DE102018113688A1 - Verfahren für eine Gefährdungsanalyse und Risikobeurteilung - Google Patents

Verfahren für eine Gefährdungsanalyse und Risikobeurteilung Download PDF

Info

Publication number
DE102018113688A1
DE102018113688A1 DE102018113688.9A DE102018113688A DE102018113688A1 DE 102018113688 A1 DE102018113688 A1 DE 102018113688A1 DE 102018113688 A DE102018113688 A DE 102018113688A DE 102018113688 A1 DE102018113688 A1 DE 102018113688A1
Authority
DE
Germany
Prior art keywords
attack
level
determining
vehicle
combined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102018113688.9A
Other languages
English (en)
Inventor
David Tromba
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AVL Software and Functions GmbH
Original Assignee
AVL Software and Functions GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AVL Software and Functions GmbH filed Critical AVL Software and Functions GmbH
Priority to DE102018113688.9A priority Critical patent/DE102018113688A1/de
Publication of DE102018113688A1 publication Critical patent/DE102018113688A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Verfahren für eine Gefährdungsanalyse und einer Risikobeurteilung eines Fahrzeugs, umfassend die Verfahrensschritte:a) Bestimmung von Angriffszielen basierend auf einem Anwendungsbereich des Fahrzeugs;b) Bestimmung eines Angriffsbaumes mit mindestens einem Angriffsbaumzweig für jedes mögliche Angriffsziel;c) Bestimmung eines Auswirkungslevels basierend auf einem Angriffsziel des Fahrzeugs für jedes mögliche Angriffsziel, und Bestimmung, welche Einrichtungen des Fahrzeugs durch Angriffe auf das Fahrzeug betroffen sind, und Bestimmung eines Bedrohungslevels basierend auf den Angriffen;d) Bestimmung eines kombinierten Bedrohungslevels basierend auf einer Kombination von verschiedenen Angriffsbaumzweigen eines Angriffsziels.

Description

  • Die Erfindung betrifft ein Verfahren für eine Gefährdungsanalyse und Risikobeurteilung eines Fahrzeugs.
  • Aus dem Stand der Technik sind bisher derartige Verfahren bekannt, welche sich insbesondere auf einen bestimmten Weg eines gezielten Angriffes beschränken, so dass hierdurch zwar die wichtigsten Funktionen des Fahrzeugs geschützt werden können im Hinblick auf die Betriebssicherheit des Fahrzeuges. Jedoch werden nicht relevante Angriffe in Bezug auf die Sicherheit ignoriert, zum Beispiel Angriffe, welche gegen persönliche Daten gerichtet sind.
  • Ebenso werden lediglich direkte Angriffe auf das Fahrzeug durch die Sicherheitssoftware abgedeckt, wobei Ablenkungsangriffe und Angriffe auf mehrere Systeme gleichzeitig zum Erreichen eines speziellen Ziels nicht durch die bisher bekannte Software möglich ist.
  • Es ist daher die Aufgabe der vorliegenden Anmeldung, ein Verfahren bereitzustellen, mittels welchem die Nachteile des Standes der Technik behoben werden können.
  • Diese Aufgabe wird gelöst durch ein Verfahren für eine Gefährdungsanalyse und einer Risikobeurteilung eines Fahrzeugs, umfassend die Verfahrensschritte:
    1. a) Bestimmung von Angriffszielen basierend auf einem Anwendungsbereich des Fahrzeugs;
    2. b) Bestimmung eines Angriffsbaumes mit mindestens einem Angriffsbaumzweig für jedes mögliche Angriffsziel;
    3. c) Bestimmung eines Auswirkungslevels basierend auf einem Angriffsziel des Fahrzeugs für jedes mögliche Angriffsziel, und Bestimmung, welche Einrichtungen des Fahrzeugs durch Angriffe auf das Fahrzeug betroffen sind, und Bestimmung eines Bedrohungslevels basierend auf den Angriffen;
    4. d) Bestimmung eines kombinierten Bedrohungslevels basierend auf einer Kombination von verschiedenen Angriffsbaumzweigen eines Angriffsziels.
  • Dabei versteht man unter einem Angriffsziel („attack goal“) ein allgemein zu erreichendes Ziel, welches auf verschiedenen Wegen erreicht werden kann. Beispiele hierfür sind etwa Unterbinden einer Kommunikation mit dem OEM, Lauschangriffe auf den Fahrzeugzustand, Senden von manipulierten Daten an den OEM, und dergleichen. Diese Aufzählung ist hier nur beispielhaft und nicht abschließend.
  • Unter dem Begriff Anwendungsbereich („use case“) oder auch Anwendungsfall versteht man im Allgemeinen das Folgende: Use Cases dokumentieren die Funktionalität eines geplanten oder existierenden Systems auf Basis von einfachen Modellen. In einem Use Case wird das nach außen sichtbare Verhalten eines Systems aus Sicht der Nutzer beschrieben. Ein Nutzer kann hierbei eine Person, eine Rolle oder ein anderes System sein. Dieser Nutzer tritt als Akteur mit dem System in Interaktion, um ein bestimmtes Ziel zu erreichen. Ein einzelner Use Case wird normalerweise so benannt, wie das Ziel aus Sicht des Akteurs heißt und ist dabei eine Folge von Aktionen, die in einer festgelegten Reihenfolge ablaufen. Da die Erstellung von Use Cases relativ leicht ist und das gemeinsame Verständnis der Interaktion zwischen Akteur und System deutlich erhöht wird, sind Use Cases sehr beliebt und werden häufig in der Produktentwicklung und Softwareentwicklung genutzt.
  • Ein Beispiel hierzu ist dabei das Auslesen eines Fahrzeugzustands durch den Nutzer.
  • Unter einem Angriffsbaum versteht man dabei die Gesamtheit aller Angriffsziele zusammen mit den jeweiligen Zweigen/Angriffsbaumzweigen zum Erreichen des jeweiligen Angriffsziels.
  • Es sei dabei angemerkt, dass der Angriffsbaum dabei abhängig ist von dem Datenflussdiagramm und/oder dem Funktionsdiagramm, welches zu dem Fahrzeug zugehörig ist. Dabei wird abgebildet, welche Kommunikation bzw. Art von Kommunikation möglich ist, beispielsweise „read“, „write“, „status request“ und dergleichen.
  • Unter dem Auswirkungslevel („impact level“) ist zu verstehen, welche Auswirkung das jeweilige Angriffsziel hat, insbesondere in Bezug auf Sicherheit, Finanzen, Betriebsbereitschaft und Privatsphäre. Aus den jeweiligen Werten bzw. Einstufungen in Bezug auf Sicherheit, Finanzen, Betriebsbereitschaft und Privatsphäre ergibt sich ein gesamtes Auswirkungslevel.
  • Unter dem Bedrohungslevel („threat level“) ist zu verstehen, bei welchem Ziel und bei welcher Bedrohung unter Berücksichtigung weiterer Parameter ein entsprechender Wert des Bedrohungslevels erreicht werden kann. Ein Beispiel hierfür ist der Speicher einer Kontrolleinheit („ECU“), der durch die Bedrohung „tamper“ (Manipulation) bedroht sein könnte. Weitere Parameter könnten dabei das allgemeine Wissen des Angreifers, das spezielle Wissen über das TOE (TCP/IP Offload Engine) sowie dem günstigen Zeitpunkt und dem benötigten Wissen sein. Für einen Angriff auf die ECU ist ein hohes Maß an allgemeinem und speziellen Wissen sowie spezialisierte Ausrüstung notwendig, so dass hier das Bedrohungslevel gering anzusehen ist.
  • Ein kombiniertes Bedrohungslevel ist dabei dem Bedrohungslevel entsprechend, jedoch basiert das kombinierte Bedrohungslevel auf einer Kombination von verschiedenen Angriffsbaumzweigen eines Angriffsziels.
  • Gemäß einer besonders bevorzugten Ausführungsform weist der Angriffsbaum n Ebenen mit jeweils mn Elementen auf, wobei zu jedem Element einer Ebene i mit i<n der n Ebenen kn Elemente der nächsten untergeordneten Ebene (i+1) zugeordnet sind, wobei das Angriffsziel durch die erste Ebene charakterisiert ist.
  • Weiter bevorzugt weist das Verfahren den Verfahrensschritt zur Kombination von verschiedenen Angriffsbaumzweigen auf:
    • d') Auswahl eines ersten Elements der n-ten Ebene, wobei das erste Element der n-ten Ebene einem ersten Element der (n-1)-ten Ebene zugeordnet ist und Auswahl mindestens eines zweiten Elements der n-ten Ebene, wobei das zweite Elemente der n-ten Ebene einem zweiten Element der (n-1)-ten Ebene zugeordnet ist, wobei die ersten und zweiten Elemente einem Element der zweiten Ebene zugeordnet sind.
  • Die erste Ebene beschreibt, wie erwähnt, das allgemeine Angriffsziel, wobei die zweite Ebene erste Möglichkeiten der Erreichbarkeit des Angriffsziels angeben. Je weiter in der Ebene man sich befindet, umso präziser wird der Ausgangspunkt dargestellt. Die unterste Ebene, also die n-te Ebene, gibt dabei die tatsächliche Durchführung an.
  • Gemäß einer weiteren bevorzugten Ausführungsform umfasst das Verfahren den weiteren Verfahrensschritt:
    • e) Bestimmung eines kombinierten Sicherheitslevels basierend auf dem kombinierten Bedrohungslevel, dem Auswirkungslevel und einem Sicherheitslevel, wobei das Sicherheitslevel bestimmt wird für jeden Angriffsbaumzweig.
  • Unter dem Sicherheitslevel („security level“) ist dabei zu verstehen, welcher Aufwand betrieben werden muss, um das entsprechende Angriffsziel zu verhindern. Das Sicherheitslevel ist dabei abhängig von dem Bedrohungslevel und dem Auswirkungslevel. Ist entweder das Bedrohungslevel oder das Auswirkungslevel gering, so ist auch das Sicherheitslevel gering anzusetzen. Sind sowohl das Bedrohungslevel als auch das Auswirkungslevel erhöht, so muss entsprechend das Sicherheitslevel erhöht angesetzt werden.
  • Das kombinierte Sicherheitslevel entspricht dabei dem Sicherheitslevel, jedoch bewertet für die kombinierten Angriffsbaumzweige.
  • Gemäß einer weiteren bevorzugten Ausführungsform werden die bestimmten Angriffsziele, der bestimmte Angriffsbaum sowie die bestimmten Auswirkungslevels und die kombinierten Bedrohungslevels in einer temporären Datei abgespeichert.
  • Durch ein Abspeichern des jeweiligen ermittelten Elements kann später darauf zurückgegriffen werden.
  • Gemäß einer weiteren bevorzugten Ausführungsform werden nach Veränderung des Anwendungsbereichs die Angriffsziele, der Angriffsbaum sowie die Auswirkungslevels und die kombinierten Bedrohungslevels neu bestimmt und in der temporären Datei gespeichert.
  • Dies ist insbesondere vorteilhaft, wenn ein Update des Fahrzeugs durchgeführt wurde und die Anwendungsbereiche neu definiert oder modifiziert werden. Es ist auch denkbar, dass neue Anwendungsbereiche hinzugefügt werden, oder bisherige Anwendungsbereiche entfernt werden.
  • Gemäß einer weiteren vorteilhaften Ausführungsform können die bestimmten Angriffsziele, der bestimmte Angriffsbaum sowie die bestimmten Auswirkungslevels und die bestimmten kombinierten Bedrohungslevels, welche in der temporären Datei abgespeichert sind, manuell bearbeitbar sind und nach der Bearbeitung in der temporären Datei abgespeichert werden.
  • Es ist beispielsweise denkbar, dass neue Angriffsziele nachträglich eingeführt werden können, welche zunächst nicht betrachtet wurden, sich jedoch im Laufe der Zeit als notwendig herausgestellt haben oder zunächst als nicht relevant erachtet wurden.
  • Weiter wird die zugrunde liegende Aufgabe gelöst durch eine Vorrichtung zum Durchführen eines erfindungsgemäßen Verfahrens, umfassend eine Bestimmungseinrichtung zum Bestimmen von Angriffszielen, eines Angriffsbaums sowie eines Auswirkungslevels und eines kombinierten Bedrohungslevels und eines kombinierten Sicherheitslevels, und eine Speichereinheit zum temporären Speichern von Dateien.
  • Dabei ist es denkbar, dass die Bestimmungseinrichtung zumindest eine Recheneinheit aufweist, welche insbesondere einen Prozessor aufweist. Mittels der Recheneinheit können die notwendigen Rechenoperationen durchgeführt werden.
  • Weitere vorteilhafte Ausführungsformen ergeben sich aus den Unteransprüchen.
  • Weitere Ziele, Vorteile und Zweckmäßigkeiten der vorliegenden Erfindung sind der nachfolgenden von der Beschreibung in Verbindung mit der Zeichnung zu entnehmen. Hierbei zeigen:
    • 1 ein Verfahren gemäß einer bevorzugten Ausführungsform;
    • 2 Datenflussdiagramm bzw. Funktionsdiagramm;
    • 3 Beispiel eines Angriffsbaums;
    • 4 Übersicht über das Auswirkungslevel;
    • 5 Übersicht über das Bedrohungslevel;
    • 6 Übersicht über das kombinierte Bedrohungslevel;
    • 7 Vorrichtung zum Durchführen eines Verfahrens gemäß einer bevorzugten Ausführungsform.
  • In der 1 ist ein Verfahren gemäß einer bevorzugten Ausführungsform dargestellt, wobei das Verfahren in einer top-down Darstellung dargestellt ist.
  • Ausgehend von einem vorbestimmten Anwendungsbereich S0 („use case“) für ein Fahrzeug ist ebenso ein Funktionsdiagramm bzw. ein Datenflussdiagramm S1 hinterlegt, basierend auf dem Anwendungsbereich S0. Ein derartiges Funktionsdiagramm bzw. Datenflussdiagramm ist beispielhaft in der 2, für den Anwendungsbereich „Auslesen des Fahrzeugzustands“ dargestellt.
  • Aus dem Anwendungsbereich S0 werden mittels der Bestimmungseinrichtung (hier nicht gezeigt) die für den vorliegenden Anwendungsbereich S0 gehörenden Angriffsziele S2 bestimmt, wobei aus den Angriffszielen S2 ein Auswirkungslevel S6 bestimmt wird. Eine beispielhafte Darstellung von Angriffszielen und den entsprechenden Auswirkungslevels ist in der 3 dargestellt. Insbesondere hängt das Auswirkungslevel S6 ab von einer jeweiligen Einschätzung hinsichtlich der Sicherheit, der Finanzen, der Betriebsfähigkeit und der Privatsphäre.
  • Weiter wird ausgehend von den Angriffszielen S2 und dem Funktionsdiagramm/Datenflussdiagramm ein Angriffsbaum S3 ermittelt, welcher insbesondere aufzeigt bzw. umfasst, welche Angriffsziele S2 möglich sind und wie diese Angriffsziele S2 erreicht werden können.
  • Wie diese Angriffsziele S2 erreicht werden können bestimmt insbesondere die möglichen Angriffe bzw. Bedrohungen S4. Die unterste Ebene des Angriffsbaums S3 bilden daher die Angriffe bzw. Bedrohungen S4.
  • Ausgehend von den möglichen Angriffen bzw. Bedrohungen S4 wird ein Bedrohungslevel S5 für jeden möglichen Angriff bzw. jede mögliche Bedrohung S4 ermittelt. Eine beispielhafte Einteilung der Bedrohungslevel S5 ist in der 4 dargestellt.
  • Weiter wird ausgehend von dem Angriffsbaum S3 ein kombinierter Angriffsbaum S7 ermittelt, das heißt, dass ebenso Kombinationen einzelner Angriffe möglich sind, um das entsprechende Angriffsziel S2 zu erreichen.
  • Abhängig von dem kombinierten Angriffsbaum S7 und dem Bedrohungslevel jedes möglichen Angriffes bzw. jeder möglichen Bedrohung S5 wird ein kombiniertes Bedrohungslevel S8 ermittelt, welches die Bedrohungslevel der kombinierten Angriffe bzw. Bedrohungen darstellt.
  • In der 2 ist, wie obenstehend angemerkt, ein Datenflussdiagramm bzw. Funktionsdiagramm dargestellt, beispielhaft für den Anwendungszweck „Auslesen des Fahrzeugzustands“. Die Abkürzung ECU steht dabei für „Electronic Control Unit“.
  • Die 3 zeigt einen beispielhaften Angriffsbaum, dargestellt für das Angriffsziel AZ „Abhören des Fahrzeugzustands“.
  • Wie weiter zu erkennen ist, umfasst die unterste Ebene des Angriffsbaums verschiedene mögliche Angriffe bzw. Bedrohungen, dargestellt mit A1, A2 usw.
  • Es ist dabei auch denkbar, dass nicht nur durch einen Angriffsbaumzweig, beispielsweise A1, das Angriffsziel erreicht werden kann, sondern auch durch eine Kombination von Angriffen, beispielsweise durch eine Kombination der Angriffe A5 mit A3, A5 mit A4, oder A5 mit A6 und A5 mit A7.
  • Die 4 offenbart dabei das jeweilige Auswirkungslevel eines Angriffsziels AZ, abhängig von den Parametern Sicherheit, Finanzen, Betriebssicherheit und Privatsphäre.
  • In der 5 ist das Bedrohungslevel für den jeweiligen Angriff A1, A2, usw. abhängig von den Parametern Bedrohung, Fachwissen, Wissen über TOE, Gelegenheit und Ausrüstung bestimmt.
  • In der 6 ist dabei das kombinierte Bedrohungslevel angezeigt, jeweils für eine Kombination von Angriffen bzw. Bedrohungen.
  • Die 7 zeigt eine Vorrichtung 1 zum Durchführen eines Verfahrens gemäß einer Ausführungsform, wobei die Vorrichtung 1 eine Bestimmungseinrichtung 2 mit einer Recheneinheit 3 aufweist. Weiter weist die Vorrichtung 1 bevorzugt eine Speichereinheit 4 auf zum Abspeichern einer temporären Datei 5.
  • Zur manuellen Bearbeitung der temporären Datei 5 ist es vorteilhaft, wenn die Vorrichtung 1, insbesondere die Bestimmungseinrichtung 2 mit einer Eingabevorrichtung 6 verbunden ist, mittels welcher Daten der temporären Datei 5 verändert werden können oder neue Datensätze in die temporäre Datei 5 geschrieben werden können.
  • Sämtliche in den Anmeldungsunterlagen offenbarten Merkmale werden als erfindungswesentlich beansprucht, sofern sie einzeln oder in Kombination gegenüber dem Stand der Technik neu sind.
  • Bezugszeichenliste
    • 1
    Vorrichtung
    2
    Bestimmungseinrichtung
    3
    Recheneinheit
    4
    Speichereinheit
    5
    temporäre Datei
    6
    Eingabevorrichtung

Claims (7)

  1. Verfahren für eine Gefährdungsanalyse und einer Risikobeurteilung eines Fahrzeugs, umfassend die Verfahrensschritte: a) Bestimmung von Angriffszielen basierend auf einem Anwendungsbereich des Fahrzeugs; b) Bestimmung eines Angriffsbaumes mit mindestens einem Angriffsbaumzweig für jedes mögliche Angriffsziel; c) Bestimmung eines Auswirkungslevels basierend auf einem Angriffsziel des Fahrzeugs für jedes mögliche Angriffsziel, und Bestimmung, welche Einrichtungen des Fahrzeugs durch Angriffe auf das Fahrzeug betroffen sind, und Bestimmung eines Bedrohungslevels basierend auf den Angriffen; d) Bestimmung eines kombinierten Bedrohungslevels basierend auf einer Kombination von verschiedenen Angriffsbaumzweigen eines Angriffsziels.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Angriffsbaum n Ebenen mit jeweils mn Elementen aufweist, wobei zu jedem Element einer Ebene i mit i<n der n Ebenen kn Elemente der nächsten untergeordneten Ebene (i+1) zugeordnet sind, wobei das Angriffsziel durch die erste Ebene charakterisiert ist, und gekennzeichnet durch den Verfahrensschritt zur Kombination von verschiedenen Angriffsbaumzweigen: d') Auswahl eines ersten Elements der n-ten Ebene, wobei das erste Element der n-ten Ebene einem ersten Element der (n-1)-ten Ebene zugeordnet ist und Auswahl mindestens eines zweiten Elements der n-ten Ebene, wobei das zweite Elemente der n-ten Ebene einem zweiten Element der (n-1)-ten Ebene zugeordnet ist, wobei die ersten und zweiten Elemente einem Element der zweiten Ebene zugeordnet sind.
  3. Verfahren nach Anspruch 1 oder 2, gekennzeichnet durch den weiteren Verfahrensschritt e) Bestimmung eines kombinierten Sicherheitslevels basierend auf dem kombinierten Bedrohungslevel, dem Auswirkungslevel und einem Sicherheitslevel, wobei das Sicherheitslevel bestimmt wird für jeden Angriffsbaumzweig.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die bestimmten Angriffsziele, der bestimmte Angriffsbaum sowie die bestimmten Auswirkungslevels und die kombinierten Bedrohungslevels in einer temporären Datei gespeichert werden.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass nach einer Veränderung des Anwendungsbereichs die Angriffsziele, der Angriffsbaum sowie die Auswirkungslevels und die kombinierten Bedrohungslevels neu bestimmt werden und in der temporären Datei gespeichert werden.
  6. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die bestimmten Angriffsziele, der bestimmte Angriffsbaum sowie die bestimmten Auswirkungslevels und die kombinierten Bedrohungslevels, welche in der temporären Datei abgespeichert sind, manuell bearbeitbar sind und nach der Bearbeitung in der temporären Datei abgespeichert werden.
  7. Vorrichtung zum Durchführen des Verfahrens nach einem der Ansprüche 1-6, umfassend eine Bestimmungseinrichtung zum Bestimmen von Angriffszielen, eines Angriffsbaums sowie eines Auswirkungslevels und eines kombinierten Bedrohungslevels und eines kombinierten Sicherheitslevels, einer Speichereinheit zum temporären Speichern von Dateien.
DE102018113688.9A 2018-06-08 2018-06-08 Verfahren für eine Gefährdungsanalyse und Risikobeurteilung Withdrawn DE102018113688A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018113688.9A DE102018113688A1 (de) 2018-06-08 2018-06-08 Verfahren für eine Gefährdungsanalyse und Risikobeurteilung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018113688.9A DE102018113688A1 (de) 2018-06-08 2018-06-08 Verfahren für eine Gefährdungsanalyse und Risikobeurteilung

Publications (1)

Publication Number Publication Date
DE102018113688A1 true DE102018113688A1 (de) 2019-12-12

Family

ID=68651344

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018113688.9A Withdrawn DE102018113688A1 (de) 2018-06-08 2018-06-08 Verfahren für eine Gefährdungsanalyse und Risikobeurteilung

Country Status (1)

Country Link
DE (1) DE102018113688A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113065195A (zh) * 2021-04-02 2021-07-02 中国第一汽车股份有限公司 一种车辆信息安全威胁评估方法、装置、介质及电子设备
CN115664695A (zh) * 2022-08-26 2023-01-31 南方电网数字电网研究院有限公司 一种基于二维码反映的网络空间安全形势的综合评估方法

Non-Patent Citations (21)

* Cited by examiner, † Cited by third party
Title
DU, Suguo; ZHU, Haojin: Security assessment via attack tree model. In: Security Assessment in Vehicular Networks. New York, NY (USA) : Springer, 2013. S. 9–16. DOI: 10.1007/978-1-4614-9357-0_2 *
DU, Suguo; ZHU, Haojin: Security assessment via attack tree model. In: Security Assessment in Vehicular Networks. New York, NY (USA) : Springer, 2013. S. 9–16. DOI: 10.1007/978-1-4614-9357-0_2
Fault tree analysis. In: Wikipedia, The Free Encyclopedia. Bearbeitungsstand: 8. Mai 2018. URL: https://en.wikipedia.org/w/index.php?title=Fault_tree_analysis&oldid=840272418 [abgerufen am 1. März 2019] *
Fault tree analysis. In: Wikipedia, The Free Encyclopedia. Bearbeitungsstand: 8. Mai 2018. URL: https://en.wikipedia.org/w/index.php?title=Fault_tree_analysis&oldid=840272418 [abgerufen am 1. März 2019]
HAGERMAN, Seana Lisa: Model Based Security Testing for Autonomous Vehicles. Dissertation, University of Denver, CO (USA), 2016. URL: https://digitalcommons.du.edu/etd/1215 [abgerufen am 1. März 2019] *
HAGERMAN, Seana Lisa: Model Based Security Testing for Autonomous Vehicles. Dissertation, University of Denver, CO (USA), 2016. URL: https://digitalcommons.du.edu/etd/1215 [abgerufen am 1. März 2019]
ISO 26262. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 17. September 2017. URL: https://de.wikipedia.org/w/index.php?title=ISO_26262&oldid=169173779 [abgerufen am 1. März 2019] *
ISO 26262. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 17. September 2017. URL: https://de.wikipedia.org/w/index.php?title=ISO_26262&oldid=169173779 [abgerufen am 1. März 2019]
KONG, Hee-Kyung; HONG, Myoung Ki; KIM, Tae-Sung: Security risk assessment framework for smart car using the attack tree analysis. In: Journal of Ambient Intelligence and Humanized Computing, Vol. 9, 2018, Nr. 3, S. 531–551. Online veröffentlicht am 27. Januar 2017. DOI: 10.1007/s12652-016-0442-8 *
KONG, Hee-Kyung; HONG, Myoung Ki; KIM, Tae-Sung: Security risk assessment framework for smart car using the attack tree analysis. In: Journal of Ambient Intelligence and Humanized Computing, Vol. 9, 2018, Nr. 3, S. 531–551. Online veröffentlicht am 27. Januar 2017. DOI: 10.1007/s12652-016-0442-8
Norm ISO 26262-1 2011-11-15. Road vehicles – Functional safety – Part 1: Vocabulary *
Norm ISO 26262-10 2012-08-01. Road vehicles – Functional safety – Part 10: Guideline on ISO 26262 *
Norm ISO 26262-3 2011-11-15. Road vehicles – Functional safety – Part 3: Concept phase *
Norm ISO 26262-1 2011-11-15. Road vehicles – Functional safety – Part 1: Vocabulary
Norm ISO 26262-10 2012-08-01. Road vehicles – Functional safety – Part 10: Guideline on ISO 26262
Norm ISO 26262-3 2011-11-15. Road vehicles – Functional safety – Part 3: Concept phase
PAUL, Stéphane: Towards automating the construction & maintenance of attack trees: a feasibility study. arXiv preprint, arXiv:1404.1986 [cs.CR], 2014. DOI: 10.4204/EPTCS.148.3 *
RAY, Indrajit; POOLSAPASSIT, Nayot: Using attack trees to identify malicious attacks from authorized insiders. In: European Symposium on Research in Computer Security. Berlin, Heidelberg : Springer, 2005. S. 231–246. DOI: 10.1007/11555827_14 *
RAY, Indrajit; POOLSAPASSIT, Nayot: Using attack trees to identify malicious attacks from authorized insiders. In: European Symposium on Research in Computer Security. Berlin, Heidelberg : Springer, 2005. S. 231–246. DOI: 10.1007/11555827_14
SALFER, Martin; ECKERT, Claudia: Attack surface and vulnerability assessment of automotive Electronic Control Units. In: 12th International Joint Conference on e-Business and Telecommunications (ICETE). IEEE, 2015. S. 317–326. ISBN: 978-9-8975-8140-3. URL: https://ieeexplore.ieee.org/document/7518052 [abgerufen am 1. März 2019] *
SALFER, Martin; ECKERT, Claudia: Attack surface and vulnerability assessment of automotive Electronic Control Units. In: 12th International Joint Conference on e-Business and Telecommunications (ICETE). IEEE, 2015. S. 317–326. ISBN: 978-9-8975-8140-3. URL: https://ieeexplore.ieee.org/document/7518052 [abgerufen am 1. März 2019]

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113065195A (zh) * 2021-04-02 2021-07-02 中国第一汽车股份有限公司 一种车辆信息安全威胁评估方法、装置、介质及电子设备
CN115664695A (zh) * 2022-08-26 2023-01-31 南方电网数字电网研究院有限公司 一种基于二维码反映的网络空间安全形势的综合评估方法
CN115664695B (zh) * 2022-08-26 2023-11-17 南方电网数字电网研究院有限公司 一种基于二维码反映的网络空间安全形势的综合评估方法

Similar Documents

Publication Publication Date Title
EP1798653B1 (de) Verfahren, Computerprogrammprodukt und Vorrichtung zum Schützen eines einen Funktionsblock aufweisenden Programms
DE102018113688A1 (de) Verfahren für eine Gefährdungsanalyse und Risikobeurteilung
DE112018007371T5 (de) Sicherheits-evaluationssystem, sicherheits-evaluationsverfahren, und programm
DE102018220711A1 (de) Messung der Anfälligkeit von KI-Modulen gegen Täuschungsversuche
EP3435270A1 (de) Vorrichtung und verfahren zum kryptographisch geschützten betrieb einer virtuellen maschine
EP3387636B1 (de) Kryptoalgorithmus mit schlüsselabhängigem maskiertem rechenschritt (sbox-aufruf)
DE60017438T2 (de) System zur betriebsmittelzugriffsteuerung
EP1810442B1 (de) Vorrichtung und verfahren zum detektieren einer manipulation eines informationssignals
DE102018202626A1 (de) Verfahren zur rechnergestützten Parametrierung eines technischen Systems
EP1892639B1 (de) Sichere Programmcodeausführung
EP2990941B1 (de) Computerimplementiertes verfahren zur erzeugung eines steuergeräteprogrammcodes und diesbezügliche meldungsverwaltungsumgebung
EP2210241A1 (de) Daten verarbeitende vorrichtung und verfahren zum betreiben einer daten verarbeitenden vorrichtung
DE102006044189A1 (de) Verfahren zum Bereitstellen von vielfältig verarbeiteten Bilddaten, Verfahren zum Verarbeiten vielfältiger Bilddaten und Röntgenbildsystem
DE102022100458A1 (de) Bordeigene informationsverarbeitungsvorrichtung, informationsverarbeitungsverfahren und computerlesbares speichermedium
DE102010026392A1 (de) Verfahren zur sicheren Parametrierung eines Sicherheitsgeräts
WO2020064055A1 (de) Datenbank und verfahren zur datenlöschung
EP1634472B1 (de) Chipkarte mit wenigstens einer applikation
DE69907236T2 (de) Verfahren zur herstellung einer unlösbaren verknüpfung zwischen einem elektronischen dokument und ole objekten
DE69912494T2 (de) Verfahren zur Überprüfung der Kohärenz von auf einen Rechner ferngeladener Information
DE10218210B4 (de) Verfahren und Vorrichtung zur Steuerung des Zugriffs auf eine Menge von Informationen und/oder Funktionen in Form eines geheimen Signatur-Schlüssels einer Chipkarte
EP2503483B1 (de) Kommunikationssystem mit Sicherheitsvorrichtung, sowie Verfahren hierzu
DE112020007092B4 (de) Anonymisierungsvorrichtung, anonymisierungsverfahren und anonymisierungsprogramm
EP4329243A1 (de) Computerimplementiertes verfahren zum automatisierten absichern eines rechnersystems
DE102017208192A1 (de) Recheneinheit und Betriebsverfahren für eine Recheneinheit
EP3690689A1 (de) System und verfahren zum sicheren ausführen von anwendungsprogrammen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee