-
Die vorliegende Offenbarung bezieht sich auf ein Fahrzeugcomputersystem für adaptive/adaptives Fahrzeugsicherheit und -ansprechverhalten.
-
Fahrzeuge können mit Cybersicherheitssystemen ausgestattet sein, die eingerichtet sind, um ein Computersystem eines Fahrzeugs vor einem Cyberangriff zu schützen. Fahrzeuge können unter unterschiedlichen Umständen und Situationen gefahren bzw. betrieben werden. Zum Beispiel kann ein Fahrzeug unter einem Umstand zu einem Arbeitsort gefahren werden, aber kann es unter einem anderen Umstand zu einem Heimatort gefahren werden.
-
Gemäß einem Aspekt umfasst ein Fahrzeugcomputersystem ein oder mehr Sensoren, die konfiguriert sind zum Empfangen eines Eingangs bezüglich einer Umgebung eines Fahrzeugs, und eine Sicherheitssteuereinheit in Kommunikation mit den ein oder mehr Sensoren des Fahrzeugs. Die Sicherheitssteuereinheit ist konfiguriert zum Identifizieren bzw. Erkennen/Feststellen eines Cyberangriffs auf ein oder mehr Fahrzeugsteuereinheiten in dem Fahrzeug und Reagieren auf den Cyberangriff basierend auf zumindest der Umgebung des Fahrzeugs.
-
Gemäß einem weiteren Aspekt umfasst ein Fahrzeugcomputersystem ein oder mehr Sensoren, die konfiguriert sind zum Empfangen eines Eingangs bezüglich einer Umgebung eines Fahrzeugs. Das Fahrzeugcomputersystem kann auch eine Sicherheitssteuereinheit in Kommunikation mit den ein oder mehr Sensoren des Fahrzeugs umfassen. Die Sicherheitssteuereinheit ist konfiguriert zum Identifizieren bzw. Erkennen/Feststellen eines Fahrzeugsicherheitsprotokolls, das Parameter zum Aktivieren oder Deaktivieren von ein oder mehr Fahrzeugsteuereinheiten umfasst, die konfiguriert sind zum Kommunizieren mit ein oder mehr externen Vorrichtungen, in Erwiderung auf den Eingang bezüglich der Umgebung des Fahrzeugs. Die Sicherheitssteuereinheit ist ferner konfiguriert zum Aktivieren des Fahrzeugsicherheitsprotokolls.
-
Gemäß einem noch weiteren Aspekt umfasst ein Fahrzeugcomputersystem ein oder mehr Sensoren, die konfiguriert sind zum Empfangen eines Eingangs bezüglich einer Umgebung eines Fahrzeugs, und eine Sicherheitssteuereinheit in Kommunikation mit den ein oder mehr Sensoren des Fahrzeugs. Die Sicherheitssteuereinheit ist konfiguriert zum Identifizieren bzw. Erkennen/Feststellen eines Cyberangriffs auf ein oder mehr Fahrzeugsteuereinheiten in dem Fahrzeug, Reagieren auf den Cyberangriff basierend auf zumindest der Umgebung des Fahrzeugs, Bestimmen eines Fahrzeugsicherheitsprotokolls zur Aktivierung in Erwiderung auf den Eingang bezüglich der Umgebung des Fahrzeugs und Aktivieren des Fahrzeugsicherheitsprotokolls. Das Fahrzeugsicherheitsprotokoll umfasst Parameter zum Aktivieren oder Deaktivieren der ein oder mehr Fahrzeugsteuereinheiten, die konfiguriert sind zum Kommunizieren mit ein oder mehr externen Vorrichtungen.
-
Zusätzliche Aufgaben und Vorteile der vorliegenden Offenbarung werden aus der folgenden ausführlichen Beschreibung deutlicher ersichtlich, wenn diese zusammen mit den begleitenden Zeichnungen betrachtet wird.
- 1A veranschaulicht eine Übersicht eines Systems eines vorliegenden Ausführungsbeispiels.
- 1B veranschaulicht eine Übersicht eines Systems eines alternativen Ausführungsbeispiels, das mit anderen Fahrzeugen und einem Heimatnetzwerk kommuniziert.
- 2 veranschaulicht eine Übersicht eines Systems eines weiteren Ausführungsbeispiels des Fahrzeugcybersicherheitssystems von 1A.
- 3 veranschaulicht ein Ablaufdiagramm eines Fahrzeugcybersicherheitssystems, das auf einen Cyberangriff reagiert.
- 4 veranschaulicht ein Ablaufdiagramm eines Ausführungsbeispiels einer adaptiven Sicherheitsaktualisierung.
-
Hierin werden Ausführungsbeispiele der vorliegenden Offenbarung beschrieben. Es ist jedoch selbstverständlich, dass die offenbarten Ausführungsbeispiele lediglich Beispiele darstellen und andere Ausführungsbeispiele diverse und alternative Ausgestaltungen annehmen können. Die Figuren sind nicht notwendigerweise maßstabsgetreu; einige Merkmale können hervorgehoben oder verkleinert sein, um Einzelheiten bestimmter Komponenten zu zeigen. Daher sind spezielle strukturelle und funktionale Einzelheiten, die hierin offenbart sind, nicht als einschränkend zu interpretieren, sondern lediglich als eine repräsentative Grundlage, um einem Fachmann zu lehren, die Ausführungsbeispiele verschiedentlich einzusetzen. Wie ein Fachmann verstehen wird, können diverse Merkmale, die in irgendeiner der Figuren veranschaulicht und mit Bezug auf diese beschrieben sind, mit Merkmalen kombiniert werden, die in ein oder mehr anderen Figuren veranschaulicht sind, um Ausführungsbeispiele hervorzubringen, die nicht explizit veranschaulicht oder beschrieben sind. Die veranschaulichten Kombinationen von Merkmalen stellen repräsentative Ausführungsbeispiele für typische Anwendungen bereit. Für besondere Anwendungen oder Implementierungen können jedoch diverse Kombinationen und Modifikationen der Merkmale gewünscht sein, die mit den Lehren dieser Offenbarung konsistent sind.
-
Ein Sicherheitssystem kann ein Ausführungsbeispiel umfassen, das die Fahrzeugsicherheitslage/-stellung bzw. den Fahrzeugsicherheitsstatus anpasst, um Ressourcennutzung gegenüber Sicherheit zu optimieren. Verschiedene Fahrzeugeingänge bzw. -eingaben können genutzt werden, um die Sicherheitslage zu aktualisieren. Zum Beispiel können Batteriestand, Zentralverarbeitungseinheit-(CPU-)Ressourcen und Speicherressourcen (unter anderen Eingängen bzw. Eingaben) genutzt werden. Somit kann das Sicherheitssystem den Zustand der Kernfahrzeugdienste und/oder der Sicherheitsdienste basierend auf dem vergangenen, dem gegenwärtigen und/oder dem angenommenen zukünftigen Zustand des Fahrzeugs steuern. Bedrohungen bzw. Gefahren für das Fahrzeug können sich basierend auf dessen Zustand, Ort, usw. ändern. Die Priorität von Fahrzeugdiensten kann sich basierend auf der Benutzeranforderung (Verwendung von Radio, Navigation, Videostreaming, Telefonanrufen, usw.) ändern. Somit kann sich die Fahrzeugsicherheitsstufe bzw. das Fahrzeugsicherheitsniveau basierend auf einem vergangenen Zustand des Fahrzeugs, einem gegenwärtigen Zustand des Fahrzeugs oder einem zukünftigen Zustand des Fahrzeugs ändern. Daher ist ein System offenbart, das eine Sicherheitsschicht bzw. -ebene bereitstellen kann.
-
Gemäß einem Ausführungsbeispiel kann eine zweite Sicherheitsschicht bzw. -ebene im Fall eines Cyberangriffs hinzugefügt werden. Wenn ein Fahrzeug einen Cyberangriff durch ein fahrzeugeigenes/-internes HIDS („Host-based Intrusion Detection System“) oder ein NIDS („Network-based Intrusion Detection System“) detektiert, kann das Fahrzeug eine Reaktionshandlung bzw. -maßnahme ergreifen müssen, um den Vorfall anzugehen. Zum Beispiel kann das Fahrzeug den Prozess angreifen, der den Cyberangriff unternimmt, die angegriffene CPU neu starten bzw. rebooten oder andere Handlungen bzw. Maßnahmen während eines Cyberangriffs vornehmen. Da die adäquate Reaktionshandlung bzw. -maßnahme von der Fahrzeugsituation zu dem Zeitpunkt, zu dem der Cyberangriff detektiert wird, sowie von dem Typ von detektiertem Angriff abhängt, sollte das Fahrzeug bei Bestimmung der Reaktionshandlung bzw. -maßnahme beide Gesichtspunkte zusammen betrachten.
-
1A veranschaulicht eine Übersicht eines Fahrzeugcybersicherheitssystems 100 eines vorliegenden Ausführungsbeispiels. Das System kann auf jeglichen Typ von Fahrzeug angewandt werden, wie etwa ein Personenfahrzeug, ein Nutzfahrzeug, ein Motorrad, usw. Das Fahrzeugsystem 100 kann eine Cybersicherheitslagesteuereinheit 101 (die auch als eine Cybersicherheitssteuereinheit 101 oder eine Sicherheitssteuereinheit 101 bezeichnet wird) oder jeden anderen Typ von Steuerungseinheit umfassen. Die Steuerungseinheit 101 (z.B. die Cybersicherheitssteuereinheit 101) kann die Attribute eines sicherheitsbezogenen/-relevanten Diensts ändern, um die Erfordernisse der gewünschten Sicherheitslage zu erfüllen. Zum Beispiel kann die Steuereinheit 101 einen Sicherheitsdienst insgesamt freischalten/abschalten bzw. aktivieren/deaktivieren, einen Sicherheitsdienst priorisieren, einen Sicherheitsregelsatz (z.B. Filterregeln, Aufrufgraphen, usw.) modifizieren, eine Fahrzeugangriffsschnittstelle (Bluetooth, Wi-Fi, Mobiltelefonie, usw.) freischalten/abschalten bzw. aktivieren/deaktivieren, wenn ein bestimmter Aspekt des Fahrzeugs angegriffen wird.
-
Das System 100 kann verschiedene Fahrzeugeingänge 103 oder verschiedene Elektronische-Steuereinheit-(ECU-)Zustand-Eingänge 103 nutzen, die zum Aktualisieren des Sicherheitszustands genutzt werden. In einem Beispiel kann das System 100 den Zustand des Schlüssels (oder Schlüsselanhängers) beziehungsweise der Zündung identifizieren. Zum Beispiel kann das System 100 bestimmen, ob die Zündung ein/aus ist, ob die Batterie ein/aus ist, ob eine adaptive Fahrt- bzw. Geschwindigkeitssteuerung (ACC: „Adaptive Cruise Control“) ein/aus ist. Ein weiterer Eingang kann die ECU-Ressourcennutzung sein. Weitere Eingänge können den geographischen Ort des Autos (z.B. Globalpositionierungssystem-(GPS-)Ort), Fahrzeuggeschwindigkeit, Fahrzeugbeschleunigung, Drahtlossignalumgebung (SSIDs, Bluetooth, Nahfeldkommunikation, usw.), Nähe zu anderen Fahrzeugen (z.B. Radar- oder Umfelddaten, die von verschiedenen Kameras, Radarsensoren, Lidarsensoren, usw. erfasst bzw. gesammelt werden), Benutzer-gewählten Fahrzeugmodus, die Anzahl von Insassen (z.B. Insassendaten basierend auf Sitzgurtdaten oder Gewichtssensordaten), spezielle Fahrer (Insassendatenbezeichner basierend auf Telefonpaarbildung, Schlüsselanhänger, usw.), synchronisierte Aktivitätsplandaten (z.B. ein Identifizieren von Terminen, Treffen, geplanten Aktivitäten, usw.), Zeit von Daten, Autonomfahrmodus (z.B. vollautonomes Fahren, halbautonomes Fahren (Lenkung und Geschwindigkeit oder gewisse Bremssituationen, usw.), usw. umfassen. Zum Beispiel kann der GPS-Ort mit einem Arbeitsort, einem Heimatort, einem vertrauten bzw. gewohnten Ort (z.B. Haus von Familie oder Freunden), usw. in Zusammenhang stehen. Das Sicherheitsprotokoll kann eine Anpassung basierend auf dem Ort des Fahrzeugs vornehmen.
-
Die Cybersicherheitssteuereinheit 101 kann auch in Kommunikation mit einer Richtlinienlogik 105 oder Regeln bzw. Vorschriften 105 stehen, die anzuwenden sind. Die Richtlinienlogik 105 kann mit Bezug auf die nachstehend beschriebenen Anwendungsfälle oder das gemäß 4 beschriebene Ablaufdiagramm ausführlicher erörtert werden. Die Richtlinienlogik 105 kann einige der Sicherheitsmaßnahmen beschreiben, die das Fahrzeugsystem 100 basierend auf dem Fahrzeugkontext einbeziehen kann, um Sicherheitsstandards zu erhöhen oder zu verringern. Zum Beispiel können mehr Sicherheitsprotokolle implementiert werden, wenn sich das Fahrzeug in einem fremden Gebiet oder Bereich befindet, mit dem das Fahrzeug nicht vertraut ist. In einem weiteren Beispiel kann das Fahrzeug Sicherheitsstandards verringern, wenn sich das Fahrzeug nahe eines Heimatorts oder nahe eines autorisierten Händlerbetriebs befindet.
-
Sicherheitsbezogene/-relevante Dienste 107 können auch durch die Cybersicherheitssteuereinheit 101 (oder jeden anderen Typ von Steuereinheit oder Prozessor) gesteuert werden. Zum Beispiel kann das System 100 die Eingänge 103 und die Logik/Regeln 105 nutzen, um zu identifizieren, wie das Sicherheitssystem 100 des Fahrzeugs konfiguriert werden kann, um Angriffe zu detektieren, zu vermeiden, zu mildern oder auf diese zu reagieren. Die sicherheitsbezogenen/-relevanten Dienste 107 können sich darauf beziehen, wie verschiedene Fahrzeugsteuereinheiten, Einstellungen und andere Anwendungen und Merkmale entweder ein- oder ausgeschaltet werden. Zum Beispiel können gewisse sicherheitsbezogene/-relevante Dienste 107 eine Drahtloskommunikation mit äußeren Vorrichtungen oder fahrzeugeigenen/- internen Mobilvorrichtungen ausschalten. Ferner können sie behandeln, wie Richtlinien für diese verschiedenen Steuereinheiten, Einstellungen und andere Anwendungen angepasst werden.
-
1B veranschaulicht eine Übersicht eines Systems 150 eines alternativen Ausführungsbeispiels, das mit anderen Fahrzeugen und einem Heimatnetzwerk kommuniziert. Ein Fahrzeug 151 kann mit dem System 100 ausgestattet sein, das die Cybersicherheitssteuereinheit 101 umfasst. Das Fahrzeug 151 kann in Kommunikation mit einem „Cloud“-Server 153 über ein bordeigenes Modem oder jeglichen anderen Typ von Zellularkommunikationsmodul stehen. Die Cloud 153 kann verschiedene bordexterne Dienste und Daten vorsehen, die an das Fahrzeug 151 zu kommunizieren sind. Zum Beispiel kann die Cloud 153 Wetterinformationen, Verkehrsinformationen oder jeglichen anderen Typ von Informationen für die Cybersicherheitssteuereinheit 101 zur Analyse oder Nutzung in Sicherheitsprotokollen kommunizieren.
-
Außerdem kann das Fahrzeug 151 in Kommunikation mit einem Netzwerk einer Heimat 155 oder eines anderen Typs von Gebäude (z.B. Büro, Geschäftshaus, Wohnhaus, usw.) stehen. Das Fahrzeug 151 kann mit der Heimat 155 kommunizieren, um Daten zu und von der Heimat 155 zu senden und zu empfangen. Zum Beispiel kann das Fahrzeug 151 sich mit einem Wi-Fi-Netzwerk der Heimat 155 verbinden. Das Fahrzeug 151 kann auch mit intelligenten Vorrichtungen interagieren, die sich in der Heimat 155 befinden, wie etwa einem Thermostat, einer Kamera, Geräten/Haushaltsgeräten, elektrischen Steckern und Steckdosen und anderen Anwendungen intelligenter Haustechnik.
-
Das Fahrzeug 151 kann in Kommunikation mit einer Mobilvorrichtung 157 stehen. Die Mobilvorrichtung 157 kann ein Mobiltelefon, ein Tablet, eine Smartwatch, ein Laptop oder eine andere Vorrichtung sein. Das Fahrzeugsystem 150 kann in Kommunikation mit der Mobilvorrichtung 157 über Bluetooth-Kommunikation oder eine drahtlose Verbindung stehen. Das Fahrzeug 151 kann die Mobilvorrichtung 157 auch nutzen, um sich mit Fernsystemen zu verbinden.
-
Das Fahrzeug 151 kann auch mit ein oder mehr Sensoren 152 zum Identifizieren von anderen Fahrzeugen oder zum Detektieren von Objekten ausgestattet sein. Zum Beispiel kann das Fahrzeug 151 mit RADAR, LIDAR, Kameras oder anderen Sensoren ausgestattet sein, die eine Detektion von Objekten ermöglichen. Das Fahrzeug 151 kann die Sensoren zum Detektieren von beweglichen Objekten ebenso wie stationären Objekten nutzen. Das Fahrzeug 151 kann auch mit einem Sensor 152 oder einem Fahrzeugsendeempfänger ausgestattet sein, um eine V2V-(„Vehicle-to-Vehicle“-)Kommunikation mit anderen Fahrzeugen 154 zu ermöglichen.
-
2 veranschaulicht eine Systemübersicht eines weiteren Ausführungsbeispiels eines Fahrzeugcybersicherheitssystems 200 von 1A. Das Fahrzeug kann eine Cybersicherheit-ECU 201 oder eine Cybersicherheitssteuereinheit 201 umfassen, um sich auf Cybersicherheitsprävention und -ansprechverhalten auf Angriffe zu fokussieren. Die Cybersicherheitssteuereinheit 201 kann die gleiche oder eine ähnliche Funktion zu der mit Bezug auf 1A beschriebenen Steuereinheit 101 bereitstellen. Somit kann die Cybersicherheitssteuereinheit 201, auf einer hohen Ebene, Software zum Analysieren von Daten und anderen Eingängen zum Verhindern von Cyberangriffen und Reagieren bzw. Ansprechen auf Cyberangriffe aufweisen. Die Cybersicherheitssteuereinheit 201 kann in Kommunikation mit einer Fahrsituationsanalyse-(DSA-)ECU 203 oder einer Fahrsituationsanalyse-(DSA-)Steuereinheit 203 stehen. Die DSA-Steuereinheit 203 kann über ein Kommunikationsnetzwerk 204 (z.B. Controller-Area-Network-(CAN-)Bus) oder eine drahtlose Kommunikation mit verschiedenen Fahrzeugsensoren und Eingängen bzw. Eingaben (z.B. einem GPS-Sensor, einem „Cloud“-basierten Server, einem Fahrgeschwindigkeitseingang, usw.) in Kommunikation stehen, die Daten an die DSA-Steuereinheit bereitstellen. Die DSA-Steuereinheit 203 kann abstrahierte Fahrumgebungsinformationen anstelle von Rohdaten von anderen ECUs oder Sensoren bereitstellen. Die DSA-Steuereinheit 203 kann durch Verwendung einer Symbolisierungs- bzw. Versinnbildlichungstechnik implementiert werden. Die DSA-Steuereinheit 203 kann die Fahrzeugumgebung in der nahen Zukunft vorhersagen, und die Informationen können zum Bestimmen der Reaktionshandlung bzw. -maßnahme genutzt werden. Die an die DSA-Steuereinheit 203 bereitgestellten Daten können zum Identifizieren von bestimmten Fahrbedingungen für das Fahrzeug genutzt werden. Zum Beispiel kann die DSA-Steuereinheit 203 die Fahrzeuggeschwindigkeit, die Funktionsklasse einer Straße, auf der sich das Fahrzeug befindet, oder andere Fahrzeugzustände analysieren.
-
Die Cybersicherheitssteuereinheit 201 und die DSA-Steuereinheit 203 können mit mehreren geschützten ECUs, wie etwa geschützter ECU 207, geschützter ECU 208 und geschützter ECU 209, in Kommunikation stehen. Die geschützten ECUs 207, 208, 209 können aus einer Grundfunktion, einem Host-basierten Eingriffsdetektionssystem (HIDS), Steuerungsablaufintegrität bzw. Control Flow Integrity (CFI), Datenablaufintegrität bzw. Data Flow Integrity (DFI), usw. aufgebaut bzw. zusammengestellt sein. Wenn das HIDS einen Angriff detektiert, kann die ECU diesen mit detaillierten Informationen an die Cybersicherheitssteuereinheit 201 berichten. Zum Beispiel kann die geschützte ECU 207 Daten an die Cybersicherheitssteuereinheit 201 mit Speicherinformationen, ausgeführter Codezeile, angegriffener Schnittstelle und/oder Protokollen (z.B. Bluetooth, Wi-Fi, USB, usw.) und anderen Zustandsinformationen, usw. bereitstellen. Die Speicherinformationen können Speicherabbildinformationen, Speicherregisterinformationen, Speicherspurinformationen, usw. umfassen. Somit kann die Cybersicherheitssteuereinheit 201 mit detaillierten Informationen bezüglich des Cyberangriffs versehen werden, um zu identifizieren, wie auf geeignete Weise auf den Angriff zu reagieren bzw. anzusprechen ist.
-
Eine Sicherheitsreaktionsdatenbank 205 kann eine Datenbank sein, die verschiedene Optionen umfasst, wie das System während eines Angriffs reagieren bzw. ansprechen kann. Die Datenbank kann verschiedene Szenarien von Sicherheitsprotokollen zur Aktivierung im Fall eines Cybersicherheitsangriffs darstellen bzw. zusammenfassen. Wie es weiter mit Bezug auf 3 erläutert ist, kann die Systemsicherheitsreaktionsdatenbank 205 bestimmte Cyberreaktionen bzw. -antworten basierend auf dem Angriffstyp und dem Szenario des Fahrzeugs vorschreiben bzw. festsetzen.
-
3 veranschaulicht ein Ablaufdiagramm eines Fahrzeugcybersicherheitssystems, das auf einen Cyberangriff reagiert. Daher kann das Ablaufdiagramm ein Ausführungsbeispiel eines Fahrzeugs sein, das sich gerade unter einem Cyberangriff steht. Das Ablaufdiagramm kann eine beispielhafte Darstellung eines Algorithmus in einer Cybersicherheitseinheit sein. Bei Entscheidung S301 kann das System analysieren, ob sich das Fahrzeug in einer aktuellen Fahrsituation befindet, die zum Neustarten bzw. Rebooten sicher ist. Zum Beispiel kann die Steuereinheit 101 in Kommunikation mit verschiedenen Fahrzeugsteuereinheiten stehen, die in Kommunikation mit Fahrzeugsensoren stehen. Die Fahrzeugsensoren erfassen bzw. sammeln Daten zum Bestimmen von verschiedenen Fahrzeugzuständen oder -bedingungen der Fahrzeugumgebung. Zum Beispiel können die Fahrzeugsensoren GPS-Ort- oder Geschwindigkeitssignaldaten nutzen, um zu bestimmen, dass das Fahrzeug mit hoher Geschwindigkeit auf einer Autobahn fährt. Das System kann verschiedene Anwendungsfallszenarien oder Schwellenwerte aufweisen, um zu bestimmen, ob sich das Fahrzeug in einer sicheren Fahrumgebung zum Neustart des Fahrzeugsystems im Szenario eines Cyberangriffs befindet. Der Schwellenwert zum Bestimmen, ob sich das Fahrzeug in einer sicheren Fahrumgebung befindet, wird auch als Sicherheitsschwellenwert bezeichnet. Ein Neustart kann in bestimmten Situationen ermöglichen, dass der Cyberangriff ein Angreifen beendet, oder einen Schaden des Angriffs mildern. Zum Beispiel, wenn das System identifiziert, dass sich das Fahrzeug auf einer Autobahn oder einer Schnellstraße befindet (z.B. eine Schwellengeschwindigkeit von 50 Meilen pro Stunde (MPH) überschritten ist), kann das System die Situation erkennen, in der das Fahrzeug wegen eines Verkehrsstaus oder an einer Verkehrskreuzung (z.B. wegen eines roten Verkehrs-/Ampelsignals) anhält. Und wenn die erwartete Neustartzeit (die in der Datenbank gespeichert sein kann) ausreichend kurz ist, kann das System den Prozessor oder die ECU neu starten. Um zu bestimmen, ob die Neustartzeit ausreichend kurz ist, kann die erwartete Wiederanfahrzeit (z.B. ein Zeitpunkt, zu dem die Ampel grün wird) durch die DSA bereitgestellt werden, um die Fahrsituation eines Merkmals oder andere Faktoren wie etwa eine Kommunikation mit einer Ampel oder anderer Infrastruktur vorherzusagen.
-
In einem Szenario eines Cyberangriffs kann das System bestimmt haben, dass es nicht für einen Systemneustart sicher war. In einem solchen Szenario kann das System in S303 bestimmen, ob die Fahrzeugsteuereinheit, die angegriffen wird, gerade ein oder mehr Fahrfunktionen eines Autos steuert. Die Fahrfunktionen können Lenken des Fahrzeugs, Beschleunigung, Bremsen, usw. umfassen. Zum Beispiel kann das System bestimmen, ob ein Cyberangreifer das Potential zum Übernehmen der Fahrzeugsteuerung eines autonomen Fahrzeugs ebenso wie eines manuell betätigten Fahrzeugs hat. Wenn die Fahrzeugsteuereinheit (z.B. Fahrzeug-ECU) nicht Kontrolle über die Fahrfunktion hat, kann das System bestimmen, einen Betrieb des Fahrzeugs in S313 herabzusetzen. Zum Beispiel können die autonomen Systeme des Fahrzeugs in Kontrolle über ein Fahren des Fahrzeugs bleiben, jedoch kann es die angegriffene ECU/Steuereinheit ausschalten oder einen Betrieb der ganzen Software auf der angegriffenen ECU/Steuereinheit beenden. In einem weiteren Beispiel kann das System einen Betrieb des Fahrzeugs durch Senken der Fahrzeuggeschwindigkeit herabsetzen, wenn es als sicher bestimmt wird, dies zu tun. Das Fahrzeugsystem kann in die Sicherheitsreaktionsdatenbank 205 schauen, um die adäquate Handlung bzw. Maßnahme, die in solchen Szenarien zu ergreifen ist, zu bestimmen. In einem anderen Szenario kann jedoch, wenn die Fahrzeugsteuereinheit, die angegriffen wird, Kontrolle über die Fahrfunktion (zum Beispiel Lenken, Beschleunigung, Bremsen, usw.) in dem Fahrzeug hat, das System entweder die Befehle für diese Steuereinheit/ECU außer Betrieb setzen bzw. stilllegen (z.B. Betrieb von dieser Steuereinheit versagen) oder das Fahrzeug anhalten und verhindern, dass sich das Fahrzeug bewegt, wie es in S311 gezeigt ist.
-
In einem anderen Szenario eines Cyberangriffs kann das System (zum Beispiel in S301) bestimmt haben, dass es in Ordnung ist, einen Systemneustart für das Fahrzeug vorzunehmen. In einem solchen Szenario kann das System die Fahrzeugumgebung analysieren und bestimmen, dass ein Neustarten, was ein Stilllegen und/oder ein Wiederanfahren des Systems umfassen kann, in Anbetracht der aktuellen Fahrzeugumgebung (z.B. der Eingang bezüglich der Fahrzeugumgebung ist unter einem Schwellenwert) in Ordnung sein kann. Solche Szenarien, die einen Neustart ermöglichen können, können umfassen, dass das Fahrzeug gerade geparkt wird/ist, oder dass das Fahrzeug in Leerlaufstellung bzw. im Leerlauf ist, dass Fahrzeug mit sehr niedriger Geschwindigkeit gefahren wird oder in der Nähe keine Fahrzeuge, Fußgänger oder Objekte nahe des Fahrzeugs (z.B. unter Nutzung von Fahrzeugsensoren wie etwa Kameras, Radar, LIDAR, usw.) identifiziert werden. In dem Szenario, in dem bestimmt wird, dass es angemessen ist, das Fahrzeug neu zu starten, kann das System in S305 bestimmen, ob die Fahrzeugangriffsschnittstelle abgeschaltet werden kann. Zum Beispiel kann das System bestimmen, ob die Fahrzeugumgebung erlaubt, dass die angegriffene Schnittstelle abgeschaltet wird, oder ob die angegriffene Schnittstelle in einem unkritischen Prozessor ist, der abgeschaltet werden kann. Wenn bestimmt wird, dass die angegriffene Schnittstelle abgeschaltet werden kann, kann das System nur die angegriffene/angegriffenen ECU/ECUs neu starten, um die identifizierte angegriffene Schnittstelle in S307 abzuschalten. Zum Beispiel kann, wenn die angegriffene ECU externe Schnittstellen aufweist, wie etwa eine Wi-Fi-Steuereinheit oder eine Bluetooth-Steuereinheit, und diese Schnittstellen zum Aufrechterhalten von Fahrfunktionen nicht notwendig sind, das System identifizieren, dass die Schnittstelle abgeschaltet werden kann. Wenn bestimmt wird, dass die angegriffene Schnittstelle nicht abgeschaltet werden kann, kann das System alle Fahrzeug-ECU/ECUs in S309 neu starten. Zum Beispiel, wenn die angegriffene ECU eine interne Kommunikationsschnittstelle aufweist, wie etwa den CAN-Bus oder Ethernet innerhalb des Fahrzeugs, und die angegriffene ECU gerade das Fahrzeugverhalten steuert, kann das System identifizieren, dass die Schnittstelle nicht abgeschaltet werden kann.
-
4 veranschaulicht ein Ablaufdiagramm eines Ausführungsbeispiels der/des adaptiven Sicherheitsaktualisierung/-updates. Das System von 4 kann nicht unter einem Cyberangriff stehen, im Gegensatz zu dem in 3 veranschaulichten Szenario. Somit sind die Sicherheitsreaktionen bzw. -antworten hier vorbeugende Versuche, um Sicherheit mit Nutzbarkeit oder Leistungsfähigkeit ins Gleichgewicht zu bringen. In S401 kann das System die Fahrzeug- und/oder Umgebungszustandseingänge erfassen bzw. sammeln. Eine Cybersicherheitssteuereinheit 101 kann in Kommunikation mit verschiedenen Fahrzeugsensoren (zum Beispiel den Sensoren 103) oder anderen Fahrzeugeingängen (oder externen Eingängen wie etwa „Cloud“-basierten Datenanbietern) über das Kommunikationsnetzwerk 204 (z.B. CAN-Bus) stehen.
-
In S403 kann das System die beste geeignete Sicherheitslage/-stellung bzw. den besten geeigneten Sicherheitsstatus berechnen. Das System kann die Zustände des Fahrzeugs, die durch die verschiedenen Sensoren identifiziert werden, nutzen, um zu identifizieren, wie die Sicherheitslage des Fahrzeugs an den Fahrzeugzustand angepasst werden soll. Zum Beispiel kann ein bestimmtes Fahrzeugsicherheitsprotokoll ausgeführt werden, wenn ein Fahrzeugsensor identifiziert, dass sich das Fahrzeug nahe eines Heimatorts oder eines Arbeitsorts befindet. In einem anderen Szenario kann ein strengeres Sicherheitsprotokoll ausgeführt werden, wenn sich das Fahrzeug zum Beispiel nahe einer Hackerkonferenz befindet. Das System kann dann die Sicherheitslage grenzbasiert (nur wenn sich ein Eingang tatsächlich ändert) oder abfragebasiert wechseln. Die gewünschte Sicherheitslage kann basierend auf Fahrzeugzustandseingängen direkt oder Ableitungswerten berechnet werden, wie etwa wahrgenommenen Sicherheitsrisiken, erforderlicher Fahrzeugleistung, erforderlicher Ressourcennutzung oder von einem Benutzer gewünschten Modi. Zum Beispiel können verschiedenen Sicherheitsrisiken Punkte zugeordnet sein und berechnet werden, um ein Risiko zu bestimmen, wie etwa so, dass einer drahtlosen Verbindung mit einer Vorrichtung eines Benutzers relativ wenig Punkte zugeordnet sein können, aber einer drahtlosen Verbindung mit einer äußeren unbekannten Verbindung mehr Punkte zugeordnet sein können. Die Implementierung eines solchen Algorithmus kann durch eine beliebige Anzahl von Methoden erfolgen, einschließlich, aber nicht beschränkt auf, hart-codierte bzw. fest-programmierte Logik, Nachschlagetabellen, Datenbanken, Maschinenlernen oder andere Künstliche-Intelligenz-Algorithmen. Solche Algorithmen können auch prädiktiv sein, sodass sie eine gewünschte zukünftige Sicherheitsstellung berechnen.
-
In Entscheidung S405 kann das System bestimmen, ob die Sicherheitslageaktualisierung erforderlich ist. Das System wird die durch S403 bestimmte gewünschte Sicherheitslage gegen den aktuellen Zustand analysieren und bestimmen, ob irgendeine Sicherheitslage beziehungsweise irgendein Sicherheitsprotokoll aktualisiert werden sollte. Die Sicherheitsaktualisierungsrate bzw. -frequenz kann abhängig von der Systemkonfiguration fest oder variabel sein.
-
In S407 kann das System den beeinträchtigten Sicherheitsdienst identifizieren, wenn die Sicherheitslage beziehungsweise das Sicherheitsprotokoll aktualisiert wird. Zum Beispiel kann das System das adäquate Sicherheitsprotokoll basierend auf dem Zustand der Fahrzeugumgebung (z.B. basierend auf den Fahrzeugsensoren) identifizieren und bestimmte Fahrzeugmerkmale zur Aktivierung oder Deaktivierung identifizieren. Somit kann ein Sicherheitsprotokoll oder eine Sicherheitslage identifiziert werden, das oder die die verschiedenen Aktionen bzw. Maßnahmen aufführt, die in Erwiderung auf die Fahrzeugzustandseingänge implementiert werden müssen. In S409 kann das System die Sicherheitslageaktualisierung senden, die durch die Cybersicherheitssteuereinheit 101 auszuführen ist. Somit kann die Cybersicherheitssteuereinheit 101 verschiedene Befehle an andere Steuereinheiten senden, um bestimmte Funktionen zu aktivieren oder zu deaktivieren oder den Zustand von sicherheitsbezogenen/-relevanten Diensten zu modifizieren. Zum Beispiel kann das System basierend auf der gewünschten Sicherheitslage anfordern, dass die Wi-Fi-Steuereinheit, die Zellularsteuereinheit oder die Bluetooth-Steuereinheit aktiviert oder deaktiviert wird, können Eingriffsdetektionsalgorithmen freigeschaltet bzw. aktiviert, abgeschaltet bzw. deaktiviert oder rekonfiguriert werden, oder werden allgemeine Firewallregeln a ktua l isiert.
-
Das System kann in mehreren Anwendungsfällen eingesetzt werden, die in dem vorstehend dargelegten Ablaufdiagramm erläutert sind. In einem Beispiel kann ein Fahrzeug seine Sicherheitslage (z.B. Sicherheitsprotokoll) beim Zurückkehren in einen als „Heimat“ definierten Bereich modifizieren. Einige Vorbedingungen (z.B. Zustand des Fahrzeugs oder Eingänge, die durch das Fahrzeug von Sensoren, Empfängern, usw. erfasst bzw. gesammelt werden) können verfügbar sein, wie etwa die verschiedenen Fahrzeugzustände oder -umgebungen. Zum Beispiel kann das Fahrzeug in einem Sicherheitszustand sein, der mit seinem aktuellen Ort (z.B. weg von „Heimat“) zusammenpasst. Ein Drahtlos-Lokalnetzwerk-(Drahtlos-LAN-)Filter, das auch als 802.11-Filter bekannt ist, kann eingestellt sein, um eine V2V-Kommunikation zu ermöglichen. Zellularschnittstellen können für eine V2I-(„Vehicle-to-Interface“-) Kommunikation freigeschaltet sein. ZigBee oder andere intelligente Heimatschnittstellen können abgeschaltet sein. Es kann nicht ermöglicht sein, dass die Anwendungen intelligenter Haustechnik über die drahtlosen Schnittstellen kommunizieren. Zusätzlicher Systemprivatsphäreschutz kann bestehen, um persönliche Informationen (z.B. Kalenderinformationen, Kontakte, Standort, usw.) zu schützen. Der geographische Ort des Fahrzeugs kann außerhalb des Orts bzw. der Orte liegen, der/die als „Heimat“ definiert ist/sind (z.B. Geofence). Das Heimat-Wi-Fi-Netzwerk kann in einem solchen Szenario außerhalb der Reichweite sein.
-
Das Fahrzeug kann andere Aspekte seiner Sicherheitslage modifizieren, wenn das System detektiert, dass das Fahrzeug zur Heimat zurückkehrt. Die Drahtloskonnektivitätsfilterung des Fahrzeugs kann angepasst werden, um eine bessere Heimatkonnektivität unter Beibehaltung der Sicherheit zu ermöglichen.
-
Die V2V-Kommunikation kann zum Beispiel blockiert werden. Bei einem weiteren Ausführungsbeispiel können während eines solchen Szenarios ZigBee- oder andere Schnittstellen intelligenter Haustechnik (z.B. Drahtloskommunikation) freigeschaltet werden. Die Bluetooth-Filterung kann eine Paarbildung einer neuen Vorrichtung in diesem Szenario ermöglichen.
-
Das Fahrzeug kann unter Verwendung einer beliebigen Anzahl von Fahrzeug- oder Umgebungseingängen bestimmen, dass sich der Fahrer innerhalb der Reichweite von vordefinierten „Heimat“-Orten befindet. Das Fahrzeug kann das Heimat-Wi-Fi-Netzwerk bei einem Ausführungsbeispiel basierend auf einer vorbestimmten Heimat-SSID und einer erfolgreichen Authentisierung an dem Netzwerk detektieren. Bei einem weiteren anderen Ausführungsbeispiel kann das Fahrzeug eine Änderung des Orts allein über „Geofencing“ basierend auf einem vordefinierten Umkreis um den/die „Heimat“-Ort/Orte detektieren. Bei einem weiteren Ausführungsbeispiel kann das Fahrzeug Drahtloskommunikationsfilterregeln anpassen. Bei einem noch weiteren Ausführungsbeispiel kann das Fahrzeug Privatsphäreschutz von gespeicherten Daten anpassen.
-
In einem zweiten Anwendungsfallszenario kann das Fahrzeug Sicherheit in Erwartung eines Abstellens über Nacht zuhause ab-/sperren bzw. stilllegen. Das Fahrzeugsystem kann mehrere Vorbedingungen für dieses Szenario haben, die umfassen, dass das Fahrzeug „aus“ ist (z.B. die Zündung ausgeschaltet ist), oder dass das Fahrzeug in einem Sicherheitszustand ist, der mit dem „Heimat“-Ort zusammenpasst, der durch die vorherige Sicherheitslage bestimmt wird (z.B. ein GPS-Sensor identifiziert den Ort mit einem definierten Heimatort). Einige Aspekte der Sicherheitslage können sein, dass die Wi-Fi-Verbindung basierend auf der Bestimmung von „Heimat“ auf SSID beschränkt ist, ZigBee- und andere Schnittstellen intelligenter Haustechnik abgeschaltet sind, Bluetooth-Paarbildung oder Fernschlüsselentriegelung, stark raten- bzw. frequenzbeschränkt sind (zum Beispiel, um gegen Brute-Force-Angriffe zu schützen), persönlich identifizierbare Informationen verschlüsselt und gespeichert sein können, Host-basierter Schutz für alle Systeme (Bluetooth, Infotainment, usw.) auf einen höchsten sicheren Zustand eingestellt ist, wie etwa Aktivieren von feinkörnigen/feinen Steuerungsablaufgraphen zum Schutz gegen Steuerungsablaufangriffe und Laufzeitspeicherintegritätsprüfung ist auf ein hohes Niveau eingestellt.
-
In dem zweiten Anwendungsfallszenario kann das Fahrzeug bestimmen, dass es adäquat ist, den Sicherheitszustand in Anbetracht dessen zu ändern, dass sich das Fahrzeug basierend auf einer Konnektivität zu einem Heimat-Dienstsatzbezeichner (SSID) und/oder einem geographischen Ort zuhause befindet, und dass das Fahrzeug für eine Schwellenzeit (z.B. 1 Stunde) in dem „Aus“-Zustand war, und dass die Tageszeit einen vorbestimmten „Nachtzeit“-Schwellenwert erreicht (z.B. 22 Uhr oder andere Zeit). Das Fahrzeug kann auch den Drahtlossicherheitszustand für eine Abstellung auf einen „abgesperrten“ Zustand aktualisieren. Bei einem weiteren Ausführungsbeispiel kann das Fahrzeug persönliche Informationen zur Langzeitspeicherung verschlüsseln. Bei einem noch weiteren Ausführungsbeispiel kann das Fahrzeug Host-basierten Sicherheitsschutz erhöhen.
-
In einem dritten Anwendungsfallszenario kann das Fahrzeug basierend auf zurückliegenden Aktivitätsdaten oder einem gespeicherten Kalendereintrag antizipieren, dass der Besitzer bald zu dem Fahrzeug zurückkehren wird. Das Fahrzeug kann seine Sicherheitslage von einem abgesperrten Modus auf einen gelockerteren Modus ändern, der eine besser ansprechende Leistungsfähigkeit und die Verwendung gespeicherter persönlicher Informationen ermöglicht. Zum Beispiel kann sich die Reaktionsfähigkeit des Systems erhöhen, da das Fahrzeugsystem nicht mit Cloud-basierten Servern oder nur mit bordeigenen Vorrichtungen kommuniziert, was eine Verzögerung abschwächt, die zwischen Langstreckendrahtloskommunikationen auftritt. Einige der Vorbedingungen können umfassen, dass das Fahrzeug zuhause geparkt ist (z.B. ein GPS-Sensor den Ort mit einem definierten Heimat-Ort identifiziert), „aus“ ist (z.B. die Zündung ausgeschaltet ist) und in einem abgesperrten Sicherheitsmodus ist, der durch die Vorbedingungen der vorhergehenden Sicherheitslage bestimmt wird. Die Sicherheitslage des Fahrzeugs in dem dritten Szenario kann umfassen, dass persönlich identifizierbare Informationen zur aktiven Verwendung entschlüsselt sind (wie etwa Kalenderinformationen, Kontakte, usw.), Bluetooth-Paarbildung- oder Fernschlüsselentriegelung-Raten-/Frequenzgrenzen zur Ermöglichung einer schnellen Reaktion erhöht sind, oder, wenn der geographische Ort „Heimat“ ist, ZigBee- oder andere Schnittstellen intelligenter Haustechnik freigeschaltet sind. Eine andere Lageänderung kann umfassen, dass Bluetooth Host-basiert ermöglicht, dass der Host-basierte Schutz der Infotainmenteinheit in einem gelockerten Sicherheitszustand ist, um eine reaktionsschnellere Benutzerinteraktion zu ermöglichen. Dies kann umfassen, dass ermöglicht wird, dass grobkörnige/grobe Steuerablaufgraphen geladen werden, um CPU- und Speichernutzung zu reduzieren. Außerdem kann eine Laufzeitspeicherintegritätsprüfung gelockert werden, um CPU-Nutzung zu reduzieren.
-
In dem dritten Anwendungsfallszenario kann das Fahrzeug die Notwendigkeit für die neue Sicherheitslage durch periodisches Prüfen des aktuellen Datums und der aktuellen Zeit gegen eine vorbestimmte oder vorhergesagte Zeit oder eine heuristische Bestimmung einer Abfahrtszeit basierend auf einer zurückliegenden Fahreraktivität bestimmen. Außerdem liegen das aktuelle Datum und die aktuelle Zeit innerhalb eines Zeitfensters (z.B. 30 Minuten) der vorbestimmten und vorhergesagten Zeit seit dem ersten Schritt. Das Fahrzeug kann auch die Drahtlossicherheitslage in Erwartung einer Fahreranforderung aktualisieren. Bei einem weiteren Ausführungsbeispiel kann das Fahrzeug Host-basierte Sicherheitsmechanismen für eine reaktionsschnellere Benutzerinteraktion anpassen. Demzufolge tritt das Fahrzeug in die Sicherheitslage ein, wie sie für diesen Anwendungsfall vorher beschrieben ist.
-
In einem vierten Anwendungsfallszenario kann das Fahrzeug von seinem geparkten Ort abfahren, auf die Autobahn fahren und seine Sicherheitslage anpassen, um für Betriebssicherheit bzw. Gefahrlosigkeit oder für autonomes Fahren besser mit anderen Fahrzeugen oder Infrastruktur zu kommunizieren. Das Fahrzeug kann Informationen von einer Kartendatenbank erfassen bzw. sammeln, um eine Straßenklasse des Fahrzeugs zu identifizieren, ebenso wie andere Eingänge, um den Fahrzeugzustand oder Vorbedingungen für ein solches Szenario zu identifizieren. Das Fahrzeugsicherheitssystem kann auch nicht benötigte Systeme sichern. Solche Vorbedingungszustände des Fahrzeugs können sein, dass das Fahrzeug geparkt ist und in dem Sicherheitsmodus ist, der durch die vorhergehende Sicherheitslage bestimmt wird.
-
In dem vierten Anwendungsfallszenario kann die Sicherheitslage Aktualisierungen vornehmen, wie etwa, dass die Drahtlosfilterung V2V- und V2I-Kommunikation ermöglicht. Die 802.11-Filter können aktualisiert werden, um mit V2V zusammenzupassen, oder Zellularschnittstellen werden für V2I freigeschaltet. In einem weiteren Beispiel kann die 802.11-MAC-Adresse randomisiert/anonymisiert werden, um Benutzerprivatsphäre zu schützen.
-
Eine weitere Nachbedingung kann sein, dass das Bluetooth-Signal gefiltert wird, um eine Paarbildung neuer Vorrichtungen nicht zu ermöglichen beziehungsweise zu verweigern. Außerdem kann eine ZigBee-Verbindung (oder eine andere Schnittstelle intelligenter Haustechnik) abgeschaltet werden. Als solches kann nicht ermöglicht werden, dass Anwendungen intelligenter Haustechnik über Drahtlosschnittstellen kommunizieren.
-
In dem vierten Anwendungsfallszenario kann das Fahrzeug die Notwendigkeit für die aktualisierte Sicherheitslage daraus bestimmen, dass ein Fahrer in das Fahrzeug einsteigt und es bezüglich der Zündungseinstellung in einen „Ein“-Zustand schaltet. Dann kann das Fahrzeug den „Heimat“-Ort verlassen, wie es basierend darauf bestimmt wird, dass die „Heimat“-SSID außerhalb der Reichweite ist und/oder ein geographischer Ort außerhalb des „Heimat“-Umkreises (z.B. Geofence) ist. Das Fahrzeug kann bestimmen, dass Geschwindigkeit und Beschleunigung auch mit denjenigen eines Fahrens auf einer Autobahn zusammenpassen können (z.B. das Fahrzeug ist über einem bestimmten Geschwindigkeitsschwellenwert). Außerdem kann das Fahrzeug das Vorhandensein von anderen Fahrzeugen über das Vorhandensein von V2V-Kommunikationssignalen oder über die Fahrzeugsensoren (z.B. Radar, LIDAR, Kamera oder andere Fahrzeugsensoreingänge) detektieren. Das Fahrzeug kann dann die Sicherheitslage anpassen, um bessere V2V/V2I-Kommunikation zu ermöglichen. Außerdem kann das Fahrzeug zusätzliche Drahtlosschnittstellen filtern. Demzufolge tritt das Fahrzeug in die Sicherheitslage ein, wie sie für diesen Anwendungsfall vorher beschrieben ist.
-
In einem fünften Anwendungsfallszenario kann das Fahrzeug Sicherheitsprotokolle anpassen, um eine schnellere Drahtloskommunikation und eine reaktionsschnelle Leistungsfähigkeit aufgrund der Anforderung für Videostreaming oder interaktives Spielen zu ermöglichen. Die Vorbedingungen (z.B. Eingänge von Fahrzeugsensoren oder andere Eingänge) können umfassen, dass das Fahrzeug entlang der Autobahn fährt und in einem Sicherheitsmodus ist, der ähnlich zu demjenigen ist, der von bzw. gegenüber den Nachbedingungen des vierten Anwendungsfallszenarios angepasst ist. Die Sicherheitslage des fünften Anwendungsfallszenarios kann sein, dass die Drahtlosfilterung aktualisiert wird, um Videostreaming als eine Regel des „schnellen Passierens“ zu priorisieren. Außerdem kann die Infotainmenteinheit Host-basierten Schutz aufweisen, der entfernt bzw. aufgehoben wird, um eine optimale Leistungsfähigkeit zu ermöglichen, wie etwa, dass Steuerungsablaufintegritätprüfung abgeschaltet wird und Laufzeitspeicherintegritätsprüfung angehalten wird.
-
Das Fahrzeug kann die Notwendigkeit für die aktualisierte Sicherheitslage durch eine Anzahl unterschiedlicher Methoden bestimmen. Zum Beispiel kann der Insasse auf dem Infotainmentbildschirm navigieren, um ein Video zum Streaming auszuwählen. Als nächstes beginnt der Insasse mit dem Abspielen des Videos. Das Infotainmentsystem kann in einen „Videowiedergabe“-Streamingmodus eintreten. Demzufolge wird die Infotainmentsystem-Sicherheitslage aktualisiert. Somit kann eine zusätzliche Bildschirmdarstellung von Daten von dem Streamingvideoanbieter erfolgen, wenn der Streamingvideoanbieter unerkannt oder unsicher ist.
-
In einem alternativen Ablauf während des fünften Anwendungsfallszenarios kann der Insasse auf dem Infotainmentbildschirm navigieren, um ein interaktives Videospiel zum Spielen auszuwählen. Der Insasse kann dann das Videospiel starten. Demzufolge tritt das Infotainmentsystem in einen „Videospiel“-Modus ein und wird die Infotainmentsystem-Sicherheitslage aktualisiert.
-
In einem sechsten Anwendungsfallszenario kann das Fahrzeug Sicherheitsdienste in Vorbereitung für einen Fahrzeugunfall entfernen bzw. aufheben, um eine Kommunikation mit äußeren Systemen zu ermöglichen. Die Vorbedingungen können umfassen, dass das Fahrzeug entlang der Autobahn fährt und in einem Sicherheitsmodus von bzw. gegenüber den Nachbedingungen des vierten Anwendungsfallszenarios ist. Die Sicherheitslage in dem sechsten Szenario kann umfassen, dass alle Host-basierten Sicherheitsdienste abgeschaltet werden und die gesamte Drahtlosfilterung entfernt bzw. aufgehoben wird. Das Fahrzeug kann die Notwendigkeit für diese Sicherheitslage in einer Anzahl von Wegen bestimmen, zum Beispiel kann es sein, dass das Fahrzeug eine drohende bzw. bevorstehende Kollision durch Radar, Lidar, Kamera oder allgemeine Fahrzeugnähe- und/oder Kollisionssensoren detektiert. Demzufolge kann das Fahrzeug die Sicherheitslage aktualisieren, um eine volle Drahtloskommunikation zu ermöglichen, und/oder kann das Fahrzeug Sicherheitsdienste abschalten, um Systemressourcen freizugeben.
-
Während vorstehend beispielhafte Ausführungsbeispiele beschrieben sind, ist es nicht vorgesehen, dass diese Ausführungsbeispiele alle möglichen Ausgestaltungen beschreiben, die durch die Patentansprüche umfasst sind. Die in der Beschreibung verwendeten Begriffe sind Begriffe der Beschreibung statt der Beschränkung, und es ist selbstverständlich, dass verschiedene Änderungen vorgenommen werden können, ohne von dem Grundgedanken und dem Umfang der Offenbarung abzuweichen bzw. sich von diesem zu entfernen. Wie es vorstehend beschrieben ist, können die Merkmale verschiedener Ausführungsbeispiele kombiniert werden, um weitere Ausführungsbeispiele der Erfindung zu bilden, die nicht explizit beschrieben oder veranschaulicht sein können. Während verschiedene Ausführungsbeispiele dahingehend beschrieben worden sein können, dass sie Vorteile bereitstellen oder gegenüber anderen Ausführungsbeispielen oder Implementierungen des Stands der Technik mit Bezug auf ein oder mehr gewünschte Eigenschaften bevorzugt sind, erkennt der Fachmann, dass ein oder mehr Merkmale oder Eigenschaften kompromittiert bzw. gefährdet/beeinträchtigt sein können, um gewünschte Gesamtsystemattribute zu erzielen, die von der speziellen Anwendung und Implementierung abhängen. Diese Attribute können umfassen, sind aber nicht beschränkt auf, Kosten, Stärke, Haltbarkeit, Lebenszykluskosten, Marktgängigkeit, Erscheinungsbild, Ver-/Packung, Größe, Gebrauchs-/ Wartungstauglichkeit, Gewicht, Herstellbarkeit, Leichtigkeit des Zusammenbaus, usw. Als solches liegen, (bis) zu dem Grad bzw. Ausmaß, in dem irgendwelche Ausführungsbeispiele als weniger wünschenswert als andere Ausführungsbeispiele oder Implementierungen des Stands der Technik mit Bezug auf ein oder mehr Eigenschaften beschrieben sind, diese Ausführungsbeispiele nicht außerhalb des Umfangs der Offenbarung, und können diese für bestimmte Anwendungen wünschenswert sein.
-
Ein Fahrzeugcomputersystem umfasst ein oder mehr Sensoren (103), die konfiguriert sind zum Empfangen eines Eingangs bezüglich einer Umgebung eines Fahrzeugs (151), und eine Sicherheitssteuereinheit (101, 201) in Kommunikation mit den ein oder mehr Sensoren (103) des Fahrzeugs (151). Die Sicherheitssteuereinheit (101, 201) ist konfiguriert zum Identifizieren eines Cyberangriffs auf ein oder mehr Fahrzeugsteuereinheiten (207, 208, 209) in dem Fahrzeug (151) und Reagieren auf den Cyberangriff basierend auf zumindest der Umgebung des Fahrzeugs (151).