DE102022208647A1 - Techniken zur mitigation von manipulationen eines bordnetzwerks eines fahrzeugs - Google Patents

Techniken zur mitigation von manipulationen eines bordnetzwerks eines fahrzeugs Download PDF

Info

Publication number
DE102022208647A1
DE102022208647A1 DE102022208647.3A DE102022208647A DE102022208647A1 DE 102022208647 A1 DE102022208647 A1 DE 102022208647A1 DE 102022208647 A DE102022208647 A DE 102022208647A DE 102022208647 A1 DE102022208647 A1 DE 102022208647A1
Authority
DE
Germany
Prior art keywords
component
vehicle
countermeasure
board network
anomaly
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022208647.3A
Other languages
English (en)
Inventor
Joachim Graf
Carsten Nobbe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022208647.3A priority Critical patent/DE102022208647A1/de
Priority to US18/452,872 priority patent/US20240061934A1/en
Priority to CN202311062226.XA priority patent/CN117601779A/zh
Publication of DE102022208647A1 publication Critical patent/DE102022208647A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Debugging And Monitoring (AREA)
  • Small-Scale Networks (AREA)
  • Traffic Control Systems (AREA)

Abstract

Ein allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Verfahren zur Abwehr von Manipulationen eines Bordnetzwerks eines Fahrzeugs. Das Verfahren umfasst das Empfangen einer Signatur einer aktuelle Anomalie in dem Bordnetzwerk und Durchführen einer ersten Gegenmaßnahme, die das Fahrzeug und/oder zumindest eine seiner Komponenten in einen vorbestimmten sicheren Zustand überführt. Die erste Gegenmaßnahme wird basierend auf der Signatur ausgewählt . Das Verfahren umfasst weiterhin Durchführen einer zweiten Gegenmaßnahme zur zumindest teilweisen Wiederherstellung eines Funktionsumfangs des Fahrzeugs. Die erste und/oder die zweite Gegenmaßnahme für die aktuelle Anomalie werden unter verschiedenen verfügbaren Gegenmaßnahmen dynamisch basierend auf Statusinformation bezüglich des Fahrzeugs und/oder der aktuellen Anomalie ausgewählt.

Description

  • Stand der Technik
  • In jüngerer Zeit werden Fahrzeuge in immer stärkerem Maß in offene Kontexte eingebunden (d.h., die Fahrzeuge weisen eine oder mehrere Schnittstellen auf, über die im Betrieb Daten empfangen und/oder gesendet werden, die wiederum für den Betrieb des Fahrzeugs verwendet werden). In einigen Fällen werden dabei auch vorhandene Schnittstellen in erheblich stärkerem Maße genutzt (z.B. kontinuierlich während des Fahrens). Zusätzlich nimmt die Komplexität der Komponenten der Fahrzeuge und insbesondere ihrer Software stetig zu. Die Software der Fahrzeuge wird außerdem in immer vielfältigerer Weise im Betrieb aktualisiert.
  • Als Folge dessen werden Möglichkeiten zur Manipulation der Software der Komponenten der Fahrzeuge ebenfalls vielfältiger.
  • In manchen Verfahren des Stands der Technik ist die Detektion und vor allem die Mitigation von Manipulationen (d.h. Behebung der Manipulation, so dass ein definierter (sicherer) Zustand erreicht wird und/oder zumindest Abmildern oder Beseitigen der Auswirkungen von Manipulationen)mit erheblichem Aufwand und somit Zeitverzug verbunden. In vielen Beispielen kann eine Manipulation mehr oder weniger zufällig detektiert werden (z.B. im Rahmen einer Testfahrt). In der Folge wird dann eine Maßnahme zur Mitigation der Manipulation entwickelt (z.B. ein Software-Update). Dann kann zum Beispiel im Rahmen eines Werkstattaufenthalts die manipulierte Software einer Komponente (z.B. eines Steuergeräts) zurückgesetzt und damit die Manipulation behoben werden. In anderen Techniken kann Software von einem entfernten Computer-System gesendet werden, mit Hilfe derer die manipulierte Software einer Komponente (z.B. eines Steuergeräts) zurückgesetzt und damit die Manipulation behoben wird. In beiden Fällen kann zwischen der Detektion der Manipulation und der Mitigation der Manipulation ein erheblicher Zeitraum liegen. Unter Umständen ist der Betrieb des Fahrzeugs in diesem Zeitraum gestört (z.B. ein vorbestimmtes Sicherheitskriterium wird nicht mehr erfüllt). In manchen Fällen kann das Fahrzeug nicht mehr fahrtüchtig oder seinem Funktionsumfang massiv gestört sein. Daher sind verbesserte Techniken zur Mitigation der Manipulation von Software wünschenswert.
  • Offenbarung der Erfindung
  • Ein erster allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Verfahren zur Mitigation von Manipulationen eines Bordnetzwerks eines Fahrzeugs. Das Verfahren umfasst Empfangen einer Signatur einer aktuellen Anomalie in dem Bordnetzwerk und Durchführen einer ersten Gegenmaßnahme, die das Fahrzeug und/oder zumindest eine seiner Komponenten in einen vorbestimmten sicheren Zustand überführt. Die erste Gegenmaßnahe wird basierend auf der Signatur ausgewählt. Das Verfahren umfasst weiterhin das Durchführen einer zweiten Gegenmaßnahme zur zumindest teilweisen Wiederherstellung eines Funktionsumfangs des Fahrzeugs. Die erste und/oder die zweite Gegenmaßnahme für die aktuelle Anomalie werden unter verschiedenen verfügbaren Gegenmaßnahmen dynamisch basierend auf Statusinformation des Fahrzeugs und/oder der aktuellen Anomalie ausgewählt.
  • Ein zweiter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein System, das dazu ausgelegt ist, das Verfahren gemäß dem ersten allgemeinen Aspekt auszuführen.
  • Die Techniken der ersten bis zweiten allgemeinen Aspekte der vorliegenden Offenbarung können in manchen Fällen einen oder mehrere der folgenden Vorteile haben.
  • Erstens können die Techniken der vorliegenden Offenbarung durch eine mehrstufige Reaktion, die zumindest die ersten und zweiten Gegenmaßnahmen umfasst, in manchen Fällen sowohl die (Betriebs-)Sicherheit (im Englischen auch als „Safety“ bezeichnet), als auch einen verfügbaren Funktionsumfang eines Fahrzeugs (oder einer seiner Komponenten) sowie die Sicherheit gegen Manipulation oder Verwertung von Daten durch unautorisierte Dritte (im Englischen auch als „Security" bezeichnet) verbessern. In manchen Techniken des Stands der Technik werden zwar ein oder mehrere Gegenmaßnahmen durchgeführt. Diese fokussieren aber ausschließlich oder hautsächlich auf das Erreichen eines der oben genannten Ziele (zum Beispiel dem (Wieder-)Herstellen der Betriebssicherheit). Zum Beispiel kann gemäß der vorliegenden Offenbarung die erste Gegenmaßnahme das unverzüglichen Abschalten einer ersten Komponente (z.B. innerhalb von 100 Millisekunden Sekunden nach Detektion der Anomalie) und dem Verschieben einer Funktionalität der ersten Komponente auf eine zweite Komponente umfassen. Beispielsweise kann ein Angriff auf einen Bremskraftverstärker erkannt werden. Dieser kann abgeschaltet werden. Die Funktionalität des Bremskraftverstärkers kann dann teilweise von einer anderen Komponente des Bremssystems übernommen werden. In dieser Weise kann das Fahrzeug zunächst in einen sicheren Zustand gebracht werden, in dem eine Bremskraftverstärkungs-Funktionalität zur Verfügung steht. Nun kann der Angriff und/oder die erste Gegenmaßnahme zur Folge haben, dass ein Funktionsumfang des Fahrzeugs (d.h., ein Funktionsumfang des Bordnetzwerks bzw. seiner Komponenten) reduziert ist. In dem genannten Fall kann zum Beispiel nach Abschalten des Bremskraftverstärkers eine Redundanz der Bremskraftverstärkungsfunktion nicht mehr gegeben sein. Die zweite Gegenmaßnahme kann nun in einem Rücksetzen einer Software des Bremskraftverstärkers und einem nachfolgenden Reaktivieren des Bremskraftverstärkers die Folgen des Angriffs beseitigen und den Funktionsumfang des Fahrzeugs (zumindest teilweise) wiederherstellen. Durch das Durchführen der ersten und zweiten Gegenmaßnahmen kann daher in manchen Situationen das Fahrzeug sicher und mit möglichst unbeschränktem Funktionsumfang betrieben werden. Das kann ermöglichen, dass ausreichend Zeit zur Verfügung steht, um eine Schwachstelle in dem Bordnetzwerk zu schließen, ohne dass die Betriebssicherheit des Fahrzeug kompromittiert oder sein Funktionsumfang unbotmäßig beschränkt wäre. Die benötigte Zeit zum Schließen der Schwachstelle kann in manchen Fällen Wochen oder sogar Monate betragen - unter Umständen muss die Schwachstelle erst identifiziert und ein entsprechendes Software-Update entwickelt und getestet werden. In manchen Techniken des Stands der Technik kann das Fahrzeug für diese Zeitdauer nur mit einer erheblichen Beschränkung des Funktionsumfangs betrieben werden.
  • Zweitens kann in manchen Fällen die Betriebssicherheit und/oder der Funktionsumfang des Fahrzeugs verbessert werden (oder eine andere Eigenschaft), indem für eine Anomalie mit einer bestimmten Signatur (z.B. ein Angriff einer bestimmten Art auf eine bestimmte Komponente des Bordnetzwerks) in verschiedenen Situationen dynamisch verschiedenen erste oder zweite Gegenmaßnahmen ausgewählt werden. Zum Beispiel können beim erstmaligen Auftreten einer Anomalie mit einer bestimmten Signatur eine andere erste und/oder zweite Gegenmaßnahme ausgewählt werden als bei einem weiteren Auftreten. Beim ersten Auftreten kann eine Komponente, die von dem Angriff betroffen war, lediglich zurückgesetzt werden. Nach einem weiteren Auftreten kann eine Software der Komponente mit einer sicheren Version überspielt werden. In anderen Beispielen kann nach einem ersten Auftreten der Anomalie eine betroffene Komponente ihre Funktion vollständig wiederaufnehmen. Nach einem weiteren Auftreten der Anomalie kann die Komponente ihre Funktion nur in beschränkter Weise wiederaufnehmen. In dieser Weise kann die Auswahl der Gegenmaßnahmen gezielt an die Betriebssituation des Fahrzeugs angepasst werden. In dem Beispiel kann ein erstmaliges Auftreten einer Anomalie mit relativ behutsamen Eingriffen in das Bordnetzwerk behoben werden. Tritt die Anomalie erneut auf, können schwerwiegendere Eingriffe ausgewählt werden. So kann in manchen Situationen ein Kompromiss zwischen der Beeinträchtigung des Betriebs des Fahrzeugs durch die Gegenmaßnahmen und der Verhinderung des wiederholten Auftretens einer Anomalie gefunden werden. So führte z.B. das permanente Blockieren einer Komponente nach einer einmalig auftretenden Anomalie zu einem recht weitreichenden Funktionsverlust des Fahrzeugs über möglicherweise eine lange Zeit (z.B. bis zum Schließen einer Schwachstelle durch ein Software-Update). Andererseits kann lediglich ein Neustarten oder ein Zurücksetzen der Software dazu führen, dass dieselbe Komponente wieder und wieder manipuliert wird, mit den damit verbundenen Risiken. Die Techniken der vorliegenden Offenbarung ermöglichen es, die Gegenmaßnahmen an diese Begebenheiten anzupassen. Kriterien zur dynamischen Auswahl der ersten und zweiten Gegenmaßnahmen als das wiederholte Auftreten einer Anomalie sind denkbar und werden weiter unten erläutert.
  • Ein dritter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Verfahren zur Mitigation von Manipulationen eines Bordnetzwerks eines Fahrzeugs. Das Verfahren umfasst Empfangen einer Signatur einer aktuellen Anomalie in dem Bordnetzwerk und Durchführen einer ersten Gegenmaßnahme, die das Fahrzeug und/oder zumindest eine seiner Komponenten in einen vorbestimmten sicheren Zustand überführt. Die erste Gegenmaßnahem wird basierend auf der Signatur ausgewählt . Das Verfahren umfasst weiterhin Durchführen einer zweiten Gegenmaßnahme zur zumindest teilweisen Wiederherstellung eines Funktionsumfangs des Fahrzeugs. Das Verfahren umfasst weiterhin Empfangen eines Software-Updates, um eine Schwachstelle des Bordnetzwerks zu schließen, die eine Manipulation, die die aktuelle Anomalie hervorgerufen hat, ausgenutzt hat, nachdem die zweite Gegenmaßnahme durchgeführt wurde.
  • Ein vierter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein System, das dazu ausgelegt ist, das Verfahren gemäß dem dritten allgemeinen Aspekt auszuführen.
  • Die Techniken der dritten bis vierten allgemeinen Aspekte der vorliegenden Offenbarung können in manchen Fällen einen oder mehrere der folgenden Vorteile haben.
  • Wie ersichtlich umfassen die Techniken des dritten und vierten allgemeinen Aspektes wie die Techniken des ersten und zweiten allgemeinen Aspektes das Durchführen der ersten und zweiten Gegenmaßnahmen. Daher können die Techniken des dritten und vierten allgemeinen Aspektes die oben und in weiterem beschriebenen Vorteile haben, die mit dem Durchführen der ersten und zweiten Gegenmaßnahmen verbunden sind. Auch können (müssen jedoch nicht, die Zuordnung kann auch statisch zu den entsprechenden Signatur- sein) die ersten und zweiten Gegenmaßnahmen in den Techniken der dritten und vierten allgemeinen Aspekte dynamisch ausgewählt werden. Zudem kann in den Techniken der dritten und vierten allgemeinen Aspekte die dritte nachgelagerte Maßnahme des Empfangens des Software-Updates die Sicherheit des Bordnetzwerks gegenüber Manipulation oder Verwertung von Daten durch unautorisierte Dritte (auf Englisch „Security“) weiter steigern.
  • Einige Begriffe werden in der vorliegenden Offenbarung in folgender Weise verwendet:
    • Eine „Komponente“, ein „Modul“ oder eine „Einheit“ kann in der vorliegenden Offenbarung jede zur Ausführung beschriebener Verfahren und/oder zur Bereitstellung einer beschriebenen Funktion geeignete Soft- und/oder Hardware sein. Beispielsweise kann eine „Komponente“, ein „Modul“ oder eine „Einheit“ eine Software-Komponente, ein Software-Modul oder eine Software-Einheit sein (d.h., die Funktion der Komponente / des Moduls ist in Software definiert, die auf einer geeigneten Hardware ausgeführt werden kann). In anderen Beispielen kann eine „Komponente“, ein „Modul“ oder eine „Einheit“ eine Hardware-Komponente, ein Hardware-Modul oder eine Hardware-Einheit sein (d.h., die Funktion der Komponente / des Moduls ist in Hardware definiert, z.B. in Form eines angepassten Prozessors). In wieder anderen Beispielen kann die Funktion der Komponente / des Moduls in Hardware und in Software definiert sein.
  • Eine „Komponente“, ein „Modul“ oder eine „Einheit“ (z.B. eines Bordnetzwerks) in der vorliegenden Offenbarung kann über Hardwareressourcen verfügen, die zumindest einen Prozessor zum Ausführen von Befehlen und Speicher zum Ablegen zumindest einer Software-Komponente umfassen. Der Begriff „Prozessor“ umfasst auch Mehr-Kern-Prozessoren oder mehrere separate Bauteile, die die Aufgaben einer zentralen Verarbeitungseinheit übernehmen (und sich diese ggf. teilen). Eine Komponente kann eigenständig Aufgaben ausführen (z.B. Messaufgaben, Überwachungsaufgaben, Steueraufgaben, Kommunikationsaufgaben und/oder andere Arbeitsaufgaben). Eine Komponente kann aber in manchen Beispielen auch von einer anderen Komponente gesteuert werden. Eine Komponente kann physisch abgegrenzt sein (z.B. mit einem eigenen Gehäuse) oder aber in ein übergeordnetes System integriert sein. Eine Komponente kann ein Steuergerät oder ein Kommunikationsgerät des Fahrzeugs sein. Eine Komponente kann ein eingebettetes System sein. Eine Komponente kann einen oder mehrere Mikrocontroller umfassen.
  • Demensprechend ist eine „Komponente eines Fahrzeugs“ eine wie vorausgehend beschriebene Komponente, die in einem Fahrzeug angeordnet ist (d.h. mit diesem bewegt wird). Dabei kann die Komponente fest in dem Fahrzeug verbaut sein. Eine Komponente eines Fahrzeugs kann aber auch eine mobile Komponente sein, die sich (nur) zeitweise in dem Auto befindet (z.B. ein Mobilgerät eines Passagiers).
  • Ein „eingebettetes System“ ist eine Komponente, die in einen technischen Kontext eingebunden (eingebettet) ist. Dabei übernimmt die Komponente Messaufgaben, Überwachungsaufgaben, Steueraufgaben, Kommunikationsaufgaben und/oder andere Arbeitsaufgaben.
  • Ein „(dediziertes) Steuergerät“ ist eine Komponente, die (ausschließlich) eine Funktion eines Fahrzeugs steuert. Ein Steuergerät kann zum Beispiel eine Motorsteuerung, eine Steuerung eines Bremssystems oder eine Steuerung eines Assistenzsystems übernehmen. Eine „Funktion“ kann dabei auf verschiedenen Ebenen des Fahrzeugs definiert sein (z.B. kann für eine Funktion einen einzelnen Sensor oder Aktor, aber auch eine Vielzahl von Baugruppen, die zu einer größeren funktionalen Einheit zusammengefasst sind, eingesetzt werden).
  • Der Begriff „Software“ oder „Software-Komponente“ kann grundsätzlich jeder Teil einer Software einer Komponente (z.B. eines Steuergeräts) der vorliegenden Offenbarung sein. Insbesondere kann eine Software-Komponente eine Firmware-Komponente einer Komponente der vorliegenden Offenbarung sein. „Firmware“ ist eine Software, die die in (elektronischen) Komponenten eingebettet ist und dort grundlegende Funktionen leistet. Firmware ist funktional fest mit der jeweiligen Hardware der Komponente verbunden (so dass das eine nicht ohne das andere nutzbar ist). Sie kann in einem nicht-flüchtigen Speicher wie einem Flash-Speicher oder einem EEPROM gespeichert sein.
  • Der Begriff „Update“ oder „Software-Update“ umfasst jedwede Daten, die direkt oder nach entsprechenden Verarbeitungsschritten eine Software(-Komponente) einer Komponente gemäß der vorliegenden Offenbarung bilden. Das Update kann lauffähigen Code enthalten oder noch zu kompilierenden Code (der in dem Speicher der entsprechenden Komponente abgelegt ist).
  • Der Begriff „Anomalie“ umfasst eine Abweichung vom Regelbetrieb des Fahrzeugs (z.B. eine oder mehrere Komponenten sind nicht regelmäßig konfiguriert, das Verhalten einer oder mehrerer Komponenten weicht von einem Verhalten im Regelbetrieb ab und/oder ein oder mehrere Betriebsparameter einer oder mehrerer Komponenten weichen von Nennwerten im Normalbetreib ab, usw.). Eine Anomalie kann eine Manipulation der Komponenten des Fahrzeugs (z.B. deren Software) sein oder als Folge eine Manipulation der Komponenten des Fahrzeugs (z.B. deren Software) auftreten.
  • Der Begriff „Manipulation“ umfasst in der vorliegenden Offenbarung jede Veränderung einer Software einer Komponente eines Fahrzeugs. Die Veränderung kann die Folge eines Angriffs sein (d.h. der bewussten Einflussnahme eines Dritten), aber auch Folge einer zufälligen oder unbeabsichtigten Einwirkung.
  • Der Begriff „Fahrzeug“ umfasst jegliche Vorrichtungen, die Passagiere und/oder Fracht transportieren. Ein Fahrzeug kann ein Kraftfahrzeug (zum Beispiel ein PKW oder ein LKW) sein, aber auch ein Schienenfahrzeug. Allerdings können auch schwimmende und fliegende Vorrichtungen Fahrzeuge sein. Fahrzeuge können zumindest teilautonom operierend oder assistiert sein.
  • Ein „Bordnetzwerk“ kann jedes interne Netzwerk eines Fahrzeugs sein, in dem die Komponenten des Fahrzeugs enthalten sind und über das Komponenten des Fahrzeugs kommunizieren (die Komponenten werden in der vorliegenden Offenbarung als Teil des Bordnetzwerks bezeichnet). In manchen Beispielen ist ein Bordnetzwerk ein Nahbereichsnetzwerk. Ein Bordnetzwerk kann ein oder mehrere Nahbereichs-Kommunikationsprotokolle einsetzen (z.B. zwei oder mehr Nahbereichs-Kommunikationsprotokolle). Die Nahbereichs-Kommunikationsprotokolle können drahtlose oder drahtgebundene Kommunikationsprotokolle sein. Die Nahbereichs-Kommunikationsprotokolle können ein Bus-Protokoll umfassen (bspw. CAN, LIN, MOST, FlexRay oder Ethernet). Die Nahbereichs-Kommunikationsprotokolle können ein Bluetooth-Protokoll (z.B. Bluetooth 5 oder später) oder ein WLAN-Protokoll (z.B. ein Protokoll der IEEE-802.11-Familie, z.B. 802.11h oder ein späteres Protokoll) umfassen. Ein Bordnetzwerk kann Schnittstellen zur Kommunikation mit Systemen außerhalb des Fahrzeugs enthalten und somit auch in andere Netzwerke eingebunden sein. Die Systeme außerhalb des Fahrzeugs und die anderen Netzwerke sind jedoch nicht Teil des Bordnetzwerks.
  • Der Ausdruck „Detektion einer Anomalie“ besagt, dass bestimmte Begebenheiten (z.B. Signale oder deren Ausbeleiben) nach vorbestimmten Regeln interpretiert werden, um einen Zustand zu erkennen, der von einem Regelbetrieb des Fahrzeugs abweicht. Zum Beispiel kann eine Anomalie eine Manipulation der Software des Fahrzeugs sein oder auf eine Manipulation der Software des Fahrzeugs hindeuten.
  • Eine „Funktion“ ist in der vorliegenden Offenbarung jede Fähigkeit der Komponenten, in dem Fahrzeug eine bestimmte Aufgabe zu erfüllen oder eine Fähigkeit des Fahrzeugs insgesamt, eine bestimmte Aufgabe zu erfüllen. Bspw. kann die Aufgabe das Betreiben eines oder mehrerer Systeme des Fahrzeugs sein (z.B. Motor, Getriebe, Assistenzsysteme, Sensoren, Klimatisierung, Infotainment, Kommunikationsschnittstellen usw.). In anderen Beispielen oder zusätzlich kann die Aufgabe in der Durchführung eines Fahrmanövers (oder eines Teils eines Fahrmanövers) bestehen und autonom oder assistiert ausgeführt werden können (die verschieden komplex sein können, z.B. Bremsmanöver, Lenkmanöver, Fahren entlang bestimmter Routen oder Parken). In wieder anderen Beispielen kann die Aufgabe in dem Bereitstellen von Daten (bspw. Sensordaten) bestehen (die wiederum für andere Aufgaben verwendet werden können). Ein „Funktionsumfang“ ist dementsprechend die Gesamtheit der Funktionen des Fahrzeugs oder einer seiner Komponenten.
  • Ein „sicherer Zustand“ bezeichnet einen Zustand, in dem die Betriebssicherheit (auf English „safety“) des Fahrzeugs in Bezug auf ein definiertes Sicherheitskriterium und/oder ein definiertes Sicherheitsziel gewährleistet ist. Das Sicherheitskriterium bzw. das Sicherheitsziel können ein oder mehrere Anforderungen an die Leistungsfähigkeit des Fahrzeugs und/oder seine Komponenten stellen (d.h. das Fahrzeug und/oder seine Komponenten operieren mit einer bestimmten Leistungsfähigkeit in Bezug auf ein oder mehrere Funktionen). Ein sicherer Zustand kann insbesondere umfassen, dass Passagiere und die Umwelt des Fahrzeugs vor Schäden in bestmöglicher Weise bewahrt werden. Ein sicher Zustand kann umfassen, dass kritische Systeme des Fahrzeugs (z.B. Bremsen, Fahrwerk, Assistenzsysteme, Systeme zum autonomen Fahren oder aktive Systeme zur Passagier- und/oder Umgebungssicherung) im Normalbetrieb (d.h. gemäß einer Spezifikation) oder höchstens um einen vorbestimmten maximales Maß schlechter als im Normalbetrieb funktionieren (z.B. eine Bremsung kann höchstens mit einer um einen Maximalbetrag niedrigeren Bremskraft als im Normalbetrieb durchgeführt werden).
  • Ein „Betriebszustand“ umfasst jede Zustandsinformation bezüglich des Fahrzeugs und/oder seiner Komponenten und/oder der Umgebung des Fahrzeugs. Ein Betriebszustand kann durch ein oder mehrere Zustandsparameter des Fahrzeugs und/oder seiner Komponenten und/oder seiner Umgebung definiert werden. Die Zustandsparameter können gemessene oder errechnete Parameter des Fahrzeugs und/oder seiner Komponenten und/oder aus diesen abgeleitete Größen sein (z.B. eine Temperatur einer Komponente oder eine abgeleitete Größe, die einen Zustand des Fahrzeugs und/oder seiner Komponenten anzeigt.
  • Ein Betriebszustand kann durch überwachen des Fahrzeugs und/oder seiner Komponenten ermittelt werden (z.B. kann überwacht werden, ob das Fahrzeug und/oder seine Komponenten sich gemäß einer bestimmten Spezifikation verhalten).
  • Kurzbeschreibung der Figuren
    • 1 illustriert beispielhaft die Abläufe der Verfahren der vorliegenden Offenbarung.
    • 2 ist eine schematische Darstellung eines Fahrzeugs mit einem System zur Mitigation von Manipulationen eines Bordnetzwerks.
  • Detaillierte Beschreibung
  • Zunächst werden in Bezug auf 1 und 2 die zentralen Aspekte der Techniken der vorliegenden Offenbarung erläutert. Danach werden einige Abwandlungen diskutiert.
  • 1 illustriert beispielhaft die Abläufe der Verfahren der vorliegenden Offenbarung. 2 ist eine schematische Darstellung eines Fahrzeugs mit einem System zur Mitigation von Manipulationen eines Bordnetzwerks.
  • Im Beispiel der 1 und der 2 sind eine erste Komponente 13 (z.B. ein erstes eingebettetes System, bspw. ein erstes Steuergerät), eine zweite Komponente 11 (z.B. ein zweites eingebettetes System, bspw. ein zweites Steuergerät), ein Zentralprozessor 15 des Fahrzeugs und ein entferntes System 17 (auch als „Backend“ bezeichnet) gezeigt. Die erste Komponente 13, die zweite Komponente 11 und der Zentralprozessor 15 sind Teil des Bordnetzwerks 21. In jeder Spalte der 1 sind Aktionen gezeigt, die von der jeweiligen Komponente durchgeführt werden.
  • Die Techniken zur Mitigation von Manipulationen eines Bordnetzwerks 21 eines Fahrzeugs 30 umfassen Empfangen 101 einer Signatur einer aktuellen Anomalie in dem Bordnetzwerk 21 .
  • In manchen Beispielen kann eine Anomalie (z.B. eine Manipulation) von einer Vorrichtung zur Detektion einer Manipulation einer Komponente des Bordnetzwerks detektiert werden, die von einer Anomalie betroffen ist. Zum Beispiel wird in 1 eine Anomalie in der ersten Komponente 13 detektiert 115 (ein Angreifer 23 kann zuvor die erste Komponente 13 manipuliert haben). In anderen Beispielen (oder zusätzlich) kann eine zentrale Vorrichtung zur Detektion von Manipulationen vorgesehen sein. Die zentrale Vorrichtung zur Detektion von Manipulationen kann dazu ausgelegt sein, Anomalien (z.B. Manipulationen) in einer Mehrzahl von Komponenten 11, 13, 15 des Bordnetzwerks zu erkennen. In manchen Beispielen können mehrere zentrale Vorrichtungen zur Detektion von Manipulationen vorgesehen sein, die im Fahrzeug für verschiedene Bereiche zuständig sind (z.B. räumliche oder funktionale Bereiche).
  • Die Detektion der Anomalien kann in verschiedener Weise von statten gehen. In manchen Beispielen kann eine Software einer Komponente (oder ein Teil davon) analysiert werden. Wenn die Software in einem oder mehreren Aspekten von einer erwarteten Software abweicht, kann eine Anomalie erkannt werden (z.B. wenn bestimmte Auffälligkeiten auftreten). Die Prüfung kann z.B. eine Prüfung der Integrität der Software umfassen (z.B. eine Abschnitt-weisen (bit-Weisen) Vergleich der Software mit einer integren Software). Zusätzlich oder alternativ kann eine Authentizität einer Software geprüft werden (z.B. durch einen oder mehrere Authentifizierungs-Schritte, bspw. das Überprüfen einer oder mehrerer digitaler Signaturen). Wenn die Software als nicht authentisch erkannt wird, kann eine Anomalie erkannt werden. Zusätzlich oder alternativ kann eine Kommunikation zu und/oder von der entsprechenden Komponente analysiert werden (z.B. ein Programmiervorgang der Software der Komponente wird erkannt). Beim Auftreten von bestimmter Kommunikation zu und/oder von der entsprechenden Komponente kann eine Anomalie erkannt werden. Weiter zusätzlich oder alternativ kann eine Software (oder ein Teil davon) analysiert werden.. In allen Beispielen kann die Detektion einer Anomalie auf Basis von einem oder mehreren Kriterien erfolgen (die bspw. in einer bestimmten Weise gewichtet werden oder die Kriterien können parallel oder sequentiell ausgewertet werden).
  • Die Signatur einer (aktuellen) Anomalie in dem Bordnetzwerk identifiziert die Anomalie (in der Folge wird auch davon gesprochen, dass eine bestimmte Anomalie eine Signatur aufweist). Eine Anomalie kann durch eine bestimmte Manipulation hervorgerufen werden (z.B. die Anomalie weist auf das Vorliegen der Manipulation hin, die Anomalie tritt als Folge der Manioulation auf). Zusätzlich oder alternativ kann eine Anomalie eine Manipulation sein (d.h. ein Detektieren der Anomalie entspricht dem Detektieren der Manipulation). Die Anomalie kann in manchen Beispielen eineindeutig mit einer bestimmten Manipulation in Verbindung stehen. In anderen Beispielen kann eine Anomalie mehreren Manipulationen zugeordnet sein (z.B. kann eine Anomalie als Folge jeder der mehreren Manipulationen auftreten).
  • Das Identifizieren kann bezüglich des Formats der Signatur und der Art der Identifikation in unterschiedlichen Weisen geschehen. In manchen Beispielen enthält die Signatur Daten, die einen Typ der Anomalie (z.B. der Manipulation) explizit oder implizit bestimmen (z.B. in Form einer eindeutigen Kennung des Typs einer Manipulation). Die Typen der Anomalien können in verschiedenen Beispielen in unterschiedlicher Granularität unterschieden werden. Zusätzlich oder alternativ kann die Signatur den Ort einer Anomalie und/oder eine betroffenen Komponente kennzeichnen (z.B. die erste Komponente 13 in 1).
  • In dem Beispiel der 1 und der 2 wird die Signatur an dem Zentralprozessor 15 empfangen. In diesem Beispiel (und auch im Allgemeinen) kann in dem Zentralprozessor 15 eine zentrale Vorrichtung zur Mitigation von Manipulationen enthalten (die zentrale Vorrichtung zur Mitigation von Manipulationen ist zum Orchestrieren von Gegenmaßnahmen für eine Mehrzahl von Komponenten des Bordnetzwerks 21 ausgelegt). In anderen Beispielen können aber auch andere Komponenten des Bordnetzwerks 21 und/oder des entfernten Systems 17 die Signatur empfangen (und/oder eine zentrale Vorrichtung zur Mitigation von Manipulationen enthalten).
  • Die Techniken der vorliegenden Offenbarung umfassen weiterhin Durchführen 103 einer ersten Gegenmaßnahme, die das Fahrzeug 30 und/oder zumindest eine seiner Komponenten 11, 13, 15 in einen vorbestimmten sicheren Zustand überführt.
  • Die erste Gegenmaßnahme wird basierend auf der Signatur ausgewählt. In manchen Beispielen kann/können für eine Anomalie mit einer bestimmten Signatur eine oder mehrere erste Gegenmaßnahmen definiert sein. Falls mehrere unterschiedliche erste Gegenmaßnahmen zur Auswahl stehen, kann eine dieser Gegenmaßnahmen in dem konkreten Fall ausgewählt werden (dazu weiter unten mehr).
  • Wie beschrieben ist das Ziel der ersten Gegenmaßnahme, das Fahrzeug 30 und/oder zumindest eine seiner Komponenten 11, 13, 15 in einen vorbestimmten sicheren Zustand zu überführen (d.h. ein definiertes Sicherheitskriterium wird erfüllt oder ein definiertes Sicherheitsziel wird erreicht). In anderen Worten soll ein unsicherer Zustand (d.h. ein definiertes Sicherheitskriterium wird nicht erfüllt oder ein definiertes Sicherheitsziel wird nicht erreicht) beendet werden, der durch die aktuelle Anomalie und/oder eine diese hervorrufende Manipulation erzeugt wird. In manchen Beispielen ist das Zeil der Gegenmaßnahme, mehrere oder alle an der Bereitstellung einer bestimmten Funktion (z.B. einer Fahrfunktion) beteiligten Komponenten in einen sicheren Zustand zu überführen.
  • In manchen Beispielen kann die erste Gegenmaßnahme zumindest ein teilweises Deaktivieren oder Blockieren der ersten Komponente 13 des Bordnetzwerks 21, in der die aktuelle Anomalie aufgetreten ist; umfassen. In manchen Beispielen kann nur ein Teil der ersten Komponente 13 deaktiviert oder blockiert werden (z.B. im Falle einer komplexeren Komponente mit mehreren Sub-Komponenten). In anderen Beispielen kann die erste Komponente 13 vollständig deaktiviert oder blockiert werden. In wieder anderen Beispielen können mehrere Komponenten zumindest teilweise deaktiviert oder blockiert werden. In jedem Fall kann das Deaktivieren oder Blockieren bewirken, dass die erste Komponente ihre zugedachte Funktion nicht mehr ausführt und/oder nicht mehr in dem Bordnetzwerk kommuniziert. Damit kann in manchen Situationen eine Gefährdung der Betriebssicherheit durch die erste Komponente 13 beendet werden (und das Fahrzeug in einen sicheren Zustand überführt werden). Zum Beispiel kann die erste Komponente 13 eine Brems-Komponente sein und das Ziel einer Manipulation eine Überbremsung des Fahrzeugs sein. Das Abschalten oder Blockieren der ersten Komponente kann dieses Ansinnen vereiteln.
  • Alternativ oder zusätzlich kann die erste Gegenmaßnahme zumindest ein teilweises Deaktivieren einer ersten Funktion des Fahrzeugs 30 umfassen. Zum Beispiel kann die erste Funktion zumindest teilweise durch die erste Komponente 13 bereitgestellt werden.
  • Alternativ oder zusätzlich kann die erste Gegenmaßnahme Verschieben einer Funktion der ersten Komponente 13, in der die aktuelle Anomalie aufgetreten ist, zu einer zweiten Komponente 11 umfassen. In dieser Weise kann erreicht werden, dass eine sicherheitskritische Funktion im Fahrzeug weiterhin/wieder bereitgestellt wird. In vielen Fällen verfügen Fahrzeuge über mehrere Komponenten, die eine bestimmte Funktion bereitstellen können. Zum Beispiel können in manchen Beispielen auch in Normalbetrieb mehrere Komponenten eine Funktion gemeinsam bereitstellen. Dann kann das Bereitstellen der Funktion vollständig zu einer Teilmenge der Komponenten verschoben werden. Zusätzlich oder alternativ können in einem Fahrzeug bezüglich der Bereitstellung einer Funktion redundante Komponenten vorgesehen sein. Dann kann das Bereitstellen der Funktion von einer ersten Komponente zu einer zweiten, redundanten Komponente erfolgen. Im obigen Beispiel kann die Bremskomponente ein Bremskraftverstärker sein. Die Funktion des Verstärkens der Bremskraft kann ebenfalls von einem E-Booster bereitgestellt werden. Das Verschieben der Funktion kann in diesem Fall das Bereitstellen der Bremskraftverstärkung durch den E-Booster umfassen. In anderen Beispielen kann ein zweites Sensorsystem die Bereitstellung einer bestimmten Überwachungsfunktion von einem ersten Sensorsystem übernehmen (d.h. die Überwachungsfunktion wird von dem ersten Sensorsystem zu dem zweiten Sensorsystem verschoben).
  • Weiter alternativ oder zusätzlich kann die erste Gegenmaßnahme Ändern einer Konfiguration und/oder einer Funktion der ersten Komponente 13 des Bordnetzwerks, in der die aktuelle Anomalie aufgetreten ist (z.B. in der eine Manipulation stattgefunden hat) und/oder weiterer Komponenten des Bordnetzwerks umfassen. Zum Beispiel kann die erste Komponente von einer ersten Konfiguration mit einem erweiterten Funktionsumfang auf eine zweite Konfiguration mit einem beschränkten Funktionsumfang umgeschaltet werden (z.B. indem die erste Komponente nur noch in beschränktem Maße mit anderen Komponenten kommuniziert, oder in dem die erste Komponente nur noch eine Basisfunktion bereitstellt und nicht mehr erweiterte Funktionen, oder in dem die erste Komponente eine sicherheitskritische Funktion nicht mehr bereitstellt, aber weiterhin eine nicht sicherheitskritische Funktion bereitstellt).
  • Weiter alternativ oder zusätzlich kann die erste Gegenmaßnahme Ändern eines Betriebsmodus der ersten Komponente 13 des Bordnetzwerks, in der aktuellen Anomalie aufgetreten ist (z.B. in der eine Manipulation stattgefunden hat) und/oder weiterer Komponenten des Bordnetzwerks umfassen. Zum Beispiel kann ein Betriebsmodus von einem ersten Betriebsmodus, in dem die Komponente komplexere Funktionen ausführt zu einem zweiten Betriebsmodus, in dem die Komponente eine weniger komplexe Funktionen ausführt, verändert werden.
  • Beispielsweise kann eine Komponente, die eine assistierte oder autonome Funktion bereitstellt, von einem ersten Betriebsmodus mit der Bereitstellung von komplexeren Fahrmanövern (z.B. Fahren schneller als eine bestimmte Geschwindigkeit und/oder unter einem bestimmten Abstand und/oder unter bestimmten Umgebungsbedingungen) auf einen zweiten Betriebsmodus mit der Bereitstellung von weniger komplexen Fahrmanövern umgestellt werden. Zusätzlich oder alternativ können optionale Sub-Funktionen einer Funktion deaktiviert werden (z.B. eine Funktion wird ohne Kommunikation mit externen Systemen ausgfeührt).
  • Weiter alternativ oder zusätzlich kann die erste Gegenmaßnahme Absetzen einer Warnung, dass eine Anomalie detektiert wurde, an eine oder mehrere Schnittstellen ausgegeben werden (z.B. eine Benutzerschnittstelle des Fahrzeugs). Beispielsweise kann ein Passagier aufgefordert werden, eine Steuerfunktion des Fahrzeugs zumindest teilweise zu übernehmen.
  • Die oben beschriebenen ersten Gegenmaßnahmen können wie erwähnt auch kombiniert werden. Zum Beispiel können zwei der beschriebenen ersten Gegenmaßnahmen parallel oder nacheinander durchgeführt werden. Zusätzlich oder alternativ können mehrere Anomalien parallel oder sequentiell erkannt werden und entsprechende Gegenmaßnahmen durchgeführt werden.
  • Das Durchführen der ersten Gegenmaßnahme kann auf verschiedenen Arten passieren. Gleichermaßen können verschiedene Komponenten des Fahrzeugs oder entfernte Systeme an dem Durchführen der ersten Gegenmaßnahme beteiligt sein. In einem Beispiel können die betroffenen Komponenten selbst (z.B. die erste Komponente 13 und die zweite Komponente 11 in 1) die entsprechende(n) erste(n) Maßnahme(n) durchführen. In diesen Beispielen kann auch die entsprechende Komponente die Signaturinformation empfangen (einschließlich dem Fall, in dem die Signaturinformation in der Komponente selbst erzeugt wird). Zusätzlich oder alternativ kann eine zentrale Vorrichtung zur Mitigation von Manipulationen die erste Gegenmaßnahme durchführen und/oder an der Durchführung beteiligt sein (z.B. eine oder mehrere Sub-Komponenten der betroffenen Komponente ansteuern oder aber die Gegenmaßnahme aus der Entfernung durchführen). In manchen Beispielen kann eine bestimmte Komponente (z.B. eine zentrale Vorrichtung zur Mitigation von Manipulationen) eine erste Gegenmaßnahme auswählen und eine weitere Komponente mit zur Umsetzung der Gegenmaßnahme instruieren (z.B. durch Senden einer entsprechenden Nachricht über das Bordnetzwerk). Die bestimmte Komponente, die die erste Gegenmaßnahme auswählt, kann auch in einem entfernten System 17 angeordnet sein. In diesen Beispielen kann das Verfahren weiter das Prüfen im Fahrzeug 30 umfassen, ob die ausgewählte Gegenmaßnahme in einer aktuellen Betriebssituation durchgeführt werden soll (oder überhaupt durchführbar ist).
  • In manchen Beispielen ist die erste Gegenmaßnahme dazu ausgelegt ist, innerhalb eines ersten vorbestimmten Zeitintervalls nach einer Detektion einer Anomalie durchgeführt zu werden (d.h., die erste Gegenmaßnahme ist innerhalb dieses Zeitintervalls abgeschlossen). In manchen Beispielen kann das erste vorbestimmte Zeitintervall 20 Sekunden bis hin zu 2 Millisekunden betragen. Zusätzlich oder alternativ kann das Zeitintervall höchstens so lang wie eine vorbestimmte Fehlertoleranzzeit sein (z.B. ein Zeitintervall, für das ein bestimmter Fehler toleriert werden kann, ohne die Betriebssicherheit des Fahrzeugs zu gefährden; bspw. eine Fehlertoleranzzeit nach dem Standard ISO26262:2018 „Road vehicle - Functional safety“). Diese Zeitintervalle können geeignet sein, um die Gefahr eines Schadens durch ein sich in einem unsicheren Zustand befindliches Fahrzeug und/oder eine seiner Komponenten zu reduzieren. Dementsprechend kann es notwendig sein, dass die ersten Gegenmaßnahmen entsprechend ausgewählt sind, dass eine Durchführung innerhalb des ersten Zeitintervalls möglich ist. In manchen Beispielen kann die erste Gegenmaßnahme von einer oder von mehreren Komponenten innerhalb des Fahrzeugs ausgeführt werden (z.B. um ein Durchführen innerhalb des ersten Zeitintervalls zu ermöglichen).
  • Die Techniken der vorliegenden Offenbarung umfassen weiterhin Durchführen 105 einer zweiten Gegenmaßnahme zur zumindest teilweisen Wiederherstellung eines Funktionsumfangs des Fahrzeugs 30. In manchen Beispielen wird die Durchführung der zweiten Gegenmaßnahme gestartet, nachdem die Durchführung der ersten Gegenmaßnahme gestartet wurde (z.B. einen vorbestimmte Zeitdauer später). Zusätzlich oder alternativ kann die zweite Gegenmaßnahme beendet werden, nachdem die erste Maßnahme beendet wurde (die Durchführung der zweiten Gegenmaßnahme kann aber bereits gestartet werden, bevor die Durchführung der ersten Gegenmaßnahme beendet wurde). In anderen Beispielen werden die ersten und zweiten Gegenmaßnahmen sequentiell ausgeführt (d.h. die Durchführung der ersten Gegenmaßnahme ist beendet, wenn die Durchführung der zweiten Gegenmaßnahme begonnen wird).
  • Wie oben ausgeführt bezeichnet ein Funktionsumfang des Fahrzeugs 30 die Gesamtheit der Funktionen des Fahrzeugs (oder einer seiner Komponenten). Wie ebenfalls beschrieben kann eine Funktion jede Fähigkeit der Komponenten 11, 13, in dem Fahrzeug 30 eine bestimmte Aufgabe zu erfüllen oder eine Fähigkeit des Fahrzeugs 30 insgesamt, eine bestimmte Aufgabe zu erfüllen, sein. Dabei kann Verringerung des Funktionsumfangs bedeuten, dass eine gewisse Funktion nicht mehr oder nur noch für eine begrenzte Zeit bereitgestellt wird (z.B. eine Funktion des autonomen oder assistierten Fahrens wird nicht mehr bereitgestellt; eine bestimmte Sensormodalität steht nicht mehr zur Verfügung; eine Komponente übernimmt eine gewisse Funktion, kann diese aber auslegungsbedingt nur für einen bestimmten Zeitraum zur Verfügung stellen usw.). Zusätzlich oder alternativ kann eine Verringerung des Funktionsumfangs eine Bereitstellung einer Funktion in einem beschränkten Umfang gegenüber einem Normalbetrieb sein (z.B. eine Funktion des autonomen oder assistierten Fahrens wird nur in einer beschränkten Anzahl von Betriebssituationen und/oder in einem reduzierten Fahrparameterraum bereitgestellt; eine Sensormodalität wird mit einer reduzierten Qualität (Auflösung, Bildrate) bereitgestellt). Weiter zusätzlich oder alternativ kann der Funktionsumfang Eigenschaften bezüglich der Betriebssicherheit des Fahrzeugs oder seiner Komponenten betreffen. Zum Beispiel kann der Funktionsumfang durch Eigenschaften wie eine Redundanz der Bereitstellung einer bestimmten Funktion bestimmt werden (z.B., wenn ein Fahrzeug zwei Komponenten aufweist, die eine bestimmte Funktion ausführen können und daher in Bezug auf diese Funktion redundant ausgelegt ist, stellt der Ausfall einer der beiden Komponenten eine Reduktion des Funktionsumfangs des Fahrzeugs dar - das Fahrzeug stellt die besagte Funktion nicht mehr redundant bereit).
  • In jedem der vorgenannten Beispiele kann eine zumindest teilweise Wiederherstellung des Funktionsumfangs des Fahrzeugs 30 umfasst sein, dass eine Reduzierung des Funktionsumfangs (in Folge der ersten Gegenmaßnahme) zumindest teilweise wieder behoben wird (d.h. der Funktionsumfang im Normalbetrieb steht wieder teilweise zur Verfügung). In manchen Beispielen wird der Funktionsumfang des Fahrzeugs 30 vollständig wiederhergestellt (d.h. der Funktionsumfang im Normalbetrieb steht wieder zur Verfügung).
  • Die zweite Gegenmaßnahme kann somit bewirken, dass eine Auswirkung der ersten Gegenmaßnahme auf die Leistungsfähigkeit des Fahrzeugs zumindest teilweise wieder beseitigt wird. Damit kann das Fahrzeug im Vergleich zu einigen Techniken des Stands der Technik (schneller) wieder mit einem größeren Funktionsumfang zur Verfügung stehen.
  • In manchen Beispielen kann die zweite Gegenmaßnahme innerhalb eines zweiten Zeitintervalls nach Detektion der Anomalie durchgeführt werden (d.h., die Durchführung der zweiten Gegenmaßnahme ist innerhalb des zweiten Zeitintervalls beendet). Das zweite Zeitintervall kann z.B. kürzer als ein Tag sein (z.B. kürzer als zwei Stunden oder kürzer als zehn Minuten). Das zweite Zeitintervall kann z.B. länger als eine Minute sein (z.B. länger als zehn Minuten).
  • Das Durchführen der zweiten Gegenmaßnahme kann auf verschiedenen Arten von statten gehen (ähnlich wie die Durchführung der ersten Gegenmaßnahme). Gleichermaßen können verschiedene Komponenten des Fahrzeugs 30 oder entfernte Systeme an dem Durchführen der zweiten Gegenmaßnahme beteiligt sein. In einem Beispiel können die betroffenen Komponenten selbst (z.B. die erste Komponente 13 und die zweite Komponente 11 in 1) die entsprechende(n) erste(n) Maßnahmen durchführen. Zusätzlich oder alternativ kann eine zentrale Vorrichtung zur Mitigation von Manipulationen die zweite Gegenmaßnahme durchführen und/oder an der Durchführung beteiligt sein (z.B. eine oder mehrere Sub-Komponenten der betroffenen Komponente ansteuern oder aber die Gegenmaßnahme aus der Entfernung durchführen). In manchen Beispielen kann eine bestimmte Komponente (z.B. eine zentrale Vorrichtung zur Mitigation von Manipulationen) eine zweite Gegenmaßnahme auswählen und eine weitere Komponente mit zur Umsetzung der Gegenmaßnahme instruieren (z.B. durch Senden einer entsprechenden Nachricht über das Bordnetzwerk). Die bestimmte Komponente, die die zweite Gegenmaßnahme auswählt, kann auch in einem entfernten System angeordnet sein.
  • In manchen Beispielen kann die zweite Gegenmaßnahme ein Zurücksetzen einer Software der ersten Komponente 13 des Bordnetzwerks 21, in der die aktuelle Anomalie aufgetreten ist (z.B. in der eine Manipulation stattgefunden hat), und/oder weiterer Komponenten des Bordnetzwerks umfassen (z.B., die Software der ersten Komponenten 13 wird auf einen letzten authentifizierten Stand zurückgesetzt, der einer Version der vor Detektion der Anomalie verwendeten Software entspricht). Die Software zum Zurücksetzen kann in dem Fahrzeug selbst abgelegt sein (z.B. jeweils in der betroffenen Komponente oder in einer zentralen Speichervorrichtung, bspw. einer zentralen Vorrichtung zur Mitigation von Manipulationen). In anderen Beispielen kann die Software zum Zurücksetzen von einem entfernten System 17 bezogen werden (z.B. über eine Luftschnittstelle 27 des Fahrzeugs).
  • Zusätzlich oder alternativ kann die zweite Gegenmaßnahme das Aktualisieren einer Software der ersten Komponente 13 des Bordnetzwerks 21, in der die aktuelle Anomalie aufgetreten ist (z.B. in der eine Manipulation stattgefunden hat), umfassen. Zusätzlich oder alternativ kann die zweite Gegenmaßnahme das Aktualisieren der Software weiterer Komponenten des Bordnetzwerks 21 (d.h. zusätzlich oder statt der ersten Komponente 13 umfassen). Die weiteren Komponenten können beispielsweise Komponenten sein, die einen Kommunikationspfad zu der ersten Komponente 13 herstellen (z.B. eine Kommunikationsschnittstelle oder ein zentraler Kommunikationsknoten des Fahrzeugs). Das Aktualisieren der Software kann das Ersetzen einer vor der Detektion der Anomalie verwendeten Software durch eine aktuellere Version der Software umfassen. Die Software zum Aktualisieren kann in dem Fahrzeug 30 selbst abgelegt sein (z.B. jeweils in der betroffenen Komponente oder in einer zentralen Speichervorrichtung, bspw. einer zentralen Vorrichtung zur Mitigation von Manipulationen). In anderen Beispielen kann die Software zum Zurücksetzen von einem entfernten System 17 bezogen werden (z.B. über eine Luftschnittstelle 27 des Fahrzeugs).
  • Weiter zusätzlich oder alternativ kann die zweite Gegenmaßnahme z.B. das Reaktivieren oder Aufheben einer Blockade der ersten Komponente 13 des Bordnetzwerks, in der die aktuelle Anomalie aufgetreten ist (z.B. in der eine Manipulation stattgefunden hat), umfassen. In manchen Beispielen kann nur ein Teil der ersten Komponente 13, der abgeschaltet oder blockiert wurde, reaktiviert werden (z.B. im Falle einer komplexeren Komponente mit mehreren Sub-Komponenten).
  • Weiter zusätzlich oder alternativ kann die zweite Gegenmaßnahme z.B. das Zurück-Verschieben einer Funktion von der zweiten Komponente 11 zu der ersten Komponente 13, in der die aktuelle Anomalie aufgetreten ist (z.B. in der eine Manipulation stattgefunden hat), umfassen. In manchen Beispielen kann das Zurück-Verschieben die Umkehr der oben zur ersten Gegenmaßnahem des Verschiebens beschriebenen Aktionen (d.h., die Wiederherstellung der Situation vor der Durchführung der ersten Gegenmaßnahme des Verschiebens umfassen).
  • Weiter zusätzlich oder alternativ kann die zweite Gegenmaßnahme z.B. das Ändern einer Konfiguration der ersten Komponente 13 des Bordnetzwerks, in der die aktuelle Anomalie aufgetreten ist (z.B. in der eine Manipulation stattgefunden hat) und/oder weiterer Komponenten des Bordnetzwerks umfassen. In manchen Beispielen kann das Ändern der Konfiguration die Umkehr der oben zur ersten Gegenmaßnahem des Änderns der Konfiguration beschriebenen Aktionen (d.h., die Wiederherstellung der Situation vor der Durchführung der ersten Gegenmaßnahme des Änderns der Konfiguration umfassen). Zum Beispiel kann die erste Komponente von einer zweiten Konfiguration mit einem beschränkten Funktionsumfang auf eine erste Konfiguration mit einem erweiterten Funktionsumfang umgeschaltet werden
  • Weiter zusätzlich oder alternativ kann die zweite Gegenmaßnahme z.B. das Ändern eines Betriebsmodus der ersten Komponente 13 des Bordnetzwerks, in der die aktuelle Anomalie aufgetreten ist (z.B. in der eine Manipulation stattgefunden hat) und/oder weiterer Komponenten des Bordnetzwerks umfassen. In manchen Beispielen kann das Ändern des Betriebsmodus die Umkehr der oben zur ersten Gegenmaßnahem des Änderns des Betriebsmodus beschriebenen Aktionen (d.h., die Wiederherstellung der Situation vor der Durchführung der ersten Gegenmaßnahme des Änderns des Betriebsmodus umfassen). Zum Beispiel kann ein Betriebsmodus von einem zweiten Betriebsmodus, in dem die Komponente weniger komplexe Funktionen ausführt zu einem ersten Betriebsmodus, in dem die Komponente eine komplexere Funktion ausführt, verändert werden.
  • Die oben beschriebenen zweiten Gegenmaßnahmen können wie erwähnt auch kombiniert werden. Zum Beispiel können zwei der beschriebenen zweiten Gegenmaßnahmen parallel oder nacheinander durchgeführt werden.
  • Im Beispiel der 1 wird als zweite Gegenmaßnahme die Software der ersten Komponente 13 aktualisiert 105a. Zudem wird nach der Aktualisierung der Software der ersten Komponente 13 die vorher zu der zweiten Komponente 11 verschobene Funktion wieder zu der ersten Komponente zurückverschoben 105b. Damit kann ein Funktionsumfang des Fahrzeugs 30 wiederhergestellt werden.
  • Gemäß den Techniken der vorliegenden Offenbarung wird die erste und/oder die zweite Gegenmaßnahme für die aktuelle Anomalie unter verschiedenen verfügbaren Gegenmaßnahmen dynamisch basierend auf Statusinformation bezüglich des Fahrzeugs 30 und/oder der/den aktuellen Anomalie(n) ausgewählt. In manchen Beispielen kann nur die erste Gegenmaßnahme für die aktuelle Anomalie unter verschiedenen verfügbaren ersten Gegenmaßnahmen dynamisch basierend auf Statusinformation bezüglich des Fahrzeugs 30 und/oder der aktuellen Anomalie(n) ausgewählt werden. In anderen Beispielen kann nur die zweite Gegenmaßnahme für die aktuelle Anomalie unter verschiedenen verfügbaren ersten Gegenmaßnahmen dynamisch basierend auf Statusinformation bezüglich des Fahrzeugs 30 und/oder der aktuellen Anomalie ausgewählt werden.
  • Die Statusinformation kann jedes Datum enthalten, das einen momentanen Zustand des Fahrzeugs 30 und/oder eine seiner Komponenten 11, 13, 15 oder historische Information bezüglich des Fahrzeugs 30 und/oder seiner Komponenten charakterisiert. In manchen Beispielen kann die Statusinformation Daten zu einer Historie von Anomalie (z.B. mit einer Signatur der aktuellen Anomalie) des Fahrzeugs 30 und/oder einer seiner Komponenten 11, 13 enthalten. Alternativ oder zusätzlich kann die Statusinformation Daten zu einer Historie von Anomalien anderer Fahrzeuge (z.B. mit einer Signatur der aktuellen Anomalie) und/oder dem Auftreten von Anomalien mit bestimmten Signaturen enthalten. Weiter zusätzlich oder alternativ kann die Statusinformation Daten zum Betriebszustand des Fahrzeugs 30 (bspw. wie weiter oben detaillierter beschrieben) oder Daten zu einer Historie der Betriebszustände des Fahrzeugs 30 enthalten.
  • In manchen Beispielen gibt die Statusinformation an, ob die aktuelle Anomalie wiederholt aufgetreten ist (d.h. ob die aktuell detektierte Anomalie zum ersten Mal oder wiederholt detektiert wurde). Zusätzlich oder alternativ kann die Statusinformation angeben, wie häufig eine aktuelle Anomalie mit der Signatur aufgetreten ist. In manchen Beispielen kann die Wiederholung oder Häufigkeit in einem vorbestimmten Zeitraum gemessen werden (d.h. bspw. Detektionen von Anomalien werden nur gezählt, wenn sie maximal in einem vorbestimmten Zeitraum vor Detektion der aktuellen Anomalie aufgetreten sind und/oder die Zählung nach einem vorbestimmten Zeitraum neu gestartet wird). In manchen Beispielen ist ein Zähler vorgesehen, der bei jeder Detektion einer aktuellen Anomalie erhöht wird. Es können für unterschiedliche Anomalien mit verschiedenen Signaturen unterschiedliche Zähler vorgesehen sein. In anderen Worten kann darüber Buch geführt werden, ob unterschiedliche Anomalien mit unterschiedlichen Signaturen zum ersten Mal oder wiederholt aufgetreten sind und/oder wie häufig die jeweilige Anomalie aufgetreten ist.
  • In einem Beispiel kann es drei verschiedene Anomalien mit unterschiedlichen Signaturen A, B, C geben. Es sind nun drei Zähler vorgesehen, die die Häufigkeit des Auftretens der Anomalie mit den Signaturen A, B, C zählen. Wird nun bspw. eine Anomalie mit der Signatur A detektiert, wird der Zähler für die Anomalie mit der Signatur A um eins erhöht.
  • In manchen Beispielen wird in verschiedenen Situationen, die durch die Statusinformation identifiziert werden, unterschiedliche erste und/oder zweite Gegenmaßnahmen ausgewählt werden. Zum Beispiel kann eine bestimmte erste Gegenmaßnahme bei einer ersten Detektion einer Anomalie mit einer bestimmten Signatur ausgewählt werden und eine andere erste Gegenmaßnahme bei einer weiteren Detektion der Anomalie mit der bestimmten Signatur. Alternativ oder zusätzlich kann eine bestimmte zweite Gegenmaßnahme bei einer ersten Detektion einer Anomalie mit einer bestimmten Signatur ausgewählt werden und eine andere zweite Gegenmaßnahme bei einer weiteren Detektion der Anomalie mit der bestimmten Signatur. Die erste Detektion kann eine absolut erste Detektion (z.B. in einem bestimmten Zeitintervall) oder lediglich eine erste Detektion in einer Gruppe von zwei oder mehr Detektionen sein. Zum Beispiel kann eine erste oder zweite Gegenmaßnahme, die bei einer ersten Detektion einer Anomalie mit einer bestimmten Signatur ausgewählt wird, einen weniger starke Beeinträchtigung des Fahrzeugs nach sich ziehen als eine erste oder zweite Gegenmaßnahme, die bei einer weiteren Detektion der Anomalie mit der bestimmten Signatur (z.B. in Bezug auf eine Reduktion des Funktionsumfangs und/oder eine Dauer und einen Aufwand der Durchführung der Gegenmaßnahmen).
  • In einem Beispiel kann eine erste Gegenmaßnahme bei der ersten Detektion einer bestimmten Anomalie das Ändern der Konfiguration oder des Betriebsmodus einer Komponente (z.B. der ersten Komponente 13 in 1) umfassen. Eine erste Gegenmaßnahme bei einer weiteren Detektion der bestimmten Anomalie kann z.B. das Blockieren oder Deaktivieren der Komponente (z.B. der ersten Komponente 13 in 1) umfassen. Zusätzlich oder alternativ kann eine zweite Gegenmaßnahme bei der ersten Detektion einer bestimmten Anomalie das Zurücksetzen der Software einer Komponente (z.B. der ersten Komponente 13 in 1) umfassen. Eine zweite Gegenmaßnahme bei einer weiteren Detektion der bestimmten Anomalie kann Aktualisieren der Software der Komponente (z.B. der ersten Komponente 13 in 1) umfassen. Die oben beschriebenen ersten und zweiten Gegenmaßnahmen können in anderen Beispielen in anderen Weisen als erste/zweite Gegenmaßnahme bei der ersten bzw. einer weiteren Detektion einer bestimmten Anomalie kombiniert werden.
  • Eine dynamische Auswahl der ersten und/oder zweiten Gegenmaßnahmen kann in manchen Fällen ermöglichen, den Funktionsumfang des Fahrzeugs zu erhöhen und/oder die Betriebssicherheit zu gewährleisten. So kann zunächst mit einer relativ milden Gegenmaßnahme gestartet werden. Sollte aber bspw. eine bestimmte Anomalie danach wiederholt auftreten, kann tiefgreifender in das Fahrzeug eingegriffen und so die Reaktion angepasst werden.
  • Wie in der Zusammenfassung oben ausgeführt, betrifft die vorliegende Offenbarung auch Techniken zur Mitigation von Manipulationen eines Bordnetzwerks eines Fahrzeugs gemäß dem dritten und vierten allgemeinen Aspekt. Diese Techniken umfassen auch die Schritte des Durchführens der ersten und zweiten Gegenmaßnahmen 103, 105. Daher können in den Techniken gemäß dem dritten und vierten allgemeinen Aspekt die vorstehend beschriebenen Ausgestaltungen des Durchführens der ersten und zweiten Gegenmaßnahmen ebenfalls verwendet werden.
  • Allerdings umfassen die Techniken des dritten und vierten allgemeinen Aspekts nicht zwangsläufig ein dynamisches Auswählen der ersten oder zweiten Gegenmaßnahmen, wie oben beschrieben. Vielmehr kann für eine bestimmte Anomalie (mit einer bestimmten Signatur) auch eine statische erste und eine statische zweite Gegenmaßnahme vorgesehen sein. In anderen Worten kann nach der Detektion einer Anomalie mit einer bestimmten Signatur stets nur eine vorbestimmte erste und eine vorbestimmte zweite Gegenmaßnahme ausgeführt werden. In anderen Beispielen können jedoch auch in den Techniken der dritten und vierten allgemeinen Aspekte die ersten und/oder zweiten Gegenmaßnahmen dynamisch ausgewählt werden (wie oben beschrieben).
  • Die Techniken der dritten und vierten allgemeinen Aspekte umfassen weiterhin Empfangen 117 eines Software-Updates, um eine Schwachstelle des Bordnetzwerks zu schließen, die die erkannte Anomalie (bzw. die diese erzeugende Manipulation) ausgenutzt hat, nachdem die zweite Gegenmaßnahme durchgeführt wurde. In manchen Beispielen kann das Software-Update von einem entfernten System 17 empfangen werden (z.B. über eine Drahtlose-Schnittstelle 27 oder eine drahtgebundene Schnittstelle 29 des Fahrzeugs 30). Das Software-Update kann beispielweise ein Software-Update für eine erste Komponente 13 des Bordnetzwerks 21 sein. Nach Empfang des Software-Updates kann die Software der ersten Komponente 13 aktualisiert werden 113 (und damit die Schwachstelle geschlossen werden). In anderen Beispielen kann das Software-Update zusätzlich für andere Komponenten des Bordnetzwerks 21 bestimmt sein und deren Software aktualisiert werden.
  • Wie in 1 gezeigt, kann in manchen Beispielen die erste Komponente 13, deren Software aktualisiert werden soll, vor dem Aktualisieren deaktiviert werden 111 und nach dem Aktualisieren reaktiviert 107 werden. Zusätzlich kann in manchen Beispielen eine Funktion der ersten Komponente 13 vor dem Aktualisieren zu einer zweiten Komponente 11 verschoben werden 111. Die Funktion kann nach dem Aktualisieren wieder von der zweiten Komponente 11 zu der ersten Komponente 13 zurückverschoben werden 107.
  • Das vorstehend beschriebene Empfangen des Software-Updates zum Schließen der Schwachstelle kann in manchen Beispielen auch durchgeführt werden in Kombination mit den Techniken der ersten und zweiten allgemeinen Aspekte (z.B. im Anschluss an das Durchführen der ersten und zweiten Gegenmaßnahmen).
  • In manchen Beispielen können die Techniken der vorliegenden Offenbarung weiter Senden 121 von Informationen, die eine aktuelle Manipulation (z.B. einen aktuellen Angriff) in dem Bordnetzwerk identifiziert, an ein entferntes System 17 umfassen. Zusätzlich oder alternativ können die die Techniken der vorliegenden Offenbarung weiter Senden 123, 125 von Status-Updates nach dem Durchführen der ersten und/oder der zweiten Gegenmaßnahme an das entfernte System 17 umfassen. Die Informationen, die eine aktuelle Manipulation (z.B. einen aktuellen Angriff) in dem Bordnetzwerk identifiziert und/oder die Status-Updates kann/können in dem entfernten System 17 verarbeitet werden, um ein Software-Update auszuwählen (und/oder zu erstellen), dass eine Schwachstelle des Bordnetzwerks 21 schließt (z.B. eine Schwachstelle, die eine Manipulation oder ein Angriff ausgenutzt hat, die/der die aktuelle Anomalie erzeugt hat).
  • In manchen Beispielen können eine oder mehrere der Schritte der in der vorliegenden Offenbarung beschriebenen Techniken an das entfernte System 17 berichtet werden (z.B. Detektieren der Signatur, Empfangen der Signatur, Durchführen der ersten Gegenmaßnahme und/oder Durchführen der zweiten Gegenmaßnahme). Das entferne System 17 kann in manchen Beispielen ebenfalls Gegenmaßnahmen Durchführen oder die Durchführung der Gegenmaßnahmen initiieren.
  • In den vorhergehenden Abschnitten wurde bereits vereinzelt diskutiert, welche Komponenten die Detektion und das Durchführen der ersten und zweiten Gegenmaßnahmen übernehmen können. In Bezug auf 2 werden im Folgenden diese Komponenten näher beschrieben.
  • Wie bereits erwähnt kann eine zentrale Vorrichtung zur Mitigation von Manipulationen vorgesehen werden, die das Durchführen der ersten und/oder zweiten Gegenmaßnahmen und/oder das Durchführen von Software-Updates orchestriert. Im Beispiel der 1 und 2 ist diese zentrale Vorrichtung zur Mitigation von Manipulationen in einem Zentralprozessor 15 des Fahrzeugs 30 angeordnet. In anderen Beispielen kann die zentrale Vorrichtung zur Mitigation von Manipulationen in anderen Komponenten des Fahrzeugs angeordnet sein., bspw. einer zentralen Kommunikationsschnittstelle, einem Fahrzeugcomputer (auf Englisch „vehicle computer“, d.h. einer zentralen Recheneinheit des Fahrzeugs, die verschiedene Funktionen des Fahrzeugs steuert) oder einer Head-Unit eines Infotainment-Systems. Zusätzlich oder alternative kann die zentrale Vorrichtung zur Mitigation von Manipulationen über mehrere Komponenten verteilt sein. In anderen Beispielen kann die zentrale Vorrichtung zur Mitigation von Manipulationen auch eine dedizierte Komponente sein. In manchen Beispielen kann die zentrale Vorrichtung zur Mitigation von Manipulationen auch in dem entfernten System 17 angeordnet sein (das kann aber in manchen Beispielen eine Reaktionszeit der zentralen Vorrichtung zur Mitigation von Manipulationen verlängern). In anderen Beispielen werden die Schritte der Auswahl und des Durchführens der ersten Gegenmaßnahme und der Auswahl und des Durchführens der zweiten Gegenmaßnahme von Komponenten innerhalb des Fahrzeugs 30 durchgeführt.
  • Die vorliegende Offenbarung betrifft auch ein System, das dazu ausgelegt ist, die Techniken der vorliegenden Offenbarung auszuführen. Das System kann in dem Fahrzeug enthalten sein und/oder mit dem Fahrzeug verbunden sein (z.B. über eine Drahtlos-Schnittstelle).
  • Die Systeme, Komponenten, Module oder Einheiten der vorliegenden Offenbarung können jede geeignete Hardware und/oder Software aufweisen, um die geschilderten Funktionalitäten bereitzustellen. Die Komponenten oder Module können jeweils zumindest einen Prozessor (ggf. mit mehreren Kernen) umfassen und Speicher, der Befehle umfasst, die, wenn sie durch den Prozessor ausgeführt werden, die Verfahren der vorliegenden Offenbarung ausführen. Die Komponenten, Module oder Einheiten können als Stand-alone-System oder als verteiltes System implementiert sein (z.B. mit einem Teil auf einem entfernten System und/oder in einem Cloud-Speicher). In anderen Beispielen können die Komponenten oder Module in ein übergeordnetes System integriert sein.
  • Die vorliegende Offenbarung betrifft auch ein Computer-Programm, das dazu ausgelegt ist, die Verfahren gemäß der vorliegenden Offenbarung auszuführen.
  • Die vorliegende Offenbarung betrifft auch ein Computer-lesbares Medium (z.B. ein Speichermedium) oder Signal (drahtlos oder drahtgebunden), das das Computer-Programm gemäß der vorliegenden Offenbarung enthält/codiert.

Claims (12)

  1. Verfahren zur Mitigation von Manipulationen eines Bordnetzwerks (21) eines Fahrzeugs (30), wobei das Verfahren umfasst: Empfangen (101) einer Signatur einer aktuellen Anomalie in dem Bordnetzwerk (21); Durchführen (103) einer ersten Gegenmaßnahme, die das Fahrzeug (30) und/oder zumindest eine seiner Komponenten (11; 13; 15) in einen vorbestimmten sicheren Zustand überführt, wobei die erste Gegenmaßnahme basierend auf der Signatur ausgewählt wird, Durchführen (105) einer zweiten Gegenmaßnahme zur zumindest teilweisen Wiederherstellung eines Funktionsumfangs des Fahrzeugs (30), wobei die erste und/oder die zweite Gegenmaßnahme für die aktuelle Anomalie unter verschiedenen verfügbaren Gegenmaßnahmen dynamisch basierend auf Statusinformation bezüglich des Fahrzeugs (30) und/oder der aktuellen Anomalie ausgewählt werden.
  2. Verfahren gemäß Anspruch 1, wobei die Statusinformation angibt, ob die aktuelle Anomalie wiederholt aufgetreten ist.
  3. Verfahren gemäß Anspruch 1 oder Anspruch 2, wobei die Statusinformation angibt, wie häufig eine Anomalie mit der Signatur aufgetreten ist.
  4. Verfahren gemäß einem der vorangehenden Ansprüche 1 bis 3, wobei in verschiedenen Situationen, die durch die Statusinformation identifiziert werden, unterschiedliche erste und/oder zweite Gegenmaßnahmen ausgewählt werden.
  5. Verfahren gemäß Anspruch 4, wobei eine bestimmte erste und/oder zweite Gegenmaßnahme bei einer ersten Detektion einer Anomalie mit einer bestimmten Signatur ausgewählt wird und eine andere erste und/oder zweite Gegenmaßnahme bei einer weiteren Detektion der Anomalie mit der bestimmten Signatur.
  6. Verfahren gemäß einem der Ansprüche 1 bis 5, wobei die erste Gegenmaßnahme dazu ausgelegt ist, innerhalb eines ersten vorbestimmten Zeitintervalls nach einer Detektion einer Anomalie durchgeführt zu werden, wobei das vorbestimmte Zeitintervall 20 Sekunden oder weniger ist, optional 2 Sekunden oder weniger, weiter optional 20 ms oder weniger.
  7. Verfahren gemäß einem der Ansprüche 1 bis 6, wobei die erste Gegenmaßnahme eines oder mehrere umfasst von: zumindest teilweises Deaktivieren oder Blockieren einer ersten Komponente (13) des Bordnetzwerks (21), in der die aktuelle Anomalie aufgetreten ist; Aktivieren einer Komponente oder einer Funktion, die von der aktuellen Anomalie betroffen ist; Verschieben einer Funktion einer ersten Komponente (13), in der die aktuellen Anomalie aufgetreten ist, zu einer zweiten Komponente (11); Ändern einer Konfiguration einer ersten Komponente (13) des Bordnetzwerks (21), in der die aktuelle Anomalie aufgetreten ist und/oder weiterer Komponenten des Bordnetzwerks (21); Ändern eines Betriebsmodus einer ersten Komponente (13) des Bordnetzwerks (21), in der die aktuelle Anomalie aufgetreten ist und/oder weiterer Komponenten des Bordnetzwerks (21); und Absetzen einer Warnung, dass eine Signatur einer Anomalie detektiert wurde.
  8. Verfahren gemäß einem der vorangehenden Ansprüche 1 bis 7, wobei die zweite Gegenmaßnahme eines oder mehrere umfasst von: Zurücksetzen einer Software einer ersten Komponente (13) des Bordnetzwerks (21), in der die aktuelle Anomalie aufgetreten ist, und/oder weiterer Komponenten des Bordnetzwerks (21); Aktualisieren einer Software einer ersten Komponente (13) des Bordnetzwerks (1), in der die aktuelle Anomalie aufgetreten ist, und/oder weiterer Komponenten des Bordnetzwerks (21); Reaktivieren oder Aufheben einer Blockade einer ersten Komponente (13) des Bordnetzwerks (21), in der die aktuelle Anomalie aufgetreten ist; Zurück-Verschieben einer Funktion von einer zweiten Komponente (11) zu einer ersten Komponente (13), in der die aktuelle Anomalie aufgetreten ist; Ändern einer Konfiguration einer ersten Komponente (13) des Bordnetzwerks (21), in der die aktuelle Anomalie aufgetreten ist und/oder weiterer Komponenten des Bordnetzwerks (21); und Ändern eines Betriebsmodus einer ersten Komponente (13) des Bordnetzwerks (13), in der die aktuelle Anomalie aufgetreten ist und/oder weiterer Komponenten des Bordnetzwerks (21).
  9. Verfahren gemäß einem der vorangehenden Ansprüche 1 bis 8, wobei die Verfahren von einer oder mehreren Komponenten innerhalb des Fahrzeugs (30) durchgeführt werden.
  10. System, das dazu ausgelegt ist, die Verfahren gemäß einem der Ansprüche 1 bis 9 auszuführen.
  11. Computer-Programm, das Befehle enthält, die, wenn sie von einem System ausgeführt werden, das System veranlasst, die Verfahren gemäß einem der Ansprüche 1 bis 9 auszuführen.
  12. Computer-lesbares Medium oder Signal, das das Computer-Programm gemäß Anspruch 11 enthält/codiert.
DE102022208647.3A 2022-08-22 2022-08-22 Techniken zur mitigation von manipulationen eines bordnetzwerks eines fahrzeugs Pending DE102022208647A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102022208647.3A DE102022208647A1 (de) 2022-08-22 2022-08-22 Techniken zur mitigation von manipulationen eines bordnetzwerks eines fahrzeugs
US18/452,872 US20240061934A1 (en) 2022-08-22 2023-08-21 Techniques for mitigating manipulations of an onboard network of a vehicle
CN202311062226.XA CN117601779A (zh) 2022-08-22 2023-08-22 缓解运输工具机载网络操纵的技术

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022208647.3A DE102022208647A1 (de) 2022-08-22 2022-08-22 Techniken zur mitigation von manipulationen eines bordnetzwerks eines fahrzeugs

Publications (1)

Publication Number Publication Date
DE102022208647A1 true DE102022208647A1 (de) 2024-02-22

Family

ID=89808934

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022208647.3A Pending DE102022208647A1 (de) 2022-08-22 2022-08-22 Techniken zur mitigation von manipulationen eines bordnetzwerks eines fahrzeugs

Country Status (3)

Country Link
US (1) US20240061934A1 (de)
CN (1) CN117601779A (de)
DE (1) DE102022208647A1 (de)

Also Published As

Publication number Publication date
CN117601779A (zh) 2024-02-27
US20240061934A1 (en) 2024-02-22

Similar Documents

Publication Publication Date Title
DE10326287B4 (de) Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit
EP3393859B1 (de) Verfahren zur modifikation safety- und/oder security-relevanter steuergeräte in einem kraftfahrzeug, und eine diesbezügliche vorrichtung
EP3584140B1 (de) Verfahren und vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, sowie fahrzeug
EP3756052B1 (de) Überwachungssystem für eine schutzeinrichtung und schutzeinrichtung
DE102019113818B4 (de) Elektronische steuerungseinrichtung, überwachungsverfahren, programm und gateway-einrichtung
DE102017113435A1 (de) Fahrzeug-Gateway-Netzwerkschutz
EP2891264A1 (de) Verfahren zum durchführen einer sicherheitsfunktion eines fahrzeugs und system zum durchführen des verfahrens
DE102014102582A1 (de) Fehlertolerantes Steuerungssystem
WO2017020999A1 (de) Verfahren zum betreiben eines kraftfahrzeugs und system zum betreiben eines kraftfahrzeugs
DE102017214661A1 (de) Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug
DE102018212879A1 (de) Steuervorrichtung und Steuerverfahren
DE102019214461A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102017103724B4 (de) Vorrichtung und Verfahren zum Steuern eines Sensorbauelements eines Sicherheitssystems eines Objekts, Steuerungssystem für ein Automobilfahrzeug und Sensorbauelement für ein Sicherheitssystem eines Automobilfahrzeugs
DE102018129015A1 (de) Systeme und verfahren zur fahrzeugdiagnosetesterkoordination
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102022208647A1 (de) Techniken zur mitigation von manipulationen eines bordnetzwerks eines fahrzeugs
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102022204597A1 (de) Steuerung und fehlerdiagnose von antriebsstrangkomponenten
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
DE112018004881T5 (de) Überwachungsvorrichtung, Überwachungssystem und Computerprogramm
DE102020007310A1 (de) Verfahren zum Vorsehen und Installieren von Softwareaktualisierungen für ein Fahrzeug
DE102020200414A1 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102022209778A1 (de) Techniken zur mitigation von manipulationen eines bordnetzwerkes
DE102022201898A1 (de) Mitigation einer manipulation von software eines fahrzeugs