-
Die vorliegende Erfindung betrifft Verfahren für ein Kommunikationsnetzwerk nach Anspruch 1 sowie eine elektronische Kontrolleinheit.
-
Auf Basis der physikalischen Schicht Ethernet und dem darüber liegenden Internetprotokoll (IP) finden Techniken in Kommunikationsnetze von Fahrzeugen Einzug, die im Rahmen informationstechnischer Systeme schon weit verbreitet sind. Insbesondere im Hinblick auf einen zunehmenden Einsatz der Protokolle Ethernet und Internetprotokoll besteht der Bedarf an weiteren Sicherheitsmechanismen, um Fremdzugriffe unterbinden zu können. Aufgrund wachsender Anwendung von Funktechnologien sowie damit in Zusammenhang stehender offener und standardisierter Protokolle besteht damit im Automobilbereich im Wesentlichen erstmals die Möglichkeit, auf die Kommunikationsnetze eines Fahrzeugs per Fernzugriff zuzugreifen. Beispielsweise wurden Zugriffe auf Fahrzeuge bekannt, bei denen es Angreifer über Funk geschafft haben, sich Zugriff auf ein Fahrzeug zu verschaffen und somit wichtige Fahrzeugfunktionen zu beeinflussen. Andere Industriezweige haben Probleme und Lösungen, welche sich nicht auf das Automobil übertragen lassen, da beispielsweise bei einem Arbeitsplatzrechner eine Firewall schon mit in dem System bereits vorhandenen Daten arbeitet und nicht, wie für Fahrzeuge gefordert, on-the-fly. Zudem können Arbeitsplatzrechner wesentlich einfacher einer Aktualisierung der Sicherheitssoftware unterzogen werden als eine Software im Automobil.
-
Ein Kommunikationspaket gemäß dem Stand der Technik umfasst üblicherweise Header übergeordneter Schichten eines Protokollstapels einer Sendeeinrichtung. Ein Protokollstapel einer Empfangseinrichtung wird bei Empfang dieses Kommunikationspakets schrittweise vorgehen und dieses mittels vorher definierter Filter untersuchen, um die übertragenen Daten beispielsweise einer entsprechenden Softwareanwendung weiterzuleiten. Zum Beispiel wird ein TCP/IP-Stapel in einem Steuergerät von einem Kommunikationspaket, wie einer Ethernet-Nachricht, durchlaufen und auf der Basis der Analyse des Inhaltes an die entsprechende Applikation geleitet.
-
Die Komplexität von Protokollstacks steigt mit der Anzahl verwendeter Protokolle erheblich an. Beispielsweise umfasst Audio/Video Bridging (AVB) zur Übertragung und Wiedergabe von Audio- und Videodaten vier Subprotokolle und Time-Sensitive Networking (TSN) sogar elf Subprotokolle und umfangreiche Spezifikationen. Nachteilig hierbei ist, dass damit keine einfache Nachweisbarkeit für einen deterministischen Protokollstack gegeben ist, da sich aufgrund der Vielzahl verwendeter Protokolle eine sehr große Anzahl an Möglichkeiten der Verzweigung ergeben, die nicht einfach dargestellt werden können. Somit bestehen erhebliche Probleme, vorhandene Sicherheitslücken eines Protokollstacks festzustellen. Fraglich ist beispielsweise, wie vorgegangen werden soll, wenn beabsichtigt oder unbeabsichtigt ein neuer Ethernettyp verwendet wird, der im Zweifelsfalle zur zentralen Recheneinheit geleitet werden würde, wodurch ein kritischer Systemzustand hervorgerufen werden könnte und die Funktionsfähigkeit eines zugrundeliegenden Systems erheblich eingeschränkt und die Sicherheit von Verkehrsteilnehmern gefährdet werden könnte. Mittels einer Denial of Service-Attacke (DoS), welche gezielt nach Sicherheitslücken eines Protokollstacks sucht, könnte so ein gezielter nichtautorisierter Zugriff über vorher nicht gefundene Sicherheitslücken stattfinden.
-
Die Aufgabe der Erfindung ist es ein Verfahren und eine Vorrichtung bereitzustellen, mittels welchem ein Fahrzeugnetzwerk sicherer gegenüber Fremdzugriffen ausgestaltet werden kann.
-
Diese Aufgabe wird durch das Verfahren gemäß Anspruch 1 und durch die weiteren unabhängigen Ansprüche gelöst.
-
Die Erfindung schlägt ein Verfahren für ein Kommunikationsnetzwerk in einem Kraftfahrzeug vor, wobei für eine Kommunikation in dem Kommunikationsnetzwerk eine Datenübertragung in mindestens einem Kommunikationspfad durchgeführt wird. Das erfindungsgemäße Verfahren umfasst mindestens einen Schritt, bevorzugt mehrere Schritte. Diese Schritte betreffen zumindest eine Bewertung der zur Datenübertragung infrage kommenden Kommunikationspfade hinsichtlich ihres Angriffsrisikos.
-
Das Angriffsrisiko stellt dabei das Risiko dar, welches der Kommunikationspfad hinsichtlich eines Angriffs zur Ausnutzung von Sicherheitslücken hat. Mit anderen Worten ist dies das Risiko des Kommunikationspfads, Opfer eines Angriffs (Cyberangriff / Hackerangriff) eines Dritten zu werden, welcher sich mit seinem Angriff Zugang zu Informationen oder Kontrolle über Steuermechanismen/Regelmechanismen verschafft. Eine derartige Kontrollübernahme von Dritten kann sich im Automobil auf die Sicherheit (safety), insbesondere der Fahrzeuginsassen, auswirken und ist daher zu vermeiden. Dies kann durch die Erfindung erreicht werden.
-
Ein Kommunikationspfad ist im Zusammenhang der Erfindung so zu verstehen, dass ein Pfad mehrere Kommunikationsteilnehmer und eine Verbindung zur Datenübertragung zwischen den Teilnehmern umfasst. Im Kraftfahrzeug können mehrere Kommunikationspfade vorhanden sein die für eine bestimmte Kommunikation bzw. Datenübertragung oder verschiedene Datenübertragungen geeignet ist.
-
Durch die Ermittlung des Angriffsrisikos der verfügbaren Kommunikationspfade können schon vor der Auslieferung des Kraftfahrzeugs bzw. vor der Inbetriebnahme Lücken festgestellt werden, die gegebenenfalls von Dritten für einen Angriff ausgenutzt werden könnten. Damit können die Lücken entweder beseitigt und/oder reduziert werden oder es können Verbindungen zwischen Kommunikationsteilnehmern derart gestaltet werden, dass ein geringes Sicherheitsrisiko für einen Angriff besteht.
-
Bevorzugt ist gemäß einer Weiterbildung der Erfindung für die Datenübertragung in dem Kommunikationspfad mindestens ein Datenübertragungsprotokoll vorgesehen. Gemäß der Weiterbildung werden die zur Datenübertragung infrage kommenden Datenübertragungsprotokolle ebenfalls hinsichtlich ihres Angriffsrisikos bewertet.
-
Insbesondere sind die Datenübertragungsprotokolle beispielsweise als Ethernet, FlexRay, VLAN (Virtual Local Area Network), IP (Internet Protocol), AVB (Audio/Video Bridging), TSN (Time Sensitive Networking) oder SOME/IP (Scalable service-Oriented MiddlewarE over IP) ausgebildet. Durch die zusätzliche Bewertung der Datenübertragungsprotokolle steht eine breitere Datenbasis zur Verfügung, so dass eine bessere Aufdeckung von Lücken und damit eine bessere Sicherheit gegenüber Angriffen erreichbar ist.
-
In einer bevorzugten Weiterbildung betreffen die Schritte des Verfahrens ebenfalls die Auswahl eines Kommunikationspfads und eines Datenübertragungsprotokolls zur Datenübertragung basierend auf der ermittelten Bewertung der zugehörigen Angriffsrisiken und die Durchführung der Datenübertragung mit dem ausgewählten Kommunikationspfad und dem ausgewählten Datenübertragungsprotokoll. Dabei kann die Datenübertragung durch die Bewertungen des Angriffsrisikos so gestaltet werden, dass ein geringes Sicherheitsrisiko für einen Angriff auf das Netzwerk besteht.
-
In vorteilhafter Weise kann durch die Erfindung die Sicherheit eines Fahrzeugnetzwerks erhöht werden, insbesondere ohne finanziellen Mehraufwand. Mit der Nutzung von Ethernet oder anderen Datenübertragungssystemen (wie z.B. FlexRay) im Automobil sind u.a. Mechanismen notwendig, die sich einfache Techniken und gegebene Eigenschaften von Technologien zu Nutze machen, um auf teure Implementierungen und weitere zusätzliche Hardware verzichten zu können. Durch frühzeitigere Erkennung von Angriffen und Fehlverhalten mittels der frühen Analyse der Kommunikationspfade lassen sich Lücken und Fehler vor der Auslieferung des Fahrzeugs erkennen. Das erfindungsgemäße Netzwerksystem ist im Hinblick auf Kosten und Zuverlässigkeit verbessert. Die Testbarkeit des Systems wird durch die Erfindung klarer definiert und dadurch können Testkosten gespart werden. Zudem bietet die Erfindung eine transparente Sicherheitsfunktionalität.
-
In einer bevorzugten Weiterbildung der Erfindung umfasst jeder Kommunikationspfad mehrere Kommunikationsteilnehmer. Die Kommunikationsteilnehmer umfassen dabei besonders bevorzugt mindestens einen Sender und einen Empfänger, zwischen denen eine Kommunikation in Form einer Datenübertragung durchgeführt wird. Gemäß dieser Weiterbildung ist zumindest einer der Kommunikationsteilnehmer, also entweder der Sender oder der Empfänger, Teil des Kommunikationsnetzwerks im Automobil. Bevorzugt ist dieser Teilnehmer dabei im Automobil angeordnet. Der jeweils andere Kommunikationsteilnehmer kann entweder ebenfalls Teil des Kommunikationsnetzwerks sein - und wäre dann ebenfalls im Automobil angeordnet - oder er ist ein externer Teilnehmer, der damit extern positioniert ist. Ein externer Teilnehmer kann z.B. ein extern angeordnetes Steuergerät oder eine Rechnerwolke („Cloud“) sein. Gemäß der Weiterbildung ist der Teilnehmer, welcher Teil des Netzwerkes ist, bevorzugt als eine Steuereinheit (z.B. ECU - electronic control unit) des Kraftfahrzeugs ausgebildet.
-
Insbesondere bevorzugt werden Verbindungen nach außerhalb des Fahrzeugs besonders kritisch analysiert und ggf. bewertet, da externe Kommunikationsteilnehmer durch die bessere Zugänglichkeit einfacher von Dritten zu manipulieren sind und so einen Angriff auf das Fahrzeugnetzwerk erleichtern.
-
In einer weiteren bevorzugten Weiterbildung der Erfindung umfasst das Verfahren bevorzugt als weitere Schritte eine Ermittlung von Schnittstellenparametern von mindestens einem der Kommunikationsteilnehmer und/oder von Konnektivitätsparametern von mindestens einem der Kommunikationsteilnehmer. Besonders bevorzugt werden die ermittelten Parameter jeweils in einer Datenbank oder in einer gemeinsamen Datenbank abgelegt bzw. gespeichert. Die mindestens eine Datenbank kann insbesondere bevorzugt auf einem zentralen Steuergerät oder zentralen Speicher oder in den Steuergeräten der Kommunikationsteilnehmer abgelegt werden. Gemäß einer weiteren bevorzugten Weiterbildung werden die Schnittstellenparameter und/oder Konnektivitätsparameter in einem weiteren Schritt für die Bewertung der Kommunikationspfade hinsichtlich ihres Angriffsrisikos herangezogen.
-
Jeder Kommunikationsteilnehmer weist bevorzugt eine oder mehrere Schnittstellen zur Datenübertragung auf. In einer bevorzugten Weiterbildung der Erfindung umfassen die Schnittstellenparameter zumindest Informationen hinsichtlich der von den Schnittstellen unterstützten und/oder weitergeleiteten Datenübertragungsprotokollen. Bevorzugt kann weiterhin oder alternativ vorgesehen sein, zu ermitteln, ob die Schnittstellen für eine Diagnosefunktion oder eine Ladefunktion (OBD, Powerline...) vorgesehen sind. Bei einer Ladefunktion kann das Fahrzeug (insb. Elektrofahrzeug) über die Schnittstelle mit Strom versorgt werden. Über die Schnittstelle bzw. auf der Stromleitung können insbesondere auch Daten eingekoppelt werden. Weiterhin bevorzugt ist alternativ oder zusätzlich vorgesehen, die Schnittstellen auf ihre Schnelligkeit bezüglich der Datenübertragung hin zu untersuchen.
-
Jeder Kommunikationsteilnehmer weist zudem bevorzugt mehrere Arten auf, sich mit anderen Kommunikationsteilnehmern zu verbinden. In einer bevorzugten Weiterbildung der Erfindung umfassen die Konnektivitätsparameter zumindest Informationen hinsichtlich der Unterstützung von Verbindungstechnologien und/oder Verteilerfunktionalitäten. Die Steuereinheit kann beispielsweise verschiedene Funktechnologien, wie z.B. WLAN oder Bluetooth, unterstützen. Ob die Steuereinheit auf mehrere Busse zugreifen kann, ist Teil des Parameters der Verteilerfunktionalität. Darunter wird ebenfalls ermittelt, ob ein Zugriff auf Switche, Bridges, Router und/oder Gateways möglich ist.
-
Die Parameter werden bevorzugt in einer Datenbank gespeichert, wobei besonders bevorzugt auch Informationen bezüglich der MAC-Adresse und/oder IP-Adresse der Steuereinheit und den mit der Steuereinheit direkt verbundenen weiteren Geräten gespeichert werden.
-
Vorteilhaft wird somit nach dem bisher genannten Verfahren zunächst eine Zustandsanalyse durchgeführt, indem ermittelt wird, welche Kommunikationsteilnehmer vorhanden sind und welche Eigenschaften diese mit sich bringen. Diese Zustandsanalyse wird dann zum Aufdecken von Lücken für mögliche Angriffe einer Risikobewertung unterzogen. Vorteilhaft wird durch die Sammlung bzw. Ermittlung von im Netzwerk gegebenen Parametern eine genaue Analyse des Gefährdungspotentials eines Kommunikationspfads möglich.
-
In einer bevorzugten Weiterbildung der Erfindung werden für die Bewertung des Angriffsrisikos der Datenübertragungsprotokolle ebenfalls Parameter ermittelt und in einer Datenbank abgelegt. Besonders bevorzugt werden dabei insbesondere die Protokollstapel (Protokollstacks) analysiert.
-
In einer bevorzugten Weiterbildung der Erfindung betreffen die ermittelten Parameter der Datenübertragungsprotokolle zumindest die verwendete Frequenz des Datenprotokolls, die Eignung für die Kommunikation mit einer bestimmten Anzahl an Empfängern und/oder die Art der Übertragung.
-
Die Art der Übertragung betrifft dabei z.B. die Richtung der Übertragung, die Synchronisation oder Nicht-Synchronisation, die Stellung der Kommunikationsteilnehmer und/oder die Verbindungsorientierung. Bei einer Verbindungsorientierung sind der Anfang und das Ende einer Verbindung durch spezielle Paketsequenzen definiert. Zudem kann als Parameter der Datenübertragungsprotokolle einbezogen werden, ob es sich um eine paketorientierte Kommunikation oder ein Streaming handelt.
-
In einer bevorzugten Weiterbildung der Erfindung werden die Kommunikationspfade und Datenübertragungsprotokolle unter Heranziehung der jeweils zugehörigen Bewertungen Risikoklassen zugeordnet. Damit wird der Prozess der Entscheidung für oder gegen die Datenübertragung mittels eines Kommunikationspfads und Datenübertragungsprotokolls einfacher gestaltet. Mit anderen Worten kann so einfacher eine Entscheidung getroffen werden, mit welchem Kommunikationspfad und welchem Datenübertragungsprotokoll die Kommunikation stattfinden soll.
-
In einer bevorzugten Weiterbildung der Erfindung werden für die Bewertung des Angriffsrisikos der Kommunikationspfade Informationen zu verschiedenen Angriffsszenarien herangezogen. Diese Informationen sind bevorzugt ebenfalls in einer Datenbank hinterlegt, welche insbesondere in einem Speicher abgelegt ist und nicht ständig aktualisiert wird. Alternativ können die Informationen zu den Angriffsszenarien jedoch auch regelmäßig aktualisiert werden, damit auch neuere Angriffsszenarien berücksichtigt werden können. Die Aktualisierung kann z.B. über Updates von einer externen Datenverbindung erfolgen, bei denen ein Abgleich der Informationen erfolgt. Die Informationen betreffen besonders bevorzugt verschiedene mögliche Angriffsarten und eine Bewertung zum Sicherheitsrisiko für das Automobil bzw. die Insassen. Eine mögliche Angriffsart ist z.B. DoS - Denial of Service, bei dem eine Überlastung durch einen Dritten herbeigeführt wird, welche zum Ausfall einer Funktion oder eines Dienstes führt. Die Bewertung des Kommunikationspfads kann so vorteilhaft auf ein oder mehrere Angriffsszenarien zugeschnitten sein, welche beispielsweise statistisch am häufigsten vorkommen. Alternativ oder zusätzlich können die Informationen zu den verschiedenen Angriffsszenarien auch zur Bewertung der Datenübertragungsprotokolle herangezogen werden.
-
Vorteilhaft wird durch die zuvor beschriebene Vorgehensweise eine detaillierte Analyse durchgeführt bzw. es sind detaillierte Informationen hinterlegt, um eine Bewertung des Angriffsrisikos des Netzwerks so genau wie möglich vornehmen zu können.
-
In einer weiteren bevorzugten Weiterbildung der Erfindung kann vor der Auswahl eines geeigneten Kommunikationspfads und des geeigneten Datenübertragungsprotokolls bestimmt werden, ob die Kommunikation überhaupt stattfinden darf oder ob diese - durch zu hohe Sicherheitsrisiken - unterbunden werden sollte. Zudem können als Reaktion auf eine oder mehrere der Bewertungen auch andere Maßnahmen getroffen werden - nämlich z.B. eine spezielle Konfiguration der Firewall.
-
Das erfindungsgemäße Verfahren wird bevorzugt einmalig am Bandende (nach der Beendigung der Produktion des Automobils), nach einem Software-Update, nach dem Bekanntwerden von Sicherheitslücken oder beim Austausch oder Update eines Teilnehmers des Kommunikationspfads durchgeführt. Somit können vorteilhaft auch Sicherheitslücken nach der Auslieferung an den Endkunden erkannt werden, z.B. wenn ein Austausch von Steuergeräten erfolgt oder ein Software-Update bereitgestellt wurde. Somit ist auch eine erhöhte Angriffssicherheit während des Betriebs des Fahrzeugs durch den Endkunden gegeben.
-
In einer bevorzugten Weiterbildung wird die Bewertung des Angriffsrisikos der Kommunikationspfade mittels eines Algorithmus durchgeführt. Der Algorithmus kann bevorzugt anhand des Angriffsrisikos auch Risikoklassen erstellen und die Kommunikationspfade den Risikoklassen zuordnen. Dafür bezieht der Algorithmus insbesondere eine oder mehrere Datenbanken bezüglich der Parameter der Kommunikationspfade, der Datenübertragungsprotokolle und/oder der Informationen zu verschiedenen Angriffsszenarien in die Auswertung mit ein.
-
Ist für die Datenübertragung ein bestimmter Kommunikationspfad ausgewählt, vorgesehen oder vorgegeben, so kann z.B. über die Bewertung des Angriffsrisikos ein Datenübertragungsprotokoll für die Kommunikation ausgewählt werden, welches eine hohe Sicherheit gegen Angriffe bietet. Auch andersherum ist diese Auswahl möglich. Ist ein Datenübertragungsprotokoll ausgewählt, vorgegeben oder vorgesehen, kann anhand der Bewertung der Kommunikationspfade der Pfad ausgewählt werden, welches eine hohe Sicherheit gegen Angriffe bietet. Ferner kann aus einer Mehrzahl von möglichen Kommunikationspfaden und Datenübertragungsprotokollen die Konstellation ausgewählt werden, welche in dem Zusammenspiel zwischen Kommunikationspfad und Datenübertragungsprotokoll das geringste Sicherheitsrisiko birgt.
-
In einer bevorzugten Weiterbildung der Erfindung wird mindestens eine der Datenbanken, besonders bevorzugt alle Datenbanken bzw. für die Bewertung herangezogenen Daten, in einem sicheren Speicherbereich abgelegt. Insbesondere ist dieser sichere Speicherbereich mit einer Verschlüsselung versehen und somit vor Angriffen geschützt. Der sichere Speicherbereich kann dabei z.B. auf einem zentralen Steuergerät angeordnet sein.
-
Die Erfindung betrifft weiterhin eine elektronische Kontrolleinheit bzw. Steuereinheit für ein Kraftfahrzeugsteuergerät, welches zur Durchführung des Verfahrens ausgebildet ist.
-
Weitere bevorzugte Ausführungsformen ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen anhand von Figuren.
-
In schematischer Darstellung zeigen:
- 1 den Aufbau eines Kommunikationspakets bzw. Stapels,
- 2 eine exemplarische Abbildung eines Softwarestacks,
- 3 ein exemplarisches Beispiel eines komplexen Ethernet/IP Kommunikationsstapels und dessen Verzweigungen,
- 4 ein Ausführungsbeispiel der Erfindung,
- 5 eine beispielhafte Ausgestaltung des erfindungsgemäßen Verfahrens, wobei eine Ermittlung von Konnektivitätsparametern und Schnittstellenparametern eines Steuergeräts dargestellt ist,
- 6 eine beispielhafte Ausgestaltung des erfindungsgemäßen Verfahrens, wobei eine Ermittlung von Parametern zu Datenübertragungsprotokollen dargestellt ist,
- 7 eine beispielhafte Risikobewertung der Protokolle,
- 8 einen Beispielpfad eines kritischen Pfades im Fahrzeug mit Verbindung zu einer Cloud oder anderen externen Einheiten sowie
- 9 Ausführungsbeispiel des erfindungsgemäßen Verfahrens zur Absicherung eines Kommunikationspfades.
-
Um eine kurze und einfache Beschreibung der Ausführungsbeispiele zu ermöglichen, werden gleiche Elemente mit den gleichen Bezugszeichen versehen.
-
Die 1 zeigt den generell bekannten Aufbau eines Kommunikationspakets bzw. Stapels 1. Die Herausforderungen mit dem Einzug von Ethernet und IP (Internet Protocol) liegen u.a. in der Komplexität der neuen Kommunikationsstacks (= Kommunikationsstapel) . Die erstmalige Verschmelzung von der Internet-Welt mit AUTOSAR erfordert viel Initial-Aufwand, da beide Welten ganz unterschiedlich funktionieren (z.B. statisch vs. dynamisch).
-
In 1 ist ein typisches Kommunikationspacket dargestellt. Ein Kommunikationsstapel (= Kommunikationsstack) geht bei Empfang des Pakets schrittweise vor und untersucht das Paket nach bestimmten, vordefinierten Filtern, um sie an den richtigen Empfänger (z.B. eine Anwendung) weiterzuleiten.
-
Das Kommunikationspaket umfasst den eigentlichen Dateninhalt 3 und beispielhaft mehrere Header 2a-d, die verschiedenen Schichten des Softwarestacks (siehe 2) zugeordnet sind. Für jede Schicht des Softwarestacks in ein Header vorgesehen, welche der Schicht des Softwarestacks notwendige Informationen zur Verarbeitung des Kommunikationspakets liefert.
-
2 zeigt eine exemplarische Abbildung eines Softwarestacks 4 in einem Steuergerät. Dargestellt ist beispielhaft ein TCP/IP-Stack 6. Dieser wird von einem Kommunikationspaket (z.B. wie in 1 gezeigt) durchlaufen, wobei das Paket analysiert wird. Auf Basis der Analyse des Inhalts wird bestimmt, an welche Anwendung das Kommunikationspaket weitergeleitet wird.
-
Der dargestellte TCP/IP Stack 6 umfasst mehrere Schichten, hier dargestellt als Bezugsziffern 8, 10 und 12, wobei Schicht 8 als MAC (Media Access Control), Schicht 10 als IP (Internet Protocol) und Schicht 12 als TCP/UDP (Transmission Control Protocol / User Data Protocol) ausgebildet ist. Die Header des Kommunikationspakets (siehe 1) sind jeweils einer dieser Schichten zugeordnet.
-
Die MAC Schicht 8 steht stellvertretend für die Schichten Eins (physical layer) (z.B. mit Header 2a in 1) und Zwei (Bitübertragung) (z.B. mit Header 2b in 1) gemäß des allgemein bekannten OSI-Modells, IP für die dritte Schicht (z.B. mit Header 2c in 1) des OSI-Modells und TCP/UDP für die vierte Schicht (z.B. mit Header 2d in 1) des OSI-Modells. In der Schicht 14 ist die Schicht „Middleware“ abgebildet, was den Schichten Fünf und Sechs des OSI-Modells entspricht (Kommunikationssteuerung und Darstellung). Darüber folgt als siebte Schicht 16 eine Anwendung („Application“-Schicht).
-
Ethernet-Frames, also die Datenpakete 1, werden an den TCP/IP Stack 6 übermittelt. Die Daten- und Verwaltungsinfos 18 einer Schicht (PDUs = Payload Data Unit) kann beispielgemäß von dem TCP/IP Stack 6 an die „Middleware-Schicht“ 14 übertragen werden.
-
3 zeigt ein exemplarisches Beispiel eines komplexen Ethernet/IP Kommunikationsstapels und dessen Verzweigungen. Es wird ersichtlich, dass es vielfältige Möglichkeiten des Inhalts eines Ethernet-Pakets gibt, welche in einem solchen Softwarestack verarbeitet werden müssen. Die Komplexität der Softwarestacks steigt im Automobil mit dem Einzug von Ethernet und IP sehr stark an. Die Nachweisbarkeit für einen deterministischen Softwarestack ist nicht mehr so einfach gegeben, insbesondere durch die vielfältigen Möglichkeiten der Verzweigung.
-
4 zeigt ein Ausführungsbeispiel der Erfindung, bei dem eine Datenbank 20 in einem zentralen Gateway 22 hinterlegt wird oder der zentrale Gateway 22 auf diese Datenbank 20 Zugriff hat. Die Datenbank 20 enthält Informationen, welche durch das erfindungsgemäße Verfahren ermittelt werden. Abzweigend von dem zentralen Gateway 22 sind weitere Gateways (GW) und Steuergeräte bzw. mögliche Kommunikationsparter (als Kästchen gezeichnet) dargestellt, welche über CAN (Control Area Network), LIN (Local Interconnect Network), FlexRay, MOST (Media Oriented Systems Transport), WLAN (Wireless Local Area Network), LVDS (Low Voltage Differential Signaling), Bluetooth oder Ethernet miteinander verbunden sind.
-
Alle diese verschiedenen möglichen Verbindungen werden in dem erfindungsgemäßen Verfahren berücksichtigt, wobei mindestens in einer Datenbank (z.B. 20) Risikobewertungen zu den einzelnen Verbindungsmöglichkeiten abgelegt sind. Die Risikobewertungen geben dabei das Risiko an, von Dritten über die Verbindung Zugriff auf Daten und/oder eine Kontrolle über Steuer-/Regelmechanismen im Fahrzeug zu erhalten. Die Informationen dieser Datenbank 20 werden - z.B. von einem Algorithmus - verwendet, um Kommunikationspfade und Datenübertragungsprotokolle Risikoklassen zuzuordnen. Anhand der Risikoklassen wird dann ausgewählt, welcher Kommunikationspfad in Kombination mit welchem Datenübertragungsprotokoll die Kommunikation bzw. Datenübertragung zwischen mehreren Teilnehmern durchführen soll. Dabei wird bevorzugt eine Kombination aus Kommunikationspfad und Datenübertragungsprotokoll gewählt, welche ein relativ geringes Sicherheitsrisiko aufweisen bzw. bei denen ein relativ geringes Angriffsrisiko festgestellt wurde.
-
5 zeigt ein Ausführungsbeispiel der Erfindung zur Ermittlung von Konnektivitätsparametern und Schnittstellenparametern einer Steuereinheit.
-
Erläuterung der einzelnen Schritte:
- 30: Beginn der Abfrage der Steuergeräte nach Konnektivität und Schnittstellen
- 32: Unterstützt die ECU Funktechnologien wie bspw. WLAN, Bluetooth?
- 33: Anfrage nach MAC-Adresse und IP-Adresse dieses Geräts incl. der Adressen der direkt verbundenen Steuergeräte
- 34: Besitzt die ECU Schnittstellen welche für Diagnose oder das Laden vorgesehen sind (OBD, Powerline...)?
- 35: Anfrage der MAC-Adresse und IP-Adresse dieses Geräts incl. der Adressen der direkt verbundenen Steuergeräte und des Power-Status
- 36: Besitzt die ECU eine Verteilerfunktionalität (Switch, Router, Gateway)?
- 37: Anfrage der IP-Adresse dieses Geräts und der Portzustände und Geschwindigkeiten
- 38: Besitzt die ECU schnelle Schnittstellen wie 100BaseT1, vergleichbar oder schneller?
- 39: Abfrage nach Policing und Rate-Limiting Funktionen
- 40: Ende
-
Beispielsweise kann abgefragt werden, ob die Steuereinheit (ECU) Funkverbindungen wie bspw. WLAN oder Bluetooth unterstützt (Bezugsziffer 32) . Wenn ja, werden die MAC-Adresse und/oder die IP-Adresse des Geräts ermittelt 33 und in einer Datenbank 20 abgespeichert. Bevorzugt werden ebenfalls die Adressen (MAC und IP) der mit der Steuereinheit verbundenen Geräte in der Datenbank 20 gespeichert. Weiterhin kann beispielsweise abgefragt werden, ob die Steuereinheit Schnittstellen aufweist, welche für eine Diagnose oder ein Laden (OBD - On Board Diagnose, PLC - Powerline Communication, ...) geeignet sind 34. Auch hier können wieder die Adressen abgespeichert werden sowie zusätzlich der Power-Status (falls eine Schnittstelle für Powerline Communication vorhanden ist) 35. Der Power-Status kann in diesem Fall die Art sein, wie die Schnittstelle mit Strom versorgt wird, also z.B. von einer externen Batterie oder von einer internen Batterie.
-
Eine weitere beispielgemäße Abfrage kann die Verteilerfunktionalität der Steuereinheit betreffen 36. Wenn die Steuereinheit eine Verteilerfunktionalität hat, kann sie auf verschiedene Busse zugreifen und damit verschiedene Kommunikationsteilnehmer (z.B. Switch, Router, Gateway) erreichen. Neben der Speicherung von IP-Adressen dieser Steuereinheit und der verbindbaren Kommunikationsteilnehmer werden hier bevorzugt auch der jeweilige Zustand der Ports und die möglichen Geschwindigkeiten in der Datenbank 20 abgespeichert 37. Als Zustand der Ports können z.B. die Energiezustände wie „Aus“, „An“, „Energiesparmodus“, „Weckfähig“ usw. vorgesehen sein.
-
Als weitere Abfrage kann beispielsweise vorgesehen sein, die Geschwindigkeit der Schnittstellen zu ermitteln, insbesondere, ob eine schnelle Schnittstelle wie z.B. 100BASE-T1 vorhanden ist, oder nicht 38. Diesbezüglich werden bevorzugt Informationen zu Überwachung (Policing) und Rate-Limiting-Funktionen herangezogen. Im Rahmen einer Rate-Limiting-Funktion wird eine Datenrate bezogen auf eine Zeiteinheit eingestellt. Beim sog. Policing wird dann überwacht, dass die maximale Datenrate pro Zeiteinheit nicht überschritten wird. Falls eine Überschreitung eintritt, z.B. wenn mehr Daten als eingestellt versendet werden, werden diese z.B. verworfen. Die Informationen bzw. Einstellungen zu den genannten Funktionen können als Parameter für die Schnittstellen erfasst 39 und in einer Datenbank 20 gespeichert werden.
-
Die einzelnen Abfrageschritte können dabei in einer Programmier-Schleife durchlaufen werden und Teil eines Algorithmus sein, welcher beispielsweise auf einem zentralen Steuergerät, z.B. Gateway 22, und bevorzugt in einem sicheren Speicherbereit abgelegt ist. Auch die Datenbanken 20 sind bevorzugt in diesem oder einem anderen sicheren Speicherbereich hinterlegt.
-
Bevorzugt werden die in einem Netzwerk eines Fahrzeugs vorhandenen Steuergeräte mittels des o.g. Verfahrens anhand ihrer Konnektivität in Risikoklassen eingeordnet, um wichtige Parameter zu speichern, anhand deren die Zuordnung zu Sicherheitsmechanismen stattfinden wird. Dabei sind diese ECUs entweder mit Funktechnologien ausgestattet oder mit offenen Netzwerkschnittstellen, welche kontaktiert werden können.
-
Daran anschließend kann beispielsweise eine Überprüfung auf die Protokollunterstützung stattfinden. Dies kann einmalig geschehen (Bandende), vor anstehenden Verbindungen nach außen, nach einem Software-Update oder mit Bekanntwerden von Sicherheitslücken in bestehenden Protokollen. Das Verfahren kann dabei zentral ausgelöst werden oder von individuellen ECUs angefragt werden. Steht zum Beispiel der Aufbau eines Kommunikationspfades an und sollen beispielsweise Diagnosedaten von einem Antennenmodul per Funk übertragen werden, so kann das Antennenmodul die jeweiligen Nachbargeräte auf deren Protokollunterstützung prüfen.
-
6 zeigt beispielhaft einen Teil des erfindungsgemäßen Verfahrens und die darin enthaltenen Einzelschritte bzw. Vorgehensschritte des Algorithmus. Die einzelnen Schritte sind: 50: Start der Untersuchung auf Protokollimplementierungen Von jedem Steuergerät 51 wird jede Schnittstelle 52 untersucht, ob bestimmte Protokolltypen 53 unterstützt werden 54 und/oder weitergeleitet werden 55.
-
Schritt 54: Es wird ermittelt, ob die Schnittstelle das Protokoll unterstützt.
-
Schritt 55: Es wird ermittelt, ob die Schnittstelle das Protokoll weiterleitet.
-
Schritt 56: Speicherung von Informationen in einer Datenbank 20, wobei die Informationen z.B. die ECU, die Schnittstelle und den Protokolltyp betreffen.
-
57: Ende des Programmablaufs
-
In 6 sind einige Anmerkungen in der Figur zusätzlich zu den Bezugszeichen aufgeführt, da diese einen Programmablauf darstellen, der durch die Anmerkungen besser zu verstehen ist.
-
Demnach wird für jede ECU und für jede Schnittstelle der ECUs ermittelt, ob verschiedene Protokolltypen unterstützt werden 51-54. Die Protokolltypen werden von dem Algorithmus bevorzugt jeweils einzeln abgefragt 53. Die Ergebnisse werden in einer Datenbank 20 abgespeichert. Dabei ergibt sich bevorzugt eine Tabelle mit der Nennung der ECU, der Schnittstelle und ob der jeweilige Protokolltyp unterstützt wird. Beispielgemäß könnte eine derartige Ergebnistabelle wie in 7 gezeigt, erstellt werden. Die in 7 gezeigte Matrix spiegelt die tatsächliche Implementierung und nicht die Spezifikation wieder. Fehler bei der Implementierung oder auch Lücken können hierdurch identifiziert werden. Zusätzlich kann die Matrix z.B. dem TÜV oder Systemhersteller dienen, um ein Fahrzeug in Richtung Security zu verifizieren und zu prüfen - unabhängig von daraus resultierenden Mechanismen und noch bevor die Auslieferung des Fahrzeugs an den Endkunden erfolgt.
-
8 zeigt beispielsgemäß einen kritischen Pfad 60, der in diesem Fall aus einer externen Verbindung (z.B. Funkverbindung zu einer Cloud) 62 besteht. Externe Verbindungen werden in der Parameteranalyse bevorzugt von vornherein als kritischer eingestuft bzw. bewertet, als ausschließlich interne Verbindungen. Beispielsweise soll eine Datenübertragung in Form eines Softwaredownloads 64 eingeleitet werden, wobei die Software aus der Cloud 62 heruntergeladen werden soll. Ein interner Speicher 66 ist dafür beispielsweise mit einem Gateway 68 (kann identisch sein mit 22) über eine Headunit 70 verbunden und der Gateway 68 über ein WLAN-Verbindungsmodul 72 mit der Cloud 62. Diese Kette aus Kommunikationspartnern 62-72 stellt somit gemäß des Beispiels den Kommunikationspfad 60 dar. Dieser Pfad 60 wird auf sein Angriffsrisiko bewertet, d.h. daraufhin, wie hoch das Risiko ist, Opfer von einem Angriff Dritter zu werden, welcher ggf. die Sicherheit im Fahrzeug gefährden könnte. Dafür werden die einzelnen Kommunikationsteilnehmer 62-72 untersucht auf ihre Konnektivitätsparameter und ihre Schnittstellenparameter. Gleichzeitig wird in die Bewertung bevorzugt einbezogen, wie das Risiko der einzelnen möglichen Datenübertragungsprotokolle ist. Soll dieser Pfad 60 für die Kommunikation gewählt werden und stellt sich heraus, dass das vorgesehene Protokoll bei Betrachtung des Angriffsrisikos des Pfads 60 zu unsicher ist, kann beispielsweise ein anderes Protokoll für die Übertragung der Daten gewählt werden. Alternativ können auch andere, sicherere Pfade für die Kommunikation ausgewählt werden.
-
Dieser in 8 beispielhaft gezeigte Pfad 60 kann durch den Systemdesigner oder Architekten vorgegeben werden und als solcher auch definiert werden oder dynamisch ermittelt werden.
-
Weiterhin kann nach Prüfung der Matrix (7) der Pfad 60 noch zusätzlich auf seine Lücken geprüft werden. So kann es vorkommen, dass ein unkritischer Pfad trotzdem kritisch wird. Beispielsweise können durch ein Fehlverhalten eines Steuergerätes dessen Daten an eine CPU weitergeleitet werden, wodurch ein anderes Steuergerät blockiert wird und zum Erliegen kommt.
-
Beispiel für Komunikationspfad und Parameter:
-
Involvierte Steuergeräte:
-
Antenne, Gateway (incl. Switch), Headunit
-
Protokolle:
-
Ethernet, VLAN, Zeitsynchronisation, IP, TCP, SOME/IP
-
Nachrichtenfrequenz:
-
x/Pakete pro Sekunde Ethernet, x/Pakete pro Sekunde TCP, ... max. Paketgröße
-
Ein Datenstrom, welcher als sicher gilt, kann zur Gefahr werden, wenn statt 10 Datenpaketen pro Sekunde plötzlich 1000 von einer zentralen Recheneinheit verarbeitet werden sollen. Die CPU (können auch mehrere sein) ist deshalb so wichtig, da einkommende Datenpakete immer mit einer hohen Priorität verarbeitet (angenommen und gespeichert) werden. Wenn zu viele Pakete in einer zu hohen Frequenz und Paketgröße eintreffen, so kann die CPU blockiert und damit das Steuergerät gänzlich ausfallen.
-
Steht ein Kommunikationspfad fest, z.B. wie der in 8, so können die involvieren Steuergeräte 62-72 auf dessen Risikoklasse und auf dessen Protokollunterstützung angefragt werden. Mit Hilfe der zur Kommunikation notwendigen Protokolle können so sofort Lücken und/oder Risiken erkannt werden. Beispielsweise wird bei dieser Verbindung der TCP-Datenverkehr zu CPU in der Headunit 70 weitergeleitet. Diese Info liegt der Risikobewertung vor. Noch vor dem Aufbau der eigentlichen Verbindung kann in der Headunit 70, oder schon früher (im Gateway 68) der TCP-Verkehr limitiert werden, also eine maximale Paketdatenrate pro Sekunde festgelegt werden.
-
Weiterhin kann auf Basis der Kommunikationsparameter und der (bereits) erkannten Lücken eine Firewall in der Headunit 70 konfiguriert werden. Dass bedeutet, dass die Filter der Firewall auf diese Kommunikation eingestellt werden bzw. hierauf höhere Priorität gelegt wird.
-
9 zeigt eine mögliche Gesamtansicht des erfindungsgemäßen Verfahrens. Zu Beginn des Verfahrens werden demnach bevorzugt zunächst Abfragen an die einzelnen Kommunikationsteilnehmer hinsichtlich ihrer Schnittstellen und ihrer Konnektivitätsparameter durchgeführt 80. Die Ergebnisse werden in einer Datenbank 20 abgelegt. Weiterhin, z.B. als nächster Schritt, werden die unterstützten Datenübertragungsprotokolle abgefragt 82 und ebenfalls in einer Datenbank gespeichert. Dabei wird auch das Angriffsrisiko der jeweiligen Datenübertragungsprotokolle gespeichert. Da generell verschiedene Typen von Datenübertragungsprotokollen bereits bekannt sind, können die jeweils vorhandenen Angriffsrisiken auch bereits als Informationen in einer Datenbank hinterlegt sein, die dann bei Ermittlung der unterstützen Protokolle herangezogen wird. Die Bewertung des Angriffsrisikos der Datenübertragungsprotokolle findet dann auf Grundlage der hinterlegten Informationen statt.
-
Insgesamt kann eine Risikomatrix 84 (wie in 7 gezeigt) entstehen. Sodann wird der Pfad auf sein Angriffsrisiko bewertet 86. Dies kann mittels eines Algorithmus erfolgen. Anschließend kann aus den unterstützten Datenübertragungsprotokollen das Protokoll für die Kommunikation ausgewählt 88 werden, welches ein relativ geringes Sicherheitsrisiko (Risiko für einen Angriff auf das Netzwerk) aufweist.
-
Anhand der Klassifizierungen kann zudem das Level der möglichen Sicherheitsressourcen bestimmt und zugeteilt werden 90, wodurch während der Entwurfsphase, bei der Bandendeprogrammierung oder bei einer dynamischen und disruptiven Architektur die Informationssicherheit im Netzwerk geplant und implementiert werden kann.
-
Überblick über die Schritte:
- 80: Ermittlung der Konnektivitätsparameter und Schnittstellenparameter der Kommunikationsteilnehmer
- 82: Ermittlung, welche Protokolle unterstützt werden
- 84: Erstellung einer Risikomatrix
- 86: Berechnung/Abfrage des kritischen Pfades
- 88: Analyse der notwendigen Protokolle / Auswahl eines geeigneten Datenübertragungsprotokolls
- 90: Definition der Sicherheitsverfahren
-
Die Speicherung der Datenbanken 20 und/oder des Algorithmus zur Bewertung erfolgt besonders bevorzugt sowohl zentral als auch in jedem einzelnen Steuergerät. Auf Basis der unterstützten und nicht unterstützen Protokolle und dessen Verarbeitung entsteht eine sog. Risikobewertung. Diese Risikobewertung kann dann genutzt werden, um einen Kommunikationspfad zu analysieren und abzusichern. Diese Matrix wird bei der Erstellung eines Kommunikationspfades abgefragt und bei Bedarf werden Aktionen definiert. Die dabei entstehende Matrix spiegelt die tatsächliche Implementierung und nicht die Spezifikation wieder. Fehler bei der Implementierung oder auch Sicherheitslücken können hierdurch identifiziert werden. Zusätzlich kann die Matrix unabhängig von daraus resultierenden Mechanismen dazu dienen, eine Verifizierung und Prüfung eines Fahrzeugs hinsichtlich der Informationssicherheit vorzunehmen.
-
Nach Erkenntnis der Protokollunterstützung kann z.B. eine ECU seine Protokollwahl ändern, da es Probleme auf einem Pfad gibt. Hier können bspw. sicherere Protokolle gewählt werden.
-
Die Datenbanken sind in den vorliegenden Figuren mit der Bezugsziffer 20 versehen. Die einzelnen ermittelten Parameter und Angriffsrisiken können jedoch ebenfalls in getrennten / eigenen Datenbanken gespeichert werden. In diesem Fall liegt dann jeweils eine Datenbank für die Schnittstellenparameter, für die Konnektivitätsparameter, für das Angriffsrisiko der Kommunikationspfade oder Kommunikationsteilnehmer, für das Angriffsrisiko der Datenübertragungsprotokolle und für die Risikoklassen vor.
-
Die Erfindung definiert Mechanismen, um für potentielle Angriffsfunktionen die richtige Softwareverzweigungen auszuwählen. Die Erfindung legt dar, welche Pakete zu welcher Art von Anwendung finden können und welche nicht.
-
Die Erfindung kann Anwendung finden bei der Bandendeprogrammierung und im Systemtest. Weiterhin werden zukünftig immer mehr Software-Updates für das Auto angeboten werden, wodurch neue Funktionen ermöglicht werden. Durch die große Variantenvielfalt bietet sich die Erfindung an, die Softwarestacks im Fahrzeug nach einem Update in der Gesamtheit, als auch partiell zu prüfen und neu zu bewerten. Die Erfindung schlägt ein Verfahren vor, dass diese Regelmechanismen und Möglichkeiten über eine Schnittstelle im Netz konfiguriert und verwertbar macht. Somit wird erkennbar, welche potentiellen Lücken bestehen und ob die Software vorgegebenen Anforderungen genügt. Durch dieses Verfahren kann auch Transparenz geschaffen werden und so das ganze Netzwerk im Hinblick auf Security viel einfacher geprüft, als auch getestet, werden.