-
Stand der Technik
-
Verfahren und Vorrichtungen zum Betreiben eines Kommunikationsnetzwerks, insbesondere in einem Fahrzeug, oder zum Betreiben eines industriellen Kommunikationsnetzwerks, sehen Intrusion Detection Systeme vor, mit denen Angriffe erkannt werden. Diese werden gemeldet, so dass Experten die Angriffe analysieren und entsprechende Gegenmaßnahmen ergreifen können. Dazu werden Komponenten des Kommunikationsnetzwerks beispielsweise mittels Software - Aktualisierung gegen die erkannten Angriffe geschützt.
-
Wünschenswert ist es, den Betrieb von Kommunikationsnetzwerken demgegenüber zu verbessern.
-
Offenbarung der Erfindung
-
Dies wird durch den Gegenstand der unabhängigen Ansprüche erreicht.
-
Ein Verfahren zum Betreiben eines Kommunikationsnetzwerks in einem Fahrzeug oder zum Betreiben eines industriellen Kommunikationsnetzwerks, sieht vor, dass eine Kontrollinstanz für das Kommunikationsnetzwerk, insbesondere ein Software Defined Networking Controller, nach Erkennen eines Angriffs eine Gegenmaßnahme bestimmt, wobei eine Infrastrukturkomponente, abhängig von der Gegenmaßnahme konfiguriert wird, insbesondere durch Konfiguration wenigstens einer Filter-, Blockier- oder Weiterleitungsregel, und wobei durch die Infrastrukturkomponente wenigstens ein Datenstrom von oder zu wenigstens einer anderen Infrastrukturkomponente in einen Teil des Kommunikationsnetzwerks insbesondere durch Blockieren, Drosseln oder Umleiten des wenigstens einen Datenstroms isoliert wird oder wobei durch die Infrastrukturkomponente wenigstens ein Datenstrom zu oder von einem Endknoten in einen Teil des Kommunikationsnetzwerks insbesondere durch Blockieren, Drosseln oder Umleiten des wenigstens einen Datenstroms isoliert wird. Die Isolation kann beispielsweise durch Blockieren, Drosseln, Umleiten eines Datenstroms oder anderweitige Veränderungen umgesetzt werden.
-
Endknoten sind beispielsweise Sensoren oder ECUs. Infrastrukturkomponenten sind beispielsweise Switches eines Ethernet Netzwerks oder programmierbare Netzwerkinterfaces, insbesondere Forwarding Devices eines Controller Area Netzwerks. Das Kommunikationsnetzwerk ist beispielsweise ein Ethernet Netzwerk, ein Controller Area Netzwerk oder umfasst beide Netzwerke. Netzwerke, die nach anderen Kommunikationsprotokollen arbeiten, können ebenfalls vorgesehen sein.
-
Weiterleitungsregeln legen die Weiterleitung erhaltener Datenpakete von Eingangsports zu bestimmten Ausgangsports eines Endknotens oder einer Infrastrukturkomponente eindeutig fest. Filter- oder Blockierregeln bestimmen festgelegte Daten, die zu verwerfen sind, d.h. nicht weitergeleitet werden. Durch die beschriebene Vorgehensweise ist eine dynamische Reaktion auf einen erkannten Angriff auf Endknoten oder das Kommunikationsnetzwerk möglich. Diese Reaktion beinhaltet das Blockieren der Kommunikation einzelner Endknoten oder Teilnetze. Es kann auf Denial-of-Service Angriffe reagiert werden, z.B. durch Bandbreitenlimitierung. Die Reaktion kann durch Rekonfiguration der Datenpfade und Weiterleitungsregeln erfolgen. In TSNbasierten Systemen werden hierfür beispielsweise Filter nach IEEE802.1Qci verwendet. Diese initiale Reaktion auf Angriffe kann direkt im Fahrzeug oder in einer industriellen Anlage erfolgen. Das bedeutet es müssen nicht zuerst Software-Updates durchgeführt werden. Bei einem solchen Eingriff werden idealerweise übrige System- oder Netzwerk-Domänen nicht beeinflusst und funktionieren weiterhin normal. Beispielsweise werden Quality of Service Garantien eingehalten. So sind trotz Denial of Service Angriffen noch Fail-Safe Operationen möglich. Im Falle einer teilsystemweiten oder systemweiten Software Defined Networking Architektur mit geeigneten Infrastrukturkomponenten in jeder Netzwerk-Domäne, kann die Reaktion in allen relevanten Bereichen des Netzwerks erfolgen, auch wenn die Berechnung zur Detektion des Angriffs und der Reaktion in einem anderen Teilnetz erfolgt.
-
Vorzugsweise ist vorgesehen, dass wenigstens ein Datenstrom zu oder von der Infrastrukturkomponente oder wenigstens ein Datenstrom zu oder vom Endknoten insbesondere durch eine Angriffs-Erkennungs-Einrichtung mittels eines Kriteriums hinsichtlich einer Menge oder eines Inhalts von Daten des Datenstroms überwacht wird, wobei ein Angriff erkannt wird, wenn der Datenstrom vom Kriterium abweicht. Dies stellt eine besonders effektive Schnittstelle zu einem herkömmlichen Intrusion Detection System dar.
-
Vorzugsweise ist vorgesehen, dass eine Filter-, Blockier- oder Weiterleitungsregel in der Infrastrukturkomponente hinterlegt ist, wobei die Infrastrukturkomponente zur Umsetzung der Gegenmaßnahme die hinterlegte Filter-, Blockier- oder Weiterleitungsregel einsetzt. Als Gegenmaßnahme werden vorkonfigurierte Regeln aktiviert. Dies ermöglicht eine besonders effektive Umsetzung der Gegenmaßnahme.
-
Vorzugsweise ist vorgesehen, dass zur Umsetzung der Gegenmaßnahme eine Filter-, Blockier- oder Weiterleitungsregel durch die Infrastrukturkomponente empfangen wird, wobei die Infrastrukturkomponente zur Umsetzung der Gegenmaßnahme die empfangene Filter- Blockier- oder Weiterleitungsregel einsetzt. Dies ist eine besonders flexible Lösung. Beispielsweise ist damit möglich, die Umsetzung neuer Regeln durch eine Software - Aktualisierung der Kontrollinstanz vorzunehmen.
-
Vorzugsweise ist vorgesehen, dass für einen Angriff auf einen Pfad zwischen zwei Geräten des Kommunikationsnetzwerks als Gegenmaßnahme ein redundanter Pfad zwischen den zwei Geräten bestimmt wird, wobei der redundante Pfad durch Filter-, Blockier- oder Weiterleitungsregeln konfiguriert wird, und wobei die zwei Geräte Infrastrukturkomponente und Endknoten, Infrastrukturkomponente und Infrastrukturkomponente oder Endknoten und Endknoten sind. Die Reaktion kann darin bestehen, dass der Datenverkehr über den redundanten Pfad gelenkt wird. Damit kann ein manipulierter Knoten des Kommunikationsnetzwerks oder ein manipulierter Netzwerkpfad am unerlaubten Empfangen und/oder Weiterleiten sensibler Daten gehindert werden oder ein manipulierter Knoten vom übrigen Netzwerk entkoppelt werden, wenn keine Knotenspezifischen Komponente für eine solche Maßnahme zur Verfügung steht.
-
Vorzugsweise ist vorgesehen, dass der Endknoten ein Steuergerät oder ein Sensor an einem Controller Area Netzwerk oder einem Ethernet Netzwerk ist. Dies ermöglicht den Einsatz in einem Kommunikationsnetzwerk, das in Fahrzeugen häufig verwendet wird.
-
Vorzugsweise ist vorgesehen, dass der Endknoten ein Gerät eines Controller Area Netzwerks ist, wobei die Infrastrukturkomponente eine Weiterleitungseinrichtung ist, die Nachrichten an oder von dem Endknoten gemäß festgelegten Regeln aus dem oder ins Controller Area Netzwerk weiterleitet oder weiterverarbeitet. Dies stellt eine Schnittstelle, beispielsweise ein programmierbares Netzwerkinterface, für ein isolierbares Teilnetzwerk dar.
-
Vorzugsweise ist vorgesehen, dass die Infrastrukturkomponente ein Switch für Software Defined Networking oder Time-Sensitive Networking ist. Dies ist eine Umsetzung in einer Netzwerktechnologie, die häufig in Fahrzeugen verwendet wird.
-
Vorzugsweise wird wenigstens ein Endknoten konfiguriert, festgelegte Daten zu verwerfen. Durch konfigurierbare Endknoten werden vorgeschaltete Geräte, wie programmierbare Netzwerkinterfaces oder Switches ergänzt oder ersetzt.
-
Eine Vorrichtung, insbesondere eine Kontrollinstanz zum Betreiben eines Kommunikationsnetzwerks in einem Fahrzeug oder zum Betreiben eines industriellen Kommunikationsnetzwerks, umfasst einen Prozessor und einen Speicher mit Instruktionen, bei deren Ausführung durch den Prozessor die Kontrollinstanz nach Erkennen eines Angriffs eine Gegenmaßnahme bestimmt, durch die eine Infrastrukturkomponente, abhängig von der Gegenmaßnahme konfigurierbar ist, insbesondere durch Konfiguration wenigstens einer Filter-, Blockier- oder Weiterleitungsregel, und wobei die Gegenmaßnahme die Infrastrukturkomponente veranlasst, wenigstens einen Datenstrom von oder zu wenigstens einer anderen Infrastrukturkomponente in einen Teil des Kommunikationsnetzwerks zu isolieren oder wobei die Gegenmaßnahme die Infrastrukturkomponente dazu veranlasst, wenigstens einen Datenstrom zu oder von einem Endknoten in einen Teil des Kommunikationsnetzwerks zu isolieren. Die Kontrollinstanz ist eine vorzugsweise zentrale Instanz, insbesondere ein Software Defined Networking Controller, der die beschriebene Gegenmaßnahme umsetzt. Die Kontrollinstanz kann auch ein verteiltes Rechensystem sein.
-
Vorzugsweise ist die Kontrollinstanz ausgebildet, zur Umsetzung der Gegenmaßnahme eine Filter-, Blockier- oder Weiterleitungsregel an die Infrastrukturkomponente zu senden, die von der Infrastrukturkomponente zur Umsetzung der Gegenmaßnahme mittels der empfangenen Filter- Blockier- oder Weiterleitungsregel einsetzbar ist. Die Funktion ist durch eine Aktualisierung der Kontrollinstanz einfach an neue Angriffe oder ein geändertes Kommunikationsnetzwerk anpassbar.
-
Eine Infrastrukturkomponente zum Betreiben eines Kommunikationsnetzwerks in einem Fahrzeug oder zum Betreiben eines industriellen Kommunikationsnetzwerks umfasst einen Prozessor und einen Speicher mit Instruktionen, bei deren Ausführung durch den Prozessor von einer Kontrollinstanz für das Kommunikationsnetzwerk nach Erkennen eines Angriffs eine Konfiguration für eine Gegenmaßnahme empfangbar ist, wobei die Infrastrukturkomponente ausgebildet ist, abhängig von der Gegenmaßnahme konfiguriert zu werden, insbesondere durch Konfiguration wenigstens einer Filter-, Blockier- oder Weiterleitungsregel, und wobei die Infrastrukturkomponente ausgebildet ist, abhängig von der Gegenmaßnahme wenigstens einen Datenstrom von oder zu wenigstens einer anderen Infrastrukturkomponente insbesondere durch Blockieren, Drosseln oder Umleiten des wenigstens einen Datenstroms in einen Teil des Kommunikationsnetzwerks zu isolieren oder wobei die Infrastrukturkomponente ausgebildet ist, abhängig von der Gegenmaßnahme wenigstens einen Datenstrom zu oder von einem Endknoten insbesondere durch Blockieren, Drosseln oder Umleiten des wenigstens einen Datenstroms in einen Teil des Kommunikationsnetzwerks zu isolieren. Die von einem Angriff betroffenen Teile des Kommunikationsnetzwerks werden so getrennt. Der übrige Datenverkehr bleibt unverändert.
-
Vorzugsweise ist vorgesehen, dass eine Filter-, Blockier- oder Weiterleitungsregel in der Infrastrukturkomponente hinterlegt ist, wobei die Infrastrukturkomponente ausgebildet ist, zur Umsetzung der Gegenmaßnahme die hinterlegte Filter-, Blockier- oder Weiterleitungsregel abhängig von der empfangenen Konfiguration einzusetzen. Damit muss zur neuen Konfiguration nur Information über die zu verwendende Regel übertragen werden. Dies reduziert die Reaktionsgeschwindigkeit.
-
Vorzugsweise ist vorgesehen, dass die Infrastrukturkomponente ausgebildet ist, zur Umsetzung der Gegenmaßnahme eine Filter-, Blockier- oder Weiterleitungsregel zu empfangen, wobei die Infrastrukturkomponente ausgebildet ist, zur Umsetzung der Gegenmaßnahme die empfangene Filter-Blockier- oder Weiterleitungsregel einzusetzen. Die Infrastrukturkomponente ist beispielsweise ein Switch oder ein programmierbares Netzwerkinterface.
-
Vorzugsweise ist vorgesehen, dass der Endknoten ein Gerät eines Controller Area Netzwerks ist, wobei die Infrastrukturkomponente eine Weiterleitungseinrichtung ist, die ausgebildet ist, Nachrichten an oder von dem Endknoten gemäß festgelegten Regeln aus dem oder ins Controller Area Netzwerk weiterzuleiten oder weiterzuverarbeiten. Die Weiterleitungseinrichtung dient als Forwarding Device für den Endknoten in einem Controller Area Netzwerk.
-
Vorzugsweise ist vorgesehen, dass die Infrastrukturkomponente ein Switch für Software Defined Networking oder Time-Sensitive Networking ist. Dies ermöglicht die Umsetzung in einem Netzwerktyp der häufig eingesetzt wird.
-
Weitere vorteilhafte Ausgestaltungen ergeben sich aus der folgenden Beschreibung und der Zeichnung. In der Zeichnung zeigt
- 1 eine schematische Darstellung eines Kommunikationsnetzwerks,
- 2 eine schematische Darstellung eines Verfahrens zum Betreiben des Kommunikationsnetzwerks.
-
1 zeigt eine schematische Darstellung eines Kommunikationsnetzwerks 100 beispielsweise in einem Fahrzeug oder ein industrielles Kommunikationsnetzwerks 100.
-
Das Kommunikationsnetzwerk 100 umfasst eine Kontrollinstanz 102 zum Betreiben des Kommunikationsnetzwerks 100. Im Beispiel ist die Kontrollinstanz 102 ein Software Defined Networking Controller. Unter Software Defined Networking, SDN, wird ein Ansatz zum Bau von Computernetz-Geräten und Software verstanden, in dem zwei wesentliche Komponenten solcher Geräte voneinander getrennt und abstrahiert sind, die Control Plane und die Data Plane.
-
Die Kontrollinstanz 102 kann auch für Time-Sensitive Networking, TSN, ausgebildet sein. TSN bezeichnet im Folgenden eine Umsetzung von Mechanismen in einem Kommunikationsnetzwerk, die die folgenden Kategorien betreffen:
- Zeitsynchronisation: Alle teilnehmenden Geräte benötigen ein gemeinsames Verständnis der Zeit.
-
Scheduling und Traffic Shaping: Alle teilnehmenden Geräte arbeiten bei der Bearbeitung und Weiterleitung von Netzwerkpaketen nach den gleichen Regeln.
-
Auswahl der Kommunikationspfade, Reservierungen und Fehlertoleranz: Alle teilnehmenden Geräte arbeiten bei der Auswahl und Reservierung von Bandbreite und Kommunikationspfaden nach den gleichen Regeln.
-
Die Kontrollinstanz 102 umfasste einen Prozessor 104 und einen Speicher 106 mit Instruktionen, bei deren Ausführung durch den Prozessor 104 die Kontrollinstanz 102 für das Kommunikationsnetzwerk 100 nach Erkennen eines Angriffs auf das Kommunikationsnetzwerk 100 oder Teile davon, eine Gegenmaßnahme bestimmt. Diese Funktion ergänzt die Funktion der Kontrollinstanz 102 für SDN und/oder TSN.
-
Das Kommunikationsnetzwerk 100 umfasst wenigstens eine Infrastrukturkomponente 108. Die wenigstens eine Infrastrukturkomponente 108 empfängt und sendet Nachrichten im Kommunikationsnetzwerk 100 nach Regeln, insbesondere Filter-, Blockier- oder Weiterleitungsregeln. Die Infrastrukturkomponente 108 umfasst einen Prozessor 110 und einen Speicher 112 mit Instruktionen, bei deren Ausführung durch den Prozessor 110 von der Kontrollinstanz 102 eine Konfiguration für eine Gegenmaßnahme empfangen werden kann.
-
Die Infrastrukturkomponente 108 ist ausgebildet, abhängig von der Gegenmaßnahme konfiguriert zu werden, insbesondere durch Konfiguration wenigstens einer Filter-, Blockier- oder Weiterleitungsregel. Diese Funktion ergänzt die Funktion der Infrastrukturkomponente 108 für SDN und/oder TSN.
-
Die Infrastrukturkomponente 108 ist ausgebildet, abhängig von der Gegenmaßnahme wenigstens einen Datenstrom von oder zu wenigstens einer anderen Infrastrukturkomponente 108 in einen Teil des Kommunikationsnetzwerks 100 zu isolieren. Alternativ oder zusätzlich ist die Infrastrukturkomponente 108 ausgebildet, abhängig von der Gegenmaßnahme wenigstens einen Datenstrom zu oder von einem Endknoten 114 in einen Teil des Kommunikationsnetzwerks 100 zu isolieren.
-
Das Kommunikationsnetzwerk 100 umfasst im Beispiel eine Vielzahl Infrastrukturkomponenten 108 und eine Vielzahl Endknoten 114. Diese sind im Beispiel hierarchisch angeordnet, indem eine der Infrastrukturkomponente 108 mit zwei verschiedenen Infrastrukturkomponenten 108 direkt verbunden ist. Die zwei verschiedenen Infrastrukturkomponenten 108 sind jeweils mit einer Vielzahl Endknoten 114 verbunden. Endknoten 114 sind im Beispiel nur mit einer der Infrastrukturkomponenten 108 direkt verbunden. Die direkte Verbindung ist im Beispiel eine kabelgebundene Verbindung. Die Infrastrukturkomponenten 108 sind im Beispiel Switches für Software Defined Networking und/oder Time-Sensitive Networking. Die Endknoten 114 sind im Beispiel Sensoren oder Steuergeräte oder Aktoren. Die direkten Verbindungen sind in 1 als durchgezogene Striche dargestellt.
-
Ein Datenstrom zu oder von der Infrastrukturkomponente 108 oder ein Datenstrom zu oder von einem Endkonten 114 wird insbesondere durch eine Angriffs-Erkennungs-Einrichtung 116 überwacht. Die Angriffs-Erkennungs-Einrichtung 116 überwacht den Datenstrom im Beispiel mittels eines Kriteriums hinsichtlich einer Menge oder eines Inhalts von Daten des Datenstroms. Die Angriffs-Erkennungs-Einrichtung 116 ist im Beispiel ausgebildet, einen Angriff zu erkennen, wenn der Datenstrom vom Kriterium abweicht. Die Kommunikationspfade zur Überwachung sind in 1 als strichlierte Striche dargestellt. Die Kommunikation erfolgt im Beispiel über das Kommunikationsnetzwerk 100. Die Kommunikation kann auch über gesonderte Kommunikationsleitungen erfolgen.
-
Die Kontrollinstanz 102 ist ausgebildet, zur Umsetzung der Gegenmaßnahme eine Filter-, Blockier- oder Weiterleitungsregel an die Infrastrukturkomponente 108 zu senden, die von der Infrastrukturkomponente 108 zur Umsetzung der Gegenmaßnahme mittels der empfangenen Filter- Blockier- oder Weiterleitungsregel einsetzbar ist.
-
In der Infrastrukturkomponente 108 kann auch bereits wenigstens eine Filter-, Blockier- oder Weiterleitungsregel hinterlegt sein. Die Infrastrukturkomponente 108 ist in diesem Fall ausgebildet, zur Umsetzung der Gegenmaßnahme die hinterlegte Filter-, Blockier- oder Weiterleitungsregel einzusetzen. Das bedeutet, die Konfiguration erfolgt durch Aktivieren einer ersten hinterlegten Filter-, Blockier- oder Weiterleitungsregel. Zudem kann eine aktive hinterlegte Filter-, Blockier- oder Weiterleitungsregel deaktiviert werden.
-
Die Infrastrukturkomponente 108 ist ausgebildet, zur Umsetzung der Gegenmaßnahme eine Filter-, Blockier- oder Weiterleitungsregel zu empfangen, Die Infrastrukturkomponente 108 ist ausgebildet, zur Umsetzung der Gegenmaßnahme die empfangene Filter- Blockier- oder Weiterleitungsregel einzusetzen.
-
Der Endknoten 114 ist im Beispiel ein Gerät eines Controller Area Netzwerks. Der Endknoten 114 ist beispielsweise ein Steuergerät oder ein Sensor an einem Controller Area Netzwerk. Anstelle von Geräten in Controller Area Netzwerken können auch Geräte aus einem Ethernet Netzwerk vorgesehen sein.
-
Die Infrastrukturkomponente 108 ist im Beispiel eine Weiterleitungseinrichtung, die ausgebildet ist, Nachrichten an oder von dem Endknoten 114 gemäß festgelegten Regeln aus dem oder ins Controller Area Netzwerk weiterzuleiten oder weiterzuverarbeiten. Im Beispiel ist die Infrastrukturkomponente 108 ein programmierbares Netzwerkinterface oder ein Switch für Software Defined Networking und/oder Time-Sensitive Networking. Anstelle von derartigen Infrastrukturkomponenten in Controller Area Netzwerken können auch Infrastrukturkomponenten aus einem Ethernet Netzwerk vorgesehen sein.
-
Die beschriebenen Komponenten sind Teile eines Intrusion Isolation Systems. Die Kontrollinstanz 102 ist beispielsweise ein Software Defined Networking Controller, welcher über eine globale Sicht des Kommunikationsnetzwerks 100 verfügt, insbesondere hinsichtlich der Topologie des Kommunikationsnetzwerks 100, der Eigenschaften von Kommunikationspfaden darin, der Infrastrukturkomponenten 108 und/oder des Zustands der Kommunikationspfade, beispielsweise bezüglich ihrer Auslastung. Die Kontrollinstanz 102 kann in die Konfiguration der Infrastrukturkomponenten 108 eingreifen. Die Kontrollinstanz 102, im Beispiel der Software Defined Networking Controller, stellt eine logisch zentralisierte Instanz dar, kann jedoch sowohl in einer zentralisierten, als auch in einer verteilten Art und Weise realisiert werden. Genauso kann die Kontrollinstanz 102 als Teilkomponente einer anderen Netzwerkkomponente realisiert werden.
-
Die Infrastrukturkomponenten 108 sind im Beispiel eines Controller Area Netzwerks als programmierbare Netzwerkinterfaces jedem der Endknoten 114 vorgeschaltet. Die Infrastrukturkomponenten 108 sind im Beispiel ausgebildet Nachrichten auf Basis von festgelegten Regeln weiterzuleiten und/oder weiterzuverarbeiten.
-
In einem Controller Area Netzwerk können Gateways vorgesehen sein, die jeweils ein programmierbares Netzwerkinterface für jedes Controller Area Netzwerk Interface darstellen.
-
Die Endknoten 114 sind beispielsweise ECUs, Sensoren oder Aktuatoren, welche Applikationssoftware enthalten und Nachrichten über das Controller Area Netzwerk austauschen.
-
Die Infrastrukturkomponenten 108 können in einem Ethernet auch Switches sein, welche im Kommunikationsnetzwerk 100 verteilt sind und Nachrichten auf Basis von festgelegten Regeln weiterleiten und/oder weiterverarbeiten.
-
Die Endknoten 114 sind in diesem Fall beispielsweise ECUs, Sensoren oder Aktuatoren, welche die Applikationssoftware enthalten und Nachrichten über das durch die Switches aufgespannte Ethernet Netzwerk austauschen.
-
Im Beispiel wird durch eine von der Kontrollinstanz 102, im Beispiel vom Software Defined Networking Controller, vorgegebene Netzwerkkonfiguration sichergestellt, dass ein Datenverkehr zwischen ECUs eine erforderliche Qualityof Service-Eigenschaft bekommt. Auf Angriffe wird, wie im Folgenden beschrieben durch blockieren und/oder filtern reagiert. Im Falle einer DoS-Attacke wird beispielsweise durch Bandbreitenlimitierung reagiert. Diese Reaktion erfolgt im Beispiel lokal durch die nächstgelegenen Infrastrukturkomponenten 108 und wird koordiniert durch die Kontrollinstanz 102, im Beispiel durch den Software Defined Networking Controller.
-
Die Reaktionen müssen nicht ausschließlich durch Infrastrukturkomponenten 108 wie programmierbare Netzwerkinterfaces oder Switches erfolgen, sondern können auch von separaten Komponenten wie Filter- oder Übersetzungskomponenten ausgeführt werden.
-
Für Time Sensitive Networking basierte Systeme könnten auch Filter nach IEEE802.1Qci verwendet werden.
-
Das im Folgenden beschriebene Vorgehen bewirkt eine Isolation eines erkannten Angriffs. Im Beispiel wird ein Endknoten 114, im Beispiel eine ECU, angegriffen, z.B. durch einbringen einer schadhaften Softwarekomponente. Dadurch sendet diese angegriffene ECU zusätzliche oder gefälschte Daten in das Kommunikationsnetzwerk 100. Im Beispiel eines hierarchischen Aufbaus des Kommunikationsnetzwerks 100 werden gefälschte Daten unterhalbe einer Infrastrukturkomponente 108, beispielweise unterhalb eines Switches, in das Kommunikationsnetzwerk 100 gesendet. Im Ergebnis könnte ein Teil des Kommunikationsnetzwerks 100 und/oder eine Teilsystem eines Fahrzeugs z.B. eine Fahrfunktion oder eine Funktion einer industriellen Anlage beeinträchtigt werden. Diese Manipulation wird im Beispiel detektiert, z.B. durch ein geeignetes Intrusion Detection System, das als Angriffs - Erkennungseinrichtung 116 ausgebildet ist.
-
Die Kontrollinstanz 102 konfiguriert die Infrastrukturkomponente 108, beispielsweise den Switch, in einer geeigneten Weise, sodass der Datenverkehr von der angegriffenen ECU vom restlichen Netzwerk isoliert ist.
-
Variante 1: Dies geschieht durch vollständiges Blockieren des Datenverkehrs von und/oder zu der angegriffenen ECU.
-
Variante 2: Dies geschieht durch Filtern von bestimmten Datenströmen von und/oder zu der angegriffenen ECU.
Alternativ oder zusätzlich ist in der Infrastrukturkomponenten 108, im Beispiel im Switch, bereits eine Regel hinterlegt, die bei Erkennung des Angriffs aktiviert wird und die entsprechende Reaktion umsetzt.
-
Im Falle einer Bandbreitenlimitierung wird entsprechend vorgegangen, indem erkannt wird, dass ein Großteil einer Bandbreite einer Verbindung im Kommunikationsnetzwerk 100 durch Nachrichten verwendet wird, die von einem angegriffenen Endknoten 114 beispielweise durch eine schadhafte Softwarekomponente gesendet werden. Damit ist es möglich, dass von anderen Endknoten 114 keine anderen Daten mehr gesendet oder empfangen werden können. Die Überschreitung einer dem angegriffenen Endknoten 114 zugewiesenen Bandbreite wird durch das Intrusion Detection System detektiert. Als Gegenmaßnahme werden in diesem Beispiel die Infrastrukturkomponenten 108 so konfiguriert, dass der angegriffene Endknoten 114 nur noch eine reduzierte Bandbreite des Kommunikationsnetzwerk 100 verwenden kann.
-
In 2 ist eine schematische Darstellung eines Verfahrens zum Betreiben des Kommunikationsnetzwerks 100 in einem Fahrzeug dargestellt. Das Verfahren ist auch in einem industriellen Kommunikationsnetzwerk anwendbar.
-
Im Verfahren zum Betreiben des Kommunikationsnetzwerks 100 ist vorgesehen, dass in einem Schritt 202 eine Kontrollinstanz 102 für das Kommunikationsnetzwerk 100 einen Angriff erkennt. Die Kontrollinstanz 102 ist insbesondere der Software Defined Networking Controller. Im Beispiel wird wenigstens ein Datenstrom zu oder von wenigstens einer der Infrastrukturkomponenten 108 oder wenigstens eine Datenstrom zu oder von wenigstens einem der Endkonten 114 überwacht. Die Überwachung erfolgt insbesondere durch die Angriffs-Erkennungs-Einrichtung 116 mittels des Kriteriums hinsichtlich einer Menge oder des Inhalts von Daten des Datenstroms. Im Beispiel wird ein Angriff erkannt, wenn der Datenstrom vom Kriterium abweicht. Es wird beispielsweise ein geeignetes Intrusion Detection System, IDS, verwendet werden.
-
In einem Aspekt ist der Endknoten 114 ein Gerät des Controller Area Netzwerks und die Infrastrukturkomponente 108 eine Weiterleitungseinrichtung, die Nachrichten an oder von dem Endknoten 114 gemäß festgelegten Regeln aus dem oder ins Controller Area Netzwerk weiterleitet oder weiterverarbeitet.
-
Als Kriterium wird im Beispiel geprüft, ob von einem Endknoten 114 mehr Daten in das Netzwerk gesendet werden als in den festgelegten Regeln vorgesehen ist. Beispielweise wird geprüft, ob eine dem Endknoten 114 in den festgelegten Regeln zugewiesene Bandbreite überschritten wird. Alternativ oder zusätzlich dazu wird als Kriterium geprüft, ob die gesendeten Daten nicht plausible Sensorwerte oder Kontrollbefehle enthalten, d.h. ob die Inhalte der gesendeten Daten anders als in den festgelegten Regeln vorgesehen sind.
-
Anschließend wird in einem Schritt 204, nach Erkennen des Angriffs, eine Gegenmaßnahme bestimmt.
-
In einem ersten Aspekt ist wenigstens eine Filter-, Blockier- oder Weiterleitungsregel in wenigstens einer der Infrastrukturkomponenten 108 hinterlegt. Diese wird zur Umsetzung der Gegenmaßnahme eingesetzt. In diesem Fall wird als Gegenmaßnahme wenigsten eine der Infrastrukturkomponenten 108 und/oder wenigstens eine Filter-, Blockier- oder Weiterleitungsregel ausgewählt.
-
In einem zweiten Aspekt wird wenigstens eine Filter-, Blockier- oder Weiterleitungsregel bestimmt.
-
Abhängig beispielsweise von einer Eingruppierung von Datenverkehr in Safety-Klassen, kann die Reaktion, beispielsweise Limitierung durch Blockieren von Nachrichten im Datenstrom, unterschiedlich stark ausfallen. Die dafür erforderlichen Filter-, Blockier- oder Weiterleitungsregeln werden beispielsweise abhängig von der Topologie des Kommunikationsnetzwerks 100 bestimmt.
-
Dies geschieht beispielsweise durch vollständiges Blockieren des Datenverkehrs von oder zu einem Endknoten 114. Alternativ oder zusätzlich dazu geschieht dies durch Filtern von bestimmten Datenströmen von oder zu einem Endknoten 114.
-
Im ersten Aspekt wird die wenigstens eine Filter-, Blockier- oder Weiterleitungsregel beispielsweise vorab wie für den zweiten Aspekt beschrieben bestimmt und dann vorab hinterlegt.
-
In einem anschließenden Schritt 206 wird zur Umsetzung der Gegenmaßnahme eine Konfiguration an die Infrastrukturkomponente 108 übertragen. Im Beispiel sendet die Kontrollinstanz 102 im ersten Aspekt eine Information, welche der hinterlegten Filter-, Blockier- oder Weiterleitungsregel verwendet werden soll und welche nicht. Im zweiten Aspekt wird die Filter-, Blockier- oder Weiterleitungsregel selbst gesendet und von der Infrastrukturkomponente 108 empfangen 206.
-
In einem Schritt 208 setzt die Infrastrukturkomponente 108 die empfangene Konfiguration um, d.h. die wenigstens eine Filter- Blockier- oder Weiterleitungsregel wird zur Umsetzung der Gegenmaßnahme eingesetzt.
-
Beispielsweise wird für einen Angriff auf einen Pfad zwischen zwei Geräten des Kommunikationsnetzwerks 100 als Gegenmaßnahme ein redundanter Pfad zwischen den zwei Geräten bestimmt. Der redundante Pfad wird durch Filter-, Blockier- oder Weiterleitungsregeln konfiguriert.
-
Die zwei Geräte können Infrastrukturkomponente 108 und Endknoten 114 sein. Die zwei Geräte können auch beide Infrastrukturkomponenten 108 sein. Die zwei Geräte können auch beide Endknoten 114 sein.
-
Wenigstens eine Infrastrukturkomponente 108 wird abhängig von der Gegenmaßnahme konfiguriert. Im ersten Aspekt wird wenigstens eine Infrastrukturkomponente 108 durch Konfiguration wenigstens einer hinterlegten Filter-, Blockier- oder Weiterleitungsregel umgesetzt. Im zweiten Aspekt wird die empfangene Filter-, Blockier- oder Weiterleitungsregel angewendet. Zuvor verwendete Filter-, Blockier- oder Weiterleitungsregeln, die dieselben Geräte oder Datenströme betreffen, werden im Beispiel ersetzt oder nicht mehr verwendet.
-
Durch die wenigstens eine Infrastrukturkomponente 108 wird beispielsweise wenigstens ein Datenstrom von oder zu wenigstens einer anderen Infrastrukturkomponente 108 in einen Teil des Kommunikationsnetzwerks 100 isoliert. Zusätzlich oder alternativ dazu wird durch die wenigstens eine Infrastrukturkomponente 108 wenigstens ein Datenstrom zu oder von einem Endknoten 114 in einen Teil des Kommunikationsnetzwerks 100 isoliert. Zusätzlich oder alternativ dazu wird wenigstens ein Endknoten 114 konfiguriert, festgelegte Daten zu verwerfen.