DE102016200775A1 - Method and device for protecting a vehicle against cyber attacks - Google Patents

Method and device for protecting a vehicle against cyber attacks Download PDF

Info

Publication number
DE102016200775A1
DE102016200775A1 DE102016200775.0A DE102016200775A DE102016200775A1 DE 102016200775 A1 DE102016200775 A1 DE 102016200775A1 DE 102016200775 A DE102016200775 A DE 102016200775A DE 102016200775 A1 DE102016200775 A1 DE 102016200775A1
Authority
DE
Germany
Prior art keywords
vehicle
measures
procedure
analysis
remote site
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102016200775.0A
Other languages
German (de)
Inventor
Jochen Schauffele
Martin Reuter
Gerhard Heilmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102016200775.0A priority Critical patent/DE102016200775A1/en
Publication of DE102016200775A1 publication Critical patent/DE102016200775A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mechanical Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

Verfahren zum Schützen eines Fahrzeuges (20) vor Cyberangriffen, gekennzeichnet durch folgende Merkmale: – durch ein Steuergerät (21) werden mit den Cyberangriffen verbundene Risiken für das Fahrzeug (20) erkannt und einer Analyse (22) unterzogen und – den Risiken werden aufgrund der Analyse (22) geeignete Abwehrmaßnahmen (23) nach einem Algorithmus (24) zugeordnet.A method of protecting a vehicle (20) against cyberattacks, characterized by the following features: - a control device (21) identifies risks to the vehicle (20) associated with cyberattacks and subjects them to an analysis (22); Analysis (22) associated with appropriate defenses (23) according to an algorithm (24).

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Schützen eines Fahrzeuges vor Cyberangriffen. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.The present invention relates to a method of protecting a vehicle from cyberattacks. The present invention also relates to a corresponding device, a corresponding computer program and a corresponding storage medium.

Stand der TechnikState of the art

Als Cyberattacke oder Cyberangriff wird in der Informationssicherheit jedweder gezielt von außerhalb des Netzwerks geführte Angriff auf ein Computernetzwerk bezeichnet. Neben anderen Netzwerktopologien stellen jüngst vermehrt die in Fahrzeugtechnik und Automatisierung verbreiteten Feldbusse das Ziel solcher Angriffe dar.In cyber-attack or cyber-attack, information security refers to any attack on a computer network intentionally carried out of a network. In addition to other network topologies, the fieldbuses widely used in vehicle technology and automation have recently become the target of such attacks.

DE 10 2014 114607 A1 stellt Verfahren, Geräte und Systeme für die Programmierung eines Fahrzeugmoduls bereit, um die Anfälligkeit oder Empfindlichkeit eines beispielhaften Fahrzeugs gegenüber Cyberangriffen zu reduzieren. Das beispielhafte Fahrzeug umfasst ein erstes Modul, ein Gateway-Modul, welches kommunikativ an das erste Modul gekoppelt ist, und ein Aktualisierungsmodul, welches kommunikativ an das Gateway-Modul gekoppelt ist. Das Aktualisierungsmodul ist konfiguriert, um dem Gateway-Modul Autorisierungsinformationen und Programmierungsdaten bereitzustellen. Das Gateway-Modul ist konfiguriert, um zu überprüfen, dass die Programmierung des ersten Moduls zumindest zum Teil auf den Autorisierungsinformationen basierend autorisiert ist und um dem ersten Modul die Programmierungsdaten nach Überprüfung, dass die Programmierung des ersten Moduls autorisiert ist, bereitzustellen. DE 10 2014 114607 A1 provides methods, apparatus, and systems for programming a vehicle module to reduce the susceptibility or sensitivity of an exemplary vehicle to cyberattacks. The exemplary vehicle includes a first module, a gateway module communicatively coupled to the first module, and an update module communicatively coupled to the gateway module. The update module is configured to provide authorization information and programming data to the gateway module. The gateway module is configured to verify that the programming of the first module is at least partially authorized based on the authorization information and to provide the first module with the programming data after verifying that the programming of the first module is authorized.

Offenbarung der ErfindungDisclosure of the invention

Die Erfindung stellt ein Verfahren zum Schützen eines Fahrzeuges vor Cyberangriffen, eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium gemäß den unabhängigen Ansprüchen bereit.The invention provides a method for protecting a vehicle from cyberattacks, a corresponding device, a corresponding computer program and a corresponding storage medium according to the independent claims.

Der vorgeschlagene Ansatz fußt dabei auf der Erkenntnis, dass heutige Fahrzeugbussysteme nicht vollständig gegen Cyberangriffe geschützt sind. Effektive und effiziente Maßnahmen zur Risikobegrenzung können nur unter Einbeziehung der Gesamtarchitektur, Hardware (HW) und Software (SW) gestaltet werden. Heutige Aktualisierungen des bestehenden Systems gilt es weiter zu verbessern.The proposed approach is based on the knowledge that today's vehicle bus systems are not completely protected against cyber attacks. Effective and efficient risk mitigation measures can only be designed using the overall architecture, hardware (HW) and software (SW). Today's updates of the existing system should be further improved.

Ein zeitgemäßes mehrschichtiges Schutzsystem gegen Cyberangriffe auf Fahrzeuge gewährleistet eine effektive und effiziente Maßnahme zur Risikobegrenzung für heutige Fahrzeuge, deren Bus-Systeme, Fahrer, Passagiere und Umgebung. Kernstück des Systems ist die spezifische Zuordnung von effektiven und effizienten Maßnahmen zur Risikobegrenzung, welche gezielt die detektierten und analysierten Risiken mindern. Grundlegende Systemelemente unterschiedlicher Ausführungsformen der Erfindung sind ein elektronisches Steuergerät (electronic control unit, ECU), Erkennung und Analyse, Maßnahmen zur Risikobegrenzung und ein Algorithmus zur Zuordnung der Abwehrmaßnahmen zu den Risiken.An up-to-date multi-layered protection system against cyber-attacks on vehicles ensures an effective and efficient risk-reduction measure for today's vehicles, their bus systems, drivers, passengers and the environment. The core of the system is the specific assignment of effective and efficient risk mitigation measures that specifically reduce the risks detected and analyzed. Basic system elements of different embodiments of the invention are an electronic control unit (ECU), detection and analysis, measures to limit the risk and an algorithm for assigning the defense measures to the risks.

Die ECU bzw. das System bietet einen umfassenden Schutz gegen Cyberattacken, welcher ein Eindringen über die ECU in Bordnetze verhindert.The ECU or the system offers comprehensive protection against cyberattacks, which prevents entry via the ECU in electrical systems.

Ein Vorzug dieser Lösung liegt darin, dass sie basierend auf einem definierten, vorzugsweise selbstlernenden Algorithmus die effektivsten und effizientesten Maßnahmen zur Risikominderung gezielt den erfassten und analysierten Risiken zuordnet. Das Selbstlernen und Erkennung der Gefährdung kann zusätzlich z. B. durch Anomalien der Kommunikation erfolgen. Ein erfindungsgemäßes System ermöglicht insbesondere Aktualisierungen von Anwendungssoftware sowie Firmware über die Luftschnittstelle (over-the-air, OTA) und gestattet so z. B. tägliche SW-Updates von System oder Komponenten. One advantage of this solution is that it uses a defined, preferably self-learning algorithm to assign the most effective and efficient measures for risk reduction to the detected and analyzed risks. The self-learning and detection of hazards may additionally z. B. done by abnormalities of communication. An inventive system allows in particular updates of application software and firmware over the air interface (over-the-air, OTA) and allows such. Eg daily software updates of system or components.

Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich. So kann vorgesehen sein, dass die Abwehrmaßnahmen über eine Borddiagnoseschnittstelle (on-board diagnostics, OBD) des Fahrzeuges in einem elektrisch-elektronischen (E/E) System des Fahrzeuges getroffen werden. Ein derartiges System kann auf jedes Auto mit einer Schnittstelle des Typs OBD-II angewendet werden und bietet daher einen mehrschichtigen Schutz auch für Fahrzeuge in Großgaragen, Produktion und solchen mit nichtveränderlicher E/E-Architektur, Hardware und Software. Es schränkt das mit einem Eindringen in das Fahrzeug und E/E-System verbundene Risiko von Aktionen im E/E-Netz und deren mögliche Auswirkungen daher ein. The measures listed in the dependent claims advantageous refinements and improvements of the independent claim basic idea are possible. Thus, it can be provided that the defensive measures are taken via an on-board diagnostics interface (OBD) of the vehicle in an electric-electronic (E / E) system of the vehicle. Such a system can be applied to any car with an OBD-II interface and therefore provides multi-layered protection also for vehicles in large garages, production and those with non-variable E / E architecture, hardware and software. It therefore limits the risk of intrusion into the vehicle and E / E system of actions in the E / E network and their potential impact.

Gemäß einem weiteren Aspekt kann vorgesehen sein, die serienmäßige Bedrohungserkennung und Berichterstattung bis hin zu einer gezielten Erkennung, Analyse und Anwendung von speziellen, kundenspezifischen Maßnahmen zur Risikobegrenzung anzupassen. Ein erfindungsgemäßes System bedient sich dabei am Markt erhältlicher Standard-HW-Komponenten und bietet daher eine kostenoptimierte und standardtaugliche Lösung für die immanente Bedrohung durch Cyberangriffe.According to a further aspect, it may be provided to adapt the standard threat detection and reporting to a specific detection, analysis and application of special, customer-specific risk limitation measures. A system according to the invention makes use of standard HW components available on the market and therefore offers a cost-optimized and standard-compliant solution for the inherent threat of cyberattacks.

Kurze Beschreibung der Zeichnungen Brief description of the drawings

Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:Embodiments of the invention are illustrated in the drawings and explained in more detail in the following description. It shows:

1 das Flussdiagramm eines Verfahrens gemäß einer Ausführungsform der Erfindung. 1 the flowchart of a method according to an embodiment of the invention.

2 schematisch die Elemente eines mehrschichtigen Schutzsystems gegen Cyberangriffe auf ein Fahrzeug. 2 schematically the elements of a multi-layered protection system against cyberattacks on a vehicle.

3 einen im Rahmen des Systems genutzten Algorithmus. 3 an algorithm used in the system.

Ausführungsformen der ErfindungEmbodiments of the invention

1 illustriert die grundlegenden Schritte eines Verfahrens (10), dessen konzeptionelle Elemente anhand der 2 verdeutlicht werden. Ein Steuergerät (21) erkennt hierzu zunächst mögliche Risiken durch Cyberangriffe für ein Fahrzeug (20) und unterzieht (Schritt 11) diese Risiken einer Analyse (22). Es kann sich dabei um ein bereits gefertigtes oder ein noch in der Entwicklung befindliches Fahrzeug handeln. Aufgrund der vorliegenden Analyse (22) werden den Risiken sodann geeignete Abwehrmaßnahmen (23) nach einem vorgegebenen Algorithmus (24) zugeordnet (Schritt 12). 1 illustrates the basic steps of a procedure ( 10 ), whose conceptual elements are based on the 2 be clarified. A control unit ( 21 ) first identifies potential risks from cyberattacks for a vehicle ( 20 ) and undergoes (step 11 ) these risks of analysis ( 22 ). It may be an already manufactured vehicle or a vehicle still under development. Based on the present analysis ( 22 ) the risks are then adequately countermeasures ( 23 ) according to a predetermined algorithm ( 24 ) (step 12 ).

Der beschriebene mehrschichtige Schutz kann dabei durch ein eigenständiges, über die Borddiagnoseschnittstelle (25) anzuschließendes Steuergerät (21) gewährt werden. In Betracht kommt auch die Umsetzung durch ein mit der Borddiagnoseschnittstelle (25) verbundenes Kombinationssteuergerät (dongle), wie es zum Beispiel im Rahmen des Flottenmanagements oder zur telematischen Anbindung des einzelnen Fahrzeuges (20) genutzt wird. Schließlich mag das Steuergerät (21) auch im Rahmen einer eigenständigen Lösung unmittelbar im Bussystem oder in eine bestehende ECU, beispielsweise in Gestalt einer anwendungsspezifischen integrierten Schaltung (application-specific integrated circuit, ASIC), integriert sein. Zu denken ist etwa an das sogenannte Gateway, welches gleichsam die Funkschnittstelle des Bussystems verkörpert.The multilayered protection described here can be achieved by an independent, via the on-board diagnostic interface ( 25 ) to be connected control unit ( 21 ) be granted. The implementation by a with the on-board diagnostic interface ( 25 ) connected combination control unit (dongle), as for example in the context of fleet management or for the telematic connection of the individual vehicle ( 20 ) is being used. Finally, the control unit ( 21 ) as part of an independent solution directly in the bus system or in an existing ECU, for example in the form of an application-specific integrated circuit (ASIC), integrated. To think about the so-called gateway, which embodies as it were the radio interface of the bus system.

Ziel der algorithmischen Erkennung und Analyse (22) sind von außerhalb des Fahrzeuges (20) eingeleitete Angriffe auf das Bussystem und dessen Steuergeräte. Geeignete Algorithmen können auch initial konstruiert und später als selbstlernendes System (26) eingesetzt werden. Eine Erkennung kommt insbesondere während Start, Stopp oder Zustandsänderung des E/E-Systems (26) und Motors, bei bestimmten Ereignisse oder kontinuierlich mit spezifischen Auswertealgorithmen in Betracht.Objective of algorithmic recognition and analysis ( 22 ) are from outside the vehicle ( 20 ) initiated attacks on the bus system and its control units. Suitable algorithms can also be initially constructed and later used as a self-learning system ( 26 ) are used. Detection occurs in particular during start, stop or change of state of the E / E system ( 26 ) and motors, in certain events or continuously with specific evaluation algorithms into consideration.

Die Erkennung und Analyse (22) sind durch zwei technische Lösungen zu realisieren: eine Erfassung des Einbringens in das Bussystem und eine Erfassung und Analyse (22) innerhalb des Bussystems und seiner Elemente. Die Erfassung und Analyse (22) basiert beispielsweise auf dem Nachweis von spezifischen Mustern oder Signalanomalien, ist aber keineswegs auf Anomalien beschränkt. Im ersten Fall kann eine Erfassung und Analyse (22) in der Einschleusung von Schadsoftware in das CAN-System (26) oder anderweitige Bussystem anhand der Häufigkeit der Bus-Kommunikation hinsichtlich Geschwindigkeit und Frequenz der ausgetauschten Pakete erfolgen. Im zweiten Fall – der Erkennung und Analyse (22) innerhalb des Bussystems und seiner Elemente – kommen unterschiedlichste Indikatoren in Betracht, darunter

  • a. unbeabsichtigte oder ungeplante Schalter und Zustände in Diagnose- und Normalmodus der Bus-Kommunikation,
  • b. fehlerhafte oder veränderte Prüfsummen der Bus-Pakete,
  • c. doppelte oder nicht vorhandene Nachrichtenkennzeichen (message identifiers, IDs) in Bus-Paketen,
  • d. unbeabsichtigtes oder ungeplantes Beschreiben des Flash-Speichers (flash) einzelner Steuergeräte mit einer neuen Firmware,
  • e. unbeabsichtigte oder ungeplante Sequenzen durch Steuergeräte gesendeter Bus-Pakete,
  • f. abweichende Prüfungsergebnisse bei einer Bandendekontrolle (end-of-line inspection, EOL) der Steuergeräte oder des Bus-Systems oder
  • g. plötzliche, unerwartete Signale oder Wertänderungen der Bus-Pakete z. B. bei Lenkung, Brems- oder Gaspedal.
The detection and analysis ( 22 ) can be realized by two technical solutions: a recording of the introduction into the bus system and a recording and analysis ( 22 ) within the bus system and its elements. The capture and analysis ( 22 ) is based, for example, on the detection of specific patterns or signal anomalies, but is by no means limited to anomalies. In the first case, a collection and analysis ( 22 ) in the injection of malware into the CAN system ( 26 ) or other bus system based on the frequency of the bus communication in terms of speed and frequency of the exchanged packets. In the second case - recognition and analysis ( 22 ) within the bus system and its elements - a wide range of indicators can be considered, including
  • a. unintentional or unplanned switches and states in diagnostic and normal modes of bus communication,
  • b. incorrect or modified checksums of the bus packages,
  • c. duplicate or nonexistent message identifiers (IDs) in bus packets,
  • d. unintentional or unscheduled writing of the flash memory (flash) of individual ECUs with a new firmware,
  • e. unintentional or unplanned sequences by control units sent bus packets,
  • f. deviating test results in an end-of-line inspection (EOL) of the control units or the bus system or
  • G. sudden, unexpected signals or value changes of the bus packets z. B. steering, brake or accelerator pedal.

Erkennung und Analyse (22) können auf vorgegebenen Werten und Schwellen oder – nach einem lernfähigen System – z. B. vom normalen Zustand innerhalb des Bus-Systems (26) abgeleiteten Werten und Schwellen basieren. Eine denkbare Fehlerberichterstattung reicht vom möglichen Senden von Fehlermeldungen bis zu spezifischen Fehlerbeschreibungen.Detection and analysis ( 22 ) can be set to given values and thresholds or - after a learning system - z. From the normal state within the bus system ( 26 ) derived values and thresholds. Possible error reporting ranges from the possible sending of error messages to specific error descriptions.

3 vermittelt einen Überblick über exemplarische Abwehrmaßnahmen (23). Als wenig praxistauglich erweist sich dabei ein Kurzschluss (30) des Bussystems als äußerste Notfallmaßnahme (28) zum Mindern des Risikos eines Totalausfalles des Fahrzeuges (20). Das Hauptaugenmerk ist vielmehr auf differenzierte Einzelmaßnahmen (29) zum Mindern des Risikos einer Funktionsstörung des Fahrzeuges (20) zu lenken. Diese Einzelmaßnahmen (29) lassen sich im Wesentlichen zwei Kategorien zuordnen: Ein internes Maßnahmenpaket (31) wird innerhalb des Fahrzeuges (20) umgesetzt, während ein externes Maßnahmenpaket (32) durch Übermittlung (38) an eine Gegenstelle (48, 51, 53, 57) außerhalb des Fahrzeuges (20) eingeleitet wird. 3 provides an overview of exemplary defensive measures ( 23 ). A short circuit proves to be of little practical use ( 30 ) of the bus system as an extreme emergency measure ( 28 ) for reducing the risk of a total failure of the vehicle ( 20 ). The main focus is rather on differentiated individual measures ( 29 ) for reducing the risk of a malfunction of the vehicle ( 20 ) to steer. These individual measures ( 29 ) can be essentially divided into two categories: An internal package of measures ( 31 ) is inside the vehicle ( 20 ), while an external package of measures ( 32 ) by transmission ( 38 ) at a remote station ( 48 . 51 . 53 . 57 ) outside the vehicle ( 20 ) is initiated.

Das interne Maßnahmenpaket (31) etwa mag eine Anwendung (33) bestimmter Notlauffunktionen umfassen. In Betracht kommt eine ausfallsichere Betriebsart (39) oder die Einschränkung (40) bestimmter Fahrzeugfunktionen. Denkbar erscheint auch, das gesamte (41) Fahrzeug (20) oder zumindest sämtliche (42) oder ausgewählte (43) Steuergeräte des Fahrzeuges (20) in einen Sicherungsmodus (34) zu versetzen. Abhilfe schaffen kann mitunter auch eine Außerkraftsetzung (35) entscheidender Nachrichten, beispielsweise durch Überschreiben (44) des Flash-Speichers (fachsprachlich: „Flashen“) eines die Nachrichten versendenden Steuergerätes (21) oder der Nachrichten selbst (45), das schlichte Verwerfen (36) fehlerhafter Nachrichten oder die Auslösung (37) eines fahrzeuginternen bildlichen (46) oder klanglichen (47) Signales an den Fahrzeugführer.The internal package of measures ( 31 ) like an application ( 33 ) of certain emergency functions. A fail-safe operating mode ( 39 ) or the restriction ( 40 ) certain vehicle functions. It seems conceivable that the whole ( 41 ) Vehicle ( 20 ) or at least all ( 42 ) or selected ( 43 ) Control devices of the vehicle ( 20 ) into a backup mode ( 34 ) to move. Occasionally, an override ( 35 ) crucial messages, for example by overwriting ( 44 ) of the flash memory (in technical terms: "flashing") of a control unit sending the messages ( 21 ) or the news itself ( 45 ), the simple rejection ( 36 ) erroneous messages or triggering ( 37 ) of an in-vehicle pictorial ( 46 ) or sonic ( 47 ) Signals to the driver.

Hinsichtlich des externen Maßnahmenpaketes (32) ist beispielsweise an die Fehlerbenachrichtigung (49) eines Erstausrüsters (original equipment manufacturer, OEM) oder einen Notruf (52) des Fahrzeuges (20) zu denken, welcher etwa im Rahmen des eCall-Systems an einen externen Dienstleister (51) abgesetzt wird. Auch zur Anforderung einer Softwareaktualisierung (50) des Fahrzeuges (20) oder zur Übermittlung (38) der erfolgten Analyse (22) sind Erstausrüster (48) oder Dienstleister (51) geeignete Adressaten. Alternativ kann die Gegenstelle (48, 51, 53, 57) eine dritte Partei (53) wie ein Flottendienstleister (54), eine Behörde (55) oder ein Zulieferbetrieb (56) sein. Auch die Fahrzeugführerin (57) des Fahrzeuges (20) mag – etwa per Mobiltelefon – von den umgesetzten oder einzuleitenden Einzelmaßnahmen (29) in Kenntnis gesetzt werden.With regard to the external package of measures ( 32 ) is, for example, to the error notification ( 49 ) of an original equipment manufacturer (OEM) or an emergency call ( 52 ) of the vehicle ( 20 ), which, for example, in the context of the eCall system to an external service provider ( 51 ) is discontinued. Also to request a software update ( 50 ) of the vehicle ( 20 ) or for transmission ( 38 ) of the analysis ( 22 ) are original equipment manufacturers ( 48 ) or service providers ( 51 ) suitable addressees. Alternatively, the remote station ( 48 . 51 . 53 . 57 ) a third party ( 53 ) like a fleet service provider ( 54 ), an authority ( 55 ) or a supplier company ( 56 ) be. Also the driver ( 57 ) of the vehicle ( 20 ) may - for example by mobile phone - of the implemented or to be initiated individual measures ( 29 ).

Für die Effizienz des mehrschichtigen Schutzsystems ist auch die richtige Zuordnung (12) der Abwehrmaßnahmen (23) zu den erkannten Risiken von zentraler Bedeutung. Diese Zuordnung (12) erfolgt nach einem flexiblen System (26) auf Fall-zu-Fall-Basis unter Berücksichtigung der als möglich erkannten Auswirkungen des Angriffs. Die Bandbreite möglicher Abwehrmaßnahmen (23) reicht dabei von allgemeinen Abhilfen, die das ganze System (26) betreffen, bis zu sehr spezifischen, differenzierten Einzelmaßnahmen (29) zur Minderung eines einzelnen Risikos.For the efficiency of the multilayer protection system, the correct assignment ( 12 ) of defense measures ( 23 ) on the identified risks are of central importance. This assignment ( 12 ) is based on a flexible system ( 26 ) on a case-by-case basis, taking into account the possible effects of the attack. The range of possible defenses ( 23 ) ranges from general remedies that cover the whole system ( 26 ), up to very specific, differentiated individual measures ( 29 ) to reduce a single risk.

Die gezielte Zuordnung von Abwehrmaßnahmen (23) an jedes Risiko erlaubt es, mögliche Auswirkungen auf das Fahrzeug (20) und dessen E/E-System (26) und das damit verbundene Gefährdungspotential zu begrenzen. Ein potenzieller Fall ist der Folgende: Erkannte Risiken mit begrenzten Auswirkungen auf das Fahrzeug (20) und E/E-System (26) erfordern lediglich Abwehrmaßnahmen (23) mit begrenzten Auswirkungen. So bedingen z. B. fehlerhafte Prüfsummen der Bus-Pakete möglicherweise nur ein internes Maßnahmenpaket (31), welches ein visuelles Signal (46) oder schlicht das Verwerfen (36) der fehlerhaften Nachrichten umfasst.The targeted assignment of defense measures ( 23 ) at any risk it allows possible effects on the vehicle ( 20 ) and its E / E system ( 26 ) and to limit the associated risk potential. A potential case is the following: Detected risks with limited impact on the vehicle ( 20 ) and E / E system ( 26 ) require only defensive measures ( 23 ) with limited effects. To condition z. For example, incorrect checksums of the bus packets may only be an internal set of measures ( 31 ), which is a visual signal ( 46 ) or simply discarding ( 36 ) of the erroneous messages.

Ein erkanntes Risiko mit Auswirkungen auf das Fahrzeug (20) und E/E-System (26) hingegen kann neben auf das Fahrzeug (20) begrenzten Abwehrmaßnahmen (23) eine umfangreichere Fehlerberichterstattung rechtfertigen. Ein ungeplantes Senden von Bus-Paketen bedarf beispielsweise eines externen Maßnahmenpaketes (32) in Gestalt einer Meldung an den Erstausrüster (48) oder einer Übermittlung (38) der Analyse (22) an einen Dienstleister. Die Erkennung eines potenziellen Angriffes anhand einer Kombination verschiedener ungewöhnlicher Ereignisse wie falscher Prüfsummen oder erhöhten Datenverkehrs löst eine Fehlerbenachrichtigung (49) des Erstausrüsters (48) und dessen weitergehende Analyse (22) als Bestandteile eines externen Maßnahmenpaketes (32) aus. Hinzu tritt in diesem Szenario die Anforderung regelmäßiger Softwareaktualisierungen (50) des Fahrzeuges (20) für einen begrenzten Zeitraum zum Überschreiben (44) des Flash-Speichers der die Nachrichten versendenden Steuergeräte. A recognized risk affecting the vehicle ( 20 ) and E / E system ( 26 ), in addition to the vehicle ( 20 ) limited defensive measures ( 23 ) justify a more comprehensive error reporting. An unplanned sending of bus packets, for example, requires an external package of measures ( 32 ) in the form of a message to the original equipment manufacturer ( 48 ) or a transmission ( 38 ) of the analysis ( 22 ) to a service provider. Detecting a potential attack using a combination of unusual events such as incorrect checksums or increased traffic triggers an error notification ( 49 ) of the original equipment manufacturer ( 48 ) and its further analysis ( 22 ) as components of an external package of measures ( 32 ) out. In addition, in this scenario, the request for periodic software updates ( 50 ) of the vehicle ( 20 ) for a limited period of time for overwriting ( 44 ) of the flash memory of the controllers sending the messages.

Ein erkanntes Risiko mit starker Auswirkung auf Fahrzeug (20) und E/E-System (26) verlangt nach strengen Maßnahmen von beträchtlicher Wirkung. Ein ungeplantes Flashen von Steuergeräten etwa erfordert es, die betroffenen Steuergeräte (43) in den Sicherungsmodus (34) zu versetzen. In verschärfter Weise löst das ungeplante Flashen einer sicherheitskritischen ECU ein externen Maßnahmenpaket (32) aus, das eine Fehlerbenachrichtigung (49) des Erstausrüsters (48) und nach dessen weitergehender Analyse (22) eine Softwareaktualisierung (50) der sicherheitskritischen ECU umfasst.A recognized risk with a strong impact on vehicle ( 20 ) and E / E system ( 26 ) calls for strict measures of considerable effect. An unscheduled flashing of control units, for example, requires the affected control units ( 43 ) in the backup mode ( 34 ) to move. The unplanned flashing of a safety-critical ECU solves an external package of measures ( 32 ), an error message ( 49 ) of the original equipment manufacturer ( 48 ) and after its further analysis ( 22 ) a software update ( 50 ) of the safety-critical ECU.

Ein geeigneter Algorithmus (24) für die Zuordnung (12) der Maßnahmen basiert auf der Expertise von Erstausrüster (48) und Zulieferer, Voraussetzungen des E/E-Systems (26) und möglichen zukünftigen rechtlichen und behördlichen Anforderungen, kann aber auch selbstlernende Elemente enthalten, ohne den Rahmen der Erfindung zu verlassen.A suitable algorithm ( 24 ) for the assignment ( 12 ) of the measures is based on the expertise of original equipment manufacturers ( 48 ) and suppliers, requirements of the E / E system ( 26 ) and possible future legal and regulatory requirements, but may also contain self-learning elements, without departing from the scope of the invention.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 102014114607 A1 [0003] DE 102014114607 A1 [0003]

Claims (10)

Verfahren (10) zum Schützen eines Fahrzeuges (20) vor Cyberangriffen, gekennzeichnet durch folgende Merkmale: – durch ein Steuergerät (21) werden mit den Cyberangriffen verbundene Risiken für das Fahrzeug (20) erkannt und einer Analyse (22) unterzogen (11) und – den Risiken werden aufgrund der Analyse (22) geeignete Abwehrmaßnahmen (23) nach dem Algorithmus (24) zugeordnet (12).Procedure ( 10 ) for protecting a vehicle ( 20 ) against cyber attacks, characterized by the following features: - by a control device ( 21 ) are associated with cyber-attacks risks to the vehicle ( 20 ) and an analysis ( 22 ) ( 11 ) and - the risks are calculated on the basis of the analysis ( 22 ) appropriate defense measures ( 23 ) according to the algorithm ( 24 ) ( 12 ). Verfahren (10) nach Anspruch 1, gekennzeichnet durch folgendes Merkmal: – die Abwehrmaßnahmen (23) werden über eine Borddiagnoseschnittstelle (25) des Fahrzeuges (20) in einem elektrisch-elektronischen System (26) des Fahrzeuges (20) getroffen.Procedure ( 10 ) according to claim 1, characterized by the following feature: - the defense measures ( 23 ) are transmitted via an on-board diagnostic interface ( 25 ) of the vehicle ( 20 ) in an electrical-electronic system ( 26 ) of the vehicle ( 20 ) met. Verfahren (10) nach Anspruch 1 oder 2, gekennzeichnet durch folgende Merkmale: – die Abwehrmaßnahmen (23) umfassen Notfallmaßnahmen (28) zum Mindern des Risikos eines Totalausfalles des Fahrzeuges (20) und – die Abwehrmaßnahmen (23) umfassen differenzierte Einzelmaßnahmen (29) zum Mindern des Risikos einer Funktionsstörung des Fahrzeuges (20).Procedure ( 10 ) according to claim 1 or 2, characterized by the following features: - the defensive measures ( 23 ) include emergency measures ( 28 ) for reducing the risk of a total failure of the vehicle ( 20 ) and - the defensive measures ( 23 ) comprise differentiated individual measures ( 29 ) for reducing the risk of a malfunction of the vehicle ( 20 ). Verfahren (10) nach Anspruch 3, gekennzeichnet durch folgendes Merkmal: – die Notfallmaßnahmen (28) umfassen einen Kurzschluss (30) eines Bussystems des Fahrzeuges (20). Procedure ( 10 ) according to claim 3, characterized by the following feature: - the emergency measures ( 28 ) include a short circuit ( 30 ) of a bus system of the vehicle ( 20 ). Verfahren (10) nach Anspruch 3 oder 4, gekennzeichnet durch folgende Merkmale: – ein internes Maßnahmenpaket (31) wird innerhalb des Fahrzeuges (20) umgesetzt und – ein externes Maßnahmenpaket (32) wird durch eine Übermittlung (38) an eine Gegenstelle (48, 51, 53, 57) außerhalb des Fahrzeuges (20) eingeleitet, wobei die Maßnahmenpakete (31, 32) die Einzelmaßnahmen (29) teilweise umfassen.Procedure ( 10 ) according to claim 3 or 4, characterized by the following features: - an internal package of measures ( 31 ) is inside the vehicle ( 20 ) and - an external package of measures ( 32 ) is replaced by a transmission ( 38 ) to a remote site ( 48 . 51 . 53 . 57 ) outside the vehicle ( 20 ), whereby the packages of measures ( 31 . 32 ) the individual measures ( 29 ) partially. Verfahren (10) nach Anspruch 5, dadurch gekennzeichnet, dass das interne Maßnahmenpaket (31) mindestens eine der folgenden Einzelmaßnahmen (29) umfasst: – eine Anwendung (33) bestimmter Notlauffunktionen des Fahrzeuges (20), insbesondere eine ausfallsichere Betriebsart (39) oder eine Einschränkung (40) bestimmter Funktionen, – einen Sicherungsmodus (34) insbesondere des gesamten (41) Fahrzeuges (20), sämtlicher (42) oder ausgewählter (43) Steuergeräte des Fahrzeuges (20), – eine Außerkraftsetzung (35) entscheidender Nachrichten, insbesondere ein Überschreiben (44) eines Flash-Speichers eines die Nachrichten versendenden oder empfangenden Steuergerätes (21) oder der Nachrichten selbst (45), – ein Verwerfen (36) fehlerhafter Nachrichten oder – ein Auslösen (37) eines fahrzeuginternen insbesondere bildlichen (46) oder klanglichen (47) Signales. Procedure ( 10 ) according to claim 5, characterized in that the internal package of measures ( 31 ) at least one of the following individual measures ( 29 ) comprises: - an application ( 33 ) certain emergency running functions of the vehicle ( 20 ), in particular a fail-safe mode ( 39 ) or a restriction ( 40 ) certain functions, - a backup mode ( 34 ) in particular of the whole ( 41 ) Vehicle ( 20 ), all ( 42 ) or selected ( 43 ) Control devices of the vehicle ( 20 ), - an invalidation ( 35 ) crucial messages, in particular an overwrite ( 44 ) of a flash memory of a message sending or receiving control unit ( 21 ) or the news itself ( 45 ), - a rejection ( 36 ) erroneous messages or - triggering ( 37 ) of an in-vehicle, in particular pictorial ( 46 ) or sonic ( 47 ) Signals. Verfahren (10) nach Anspruch 5 oder 6, gekennzeichnet durch mindestens eines der folgenden Merkmale: – die Gegenstelle (48, 51, 53, 57) ist ein Erstausrüster (48) des Fahrzeuges (20) und die Übermittlung (38) betrifft eine Fehlerbenachrichtigung (49) des Erstausrüsters (48), eine Softwareaktualisierung (50) des Fahrzeuges (20) oder die Analyse (22), – die Gegenstelle (48, 51, 53, 57) ist ein externer Dienstleister (51) und die Übermittlung (38) betrifft einen automatisch an den Dienstleister (51) abgesetzten Notruf (52) des Fahrzeuges (20), eine Softwareaktualisierung (50) des Fahrzeuges (20) oder die Analyse (22), – die Gegenstelle (48, 51, 53, 57) ist eine dritte Partei (53), insbesondere ein Flottendienstleister (54), eine Behörde (55) oder ein Zulieferbetrieb (56) oder – die Gegenstelle (48, 51, 53, 57) ist ein Fahrzeugführer (57) des Fahrzeuges (20) und die Übermittlung (38) betrifft die umgesetzten oder einzuleitenden Einzelmaßnahmen (29).Procedure ( 10 ) according to claim 5 or 6, characterized by at least one of the following features: - the remote site ( 48 . 51 . 53 . 57 ) is an original equipment manufacturer ( 48 ) of the vehicle ( 20 ) and the transmission ( 38 ) concerns an error notification ( 49 ) of the original equipment manufacturer ( 48 ), a software update ( 50 ) of the vehicle ( 20 ) or the analysis ( 22 ), - the remote site ( 48 . 51 . 53 . 57 ) is an external service provider ( 51 ) and the transmission ( 38 ) automatically affects the service provider ( 51 ) remote emergency call ( 52 ) of the vehicle ( 20 ), a software update ( 50 ) of the vehicle ( 20 ) or the analysis ( 22 ), - the remote site ( 48 . 51 . 53 . 57 ) is a third party ( 53 ), in particular a fleet service provider ( 54 ), an authority ( 55 ) or a supplier company ( 56 ) or - the remote site ( 48 . 51 . 53 . 57 ) is a driver ( 57 ) of the vehicle ( 20 ) and the transmission ( 38 ) concerns the individual measures implemented or to be 29 ). Computerprogramm, welches eingerichtet ist, das Verfahren (10) nach einem der Ansprüche 1 bis 7 auszuführen.Computer program, which is set up the procedure ( 10 ) according to one of claims 1 to 7. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 8 gespeichert ist.Machine-readable storage medium on which the computer program according to claim 8 is stored. Vorrichtung (20, 21), die eingerichtet ist, das Verfahren (10) nach einem der Ansprüche 1 bis 7 auszuführen.Contraption ( 20 . 21 ), which is set up, the procedure ( 10 ) according to one of claims 1 to 7.
DE102016200775.0A 2016-01-21 2016-01-21 Method and device for protecting a vehicle against cyber attacks Withdrawn DE102016200775A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102016200775.0A DE102016200775A1 (en) 2016-01-21 2016-01-21 Method and device for protecting a vehicle against cyber attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016200775.0A DE102016200775A1 (en) 2016-01-21 2016-01-21 Method and device for protecting a vehicle against cyber attacks

Publications (1)

Publication Number Publication Date
DE102016200775A1 true DE102016200775A1 (en) 2017-07-27

Family

ID=59295906

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016200775.0A Withdrawn DE102016200775A1 (en) 2016-01-21 2016-01-21 Method and device for protecting a vehicle against cyber attacks

Country Status (1)

Country Link
DE (1) DE102016200775A1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020048756A1 (en) 2018-09-04 2020-03-12 Audi Ag Method for installing a program code packet onto a device, device, and motor vehicle
DE102021003747A1 (en) 2021-07-22 2021-10-14 FEV Group GmbH Process for securing data infrastructures of traffic infrastructures and / or vehicles against cyber attacks and / or malfunctions
DE102021205604A1 (en) 2021-06-02 2022-12-08 Robert Bosch Gesellschaft mit beschränkter Haftung Methods for implementing an E/E architecture and methods for evaluating an E/E architecture
DE112019006487B4 (en) 2018-12-28 2023-12-28 Panasonic Intellectual Property Management Co., Ltd. Electronic control unit, electronic control system and program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150113638A1 (en) * 2013-10-23 2015-04-23 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
DE102014114607A1 (en) 2013-10-28 2015-04-30 Gm Global Technology Operations, Llc Programming vehicle modules with remote devices and related methods and systems
US20150191135A1 (en) * 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Bus watchman
US20150271201A1 (en) * 2012-10-17 2015-09-24 Tower-Sec Ltd. Device for detection and prevention of an attack on a vehicle

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150271201A1 (en) * 2012-10-17 2015-09-24 Tower-Sec Ltd. Device for detection and prevention of an attack on a vehicle
US20150113638A1 (en) * 2013-10-23 2015-04-23 Christopher Valasek Electronic system for detecting and preventing compromise of vehicle electrical and control systems
DE102014114607A1 (en) 2013-10-28 2015-04-30 Gm Global Technology Operations, Llc Programming vehicle modules with remote devices and related methods and systems
US20150191135A1 (en) * 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Bus watchman

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020048756A1 (en) 2018-09-04 2020-03-12 Audi Ag Method for installing a program code packet onto a device, device, and motor vehicle
US11880273B2 (en) 2018-09-04 2024-01-23 Audi Ag Method for installing a program code packet onto a device, device, and motor vehicle
DE112019006487B4 (en) 2018-12-28 2023-12-28 Panasonic Intellectual Property Management Co., Ltd. Electronic control unit, electronic control system and program
DE102021205604A1 (en) 2021-06-02 2022-12-08 Robert Bosch Gesellschaft mit beschränkter Haftung Methods for implementing an E/E architecture and methods for evaluating an E/E architecture
DE102021003747A1 (en) 2021-07-22 2021-10-14 FEV Group GmbH Process for securing data infrastructures of traffic infrastructures and / or vehicles against cyber attacks and / or malfunctions
DE102022114568A1 (en) 2021-07-22 2023-01-26 FEV Group GmbH Method for securing data infrastructures of traffic infrastructures and/or vehicles against cyber attacks and/or malfunctions

Similar Documents

Publication Publication Date Title
DE102018122152A1 (en) SYSTEMS AND METHOD FOR IMPACT DETECTION INTO THE NETWORK IN THE VEHICLE
DE102016200775A1 (en) Method and device for protecting a vehicle against cyber attacks
DE102015109057A1 (en) Lock access to confidential vehicle diagnostic data
WO2019072840A1 (en) Apparatus for protecting diagnosis commands to a controller, and corresponding motor vehicle
EP3140816A1 (en) Method for diagnosis of a state in a vehicle, and diagnosis tester
DE102015217110A1 (en) Method for performing a diagnosis in a motor vehicle
DE102016206630A1 (en) Method and device for avoiding manipulation of a data transmission
DE102017214661A1 (en) Method for detecting a manipulation of at least one control device of a motor vehicle and processor device for a motor vehicle and motor vehicle
DE102017209557A1 (en) Method for protecting a vehicle network against manipulated data transmission
DE102015209229A1 (en) Method for monitoring a motor vehicle
DE102011077472A1 (en) Method and charging station for checking vehicle components of an electric vehicle
EP3688951B1 (en) Method for detecting an attack on a control device of a vehicle
WO2017162395A1 (en) Method for monitoring the security of communication connections of a vehicle
DE102007006614A1 (en) Application of a Distributed Diagnostic Architecture in AUTOSAR
DE102007006227A1 (en) Early warning system for the preventive detection and correction of defects in vehicles
DE102017209556A1 (en) Method for protecting a vehicle network against manipulated data transmission
DE102007063053A1 (en) An error code memory management architecture concept including a dedicated monitoring unit module and a fault memory management administrator module for a high performance diesel engine
EP2729857B1 (en) Documentation of faults in a fault memory of a motor vehicle
DE102021201444A1 (en) Method and device for checking an incoming, secure, encrypted message
WO2020160914A1 (en) Method for remote analysis of a functional error of a means of transport, electronic user terminal, means of transport, back-end server and system
EP4004518A1 (en) Method for testing a motor vehicle
DE10143556A1 (en) Vehicle management system, undertakes authorization testing when data access is attempted from control locations
DE102019218939A1 (en) Method for testing the wiring of a vehicle electrical system, an electronic power distribution device, a vehicle and a computer program
DE102018208832A1 (en) A method for containing an attack on a controller
DE102019201191A1 (en) System for configuring an attack detection system for a computer network, corresponding computer network and motor vehicle

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee