Anordnung und Verfahren zum Schutz eines Geräts Die Erfindung betrifft Schutzvorrichtungen für Geräte, beispielsweise elektronische Steuergeräte oder Maschinen, welche Datenkommunikationsschnittstellen (z.B. RS32, USB, Ethernet) aufweisen, die etwa für Diagnose und Service verwendet wer ^¬ den .

Der Zugang zu den Datenschnittstellen derartiger Geräte kann beispielsweise über einen Zugangscode, ein Passwort oder eine zertifikatsbasierte Nutzer-Authentisierung geschützt werden. Dabei muss jedoch der Zugangscode bzw. der kryptographische Authentisierungsschlüssel sicher erzeugt, verteilt und ge ^¬ speichert werden.

Schließzylinder werden nicht nur für das Verschließen und Freigeben von Türen verwendet, sondern auch in Schaltschrän- ken, Serverschränken und als Schlüsselschalter bei elektronischen Geräten. Dabei kann nur ein berechtigter Nutzer, der über den erforderlichen mechanischen Schlüssel verfügt, den Schließzylinder freigeben. Es ist bekannt, eine Zugangs-Berechtigungsinformation an den Zugangscode zu binden, also z.B. zwei unterschiedliche Zu ^¬ gangscodes für Diagnose und Service/Konfiguration zu verwenden. Auch ist bekannt, ein Rolle als Berechtigungsinformation in ein digitales Zertifikat zu codieren, oder eine Berechti- gungsinformation bei einem Berechtigungsserver abzufragen.

Aus dem Dokument "Remote keyless System", erhältlich im Internet am 06.10.2016 unter

https : //en . wikipedia . org/wiki/Remote_keyless_system,

sind Schließsysteme bei Fahrzeugen bekannt, bei denen ein Fahrzeugschlüssel auch eine oder mehrere elektronische Au- thentisierungsfunktionen aufweist . Es sind unterschiedliche mechanische Arten zur Codierung ei ^¬ nes mechanischen Schlüssels und von zugeordneten Schließzylindern bekannt, um eine Manipulation zu verhindern. Auch sind elektronische Schließsysteme bekannt, bei denen ein Schlüssel bzw. ein Zugangstoken kryptographisch authentisiert werden .

Aus dem Dokument "Schließzylinder", erhältlich im Internet am 12.10.2016 unter

https://de.wikipedia.org/wiki/Schlie%C3%9Fzylinder, sind mechatronische Schließzylinder bekannt, welche mit einem me ^¬ chanischen Schlüssel zusammenarbeiten, welcher mit einer Batterie und elektronischen Bauelementen ausgerüstet ist. Der Schlüssel übermittelt dem Schließzylinder einen Code über ei- ne elektrische Verbindung. Der Schließzylinder wird sowohl über die Mechanik des Schlüssels auch über den Code freigege ^¬ ben .

Weiterhin ist eine biometrische Identifikation bzw.

Authentisierung von Personen bekannt. Dazu kann z.B. ein Fingerabdruck, die Stimme, Iris, Retina oder ein Venenmuster ausgewertet werden.

Durch die vorliegende Erfindung soll eine Alternative zum Stand der Technik bereitgestellt werden.

Diese Aufgabe wird durch eine Anordnung zum Schutz eines Ge ^¬ räts gelöst, welche neben einem montierten Gerät eine statio ^¬ näre Einhausung aufweist, welche zum physischen Schutz des Geräts vor unberechtigtem Zugriff eingerichtet ist. Die An ^¬ ordnung umfasst ferner einen Schließzylinder, welcher zur Entriegelung der Einhausung bei Betätigung des Schließzylinders durch einen Schlüssel eingerichtet ist. Die Anordnung ist gekennzeichnet durch eine Sendeeinrichtung, welche zur Übermittlung eines Signals an das Gerät eingerichtet ist, so ^¬ bald die Einhausung entriegelt oder verriegelt wird. Bei dem Verfahren zum Schutz eines Geräts übermittelt eine Sendeeinrichtung ein Signal an ein Gerät, sobald ein Schließzylinder mit einem Schlüssel betätigt wird und eine stationä ^¬ re Einhausung entriegelt oder verriegelt, welche zum physi- sehen Schutz des Geräts vor unberechtigtem Zugriff eingerichtet ist.

Die Einhausung ist stationär in dem Sinn, dass sie relativ zu Ihrer Umgebung ortsfest montiert oder aufgebaut ist. Ein Bei- spiel hierfür ist ein Schaltschrank, welcher innerhalb einer Industriehalle montiert ist, und in dem das Gerät montiert ist .

Die im Folgenden genannten Vorteile müssen nicht notwendiger- weise durch die Gegenstände der unabhängigen Patentansprüche erzielt werden. Vielmehr kann es sich hierbei auch um Vorteile handeln, welche lediglich durch einzelne Ausführungsformen, Varianten oder Weiterbildungen erzielt werden. Die Anordnung und das Verfahren sind in einer industriellen

Einsatzumgebung sehr gut anwendbar und deutlich einfacher als aus der IT-Welt bekannte Verfahren zur Nutzer-Authentisierung und Berechtigungsprüfung. Es entfällt die Gefahr, dass Zugangscodes einem großen Personenkreis bekannt sind, und dass auf einer Vielzahl von Komponenten identische Zugangscodes konfiguriert sind.

Ein vorhandenes mechanisches Schließsystem kann sehr einfach nachgerüstet werden, indem die Sendeeinrichtung beispielswei- se so angeordnet wird, dass sie durch den Schließzylinder be ^¬ tätigt wird, oder indem ein Schließzylinder eingesetzt wird, welcher die Sendeeinrichtung umfasst.

Die Sendeeinrichtung kann eine drahtgebundene oder drahtlose Schnittstelle zur Übermittlung des Signals an das Gerät nut ^¬ zen. Die Anordnung kann zusätzlich auch den Schlüssel umfassen . Die Anordnung und das Verfahren können beispielsweise eines oder mehrere der folgenden Szenarien abdecken.

In einem ersten Szenario wird ein Signal übermittelt, wenn die Einhausung entriegelt wird. Beispielsweise wird ein War ^¬ tungsmodus des Geräts aktiviert oder freigegeben.

In einem zweiten Szenario wird ein Signal übermittelt, wenn die Einhausung verriegelt wird. Beispielsweise wird ein War- tungsmodus des Geräts deaktiviert oder eine Alarmanlage als Gerät scharf geschaltet.

In einem dritten Szenario wird sowohl ein Signal übermittelt, wenn die Einhausung entriegelt wird, als auch dann, wenn die Einhausung verriegelt wird. Es kann sich hierbei auch um unterschiedliche Signale handeln.

Gemäß einer Ausführungsform ruft eine Leseeinrichtung eine Berechtigungsinformation von dem Schlüssel ab, welche auf diesem kodiert ist. Die Sendeeinrichtung oder eine Prüfein- richtung erzeugt das Signal in Abhängigkeit von der Berechti ^¬ gungsinformation oder bildet das Signal aus der Berechti ^¬ gungsinformation . Eine mechanische Manipulation des Schließzylinders mit einem Dietrich, einem Lockpicking-Werkzeug oder einem nachgemachten Schlüssel wird somit erkannt, da die Berechtigungsinformation fehlt. Beispielsweise überprüft ein Prozessor als Prüfeinrichtung die Berechtigungsinformation und sendet das Signal über die Sendeeinrichtung nur dann, wenn die Prüfung erfolgreich war. Ergänzend kann auch ein Fehlersignal gesendet werden, wenn die Prüfung fehlschlägt. Weiterhin kann auch die Berechti- gungsinformation selbst oder eine daraus abgeleitete Informa ^¬ tion als Signal oder zusätzlich zu dem Signal an das Gerät übermittelt werden. Die Prüfeinrichtung ist hierbei beispielsweise ein Mikropro ^¬ zessor oder MikroController, ein System-on-Chip, ein applikationsspezifischer Halbleiterbaustein ("Application Specific Integrated Circuit", ASIC) oder ein programmierbarer Digital- baustein, etwa ein "Field Programmable Gate Array" (FPGA) .

In einer Weiterbildung ruft die Leseeinrichtung als Berechtigungsinformation eine Rolleninformation ab, welche auf dem Schlüssel kodiert ist. Die Sendeeinrichtung übermittelt die Rolleninformation zusätzlich zu dem Signal oder als das Signal an das Gerät. Das Gerät sperrt eine Funktion, insbesonde ^¬ re einen Wartungsmodus, in Abhängigkeit von der Rolleninfor ^¬ mation oder gibt diese frei. Gemäß einer Ausführungsform ist die Berechtigungsinformation mechanisch auf dem Schlüssel kodiert ist. Die Leseeinrichtung tastet die Berechtigungsinformation ab.

In einer Weiterbildung ist die Berechtigungsinformation elektronisch auf dem Schlüssel gespeichert ist. Die Berechti ^¬ gungsinformation ist insbesondere eine kryptographisch geschützte Datenstruktur ist. Die Leseeinrichtung ruft die Berechtigungsinformation drahtlos oder kontaktbasiert von dem Schlüssel ab.

Hierzu kann beispielsweise die RFID-Technologie genutzt wer ^¬ den .

Gemäß einer Ausführungsform überprüft eine Prüfeinrichtung die Berechtigungsinformation.

In einer Weiterbildung wird eine Mechanik von der Prüfeinrichtung angesteuert wird und sperrt eine Rotation eines Kerns des Schließzylinders oder gibt diese frei.

Geeignete Mechaniken sind als Bestandteil mechatronischer Schließzylinder bekannt. Gemäß einer Ausführungsform ist das Signal ein elektrisches Signal. Weiterhin kann das Signal eine Datenstruktur übermit ^¬ teln, welche insbesondere kryptographisch geschützt ist. In einer Weiterbildung speist ein Energiespeicher des Schlüssels die Sendeeinrichtung mit elektrischem Strom.

Gemäß einer Ausführungsform ist das Gerät ein Steuergerät, insbesondere eine speicherprogrammierbare Steuerung. Eine Funktion des Geräts, insbesondere ein Wartungsmodus, wird in Abhängigkeit von dem Signal freigegeben oder gesperrt. Das Gerät ist insbesondere eine Antriebssteuerung, ein Wechsel ^¬ richter, ein Schutzschalter für ein Energienetz, ein Steuergerät eines Medizingerätes, ein Gebäudeautomatisierungssys- tem, eine Alarmanlage oder eine Heizungssteuerung.

Beispielsweise ist das Gerät eine Alarmanlage, welche bei ei ^¬ nem erfolgreichen Entriegeln bzw. Verriegeln eines mechanischen Schlosses durch das Signal scharf oder unscharf ge- schaltet wird. Ein anderes Beispiel wäre ein Steuergerät ei ^¬ nes Kernspintomographen oder Röntgengerätes, dessen Wartungsmodus durch das Signal freigegeben oder gesperrt wird.

In einer Weiterbildung wird das Signal durch eine kryptogra- phische Prüfsumme geschützt. Das Gerät prüft das Signal auf seine Gültigkeit.

Gemäß einer Ausführungsform führen die Sendeeinrichtung und das Gerät eine Challenge-Response-Authentisierung durch, bei der das Signal in Form einer Antwort (Response) abhängig von einem Challenge-Signal bestimmt wird.

Im Folgenden werden Ausführungsbeispiele der Erfindung anhand einer Figur näher erläutert. Es zeigt:

Figur 1 ein Ausführungsbeispiel einer Anordnung zum

Schutz eines Geräts 20. Figur 1 zeigt einen Schaltschrank 10 als Einhausung, in dem sich ein Gerät 20, beispielsweise ein Feldgerät, mit einem Prozessor 21, einem Ein-/Ausgabemodul 22, einer Netzwerkschnittstelle 23, einem Arbeitsspeicher 24, einem Flash- Speicher 25 und einer Wartungsschnittstelle 26 befindet, wo ^¬ bei das Gerät 20 durch den Schaltschrank 10 vor unberechtig ^¬ tem Zugriff geschützt wird.

Der Schaltschrank 10 kann mittels eines mechanischen Zylin- derschlosses 6 verriegelt bzw. geöffnet werden. Das Zylinder- schloss 6 weist hierzu einen Schließzylinder 2 auf, welcher durch einen Schlüssel 1 betätigt wird. Bei entriegeltem Zy- linderschloss 6 stellt eine Sendeeinrichtung 4 dem Gerät 20 ein Freigabesignal bereit.

Die Sendeeinrichtung 4 ist beispielsweise eine drahtlose oder drahtgebundene Schnittstelle mit einem geeigneten elektroni ^¬ schen Baustein. Sie ist beispielsweise im Schaltschrank 10, am Zylinderschloss 6 oder am Schließzylinder 2 angeordnet.

Das Freigabesignal ist beispielsweise ein elektrisches Sig ^¬ nal, eine Datenstruktur oder eine kryptographisch geschützte Datenstruktur. Vorzugsweise ist das Freigabesignal durch eine kryptographische Prüfsumme geschützt. Dabei kann eine Chal- lenge-Response-Authentisierung erfolgen, bei der das Freigabesignal in Form der Response abhängig von einem Challenge- Signal bestimmt wird.

Das Gerät 20 prüft das Freigabesignal auf Gültigkeit. Falls es als gültig erkannt wird, wird die lokale Wartungsschnitt ^¬ stelle 26 (z.B. RS232, USB) und/oder die Netzwerkschnittstel ^¬ le 23 bzw. eine Service-Funktionalität, die über die Netz ^¬ werkschnittstelle 23 zugänglich ist, freigegeben. In einer weiteren Gruppe von Ausführungsbeispielen wird das Freigabesignal in Abhängigkeit von einer Berechtigungsinformation durch die Sendeeinrichtung 4 oder ein Hardware- Sicherheits-Modul 5 bereitgestellt. Die Berechtigungsinforma- tion ist hierbei zunächst auf dem Schlüssel 1 kodiert und wird mittels einer Leseeinrichtung 3 abgerufen.

Wenn die Berechtigungsinformation mechanisch, beispielsweise durch ein Muster von Vertiefungen, auf dem Schlüssel 1 kodiert ist, tastet die Leseeinrichtung 3 dieses Muster ab. Hierzu ist die Leseeinrichtung 3 im Schließzylinder 2 angeordnet. Alternativ kann der Abruf kontaktbasiert oder draht ^¬ los über eine Datenübertragungsschnittstelle erfolgen, wenn die Berechtigungsinformation elektronisch in einem Speichermodul auf dem Schlüssel 1 gespeichert ist. Bei einem drahtlo ^¬ sen Abruf kann die Leseeinrichtung 3 an einem geeigneten Ort im Schaltschrank 10, beispielsweise am Zylinderschloss 6 oder am Schließzylinder 2, angeordnet sein. Als vorteilhaft er- weist sich die Ausgestaltung der Berechtigungsinformation als kryptographisch geschützte Datenstruktur.

In einer Variante überprüft ein Hardware-Sicherheits-Modul 5 die Berechtigungsinformation. Das Hardware-Sicherheits-Modul 5 umfasst hierbei einen Prozessor und ist beispielsweise ein TPM-Chip oder ein Crypto-Controller, welcher nach Prüfung der Berechtigungsinformation eine kryptographisch geschützte Attestierungsinformation als Freigabesignal abhängig von dem aktuellen Schließzustand bereitstellt. Weiterhin können die Leseeinrichtung 3 und die Sendeeinrichtung 4 ebenfalls in dem Hardware-Sicherheits-Modul angeordnet sein.

In einer Variante ist der Schließzylinder 2 ein

mechatronischer Schließzylinder mit einer Mechanik, welche mit dem Hardware-Sicherheits-Modul 5 über eine Steuerleitung verbunden ist, und welche zur Sperrung und Freigabe einer Ro ^¬ tation eines Kerns des Schließzylinders 2 eingerichtet ist.

Alternativ kann die Überprüfung auch entfallen; in diesem Fall leitet die Sendeeinrichtung 4 die durch die Leseeinrichtung 3 abgerufene Berechtigungsinformation unverändert als Signal an das Gerät 20 weiter. Vorteilhafterweise weist in diesem Szenario das Gerät 20 selbst das Hardware-Sicherheits- Modul 5 auf und ist hierdurch in der Lage, eine Authentizität der Berechtigungsinformation zu überprüfen.

Abhängig von dem empfangenen Signal kann das Gerät 20 bei- spielsweise einen Wartungsmodus des Geräts 20 selbst oder ei ^¬ nen Wartungsmodus einer weiteren Maschine freischalten.

Die Berechtigungsinformation kann hierbei auch eine Rolleninformation sein, welche eine aus mehreren Rollen angibt. In diesem Fall kann das Gerät eine Funktion freigeben oder sperren, welche der jeweiligen Rolle entspricht.

Die Leseeinrichtung 3, die Sendeeinrichtung 4 und das Hardware-Sicherheits-Modul 5 können gemeinsam oder räumlich von- einander getrennt und auf unterschiedliche Komponenten ver ^¬ teilt jeweils am Schließzylinder 2, am Zylinderschloss 6 oder im Schaltschrank 10 angeordnet sein. Weiterhin können die Leseeinrichtung 3 und die Sendeeinrichtung 4 auch innerhalb des Hardware-Sicherheits-Modul 5 angeordnet sein, welches seiner- seits auch am oder im Gerät 20 platziert sein kann.

Vorteilhafterweise erfolgt die Stromversorgung der Leseein ^¬ richtung 3, der Sendeeinrichtung 4 und/oder des Hardware- Sicherheits-Moduls 5 durch einen auf dem Schlüssel 1 angeord- neten Energiespeicher. Dadurch ist das System für industrielle Umgebungen anwendbar, bei denen keine Batterien eines Schließzylinders praktikabel getauscht werden können. Statt ^¬ dessen muss der Schlüssel 1 aufgeladen werden, der z.B. von einem Servicetechniker mitgeführt wird oder in einer Zentrale hinterlegt ist.

In einer anderen Variante wird das Signal bei einem erfolg ^¬ reichen Entriegeln bzw. Verriegeln des Schließzylinders 2 an eine Alarmanlage übermittelt. Die Alarmanlage ist hierbei das Gerät 20 oder wird durch dieses angesteuert, und wird durch das Signal scharf bzw. unscharf geschaltet. Dies kann auch für eine spätere Auswertung protokolliert werden. Zumindest einige der zuvor beschriebenen Ausführungsbeispiele bieten den Vorteil, dass ein mechanisches Schließsystem mit einem dafür vorhandenen Schlüsselmanagement wiederverwendet oder angepasst werden kann, um die Berechtigungen eines IT- Systems festzulegen. Dadurch wird der Verwaltungsaufwand re ^¬ duziert. Ein vorhandener mechanischer Schließzylinder kann so für weitere Anwendungen verwendet werden, z.B. zur Freigabe einer Alarmanlage. Es werden keine zusätzlichen Schließsyste ^¬ me benötigt. Weiterhin wird eine mehrfache

Nutzerauthentisierung vermieden (z.B. Öffnen eines Schalt- schranks, Eingabe eines Administrator-Codes) .

Sämtliche Ausführungsbeispiele sind jeweils so zu verstehen, dass als Auslöser das Entriegeln, das Verriegeln oder sowohl das Entriegeln und Verriegeln der Einhausung bzw. des Schalt- schranks 10 ausgewertet werden kann. Das Gerät 20 kann je nach Anwendungsfall eine Funktion freigeben oder alternativ sperren, und dies kann auch individuell in Abhängigkeit einer Rolleninformation für mehrere Funktionen und/oder Geräte gleichzeitig durchgeführt werden.

Selbstverständlich kann anstelle des Schaltschranks 10 auch beliebige andere stationäre Einhausungen eines Geräts 20 zum Einsatz kommen, bis hin zu ganzen Räumen oder Gebäuden, wel- che beispielsweise Großgeräte oder eine Maschinenhalle einhausen. Weiterhin kann das Gerät 20 ein beliebiges Gerät oder eine beliebige Maschine, beispielsweise auch eine Ferti ^¬ gungsmaschine, eine Turbine oder ein beliebiges Steuergerät sein .

Mögliche Beispiele für das Gerät 20 sind ein Steuergerät, ei ^¬ ne speicherprogrammierbare Steuerung (SPS, englisch: "Pro- grammable Logic Controller", PLC) , eine Antriebssteuerung, ein Wechselrichter, ein Schutzschalter für ein Energienetz, ein Steuergerät eines Medizingerätes, ein Gebäudeautomatisie ^¬ rungssystem, eine Alarmanlage oder eine Heizungssteuerung. Obwohl die Erfindung durch die Ausführungsbeispiele im Deta illustriert und beschrieben wurde, ist sie nicht durch die offenbarten Beispiele eingeschränkt. Andere Variationen kön nen vom Fachmann hieraus abgeleitet werden, ohne den Schutz umfang der Erfindung zu verlassen. Die beschriebenen Ausfüh rungsbeispiele, Varianten, Ausführungsformen und Weiterbil ^¬ dungen können auch frei miteinander kombiniert werden.