DE102015223152A1 - Schutzvorrichtung, Sicherheitssystem und Schutzverfahren - Google Patents

Schutzvorrichtung, Sicherheitssystem und Schutzverfahren Download PDF

Info

Publication number
DE102015223152A1
DE102015223152A1 DE102015223152.6A DE102015223152A DE102015223152A1 DE 102015223152 A1 DE102015223152 A1 DE 102015223152A1 DE 102015223152 A DE102015223152 A DE 102015223152A DE 102015223152 A1 DE102015223152 A1 DE 102015223152A1
Authority
DE
Germany
Prior art keywords
data
protection
security
protective function
electrical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102015223152.6A
Other languages
English (en)
Inventor
Rainer Falk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102015223152.6A priority Critical patent/DE102015223152A1/de
Priority to EP16790302.0A priority patent/EP3347851A1/de
Priority to PCT/EP2016/075545 priority patent/WO2017089052A1/de
Publication of DE102015223152A1 publication Critical patent/DE102015223152A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Die vorliegende Erfindung offenbart eine Schutzvorrichtung (1, 2, 3) für ein elektrisches Gerät (4, 5) mit einem Datenspeicher (18), welcher zu schützende Daten (6, 7) aufweist, mit einer Kommunikationsschnittstelle (8, 9, 10), welche ausgebildet ist, Sicherheitsnachrichten (13) zu empfangen, mit einer Zeiterfassungseinrichtung (11, 12, 35), welche ausgebildet ist, jeweils die Zeit (28) nach dem Empfang einer gültigen Sicherheitsnachricht (13) zu erfassen, und mit einer Schutzfunktionseinrichtung (14, 15, 25), welche ausgebildet ist, eine Schutzfunktion (16, 17) auf die zu schützenden Daten (6, 7) in dem Datenspeicher (18) anzuwenden, wenn die erfasste Zeit (28) einen vorgegebenen Grenzwert (19) überschreitet. Ferner offenbart die vorliegende Erfindung ein elektrisches Gerät (4, 5), ein Sicherheitssystem (29) und ein Schutzverfahren.

Description

  • Die vorliegende Erfindung betrifft eine Schutzvorrichtung für ein elektrisches Gerät mit einem Datenspeicher, welcher zu schützende Daten aufweist. Ferner offenbart die vorliegende Erfindung ein elektrisches Gerät, ein Sicherheitssystem und ein Schutzverfahren.
  • Die vorliegende Erfindung wird im folgendem hauptsächlich in Bezug auf mobile elektrische Geräte beschrieben, die potentiell dem Zugriff eines Angreifers ausgesetzt sein können. Allerdings ist die vorliegende Erfindung nicht auf solche elektrischen Geräte beschränkt, sondern kann in jeder Anwendung eingesetzt werden, in der Daten in einem Gerät geschützt werden sollen. Der Begriff elektrische Geräte ist dabei gleichzusetzten mit dem Begriff elektronische Geräte.
  • Mobile Geräte, wie z.B. Smartphones, Satellitenempfänger, Fahrzeugsteuergeräte oder dergleichen, oder auch Feldgeräte, wie z.B. Steuergeräte für eine Verkehrsinfrastruktur oder dergleichen, speichern heute eine Vielzahl sensibler Daten. Solche Daten können z.B. Codes für den Zugriff auf einen Steuerserver, weitere Kommunikationspartner oder Datenbanken sein. Solche Daten können z.B. auch Schlüssel für kryptographisch geschützte Datenübertragungen sein.
  • Üblicherweise sollen diese Daten geschützt werden. Sie dürfen also einem potentiellen Angreifer nicht zugänglich gemacht werden, da dieser sich damit eventuell Zugang zu geschützten Elementen des jeweiligen Systems verschaffen könnte.
  • Die Aufgabe der vorliegenden Erfindung liegt daher darin, eine Möglichkeit zum Schutz sensibler Daten in elektrischen Geräten bereitzustellen.
  • Diese Aufgabe wird durch eine Schutzvorrichtung mit den Merkmalen des Patentanspruchs 1, ein elektrisches Gerät mit den Merkmalen des Patentanspruchs 9, ein Sicherheitssystem mit den Merkmalen des Patentanspruchs 10 und ein Schutzverfahren mit den Merkmalen des Patentanspruchs 11 gelöst.
  • Demgemäß ist vorgesehen:
    Eine Schutzvorrichtung für ein elektrisches Gerät mit einem Datenspeicher, welcher zu schützende Daten aufweist, mit einer Kommunikationsschnittstelle, welche ausgebildet ist, Sicherheitsnachrichten zu empfangen, mit einer Zeiterfassungseinrichtung, welche ausgebildet ist, die Zeit, oder auch Zeitdauer, nach dem Empfang der zuletzt empfangenen gültigen Sicherheitsnachricht zu erfassen, und mit einer Schutzfunktionseinrichtung, welche ausgebildet ist, eine Schutzfunktion auf die zu schützenden Daten in dem Datenspeicher anzuwenden, wenn die erfasste Zeit einen vorgegebenen Grenzwert überschreitet.
  • Ferner ist vorgesehen:
    Ein elektrisches Gerät mit einer erfindungsgemäßen Schutzvorrichtung.
  • Ferner ist vorgesehen:
    Ein Sicherheitssystem mit einer Anzahl, also einem oder mehreren, erfindungsgemäßer elektrischer Geräte, und mit einer Anzahl, also einem oder mehreren, von Servern, welche ausgebildet sind, regelmäßig Sicherheitsnachrichten an die elektrischen Geräte zu übermitteln oder Sicherheitsanfragen der elektrischen Geräte mit entsprechenden Sicherheitsnachrichten zu beantworten.
  • Schließlich ist vorgesehen:
    Ein Schutzverfahren für zu schützende Daten in einem elektrischen Gerät, aufweisend die Schritte Empfangen von Sicherheitsnachrichten, Erfassen der Zeit nach dem Empfang einer gültigen Sicherheitsnachricht, und Anwenden einer Schutzfunktion auf die zu schützenden Daten, wenn die erfasste Zeit einen vorgegebenen Grenzwert überschreitet.
  • Die der vorliegenden Erfindung zu Grunde liegende Erkenntnis besteht darin, dass es problematisch ist, einen zentralen Sicherheitsserver bereitzustellen, der im Falle eines Angriffs einen Befehl zum Löschen der sensiblen Daten an das jeweilige elektrische Gerät übermittelt. Beispielsweise könnte die Netzwerkverbindung zwischen dem zentralen Sicherheitsserver und dem jeweiligen elektrischen Gerät unterbrochen werden. Der Befehl könnte das elektrische Gerät folglich nicht erreichen. Da externe Schutzfunktionen z.B. nicht mehr ausgeführt werden können, wenn die jeweilige Datenverbindung unterbrochen ist. Somit könnte ein Angreifer also z.B. ein elektrisches Gerät in einen faradayschen Käfig legen, um dessen drahtlose Kommunikation zu stören. Danach könnte der Angreifer mit ausreichend Zeit versuchen, an die Daten in dem elektrischen Gerät zu gelangen.
  • Die der vorliegenden Erfindung zu Grunde liegende Idee besteht nun darin, dieser Erkenntnis Rechnung zu tragen und in dem elektrischen Gerät die Möglichkeit vorzusehen, die sensiblen Daten autonom, also ohne externe Befehle, zu schützen.
  • Die Schutzvorrichtung ist folglich regelmäßig in dem Gerät angeordnet, in welchem die zu schützenden Daten gespeichert sind. Die Schutzvorrichtung überwacht zum Schutz der Daten das regelmäßige Eintreffen sog. Sicherheitsnachrichten. Diese Sicherheitsnachrichten müssen dabei nicht zwangsweise einen speziellen Inhalt aufweisen. Vielmehr wird in einer Variante lediglich der Empfang der Sicherheitsnachrichten innerhalb vorgegebener Zeiträume geprüft. In einer anderen Variante können unterschiedliche Typen von Sicherheitsnachrichten unterschieden werden. Der Begriff “Sicherheitsnachricht“ im Sinne dieser Erfindung kann sich dann auch nur auf einen oder mehrere Typen von Sicherheitsnachrichten aus einer Vielzahl von Typen von Sicherheitsnachrichten beziehen. Mit anderen Worten kann lediglich der Empfang von bestimmten Typen von Sicherheitsnachrichten überwacht werden, wogegen andere Sicherheitsnachrichten nicht überwacht werden und somit deren Empfang auch nicht die ermittelte Zeitinformation zurücksetzt bzw. aktualisiert.
  • Die Sicherheitsnachrichten, auch Security Management Nachrichten oder Security Messages genannt, werden dazu über die Kommunikationsschnittstelle empfangen. Bei der Kommunikationsschnittstelle kann es sich z.B. um eine Kommunikationsschnittstelle des elektrischen Geräts handeln. Alternativ kann die Schutzvorrichtung aber auch über eine eigene Kommunikationsschnittstelle verfügen, diese kann dann auch als sog. „Secondary Channel“ bezeichnet werden. Dabei kann die Kommunikationsschnittstelle eine drahtgebundene oder eine drahtlose Kommunikationsschnittstelle sein. Beispielsweise kann die Kommunikationsschnittstelle eine Ethernetschnittstelle, eine Feldbusschnittstelle, eine Satellitenempfangsschnittstelle beispielsweise für ein globales Satellitennavigationssystem wie GPS, Galileo, Glonass, Beidou oder für ein Augmentierungssystem wie WAAS oder EGNOS, eine GSM-, TETRA, UMTS- oder LTE-Schnittstelle oder dergleichen sein. Insbesondere kann die als „Secondary Channel“ bezeichnete Kommunikationsschnittstelle der Schutzvorrichtung z.B. auch die Kommunikationsschnittstelle des elektrischen Geräts sein, wobei die Schutzvorrichtung lediglich einen sekundären Kanal z.B. eines Satelliten-Signals auswertet.
  • Die empfangenen Sicherheitsnachrichten werden von einer Zeiterfassungseinrichtung ausgewertet. Dazu erfasst diese z.B. mit einem Zähler oder Counter die Zeit, die seit dem Empfang der letzten Sicherheitsnachricht bzw. der letzten gültigen Sicherheitsnachricht bzw. der letzten gültigen Sicherheitsnachricht eines vorgebbaren Sicherheitsnachrichtentyps verstrichen ist. Sie prüft also das regelmäßige bzw. zyklische Eintreffen der Sicherheitsnachrichten.
  • Die erfasste Zeit wiederum wird von der Schutzfunktionseinrichtung ausgewertet. Überschreitet diese Zeit einen vorgegebenen Schwellwert oder Grenzwert, führt sie autonom, also z.B. ohne Zutun eines zentralen Sicherheitsservers oder anderer externer Befehle, die Schutzfunktion aus. Mit Hilfe der Schutzfunktion werden dann die zu schützenden Daten vor dem Zugriff durch nicht berechtigte Personen geschützt. Die Schutzfunktion kann insbesondere ein Löschen oder ein Überschreiben von Daten, insbesondere von kryptographischen Schlüsseln, sein. Es ist jedoch ebenso möglich, dass die Schutzfunktion eine Sperrfunktion des elektrischen Gerätes aktiviert. Bei aktivierter Sperrfunktion kann das elektrische Gerät nicht oder eingeschränkt benutzt werden, d.h. es wird im gesperrten Zustand eine Hauptfunktion des elektrischen Gerätes gesperrt.
  • Die vorliegende Erfindung ermöglicht folglich den autonomen Schutz von Daten in einem elektrischen Gerät. Insbesondere bei einer Unterbrechung bzw. einer länger andauernden Unterbrechung der Verbindung zu einem zentralen Server, der eine Steuerung der sicherheitsbezogenen Funktionen in dem Gerät ausführt, können die Daten folglich automatisch vor dem Zugriff Unberechtigter zuverlässig geschützt werden.
  • Für einen Angreifer steht folglich nur ein begrenztes Zeitfenster zur Verfügung, in welchem er sich Zugriff auf die Daten verschaffen kann.
  • Vorteilhafte Ausführungsformen und Weiterbildungen ergeben sich aus den Unteransprüchen sowie aus der Beschreibung unter Bezugnahme auf die Figuren.
  • In einer Ausführungsform kann die Zeiterfassungseinrichtung eine kryptographische Einheit aufweisen, welche ausgebildet ist, anhand kryptographischer Schutzmechanismen, wie z.B. digitalen Signaturen oder Verschlüsselungen oder Nachrichtenauthentisierungscodes, zu prüfen, ob eine Sicherheitsnachricht gültig ist. Weiterhin kann eine Aktualitätsinformation einer Sicherheitsnachricht überprüft werden, z.B. ein Zeitstempel oder ein Zählerwert. Dadurch wird erreicht, dass alte Sicherheitsnachrichten, beispielsweise aufgezeichnete und wiedereingespielte Sicherheitsnachrichten, nicht als gültig akzeptiert werden. Es wird also nicht nur der Empfang der Sicherheitsnachricht geprüft. Vielmehr wird zusätzlich z.B. auch die Authentizität der Sicherheitsnachricht bzw. des Absenders der Sicherheitsnachricht geprüft.
  • In einer Ausführungsform kann die Schutzfunktionseinrichtung ferner ausgebildet sein, eine Anzahl, also eine oder mehrere, von Nebenbedingungen zu prüfen und nur bei negativem Ergebnis der Prüfung die Schutzfunktion auszuführen. Die Nebenbedingungen verhindern, dass z.B. bei einer Störung des entsprechenden Servers, der die Sicherheitsnachrichten aussendet, die Daten sofort gelöscht werden und damit verloren sind. In einer Variante wird der Grenzwert bzw. Schwellwert abhängig von Nebenbedingungen gebildet.
  • In einer Ausführungsform kann die Schutzfunktionseinrichtung ausgebildet sein, als Nebenbedingung zu prüfen, ob eine Verbindung über die Kommunikationsschnittstelle besteht. Ist also z.B. eine Verbindung über die Kommunikationsschnittstelle möglich und es bleiben lediglich die Sicherheitsnachrichten aus, kann das Anwenden der Schutzfunktion ausgesetzt werden. Dabei kann insbesondere geprüft werden, ob die Verbindung permanent verfügbar ist oder zwischenzeitlich unterbrochen wurde. Eine zwischenzeitliche Unterbrechung kann z.B. vermerkt werden und bei Ausbleiben der Sicherheitsnachrichten zum Anwenden der Schutzfunktion führen.
  • In einer Ausführungsform kann die Schutzfunktionseinrichtung ausgebildet sein, als Nebenbedingung zu prüfen, ob die Netzwerkumgebung des elektrischen Geräts der Anwendungsumgebung des elektrischen Geräts entspricht. Beispielsweise kann geprüft werden, ob entsprechende Kommunikationspartner des elektrischen Geräts erreichbar sind. Dazu kann eine Kommunikationsschnittstelle des Geräts oder die Kommunikationsschnittstelle der Schutzvorrichtung genutzt werden. Solche Kommunikationspartner können nicht nur andere Geräte z.B. in einer Produktionsanlage sein. Als Kommunikationspartner kommen auch andere üblicherweise für das elektrische Gerät erreichbare Server oder dergleichen in Frage.
  • In einer Ausführungsform kann die Schutzfunktionseinrichtung ausgebildet sein, als Nebenbedingung zu prüfen, ob sich Kommunikationspartner des elektrischen Geräts erfolgreich bei diesem authentisieren. Die Erreichbarkeit, z.B. durch einen einfachen Ping, der Kommunikationspartner könnte bei einem ausgefeilten Angriff eventuell simuliert werden. Wird eine Authentisierung geprüft, kommen üblicherweise kryptographische Verfahren zum Einsatz. Folglich kann eine solche Authentisierung nur schwer simuliert bzw. gefälscht werden.
  • In einer Ausführungsform kann die Schutzfunktionseinrichtung ausgebildet sein, als Nebenbedingung zu prüfen, ob sich ein autorisierter Benutzer an der Schutzvorrichtung oder dem elektrischen Gerät identifiziert. Kann ein autorisierter Benutzer sich an dem Gerät identifizieren, kann davon ausgegangen werden, dass es sich weiterhin in seiner üblichen Umgebung befindet und das Ausbleiben der Sicherheitsnachricht z.B. auf einen Serverfehler zurückzuführen ist.
  • Es ist ferner möglich, sogenannte Security Policies zu definieren. Diese geben vor, welche der Nebenbedingungen jeweils geprüft werden sollen. Dabei können die Security Policies z.B. zeitabhängig, positionsabhängig oder dergleichen sein. Jede der Security Policies kann eine entsprechende Anzahl von Nebenbedingungen aufweisen.
  • In einer Ausführungsform kann die Schutzfunktion das Löschen der Daten, insbesondere ein mehrfaches Löschen und Überschreiben mit vorgegebenen Bitmustern aufweisen. Das Löschen der Daten schützt diese effektiv vor dem Zugriff durch eine unberechtigte Person. Insbesondere das mehrmalige Überschreiben mit vorgegebenen Bitmustern löscht die Daten derart aus dem Datenspeicher, dass diese auch mit ausgefeilten Analysetechniken nicht rekonstruiert werden können.
  • In einer Ausführungsform kann die Schutzfunktion das Verschlüsseln der Daten aufweisen. Werden die Daten verschlüsselt, können diese ebenfalls vor dem Zugriff durch unberechtigte Personen geschützt werden. Gleichzeitig sind diese dann nicht unwiederbringlich verloren.
  • In einer Ausführungsform kann ein Schlüssel für das Verschlüsseln der Daten vorgegeben werden. Dies kann z.B. durch den Server erfolgen, der die Sicherheitsnachrichten erstellt und aussendet. Der Schlüssel wird also nicht, wie alternativ möglich z.B. von der Schutzvorrichtung zufällig erzeugt. Dadurch können die Daten leicht wieder rekonstruiert werden, wenn der eigentliche Besitzer die Gewalt über das Gerät wieder erlangt.
  • In einer Ausführungsform kann die Schutzfunktionseinrichtung ausgebildet sein, direkt nach einem Neustart des elektrischen Geräts anzunehmen, dass die erfasste Zeit den Grenzwert überschreitet. Unter einem Neustart ist ein Starten des Geräts nach bereits erfolgter Inbetriebnahme zu verstehen. Die Kommunikations- und Authentifizierungsfunktionen des Geräts sind folglich bereits initialisiert und funktionsbereit. Ein Stromausfall kann also z.B. durch das Entfernen des Geräts aus seiner Betriebsumgebung hervorgerufen werden. Insbesondere in Kombination mit der Überprüfung der Nebenbedingungen kann so z.B. nach einem Stromausfall überprüft werden, ob das Gerät sich weiterhin in seiner Betriebsumgebung befindet oder tatsächlich entfernt wurde.
  • Die obigen Ausgestaltungen und Weiterbildungen lassen sich, sofern sinnvoll, beliebig miteinander kombinieren. Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmalen der Erfindung. Insbesondere wird dabei der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der vorliegenden Erfindung hinzufügen.
  • Die vorliegende Erfindung wird nachfolgend anhand der in den schematischen Figuren der Zeichnungen angegebenen Ausführungsbeispiele näher erläutert. Es zeigen dabei:
  • 1 ein Blockschaltbild einer Ausführungsform einer erfindungsgemäßen Schutzvorrichtung;
  • 2 ein Blockschaltbild einer Ausführungsform eines erfindungsgemäßen Sicherheitssystems;
  • 3 ein Ablaufdiagramm einer Ausführungsform eines erfindungsgemäßen Schutzverfahrens; und
  • 4 ein Blockschaltbild einer weiteren Ausführungsform eines Sicherheitssystems.
  • In allen Figuren sind gleiche bzw. funktionsgleiche Elemente und Vorrichtungen – sofern nichts anderes angegeben ist – mit denselben Bezugszeichen versehen worden.
  • 1 zeigt ein Blockschaltbild einer Ausführungsform einer erfindungsgemäßen Schutzvorrichtung 1.
  • Die Schutzvorrichtung 1 empfängt über eine Kommunikationsschnittstelle 8 Sicherheitsnachrichten 13. Im Normalbetrieb, also im störungsfreien Betrieb an dem vorgesehen Einsatzort, sollten die Sicherheitsnachrichten 13 zyklisch in regelmäßigen Abständen empfangen werden.
  • Die Zeiterfassungseinrichtung 11 erfasst jeweils den Zeitpunkt, zu welchem eine Sicherheitsnachricht 13 eintrifft bzw. die Zeit 28, welche verstrichen ist, seit die letzte Sicherheitsnachricht 13 eingetroffen ist.
  • Für die Zeit 28 ist in der Schutzfunktionseinrichtung 14 ein Grenzwert 19 vorgegeben. Dieser gibt an, welcher zeitliche Abstand im Normalbetrieb zwischen dem Empfang zweier Sicherheitsnachrichten liegen darf. Beispielsweise kann der Grenzwert 1 Minute, 10 Minuten, 30 Minuten, 2 Stunden, 12 Stunden oder auch andere anwendungsspezifische Zeiträume aufweisen.
  • Ein Komparator 20 vergleicht die Zeit 28 mit dem Grenzwert 19 und führt die Schutzfunktion 16 aus, wenn die Zeit 28 über dem Grenzwert 19 liegt.
  • Die Schutzvorrichtung 1 kann in einer Ausführungsform als diskrete Schutzvorrichtung 1 z.B. in einem CPLD, FPGA, Mikrocontroller oder dergleichen implementiert sein. Alternativ kann die Schutzvorrichtung 1 auch in einem Prozessor eines entsprechenden elektrischen Geräts 4, 5 z.B. als Software oder Firmware ausgebildet sein.
  • 2 zeigt ein Blockschaltbild einer Ausführungsform eines erfindungsgemäßen Sicherheitssystems 29.
  • Das Sicherheitssystem 29 weist lediglich beispielhaft ein elektrisches Gerät 4 auf, in welchem eine Schutzvorrichtung 2 angeordnet ist. Weitere elektrische Geräte sind durch drei Punkte angedeutet. Das elektrische Gerät 4 kann z.B. ein Steuergerät 4 einer Verkehrsinfrastruktur, wie z.B. eines Schienennetzes oder eines Straßennetzes sein.
  • Das elektrische Gerät 4 weist eine als Satellitenschnittstelle 9 ausgebildete Kommunikationsschnittstelle auf. Über diese Satellitenschnittstelle 9 kann das elektrische Gerät 4 Daten z.B. von einem Satelliten eines satellitenbasierten Navigationssystems empfangen. Diese Daten können dann in dem Prozessor 30 verarbeitet werden. Der Prozessor 30 ist dazu mit einem Datenspeicher 18 gekoppelt, in welchem Daten 6 gespeichert sind, die der Prozessor 30 zur Verarbeitung der entsprechenden Daten benötigt. Beispielsweise können die Daten 6 ein Programm aufweisen, welches auf dem Prozessor 30 ausgeführt wird. Ferner können die Daten 6 auch kryptographische Schlüssel oder dergleichen aufweisen, welche zum Entschlüsseln bzw. Verarbeiten der empfangenen Daten benötigt werden.
  • In 2 dient die Kommunikationsschnittstelle 9 sowohl dem Prozessor 30 als auch der Schutzvorrichtung 2 zum Empfang von Daten. Insbesondere empfängt die Schutzvorrichtung 2 über einen Nachrichtenübertragungskanal des Satellitensignals die Sicherheitsnachrichten 13. In einer anderen Variante (nicht dargestellt) weist das elektrische Gerät 4 mehrere Kommunikationsschnittstellen 9 auf. So kann es z.B. eine erste Kommunikationsschnittstelle 9 zum Empfang eines Satellitensignals und eine zweite Kommunikationsschnittstelle 9, wie z.B. zum Empfang von TETRA- oder UMTS-Signalen, die auch als „Secondary Channel“ bezeichnet wird, aufweisen. Über die zweite Kommunikationsschnittstelle können Sicherheitsnachrichten 13 empfangen werden, welche die Funktion der ersten Kommunikationsschnittstelle betreffen (z.B. Almanach, Ephemeriden, Augmentierungsdaten).
  • Da ein Satellitensignal leicht durch entsprechende Sender gefälscht werden kann, weist die Zeiterfassungseinrichtung 12 eine kryptographische Einheit 21 auf, die mit Hilfe kryptographischer Verfahren die Authentizität der Sicherheitsnachrichten 13 prüft. Dazu nutzt sie z.B. digitale Signaturen oder Verschlüsselungen. Nur wenn die Authentizität einer Sicherheitsnachricht 13 zweifelsfrei festgestellt wurde, setzt sie die Zeit 28 zurück auf den Startwert, üblicherweise 0.
  • Die Zeit 28 bzw. der entsprechende Wert wird von der Schutzfunktionseinrichtung 15 ausgewertet. Dazu weist die Schutzfunktionseinrichtung 15 eine Recheneinrichtung 31 auf, die die Zeit 28 mit dem Grenzwert 19 vergleicht.
  • Im Gegensatz zur Schutzfunktionseinrichtung 14 der 1 ist dies aber nicht die einzige Bedingung, welche die Schutzfunktionseinrichtung 15 prüft. Die Recheneinrichtung 31 ist vielmehr dazu ausgebildet, zusätzlich Nebenbedingungen 22 zu prüfen. Lediglich dann, wenn eine vorgegebene Anzahl, also eine oder mehrere, der Nebenbedingungen negativ geprüft werden, also das Ergebnis der Prüfung negativ ausfällt, führt die Recheneinrichtung 31 die Schutzfunktion 17 aus.
  • Als Nebenbedingung 22 kann z.B. geprüft werden, ob eine Verbindung über die Kommunikationsschnittstelle 9 überhaupt besteht. Es kann auch geprüft werden, ob die Netzwerkumgebung des elektrischen Geräts 4 der Anwendungsumgebung des elektrischen Geräts 4 entspricht, also z.B. Kommunikationspartner des elektronischen Geräts 4 vorhanden sind. Es kann auch geprüft werden, ob sich Kommunikationspartner des elektrischen Geräts 4 erfolgreich bei diesem authentisieren und ob die empfangene Sicherheitsnachricht 13 eine entsprechende Authentisierung aufweist. Schließlich kann z.B. auch geprüft werden, ob sich ein autorisierter Benutzer an der Schutzvorrichtung 2 oder dem elektrischen Gerät 4 identifiziert.
  • Die Schutzfunktion 17 weist ein Löschen der Daten 6 auf. Unter Löschen kann dabei nicht nur das Löschen z.B. der Verweise eines Dateisystems auf die Daten 6 verstanden werden. Vielmehr kann das Löschen auch ein Überschreiben der Daten mit einem oder einer Vielzahl von unterschiedlichen Bitmustern aufweisen. Beispielsweise können die Daten mit einem „0101“ Bitmuster und anschließend mit einem „1010“ Bitmuster überschrieben werden. Beliebige andere Bitmuster sind ebenfalls möglich. Anstelle eines Löschens kann auch ein Verschlüsseln vorgesehen sein (siehe 4). Die Schutzfunktion 17 kann auch eine Funktion des elektrischen Gerätes sperren, indem eine Freigabeinformation, z.B. ein Flag oder ein Bitmuster, gelöscht wird.
  • 3 zeigt ein Ablaufdiagramm einer Ausführungsform eines erfindungsgemäßen Schutzverfahrens für zu schützende Daten 6, 7 in einem elektrischen Gerät 4, 5.
  • Das Verfahren sieht das zyklische Empfangen S1 von Sicherheitsnachrichten 13 vor. Ferner wird die Zeit 28 nach dem Empfang einer gültigen Sicherheitsnachricht 13 erfasst. Schließlich wird eine Schutzfunktion 16, 17 auf die zu schützenden Daten 6, 7 angewendet S3, wenn die erfasste Zeit 28 einen vorgegebenen Grenzwert 19 überschreitet.
  • Um ein Fälschen der Sicherheitsnachrichten zu unterbinden, kann beim Erfassen der Zeit 28 anhand kryptographischer Schutzmechanismen geprüft werden, ob eine Sicherheitsnachricht 13 gültig ist. Es kann also z.B. mittels einer digitalen Signatur oder eines Nachrichtenauthentisierungscodes geprüft werden, ob die Sicherheitsnachricht von dem korrekten Absender verschickt wurde. Anhand einer Aktualitätsinformation der Sicherheitsnachricht, z.B. einem Zeitstempel oder einem Zähler, kann überprüft werden, ob eine empfangene Sicherheitsnachricht aktuell ist.
  • Um bei einem Ausfall z.B. eines Sicherheitsservers nicht unnötigerweise die Daten 6 zu löschen oder zu verschlüsseln, kann vor dem Anwendern der Schutzfunktion 16, 17 eine Anzahl von Nebenbedingungen 22 geprüft werden. Die Schutzfunktion 16, 17 wird dann nur bei negativer Prüfung der Nebenbedingungen 22 ausgeführt.
  • Beim Prüfen der Nebenbedingungen 22 kann geprüft werden, ob eine funktionsfähige Verbindung über die Kommunikationsschnittstelle 8, 9, 10 besteht. Ferner kann geprüft werden, ob die Netzwerkumgebung des elektrischen Geräts 4, 5 der Anwendungsumgebung des elektrischen Geräts 4, 5 entspricht. Eine weitere Möglichkeit ist zu prüfen, ob sich Kommunikationspartner des elektrischen Geräts 4, 5 erfolgreich bei diesem authentisieren. Ferner kann geprüft werden, ob die empfangene Sicherheitsnachricht 13 eine entsprechende Authentisierung aufweist oder ob sich ein autorisierter Benutzer an der Schutzvorrichtung 1, 2, 3 oder dem elektrischen Gerät 4, 5 identifiziert.
  • Ferner kann z.B. direkt nach einem Neustart des elektrischen Geräts 4, 5 angenommen werden, dass die erfasste Zeit 28 den Grenzwert 19 überschreitet.
  • 4 zeigt ein Blockschaltbild einer weiteren Ausführungsform eines Sicherheitssystems 32.
  • Das Sicherheitssystem 32 weist einen ersten Sicherheitsserver 26 auf, der über ein Netzwerk 25, z.B. das Internet 25, mit einem elektrischen Gerät 5 gekoppelt ist. Ferner ist ein zweiter Server 27, z.B. ein Funktionsserver 27, über das Netzwerk 25 mit dem elektrischen Gerät 5 gekoppelt. Der Sicherheitsserver 26 ist derjenige Server, der an das elektrische Gerät zyklisch Sicherheitsnachrichten 13 übermittelt. Der Funktionsserver 27 dagegen, dient der Recheneinrichtung 23 des elektrischen Geräts 27 als Kommunikationspartner und stellt z.B. Daten zur Verfügung, welche die Recheneinrichtung für die Durchführung der jeweiligen Funktion benötigt.
  • Die Recheneinrichtung 23 und die Schutzvorrichtung 3 teilen sich, wie in 2, die Kommunikationsschnittstelle 10.
  • Die Schutzvorrichtung 3 weist eine Recheneinrichtung 24 auf, die als Device Management Client bezeichnet werden kann. Diese hat neben der Überwachung der Sicherheitsnachrichten 13 die Aufgabe weitere sicherheitsbezogene Funktionen in Verbindung mit dem Sicherheitsserver 26 auszuführen. Beispielsweise kann die Recheneinrichtung 24 eine Fernsteuerung des elektrischen Geräts 5 durch den Sicherheitsserver 26 ermöglichen und die Nebenbedingungen 22 überwachen.
  • Mit der Recheneinrichtung 24 gekoppelt ist eine Zeiterfassungseinrichtung 35, die auch als Device Management Watchdog bezeichnet werden kann. Diese zählt einen Zähler hoch, bis dieser den vorgegebenen Grenzwert erreicht und aktiviert dann die Schutzfunktion 32. Diese kann z.B. als „Zeroization“-Funktion bezeichnet werden, da sie die Daten 7 mit Nullen und optional mit weiteren Bitmustern überschreiben kann.
  • Obwohl die vorliegende Erfindung anhand bevorzugter Ausführungsformen vorstehend beschrieben wurde, ist sie darauf nicht beschränkt, sondern auf vielfältige Art und Weise modifizierbar. Insbesondere lässt sich die Erfindung in mannigfaltiger Weise verändern oder modifizieren, ohne vom Kern der Erfindung abzuweichen.

Claims (15)

  1. Schutzvorrichtung (1, 2, 3) für ein elektrisches Gerät (4, 5) mit einem Datenspeicher (18), welcher zu schützende Daten (6, 7) aufweist, mit einer Kommunikationsschnittstelle (8, 9, 10), welche ausgebildet ist, Sicherheitsnachrichten (13) zu empfangen, mit einer Zeiterfassungseinrichtung (11, 12, 35), welche ausgebildet ist, jeweils die Zeit (28) nach dem Empfang der zuletzt empfangenen gültigen Sicherheitsnachricht (13) zu erfassen, mit einer Schutzfunktionseinrichtung (14, 15, 25), welche ausgebildet ist, eine Schutzfunktion (16, 17) auf die zu schützenden Daten (6, 7) in dem Datenspeicher (18) anzuwenden, wenn die erfasste Zeit (28) einen vorgegebenen Grenzwert (19) überschreitet.
  2. Schutzvorrichtung (1, 2, 3) nach Anspruch 1, wobei die Zeiterfassungseinrichtung (11, 12, 35) eine kryptographische Einheit (21) aufweist, welche ausgebildet ist, anhand kryptographischer Schutzmechanismen zu prüfen, ob eine Sicherheitsnachricht (13) gültig ist.
  3. Schutzvorrichtung (1, 2, 3) nach einem der vorherigen Ansprüche, wobei die Schutzfunktionseinrichtung (14, 15, 25) ferner ausgebildet ist, eine Anzahl von Nebenbedingungen (22) zu prüfen und nur bei negativem Ergebnis der Prüfung die Schutzfunktion (16, 17) auszuführen.
  4. Schutzvorrichtung (1, 2, 3) nach Anspruch 3, wobei die Schutzfunktionseinrichtung (14, 15, 25) ausgebildet ist, als Nebenbedingung (22) zu prüfen, ob eine Verbindung über die Kommunikationsschnittstelle (8, 9, 10) besteht, und/oder ob die Netzwerkumgebung des elektrischen Geräts (4, 5) der Anwendungsumgebung des elektrischen Geräts (4, 5) entspricht, und/oder ob sich Kommunikationspartner des elektrischen Geräts (4, 5) erfolgreich bei diesem authentisieren, und/oder ob die empfangene Sicherheitsnachricht (13) eine entsprechende Authentisierung aufweist und/oder ob sich ein autorisierter Benutzer an der Schutzvorrichtung (1, 2, 3) oder dem elektrischen Gerät (4, 5) identifiziert.
  5. Schutzvorrichtung (1, 2, 3) nach einem der vorherigen Ansprüche, wobei die Schutzfunktion (16, 17) das Löschen der Daten (6, 7), insbesondere ein mehrfaches Löschen und Überschreiben mit vorgegebenen Bitmustern, aufweist.
  6. Schutzvorrichtung (1, 2, 3) nach einem der vorherigen Ansprüche 1 bis 4, wobei die Schutzfunktion (16, 17) das Verschlüsseln der Daten (6, 7) aufweist.
  7. Schutzvorrichtung (1, 2, 3) Anspruch 6, wobei ein Schlüssel für das Verschlüsseln der Daten (6, 7) vorgegeben wird.
  8. Schutzvorrichtung (1, 2, 3) nach einem der vorherigen Ansprüche, wobei die Schutzfunktionseinrichtung (14, 15, 25) ausgebildet ist, direkt nach einem Neustart des elektrischen Geräts (4, 5) anzunehmen, dass die erfasste Zeit (28) den Grenzwert (19) überschreitet.
  9. Elektrisches Gerät (4, 5) mit einer Schutzvorrichtung (1, 2, 3) nach einem der vorherigen Ansprüche.
  10. Sicherheitssystem (29) mit einer Anzahl elektrischer Geräte (4, 5) nach Anspruch 9, und mit einer Anzahl von Servern (26), welche ausgebildet sind, regelmäßig Sicherheitsnachrichten (13) an die elektrischen Geräte (4, 5) zu übermitteln oder Sicherheitsanfragen der elektrischen Geräte (4, 5) mit entsprechenden Sicherheitsnachrichten (13) zu beantworten.
  11. Schutzverfahren für zu schützende Daten (6, 7) in einem elektrischen Gerät (4, 5), aufweisend die Schritte: Empfangen (S1) von Sicherheitsnachrichten (13), Erfassen (S2) der Zeit (28) nach dem Empfang einer gültigen Sicherheitsnachricht (13), Anwenden (S3) einer Schutzfunktion (16, 17) auf die zu schützenden Daten (6, 7), wenn die erfasste Zeit (28) einen vorgegebenen Grenzwert (19) überschreitet.
  12. Schutzverfahren nach Anspruch 11, wobei beim Erfassen der Zeit (28) anhand kryptographischer Schutzmechanismen geprüft wird, ob eine Sicherheitsnachricht (13) gültig ist.
  13. Schutzverfahren nach einem der vorherigen Ansprüche 11 und 12, wobei vor dem Anwenden der Schutzfunktion (16, 17) eine Anzahl von Nebenbedingungen (22) geprüft werden und nur bei negativem Ergebnis der Prüfung die Schutzfunktion (16, 17) ausgeführt wird, wobei als Nebenbedingung (22) geprüft wird, ob eine Verbindung über die Kommunikationsschnittstelle (8, 9, 10) besteht, und/oder ob die Netzwerkumgebung des elektrischen Geräts (4, 5) der Anwendungsumgebung des elektrischen Geräts (4, 5) entspricht, und/oder ob sich Kommunikationspartner des elektrischen Geräts (4, 5) erfolgreich bei diesem authentisieren, und/oder ob die empfangene Sicherheitsnachricht (13) eine entsprechende Authentisierung aufweist und/oder ob sich ein autorisierter Benutzer an der Schutzvorrichtung (1, 2, 3) oder dem elektrischen Gerät (4, 5) identifiziert.
  14. Schutzverfahren nach einem der vorherigen Ansprüche 11 bis 13, wobei die Schutzfunktion (16, 17) das Löschen der Daten (6, 7), insbesondere ein mehrfaches Löschen und Überschreiben mit vorgegebenen Bitmustern aufweist, und/oder wobei die Schutzfunktion (16, 17) das Verschlüsseln der Daten (6, 7), insbesondere mit einem vorgegebenen Schlüssel, aufweist.
  15. Schutzverfahren nach einem der vorherigen Ansprüche 11 bis 14, wobei direkt nach einem Neustart des elektrischen Geräts (4, 5) angenommen wird, dass die erfasste Zeit (28) den Grenzwert (19) überschreitet.
DE102015223152.6A 2015-11-24 2015-11-24 Schutzvorrichtung, Sicherheitssystem und Schutzverfahren Withdrawn DE102015223152A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102015223152.6A DE102015223152A1 (de) 2015-11-24 2015-11-24 Schutzvorrichtung, Sicherheitssystem und Schutzverfahren
EP16790302.0A EP3347851A1 (de) 2015-11-24 2016-10-24 Schutzvorrichtung, sicherheitssystem und schutzverfahren
PCT/EP2016/075545 WO2017089052A1 (de) 2015-11-24 2016-10-24 Schutzvorrichtung, sicherheitssystem und schutzverfahren

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015223152.6A DE102015223152A1 (de) 2015-11-24 2015-11-24 Schutzvorrichtung, Sicherheitssystem und Schutzverfahren

Publications (1)

Publication Number Publication Date
DE102015223152A1 true DE102015223152A1 (de) 2017-05-24

Family

ID=57223661

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015223152.6A Withdrawn DE102015223152A1 (de) 2015-11-24 2015-11-24 Schutzvorrichtung, Sicherheitssystem und Schutzverfahren

Country Status (3)

Country Link
EP (1) EP3347851A1 (de)
DE (1) DE102015223152A1 (de)
WO (1) WO2017089052A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017203190A1 (de) 2017-02-28 2018-08-30 Audi Ag Steuergerät für ein Kraftfahrzeug, aufweisend eine Schutzeinrichtung zur Entwendungssicherung von digitalen Daten, sowie Kraftfahrzeug

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120274351A1 (en) * 2011-04-29 2012-11-01 Altera Corporation Method and apparatus for securing a programmable device using a kill switch
US20140176182A1 (en) * 2012-12-20 2014-06-26 Kelin J Kuhn Shut-off mechanism in an integrated circuit device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2843819B1 (fr) * 2002-08-21 2006-11-10 Thomson Licensing Sa Appareil electrique securise contre le vol, systeme antivol comportant un tel appareil et procede d'appariement d'appareils electriques
US8206460B2 (en) * 2006-12-05 2012-06-26 Intel Corporation Security system
EP2028601B1 (de) * 2007-08-07 2014-10-01 Alcatel Lucent Realisierung von Richtlinien für eine sichere Mobilgeräteumgebung auf der Basis geplanter Einmalaktualisierungscodes
US20090151005A1 (en) * 2007-12-05 2009-06-11 International Business Machines Corporation Method for identity theft protection with self-destructing information

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120274351A1 (en) * 2011-04-29 2012-11-01 Altera Corporation Method and apparatus for securing a programmable device using a kill switch
US20140176182A1 (en) * 2012-12-20 2014-06-26 Kelin J Kuhn Shut-off mechanism in an integrated circuit device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017203190A1 (de) 2017-02-28 2018-08-30 Audi Ag Steuergerät für ein Kraftfahrzeug, aufweisend eine Schutzeinrichtung zur Entwendungssicherung von digitalen Daten, sowie Kraftfahrzeug

Also Published As

Publication number Publication date
EP3347851A1 (de) 2018-07-18
WO2017089052A1 (de) 2017-06-01

Similar Documents

Publication Publication Date Title
DE112014005412B4 (de) Programmaktualisierungssystem und Programmaktualisierungsverfahren
EP3501136B1 (de) Verfahren, sender und empfänger zum authentisieren und zum integritätsschutz von nachrichteninhalten
EP1326469B1 (de) Verfahren und Anordnung zur Überprüfung der Authentizität eines Dienstanbieters in einem Kommunikationsnetz
EP2159653B1 (de) Verfahren zur Einräumung einer Zugriffsberechtigung auf ein rechnerbasiertes Objekt in einem Automatisierungssystem, Computerprogramm und Automatisierungssystem
DE102015111530A1 (de) Sicheres Bereitstellen von Diagnosedaten von einem Fahrzeug für einen entfernten Server unter Verwendung eines Diagnosewerkzeugs
EP2899714A1 (de) Gesichertes Bereitstellen eines Schlüssels
DE102011002706B4 (de) Vorrichtung und Verfahren zum Schutz eines Sicherheitsmoduls gegen Manipulationsversuche in einem Feldgerät
DE102017102677A1 (de) Verfahren zur Authentifizierung eines Feldgeräts der Automatisierungstechnik
EP3528524A1 (de) Steuereinheit und verfahren zum manipulationsgeschütztes erfassen von betriebssicherheitsrelevanten integritätsüberwachungsdaten
EP2220625B1 (de) Verfahren zur sicheren und gezielten unterdrückung von alarmen in einer überwachungs- und steuerungszentrale
EP3009992B1 (de) Verfahren und vorrichtung zum verwalten von zutrittsberechtigungen
DE102015223152A1 (de) Schutzvorrichtung, Sicherheitssystem und Schutzverfahren
WO2016005075A1 (de) Verfahren und system zur erkennung einer manipulation von datensätzen
EP3556071B1 (de) Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum signieren von messwerten eines sensors
DE102012008519A1 (de) Sicherung eines Energiemengenzählers gegen unbefugten Zugriff
DE102015211475A1 (de) Bereitstellung zumindest eines Passworts
DE102015211668A1 (de) Verfahren und Vorrichtung zur Erhöhung der Sicherheit bei einer Fernauslösung, Kraftfahrzeug
DE102012208290B4 (de) Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung
DE102014225418A1 (de) Verfahren und Vorrichtung zur Überwachung einer Zertifizierungsstelle
EP3301481B1 (de) Codearchiv für replika-pseudozufallsrauschcodes
DE102019109341B4 (de) Verfahren zum sicheren Austausch von verschlüsselten Nachrichten
DE102017209806A1 (de) Verfahren und Vorrichtung zum Erkennen von Angriffen auf einen Feldbus
EP3355141A1 (de) Operator-system für ein prozessleitsystem
EP3339994A1 (de) Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und vorrichtung
DE202016103460U1 (de) Kommunikationsteilnehmer eines Feldbussystems und Feldbussystem

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee