komponenten (DC1, DC2, DC3, E1,...,E8) verschlüsselt durchgeführt und Vertraulichkeit wie Integrität von zwischen der zentralen Steuereinheit (TS) und den jeweiligen Komponenten (DC1, DC2, DC3, E1,...,E8) übertragenen Steuerbefehlen (ST) geprüft wird.
 
4. Verfahren nach einem der Ansprüche 1 bis 3 dadurch gekennzeichnet, dass bei der Überführung in den End-to-End-Sicherheitsmodus (EM) ein erster Zwischenmodus (CM) durchlaufen wird, bei welchem von zumindest einem Teil der Komponenten (DC1, DC2, DC3, E1,...,E8) Steuermittel für den sicheren Betrieb aufgewiesen werden, und in welchen alle Komponenten (DC1, DC2, DC3, E1,...,E8) des Systems (ES) weiterhin im unsicheren Betrieb betrieben werden.
 
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass bei der Überführung in den End-to-End-Sicherheitsmodus (EM) ein zweiter Zwischenmodus (MM) durchlaufen wird, in welchem der Teil der Komponenten (DC1, DC2, DC3, E1,...,E8), welcher ablauffähige Steuermittel für den sicheren Betrieb aufweist, sicher betrieben wird.
 
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass im zweiten Zwischenmodus (MM) ein Zurücksetzen von sicher betriebenen Komponenten (DC1, DC2, DC3, E1,...,E8) in den unsicheren Betrieb ermöglicht wird.
 
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass im End-to-End-Sicherheitsmodus (EM) nur mehr der sichere Betrieb der Komponenten (DC1, DC2, DC3, E1,...,E8) ermöglicht wird, wobei alle Komponenten (DC1, DC2, DC3, E1,...,E8) des Systems ablauffähige Steuermittel für den sicheren Betrieb aufweisen.
 
8. System zur Durchführung eines Verfahren nach den Ansprüchen 1 bis 7, wobei das System (ES) hierarchisch organisiert ist und zumindest umfasst:

- eine zentrale Steuereinheit (TS)

- der zentralen Steuereinheit (TS) untergeordnete Datenkonzentrationseinheiten (DC1, DC2, DC3) und

- den jeweiligen Datenkonzentrationseinheiten (DC1, DC2, DC3) untergeordnete Endgeräteeinheiten (E1,...,E8), wobei auf den Datenkonzentrationseinheiten (DC1, DC2, DC3) und/oder auf den Endgeräteeinheiten (E1,...,E8) für eine Überführung in einen End-to-End-Sicherheitsmodus (EM) Steuermittel für einen unsicheren Betrieb und Steuermittel für eine sicheren Betrieb ablauffähig sind.


 
9. System nach Anspruch 8, dadurch gekennzeichnet, dass einen Übertragung von Steuerbefehlen (ST) und Daten (D) zwischen der zentralen Steuereinheit (TS) und den Datenkonzentrationseinheiten (DC1, DC2, DC3) über ein Kommunikationsnetz erfolgt, und dass für eine Übertragung von Steuerbefehlen (ST) und Daten (D) zwischen den jeweiligen Datenkonzentrationseinheiten (DC1, DC2, DC3) und den jeweils untergeordneten Endgeräteeinheiten (E1,...,E8) so genannte Powerline Communication oder PLC im Einsatz ist.
 




Zeichnung







Recherchenbericht









Recherchenbericht