DE102022209766A1 - COMPUTERIMPLEMENTIERTES VERFAHREN ZUR EINLEITUNG VON MITIGATIONSMAßNAHMEN IN EINEM SYSTEM - Google Patents

COMPUTERIMPLEMENTIERTES VERFAHREN ZUR EINLEITUNG VON MITIGATIONSMAßNAHMEN IN EINEM SYSTEM Download PDF

Info

Publication number
DE102022209766A1
DE102022209766A1 DE102022209766.1A DE102022209766A DE102022209766A1 DE 102022209766 A1 DE102022209766 A1 DE 102022209766A1 DE 102022209766 A DE102022209766 A DE 102022209766A DE 102022209766 A1 DE102022209766 A1 DE 102022209766A1
Authority
DE
Germany
Prior art keywords
message
computing unit
computer
implemented method
mitigation measures
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022209766.1A
Other languages
English (en)
Inventor
Manuel Jauss
Felix Hallaczek
Marcel Kneib
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022209766.1A priority Critical patent/DE102022209766A1/de
Priority to CN202311196723.9A priority patent/CN117728969A/zh
Publication of DE102022209766A1 publication Critical patent/DE102022209766A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein computerimplementiertes Verfahren zur Einleitung von Mitigationsmaßnahmen gegen Manipulation von Software in einem System, insbesondere bei einem Fahrzeug, wobei das System eine erste Recheneinheit, eine zweite Recheneinheit und eine Mehrzahl von Mitigationsmaßnahmen aufweist, wobei das System dazu ausgelegt ist, dass bestimmte Nachrichten von der ersten Recheneinheit an die zweite Recheneinheit mit entsprechenden Bestätigungsnachrichten erwidert werden, wenn die Nachrichten erfolgreich empfangen werden. Das Verfahren umfasst Senden einer ersten Nachricht von einer ersten Recheneinheit an die zweite Recheneinheit, Empfangen der ersten Nachricht von der ersten Recheneinheit durch die zweite Recheneinheit, Hinzufügen von Information über eine oder mehrere von der ersten Recheneinheit auszuführende Mitigationsmaßnahmen in einer Bestätigungsnachricht für die erste Nachricht, Senden der Bestätigungsnachricht durch die zweite Recheneinheit und Empfangen der zweiten Nachricht durch die erste Recheneinheit.

Description

  • Stand der Technik
  • Die Forderung einer „intelligenteren Mobilität“ impliziert die Integration des Fahrzeugs in die digitale Welt. Die zunehmende Automatisierung und Vernetzung von Fahrzeugen untereinander und/oder mit einem in einer Cloud befindlichen Backend erhöht die Anzahl notwendiger Schnittstellen und damit die Angriffsfläche für externe Angriffe auf das IT-System der Fahrzeuge. Daher nimmt die Cyber-Security in der Software- und Hardwareentwicklung heutiger Fahrzeuge eine immer größere Rolle ein. Mittels Systeme zur Angriffserkennung und Angriffsabwehr, wie des „Intrusion Detection and Prevention System“ (IDPS), wird das System fortlaufend auf mögliche Cyber-Angriffe hin beobachtet und gegebenenfalls bei einem Angriff Gegenmaßnahmen eingeleitet. Hierzu müssen verschiedene Systemkomponenten eines Fahrzeugs wie beispielsweise Steuergeräte, Sensoren, die CCU (Connectivity Control Unit), der Intrusion Detection System Manger (IDSM) oder das Backend miteinander kommunizieren, um einerseits einen Angriff zu erkennen und anderseits im Fall eines erfolgten Angriffs notwendige Einstellungen oder Änderungen im System vornehmen. Im Stand der Technik wird diese Kommunikation zwischen den beteiligten Systemkomponenten teilweise verschlüsselt durchgeführt, sodass Angreifer keine Information aus dem Inhalt der Nachrichten, die beispielsweise eine Sicherheitsmaßnahme spezifizieren, gewinnen können.
  • Dennoch ist es Angreifern möglich, aus Metainformationen während der Kommunikation der beteiligten Systemkomponenten bei Angriffserkennung und Angriffsabwehr Informationen zu gewinnen. Diese können von den Angreifern genutzt werden, ihren Angriff beispielsweise an geänderte Sicherheitseinstellungen anzupassen und effektiver durchzuführen. Aus diesem Grund ist ein Verfahren wünschenswert, das die Sicherheit im System bei Angriffserkennung und Angriffsabwehr erhöht.
  • Offenbarung der Erfindung
  • Ein erster allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein computerimplementiertes Verfahren zur Einleitung von Mitigationsmaßnahmen gegen Manipulation von Software in einem System, insbesondere bei einem Fahrzeug, wobei das System eine erste Recheneinheit, eine zweite Recheneinheit und eine Mehrzahl von Mitigationsmaßnahmen aufweist, wobei das System dazu ausgelegt ist, dass bestimmte Nachrichten von der ersten Recheneinheit an die zweite Recheneinheit mit entsprechenden Bestätigungsnachrichten erwidert werden, wenn die Nachrichten erfolgreich empfangen werden. Das Verfahren umfasst Senden einer ersten Nachricht von einer ersten Recheneinheit an die zweite Recheneinheit, Empfangen der ersten Nachricht von der ersten Recheneinheit durch die zweite Recheneinheit, Hinzufügen von Information über eine oder mehrere von der ersten Recheneinheit auszuführende Mitigationsmaßnahmen in einer Bestätigungsnachricht für die erste Nachricht, Senden der Bestätigungsnachricht durch die zweite Recheneinheit und Empfangen der zweiten Nachricht durch die erste Recheneinheit.
  • Ein zweiter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Computersystem, das dafür ausgelegt ist, das computerimplementierte Verfahren zur Einleitung von Mitigationsmaßnahmen in einem System gemäß dem ersten allgemeinen Aspekt (oder einer Ausführungsform davon) auszuführen.
  • Ein dritter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Computerprogramm, das Befehle enthält, die, wenn sie auf einem Computer-System ausgeführt werden, das Computer-System dazu veranlassen, das computerimplementierte Verfahren computerimplementierte Verfahren zur Einleitung von Mitigationsmaßnahmen in einem System gemäß dem ersten allgemeinen Aspekt (oder einer Ausführungsform davon) auszuführen.
  • Ein vierter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein computerlesbares Medium oder Signal, das das Computerprogramm gemäß dem dritten allgemeinen Aspekt (oder einer Ausführungsführungsform davon) speichert und/oder enthält.
  • Die Techniken der ersten bis vierten allgemeinen Aspekte der vorliegenden Offenbarung können in manchen Fällen einen oder mehrere der folgenden Vorteile haben.
  • Durch das vorliegende Verfahren können Metainformationen verschleiert werden, wodurch die Entwicklung und Durchführung erfolgreicher Angriffe erschwert wird. Beispielsweise kann verhindert werden, dass ein Angreifer durch das Beobachten der Kommunikation zwischen den Systemkomponenten aus Metainformationen Muster in der Reaktion des Systems auf wiederholte Angriffe erkennen und daraus angepasste Angriffe ableiten könnte. In gängigen Kommunikationsprotokollen bzw. dem Datenaustausch in der Informationstechnologie ist das Senden von Bestätigungsnachrichten, sogenannter „Acknowledgements“, eine übliche Vorgehensweise, den erfolgreichen Empfang von Nachrichten dem Sender zu bestätigen. Das Hinzufügen der Informationen über Mitigationsmaßnahmen in der Bestätigungsnachricht kann einerseits eine zusätzliche Nachricht neben der ohnehin schon vorhandenen Bestätigungsnachricht überflüssig machen. Andererseits erhält ein möglicher Angreifer keine Kenntnis über das Senden der Information über Mitigationsmaßnahmen, wenn diese in die Bestätigungsnachrichten eingefügt werden und kann daraus keine Schlüsse über Maßnahmen gegen die Angriffe ableiten, was die erfolgreiche Durchführung von Cyberangriffen und Softwaremanipulationen erschweren kann. Zudem kann das Verfahren ohne Modifizierung der Hardware in Systeme implementiert werden oder in bereits in Betrieb befindlichen Systemen, wie älteren Fahrzeugen, umgesetzt werden. Das Verfahren lässt sich dabei leicht auf ein großes System mit vielen in der Angriffserkennung und Angriffsabwehr beteiligten Komponenten skalieren, ohne dass es einer hardwaremäßigen Modifikation des Systems bedarf. Die vorliegende Offenbarung kann dadurch ermöglichen, dass eine gesteigerte Sicherheit vor Cyber-Angriffen in einem von zunehmender Vernetzung und Kommunikation geprägten System vorliegt. Das Verfahren bietet den weiteren Vorteil, nicht auf eine bestimmte Art von Recheneinheit beschränkt zu sein, und so auf verschiedene beteiligte Komponenten im System angewandt werden zu können.
  • Einige Begriffe werden in der vorliegenden Offenbarung in folgender Weise verwendet: „Metainformationen“ umfassen Informationen, die über den eigentlichen Inhalt der Nachricht hinausgehen und vielmehr Informationen über die Nachricht an sich umfassen bzw. die Nachricht in einen Kontext einbettet. Beispielsweise können Metainformationen Informationen über den Sendezeitpunkt oder die Nachrichtengröße umfassen. Auch Informationen über den Sender oder den Empfänger einer Nachricht, eine Kategorie oder Klassifizierung der Nachricht, die Art der verwendeten Verschlüsselung oder sonstige Informationen über die Nachricht können Teil von Metainformationen sein.
  • Eine „Recheneinheit“ oder eine „Komponente“ (beispielsweise eines Bordnetzwerks) in der vorliegenden Offenbarung verfügt über eigene Hardwareressourcen, die zumindest einen Prozessor zum Ausführen von Befehlen und Speicher zum Ablegen zumindest einer Software-Komponente umfassen. Der Begriff „Prozessor“ umfasst auch Mehr-Kern-Prozessoren oder mehrere separate Bauteile, die die Aufgaben einer zentralen Verarbeitungseinheit eines elektronischen Geräts übernehmen (und sich diese ggf. teilen). Eine Komponente kann eigenständig Aufgaben ausführen (z.B. Messaufgaben, Überwachungsaufgaben, Steueraufgaben, Kommunikationsaufgaben und/oder andere Arbeitsaufgaben). Eine Recheneinheit bzw. eine Komponente kann aber in manchen Beispielen auch von einer anderen Komponente gesteuert werden. Eine Recheneinheit kann physisch abgegrenzt sein (z.B. mit einem eigenen Gehäuse) oder aber in ein übergeordnetes System integriert sein. Eine Recheneinheit kann ein Steuergerät oder ein Kommunikationsgerät des Fahrzeugs sein. Eine Recheneinheit kann ein eingebettetes System sein. Eine Recheneinheit kann eine Sensoreinheit sein, oder einen Sensor umfassen. Ferner kann eine Recheneinheit eine CCU (Connectivity Control Unit), ein Intrusion Detection System Manger (IDSM) oder ein Backend sein. Der Intrusion Detection System Manger (IDSM) kann beispielsweise zum Sammeln und/oder Verwalten von Sicherheitsereignissen dienen. Zum Beispiel können Sicherheitsereignisse von dafür ausgelegten Sensoren generiert werden.
  • Ein „Steuergerät“ ist eine Komponente, das (ausschließlich) eine Funktion oder eine Mehrzahl von Funktionen eines Fahrzeugs steuert. Ein Steuergerät kann zum Beispiel eine Motorsteuerung, einer Steuerung eines Bremssystems oder eine Steuerung eines Assistenzsystems übernehmen. Eine „Funktion“ kann dabei auf verschiedenen Ebenen des Fahrzeugs definiert sein (z.B. kann für eine Funktion ein einzelner Sensor oder Aktor, aber auch eine Vielzahl von Baugruppen, die zu einer größeren funktionalen Einheit zusammengefasst sind, eingesetzt werden).
  • Der Begriff „Software“ oder „Software-Komponente“ kann grundsätzlich jeder Teil einer Software einer Komponente (z.B. eines Steuergeräts) der vorliegenden Offenbarung sein. Sie kann in einem nicht-flüchtigen Speicher wie einem Flash-Speicher oder einem EEPROM gespeichert sein.
  • Ein „Bordnetzwerk“ bzw. „Bordnetz“ kann jedes interne Netzwerk eines Fahrzeugs sein, über das Komponenten bzw. Recheneinheiten des Fahrzeugs kommunizieren. Die Komponenten selbst können dabei Teil des Bordnetzwerks sein und/oder beispielsweise als Kommunikationsknoten bzw. Netzwerkknoten dienen. In manchen Beispielen ist ein Bordnetzwerk ein Nahbereichsnetzwerk. Ein Bordnetzwerk kann ein oder mehrere Nahbereichs-Kommunikationsprotokolle einsetzen (z.B. zwei oder mehr Nahbereichs-Kommunikationsprotokolle). Die Nahbereichs-Kommunikationsprotokolle können drahtlose oder drahtgebundene Kommunikationsprotokolle sein. Die Nahbereichs-Kommunikationsprotokolle können ein Bus-Protokoll umfassen (bspw. CAN, LIN, MOST, FlexRay oder Ethernet). Die Nahbereichs-Kommunikationsprotokolle können ein Bluetooth-Protokoll (z.B. Bluetooth 5 oder später) oder ein WLAN-Protokoll (z.B. ein Protokoll der IEEE-802.11-Familie, z.B. 802.11h oder ein späteres Protokoll) umfassen. Ein Bordnetzwerk kann Schnittstellen zur Kommunikation mit Systemen außerhalb des Fahrzeugs enthalten und somit auch in andere Netzwerke eingebunden sein. Die Systeme außerhalb des Fahrzeugs und die anderen Netzwerke sind jedoch nicht Teil des Bordnetzwerks.
  • Ein „Backend“ kann zum Beispiel eine Recheneinheit sein. Ein Backend kann beispielsweise mobil oder stationär sein. Weiter kann ein Backend zum Beispiel ein System zur Speicherung von Daten oder zur Ausführung von Rechenoperationen umfassen. Ein Backend kann auch ein System zur Datenauswertung und/oder ein System zum Erstellen von Steuervorgaben umfassen.
  • Ein „Fahrzeug“ kann jegliche Vorrichtung, die Passagiere und/oder Fracht transportiert, sein. Ein Fahrzeug kann ein Kraftfahrzeug (zum Beispiel ein PKW oder ein LKW) sein, aber auch ein Schienenfahrzeug. Ein Fahrzeug kann auch ein motorisiertes, nicht motorisiertes und/oder ein muskelkraftbetriebenes Zwei- oder Dreirad sein. Allerdings können auch schwimmende und fliegende Vorrichtungen Fahrzeuge sein. Fahrzeuge können zumindest teilautonom operierend oder assistiert sein.
  • Der Begriff „Manipulation“ umfasst in der vorliegenden Offenbarung jede Veränderung von Software, Konfigurationen, oder Daten einer Komponente eines Fahrzeugs. Die Veränderung kann die Folge eines Angriffs sein (d.h. der bewussten Einflussnahme eines Dritten), aber auch Folge einer zufälligen oder unbeabsichtigten Einwirkung.
    Unter „Mitigation“ bzw. einer „Mitigationsmaßnahme“ gegen Manipulation von Software können Maßnahmen verstanden werden, die dazu dienen können, die Manipulation einer Software zu bekämpfen oder die Manipulation aufzuheben bzw. die Software auf den Stand vor der Manipulation zurückzusetzen. Andererseits können diese Maßnahmen dazu dienen, die Folgen einer Manipulation von Software für das System bzw. für andere nicht von der Manipulation betroffenen Komponenten oder Teile des Systems zu reduzieren und den Schaden einer Manipulation für das System einzugrenzen bzw. abzuschwächen. Hierzu können die Mitigationsmaßnahmen Regeln für bestimmte Ereignisse bzw. bestimmte Formen von Manipulationen der Software umfassen.
  • Kurzbeschreibung der Figuren
    • 1 illustriert schematisch beispielhafte Verfahrensschritte zur Einleitung von Mitigationsmaßnahmen in einem System.
    • 2 illustriert schematisch den Aufbau der zweiten Nachricht.
    • 3 illustriert schematisch den Ablauf der Kommunikation zwischen der ersten Recheneinheit und der zweiten Recheneinheit in Form eines Sequenzdiagramms.
  • Offenbart wird ein computerimplementiertes Verfahren 100 zur Einleitung von Mitigationsmaßnahmen gegen Manipulation von Software in einem System 10, insbesondere bei einem Fahrzeug, wobei das System 10 eine erste Recheneinheit 11, eine zweite Recheneinheit 21 und eine Mehrzahl von Mitigationsmaßnahmen 24a, 24b aufweist, wobei das System dazu ausgelegt ist, dass bestimmte Nachrichten 12 von der ersten Recheneinheit 21 an die zweite Recheneinheit 21 mit entsprechenden Bestätigungsnachrichten 22 erwidert werden, wenn die Nachrichten 12 erfolgreich empfangen werden. Das Verfahren umfasst Senden 110 einer ersten Nachricht 12 von einer ersten Recheneinheit 11 an die zweite Recheneinheit 21, Empfangen 120 der ersten Nachricht 12 von der ersten Recheneinheit 11 durch die zweite Recheneinheit 21, Hinzufügen 130 von Information über eine oder mehrere von der ersten Recheneinheit 11 auszuführende Mitigationsmaßnahmen 24a, 24b in einer Bestätigungsnachricht 22 für die erste Nachricht 12, Senden 140 der Bestätigungsnachricht 22 durch die zweite Recheneinheit 21 und Empfangen 150 der zweiten Nachricht 22 durch die erste Recheneinheit 11.
  • 1 illustriert schematisch beispielhafte Verfahrensschritte des Verfahrens zur Einleitung von Mitigationsmaßnahmen in einem System 10.
  • Die erste Recheneinheit 11 und/oder die zweite Recheneinheit 21 können Teil eines Intrusion Detection and Prevention Systems (IDPS) sein. Dieses System stellt eine Lösung dar, Netzwerkaktivitäten, beispielsweise im Bordnetz eines Fahrzeugs, auf Anzeichen einer bösartigen Aktivität zu überwachen, Informationen über die Aktivität zu protokollieren und zu versuchen, entweder durch automatisierte Reaktion oder durch Benachrichtigung des Benutzers, die bösartige Aktivität abzuwehren. Zum Beispiel kann eine solche bösartige Aktivität einen Cyber-Angriff zum Aussetzen sicherheitsrelevanter Funktionen des Systems, zum Beispiel eine bremskraftverstärkende Funktion in einem Fahrzeug, oder das Auslesen von (personenbezogenen oder fahrzeugbezogenen) Daten umfassen. Zur Angriffserkennung oder Angriffsabwehr können in dem System verschiedene Recheneinheiten, wie die erste Recheneinheit 11 und die zweite Recheneinheit 21, miteinander über in einem Kommunikationsnetzwerk, wie zum Beispiel dem Bordnetz, kommunizieren bzw. Nachrichten austauschen. Nach dem Empfangen 120 der ersten Nachricht 12 durch die zweite Recheneinheit 21 sendet diese eine Bestätigungsnachricht 22 mit einer ersten Information 23 zur Bestätigung (engl. Acknowledgment) an die erste Recheneinheit 11. 3 illustriert schematisch den Ablauf der Kommunikation zwischen der ersten Recheneinheit 11 und der zweiten Recheneinheit 21 in Form eines Sequenzdiagramms. Beispielsweise kann durch die Bestätigung verhindert werden, dass die erste Nachricht 12 und die darin enthaltenen Informationen verloren gehen. Weiter wird der Bestätigungsnachricht 22 eine Information 24 über eine oder mehrere von der ersten Recheneinheit 11 auszuführende Mitigationsmaßnahmen 24a, 24b hinzugefügt 130. Das Hinzufügen 130 der Information 24 über eine oder mehrere von der ersten Recheneinheit 11 auszuführende Mitigationsmaßnahmen 24a, 24b in die Bestätigungsnachricht 22 (Acknowledgement) kann vorteilhaft sein, da keine weitere bzw. separate Nachricht mit der Information über die Mitigationmaßnahmen 24a, 24b neben der eigentlichen Bestätigungsnachricht nach dem Empfang der ersten Nachricht 12 notwendig ist und dadurch verhindert werden kann, dass ein möglicher Angreifer von der Einleitung von Mitigationsmaßnahmen Kenntnis erlangt.
  • Weiter kann jeder Mitigationsmaßnahme der Mehrzahl von Mitigationsmaßnahmen 24a, 25b ein Identifikator zugeordnet sein und die zweite Information 24 einen Identifikator oder mehrere Identifikatoren, die der Mehrzahl von Mitigationsmaßnahmen 24a, 24b zugeordnet sind, aufweisen. Beispielsweise kann die erste Recheneinheit 11 oder andere Komponenten im System 10 eine Liste vordefinierter Mitigationsmaßnahmen umfassen, die mit dem Identifikator referenziert werden. Zum Beispiel kann es dadurch genügen, dass die zweite Information 24, einen oder mehrere Identifikatoren, die vordefinierte Mitigationsmaßnahmen referenzieren, umfasst. Der Identifikator kann beispielsweise eine eindeutige Nummer bzw. eine Bitfolge sein. In einem Beispiel kann der Identifikator aus einer (aufsteigenden oder absteigenden) Durchnummerierung der einzelnen (referenzierten) Mitigationsmaßnahmen 24a, 24b resultieren oder mittels eines (Pseudo-)Zufallsgenerators erzeugt werden. In manchen Beispielen kann der Identifikator beispielsweise vor dem Ausführen des Verfahrens manuell festgelegt werden oder mittels eines Rechners erstellt werden. Die Zuordnung von Identifikator und zugehöriger Mitigationsmaßnahme kann beispielsweise in einer Datenbank oder einer elektronischen Tabelle abgelegt sein.
  • Weiter kann die erste Nachricht 12 eine Information über ein Sicherheitsereignis oder eine Mehrzahl von Sicherheitsereignissen aufweisen. Beispielsweise können im Rahmen einer Angriffserkennung und/oder Angriffsabwehr Informationen über ein Sicherheitsereignis zwischen den verschiedenen Komponenten in dem System 10 kommuniziert werden. Zu diesem Zweck kann mittels der ersten Nachricht 12 eine oder mehrere Sicherheitsereignisse an die zweite Recheneinheit 21 kommuniziert werden. Zum Beispiel kann ein Sicherheitsereignis eine Meldung bzw. ein Report über einen Angriff sein, der zum Beispiel die Art und Umfang des Angriffs oder die betroffenen Komponenten beschreibt. In manchen Fällen kann die zweite Recheneinheit 21 eine Konnektivitätssteuereinheit (engl. Connectivity Control Unit (CCU)) umfassen, gegebenenfalls mit einem Backend kommunizieren, und die erste Nachricht 12 eine Sicherheitsereignis aufweisen, das einen Report für ein Backend darstellt, um Informationen über vorliegende Angriffe zu übermitteln. In manchen Beispielen kann die erste Nachricht 12 eine Mehrzahl von Teilnachrichten umfassen, wobei jeweils eine Teilnachricht einem zu übermittelnden Sicherheitsereignis entspricht.
  • In manchen Beispielen kann zu jedem Sicherheitsereignis der ersten Nachricht 12 ein Identifikator einer Mitigationsmaßnahme oder eine Mehrzahl von Identifikatoren von Mitigationsmaßnahmen 24a, 24b der zweiten Nachricht 22 korrespondieren. Zum Beispiel kann die zweite Recheneinheit 21 zur Kommunikation mit einem Backend dienen und von der ersten Recheneinheit mittels einer ersten Nachricht 12 einen Report über Sicherheitsereignisse erhalten, um diese an das Backend zu übermitteln. In einem Beispiel können als Antwort Informationen, beispielsweise über Mitigationsmaßnahmen, von dem Backend an die zweite Recheneinheit 21 übermittelt werden. Beispielsweise können diese Informationen als zweite Informationen 24 in der zweiten Nachricht an die erste Recheneinheit 11 gesendet 140 bzw. weitergeleitet werden. Beispielsweise kann für jedes Sicherheitsereignis genau eine oder mehrere Mitigationsmaßnahmen in der zweiten Information 24 enthalten sein, oder zusätzlich oder alternativ wie voranstehend erläutert, mittels eines Identifikators referenziert werden. In manchen Fällen kann auch für eine Mehrzahl von Sicherheitsereignissen eine Mitigationsmaßnahme in Form des Identifikators in der zweiten Information 24 enthalten sein.
  • Das Verfahren kann, wobei die Bestätigungsnachricht 22 eine erste Länge aufweist, die kleiner oder gleich einer vorbestimmten Länge ist, weiter vor dem Senden 140 der zweiten Nachricht 22, Ergänzen 118 der zweiten Nachricht 22 mit einem Leerteil 25, der eine zweite Länge aufweist, wobei die zweite Länge eine Differenz zwischen der ersten Länge und der vorbestimmen Länge ist, umfassen. Zum Beispiel kann die erste Länge der zweiten Nachricht 22 von der Anzahl der Mitigationsmaßnahmen 24a, 24b abhängen. In manchen Fällen kann es vorteilhaft sein, dass die Bestätigungsnachricht 22 beim Senden 140 eine Standardlänge bzw. eine vorbestimmte Länge aufweist, sodass ein Angreifer beim Beobachten mehrerer Nachrichten nicht auf eine Reaktion des Systems schließen kann. In manchen Fällen kann die vorbestimmte Länge bei der Softwareimplementierung festgelegt werden und/oder während des Betriebs des Systems 10 festgelegt bzw. angepasst werden. 2 zeigt den Leerteil 25 im Aufbau der ersten Nachricht 22.
  • Der Leerteil 25 kann aus leeren Fülldaten bestehen (sogenanntes „Padding“), das zum Zweck hat, die Längendifferenz der ersten Länge und der vorbestimmten Länge auszugleichen, sodass bei einer möglichen Mehrzahl von Bestätigungsnachrichten jede Bestätigungsnachricht 22 die gleiche (vorbestimmte) Länge aufweist. In manchen Fällen kann der Leerteil 25 hinter den Mitigationsmaßnahmen 24a, 24b (bzw. die Identifikatoren/Referenzen der Mitigationsmaßnahmen) in der zweiten Nachricht 22 angeordnet werden.
  • Weiter kann die erste Nachricht 12 vor dem Senden 110 verschlüsselt werden und/oder die Bestätigungsnachricht 22 vor dem Senden 140 verschlüsselt werden. Hierzu können kryptographische Verfahren verwendet werden, wie zum Beispiel „Advanced Encryption Standard-Cipher Block Chaining Mode“ (AES-CBC) oder ein AEAD-Verfahren (engl. „Authenticated Encryption with Associated Data“) wie zum Beispiel „Advanced Encryption Standard-Galois/Counter Mode“ (AES-GCM). Auch jedes andere hierfür geeignete, aber nicht genannte Verschlüsselungsverfahren kann angewandt werden.
  • Das Verfahren kann weiter Ergänzen 109 der ersten Nachricht 12 mit einer ersten Nonce bevor die erste Nachricht 12 verschlüsselt wird und/oder Ergänzen 119 der zweiten Nachricht 22 mit einer zweiten Nonce 26 bevor die Bestätigungsnachricht 22 verschlüsselt wird, umfassen. Eine Nonce (engl. „used only once“) kann eine Zahlen- und/oder Buchstabenkombination umfassen. Beispielsweise kann die Nonce durch einen (Pseudo-)Zufallsgenerator erzeugt werden, und somit eine (pseudo-)zufällige Zeichenfolge darstellen. Beispielsweise kann jede einzelne Nonce, das heißt eine bestimmte Zeichenfolge, nur einmal im zeitlichen Rahmen des Betriebs des Systems 10 erzeugt werden. Beispielsweise kann das Ergänzen 109, 119 der Nachricht 12, 22 mit einer Nonce zur Abwehr von Wiedereinspiel-Angriffen (engl. „Replay-Attacks“) vorteilhaft sein. Die erste Nonce kann vor dem Verschlüsseln an den Anfang der ersten Nachricht 12 angefügt werden, und/oder die zweite Nonce 24 kann vor dem Verschlüsseln an den Anfang der zweiten Nachricht 22 angefügt werden, wie dargestellt in 2 im Aufbau der zweiten Nachricht 22.
  • Weiter kann für einen Algorithmus zum Verschlüsseln der ersten Nachricht 12 eine erste Nonce als Initialisierungsvektor verwendet werden und/oder zum Verschlüsseln der zweiten Nachricht 22 eine zweite Nonce 26 als Initialisierungsvektor verwendet werden. Beispielsweise kann bei dem Verschlüsselungsverfahren „CBC-Mode“ die Nonce 24 als ein Startwert, d.h. Initialisierungsvektor verwendet werden, um den Anfangszustand bereitzustellen.
  • In manchen Beispielen kann die erste Nachricht 12 mit einer ersten Signatur oder mit einem ersten Nachrichtenauthentifizierungscode signiert werden, nachdem die erste Nachricht 12 verschlüsselt worden ist, und/oder die Bestätigungsnachricht 22 mit einer zweiten Signatur 27 oder mit einem zweiten Nachrichtenauthentifizierungscode signiert werden, nachdem die Bestätigungsnachricht 22 verschlüsselt worden ist. Zum Beispiel kann mittels des Verfahrens „Elliptic Curve Digital Signature Algorithm“ (ECDSA) eine Signatur zum Signieren der ersten Nachricht 12 bzw. der zweiten Nachricht 22 erzeugt werden. Zum Beispiel kann das ECDSA-Verfahren im Anschluss an das AES-CBC-Verschlüsselungsverfahren verwendet werden. Alternativ kann an Stelle einer Signatur 15, 25 auch ein Nachrichtenauthentifizierungscode (engl. Message Authentication Code (MAC)) verwendet werden, zum Beispiel AES-CMAC. AEAD-Verfahren beinhalten bereits eine MAC, weshalb zum Beispiel bei der Verwendung von GCM keine zusätzliche Signatur oder MAC angefügt werden muss. In manchen Fällen kann die Signatur an das Ende der ersten Nachricht 12 und/oder die Signatur 27 an das Ende der zweiten Nachricht 22 angefügt werden.
  • Weiter kann die erste Nachricht 12 und/oder Bestätigungsnachricht 22 nach dem Empfangen 120, 140 verifiziert und/oder entschlüsselt werden. Werden beispielsweise wie voranstehend beschrieben, Verfahren zu Verschlüsselung der ersten Nachricht 12 und/oder der zweiten Nachricht 22 verwendet, so wird nach dem Empfangen 120 der ersten Nachricht 12 und Empfangen 140 der zweiten Nachricht 22 die jeweilige Nachricht 12, 22 verifiziert und entschlüsselt. Verifizieren kann dabei das Überprüfen der Identität der jeweiligen Recheneinheit 11, 21, die die Nachricht 12, 22 gesendet hat, umfassen.
  • Beispielsweise kann eine Bestätigung über den Empfang der zweiten Nachricht 22 nicht erforderlich sein. Zum Beispiel kann eine zweite Recheneinheit 21 in einem Zyklus eines Nachrichtenaustausches mit einer Mehrzahl von ersten Nachrichten 12 und einer Mehrzahl von zweiten Nachrichten 22 ein anschließendes Senden 110 einer neuen ersten Nachricht 12, die sich von der vorangegangenen ersten Nachricht unterscheidet, als Bestätigung der zuvor gesendeten zweiten Nachricht 22 verstehen, oder anders ausgedrückt, wenn die zuvor gesendete erste Nachricht 12 nicht mehrmals hintereinander gesendet wird, kann die zweite Recheneinheit 22 von einem Empfang der zweiten Nachricht 22 durch die erste Recheneinheit 11 ausgehen. In manchen Fällen kann eine Bestätigung über den Empfang der zweiten Nachricht 22 vorgesehen sein.
  • Hierzu kann der Empfang 140 der zweiten Nachricht 22 durch die erste Recheneinheit 11 als Sicherheitsereignis in einer nachfolgenden ersten Nachricht 12 der ersten Recheneinheit 11 bestätigt werden. Zum Beispiel kann eine erste Nachricht 12 eine Bestätigungsinformation einer zuvor empfangenen 140 zweiten Nachricht 22 umfassen, beispielsweise in Form eines Sicherheitsereignisses, das für diesen Zweck generiert werden kann. Beispielsweise kann dieses Sicherheitsereignis, das zur Bestätigung des Empfangs der zweiten Nachricht 22 dient, eine höhere Priorisierung im Konzept der Angriffserkennung und Angriffsabwehr bzw. beim „Intrusion Detection System Manger“ (IDSM) erhalten als andere Sicherheitsereignisse. Hiermit kann ein Verwerfen beispielsweise bei einem Aufkommen von Sicherheitsereignissen, das in seiner Anzahl über einen Durchschnittswert hinausgeht, vermieden werden.
  • Eine Mitigationsmaßnahme gegen die Manipulation von Software kann Blockieren einer Kommunikation einer von Manipulation betroffenen Komponente in dem System 10, Blockieren einer Kommunikation einer Gruppe von Komponenten, die die betroffene Komponente beinhaltet und Ändern einer Funktionalität der betroffenen Komponente und/oder Verschieben einer Funktionalität der betroffenen Komponente zu einer oder mehreren anderen Komponenten einer Mehrzahl Komponenten in dem System 10 umfassen. Eine Mitigationsmaßnahme kann dazu dienen, einen möglichen Angriff bzw. eine Manipulation einer Software von Komponenten des Systems 10 abzuwehren oder die Auswirkungen abzuschwächen, den Angriff einzudämmen oder den Schaden durch den Angriff zu beheben beispielsweise durch Zurücksetzen manipulierter Software auf einen früheren bzw. integren Stand. In manchen Beispielen kann die Gegenmaßnahme gegen die Manipulation Blockieren einer Kommunikation über das Bordnetzwerk einer von Manipulation betroffenen Komponente (beispielsweise die erste Recheneinheit 11) (deren Software manipuliert ist) umfassen. Ein Blockieren der Kommunikation kann verhindern, dass eine manipulierte Software der betroffenen Komponente über das Bordnetzwerk Schaden anrichtet. Auf der anderen Seite kann eine manipulierte Software eine Funktion der betroffenen Komponente immer noch (z.B. für eine gewisse Zeitdauer) ausführen. Aus diesem Grund kann in manchen Fällen ein Blockieren der Kommunikation über das Bordnetzwerk der betroffenen Komponente einem Zurücksetzen der Software der betroffenen Komponente vorgezogen werden (z.B. in einem Kontext, in dem ein Ausfall der betroffenen Komponente zumindest kurzfristig nicht tolerabel oder wünschenswert ist). Die Gegenmaßnahme des Zurücksetzens der Software der betroffenen Komponente kann im Anschluss an die Gegenmaßnahme des Blockierens der Kommunikation der betroffenen Komponente eingeleitet werden (z.B. in einem geänderten Kontext).
  • Alternativ oder zusätzlich kann die Gegenmaßnahme gegen die Manipulation Blockieren einer Kommunikation einer Gruppe von Komponenten über das Bordnetzwerk, die die betroffene Komponente beinhaltet, umfassen. Das Blockieren der Kommunikation einer Gruppe von Komponenten über das Bordnetzwerk ähnelt dem Blockieren der einzelnen Komponente, wie oben beschrieben. Auch hier kann verhindert werden, dass aus der Gruppe von Komponenten in dem Bordnetzwerk Schaden angerichtet wird. Auch im Falle des Blockierens der Kommunikation einer Gruppe von Komponenten über das Bordnetzwerk kann zu einem späteren Zeitpunkt die Gegenmaßnahme des Zurücksetzens der Software der betroffenen Komponente eingeleitet werden (z.B. in einem geänderten Kontext).
  • Weiter alternativ oder zusätzlich kann die Gegenmaßnahme gegen die Manipulation Ändern einer Funktionalität der betroffenen Komponente, für die eine Manipulation erkannt wurde, umfassen. Zum Beispiel kann eine Funktionalität eingeschränkt werden nach einem vorbestimmten Muster (z.B. auf eine Funktionalität, die für bestimmte sicherheitsrelevante Aspekte in einem jeweiligen Kontext gebraucht wird).
  • Weiter alternativ oder zusätzlich kann die Gegenmaßnahme gegen die Manipulation Verschieben einer Funktionalität der betroffenen Komponente, für die eine Manipulation erkannt wurde, zu einer oder mehreren anderen Komponenten einer Mehrzahl von Komponenten umfassen. Zum Beispiel kann die eine oder mehrere der anderen Komponenten der Mehrzahl von Komponenten eine Aufgabe (oder Teile davon) der betroffenen Komponente zumindest zeitweise übernehmen. Die betroffene Komponente kann dann deaktiviert und/oder blockiert werden. Auch in diesem Fall kann zu einem späteren Zeitpunkt die Gegenmaßnahme des Zurücksetzens der Software der betroffenen Komponente eingeleitet werden (z.B. in einem geänderten Kontext).
  • Mögliche Mitigationsmaßnahmen können weiter beispielsweise das Zurücksetzen, ein erneutes „Flashen“ d.h. Neuprogrammieren der Firmware, auf beispielsweise einem EEPROM, oder das Umschalten zwischen mehreren Regelsätzen einer Firewall einer betroffenen Komponente bzw. einer Recheneinheit oder einer anderen Komponente des Systems 10 sein.
  • Weiter kann die erste Recheneinheit 11 und/oder die zweite Recheneinheit 21 in einem Fahrzeug angeordnet sein. Zum Beispiel können die erste Recheneinheit 11 und/oder die zweite Recheneinheit 21 Komponenten eines Bordnetzes bzw. eines Bordnetzwerks des Fahrzeugs sein. Zum Beispiel kann das System 10 Teil eines Bordnetzes sein oder eines umfassen. Beispielsweise kann das Bordnetz eine zentrale Vorrichtung zur Angriffserkennung/Angriffsabwehr bzw. Gefahrenerkennung/Gefahrenabwehr und eine Mehrzahl anderer Recheneinheiten oder Komponenten umfassen. Die zentrale Vorrichtung kann Manipulationen der Software der Mehrzahl von Komponenten in manchen Fällen detektieren und Gegenmaßnahmen einleiten. In manchen Fällen kann die erste Recheneinheit 11 oder die zweite Recheneinheit 21 die zentrale Vorrichtung umfassen oder Teil dieser sein. In manchen Fällen kann der Intrusion Detection System Manger (IDSM) die zentrale Vorrichtung sein oder diese umfassen.
  • Offenbart wird weiterhin ein Computersystem, das dafür ausgelegt ist, das computerimplementierte Verfahren 100 zur Einleitung von Mitigationsmaßnahmen in einem System 10 auszuführen. Das Computersystem kann mindestens einen Prozessor und/oder mindestens einen Arbeitsspeicher umfassen. Das Computersystem kann weiterhin einen (nicht-volatilen) Speicher umfassen. Weiter kann die erste Recheneinheit 11 und/oder die zweite Recheneinheit 21 ein Computersystem oder ein Teil eines Computersystems sein. Die erste Recheneinheit 11 und/oder die zweite Recheneinheit 21 können mindestens einen Prozessor und/oder einen Arbeitsspeicher umfassen. Die erste Recheneinheit 11 und/oder die zweite Recheneinheit 21 können einen (nicht-volatilen) Speicher umfassen.
  • Offenbart wird weiterhin ein Computerprogramm, das Befehle enthält, die, wenn sie auf einem Computer-System ausgeführt werden, das Computer-System dazu veranlassen, das computerimplementierte Verfahren 100 zur Einleitung von Mitigationsmaßnahmen in einem System 10 auszuführen. Das Computerprogramm kann z.B. in interpretierbarer oder in kompilierter Form vorliegen. Es kann (auch in Teilen) zur Ausführung z.B. als Bit- oder Byte-Folge in den RAM eines Computers geladen werden. Das Computerprogramm kann mehrere Teile umfassen, wobei mindestens ein Teil auf der ersten Recheneinheit 11 und ein anderer Teil auf der zweiten Recheneinheit 21 ausgeführt wird.
  • Offenbart wird weiterhin ein computerlesbares Medium oder Signal, das das Computerprogramm oder mindestens einen Teil davon speichert und/oder enthält. Das Medium kann z.B. eines von RAM, ROM, EPROM, HDD, SDD, ... umfassen, auf/in dem das Signal gespeichert wird. Zum Beispiel kann ein computerlesbares Medium oder Teil davon Teil der ersten Recheneinheit 11 und/oder der zweiten Recheneinheit 21 sein.

Claims (16)

  1. Computerimplementiertes Verfahren (100) zur Einleitung von Mitigationsmaßnahmen gegen Manipulation von Software in einem System (10), insbesondere bei einem Fahrzeug, wobei das System (10) eine erste Recheneinheit (11), eine zweite Recheneinheit (21) und eine Mehrzahl von Mitigationsmaßnahmen (24a, 24b) aufweist, wobei das System dazu ausgelegt ist, dass bestimmte Nachrichten (12) von der ersten Recheneinheit (21) an die zweite Recheneinheit (21) mit entsprechenden Bestätigungsnachrichten (22) erwidert werden, wenn die Nachrichten (12) erfolgreich empfangen werden, umfassend Senden (110) einer ersten Nachricht (12) von einer ersten Recheneinheit (11) an die zweite Recheneinheit (21); Empfangen (120) der ersten Nachricht (12) von der ersten Recheneinheit (11) durch die zweite Recheneinheit (21); Hinzufügen (130) von Information (24) über eine oder mehrere von der ersten Recheneinheit (11) auszuführende Mitigationsmaßnahmen (24a, 24b) in einer Bestätigungsnachricht (22) für die erste Nachricht (12); Senden (140) der Bestätigungsnachricht (22) durch die zweite Recheneinheit (21), und Empfangen (150) der zweiten Nachricht (22) durch die erste Recheneinheit (11).
  2. Computerimplementiertes Verfahren (100) gemäß Anspruch 1, wobei jeder Mitigationsmaßnahme der Mehrzahl von Mitigationsmaßnahmen (24a, 24b) ein Identifikator zugeordnet ist und die zweite Information (24) einen Identifikator oder mehrere Identifikatoren, die der Mehrzahl von Mitigationsmaßnahmen (24a, 24b) zugeordnet sind, aufweist.
  3. Computerimplementiertes Verfahren (100) gemäß Anspruch 1 oder 2, wobei die erste Nachricht (12) eine Information über ein Sicherheitsereignis oder eine Mehrzahl von Sicherheitsereignissen aufweisen.
  4. Computerimplementiertes Verfahren (100) gemäß Anspruch 3, wobei zu jedem Sicherheitsereignis der ersten Nachricht (12) ein Identifikator einer Mitigationsmaßnahme oder eine Mehrzahl von Identifikatoren von Mitigationsmaßnahmen (24a, 24b) der zweiten Nachricht (22) korrespondiert.
  5. Computer implementiertes Verfahren (100) gemäß einem der vorhergehenden Ansprüche, wobei die Bestätigungsnachricht (22) eine erste Länge aufweist, die kleiner oder gleich einer vorbestimmten Länge ist, umfassend vor dem Senden (130) der zweiten Nachricht (22), Ergänzen (118) der zweiten Nachricht (22) mit einem Leerteil (25), der eine zweite Länge aufweist, wobei die zweite Länge eine Differenz zwischen der ersten Länge und der vorbestimmten Länge ist.
  6. Computerimplementiertes Verfahren (100) gemäß einem der vorhergehenden Ansprüche, wobei die erste Nachricht (22) vor dem Senden (110) verschlüsselt wird und/oder die Bestätigungsnachricht (22) vor dem Senden (130) verschlüsselt wird.
  7. Computerimplementiertes Verfahren (100) gemäß Anspruch 6, umfassend Ergänzen (109) der ersten Nachricht (12) mit einer ersten Nonce bevor die erste Nachricht (12) verschlüsselt wird und/oder Ergänzen (119) der zweiten Nachricht (22) mit einer zweiten Nonce (26) bevor die Bestätigungsnachricht (22) verschlüsselt wird.
  8. Computerimplementiertes Verfahren (100) gemäß Anspruch 6 oder 7, wobei für einen Algorithmus zum Verschlüsseln der ersten Nachricht (12) eine erste Nonce als Initialisierungsvektor verwendet wird und/oder zum Verschlüsseln der zweiten Nachricht (22) eine zweite Nonce (26) als Initialisierungsvektor verwendet wird.
  9. Computerimplementiertes Verfahren (100) gemäß einem der Ansprüche 6 bis 8, wobei die erste Nachricht (12) mit einer ersten Signatur oder mit einem ersten Nachrichtenauthentifizierungscode signiert wird, nachdem die erste Nachricht (12) verschlüsselt worden ist, und/oder die Bestätigungsnachricht (22) mit einer zweiten Signatur (27) oder mit einem zweiten Nachrichtenauthentifizierungscode signiert wird, nachdem die Bestätigungsnachricht (22) verschlüsselt worden ist.
  10. Computerimplementiertes Verfahren (100) gemäß einem der vorhergehenden Ansprüche, wobei die erste Nachricht (12) und/oder die Bestätigungsnachricht (22) nach dem Empfangen (120, 140) verifiziert und/oder entschlüsselt werden.
  11. Computerimplementiertes Verfahren (100) gemäß einem der Ansprüche 3 bis 10, wobei der Empfang (140) der zweiten Nachricht (22) durch die erste Recheneinheit (11) als Sicherheitsereignis in einer nachfolgenden ersten Nachricht (12) der ersten Recheneinheit (11) bestätigt wird.
  12. Verfahren gemäß einem der Ansprüche 1 bis 11, wobei die Mitigationsmaßnahme gegen die Manipulation von Software eines oder mehrere von: Blockieren einer Kommunikation einer von Manipulation betroffenen Komponente in dem System (10); Blockieren einer Kommunikation einer Gruppe von Komponenten, die die betroffene Komponente beinhaltet; und Ändern einer Funktionalität der betroffenen Komponente und/oder Verschieben einer Funktionalität der betroffenen Komponente zu einer oder mehreren anderen Komponenten einer Mehrzahl Komponenten in dem System (10) umfasst.
  13. Computerimplementiertes Verfahren (100) gemäß einem der vorhergehenden Ansprüche, wobei die erste Recheneinheit (11) und/oder die zweite Recheneinheit (21) in einem Fahrzeug angeordnet sind.
  14. Computersystem, dafür ausgelegt, das computerimplementierte Verfahren (100) zur Einleitung von Mitigationsmaßnahmen gegen Manipulation von Software in einem System (10) gemäß einem der vorhergehenden Ansprüche 1 bis 13 auszuführen.
  15. Computerprogramm, das Befehle enthält, die, wenn sie auf einem Computer-System ausgeführt werden, das Computer-System dazu veranlassen, das computerimplementierte Verfahren (100) zur Einleitung von Mitigationsmaßnahmen gegen Manipulation von Software in einem System (10) gemäß einem der Ansprüche 1 bis 13 auszuführen.
  16. Computerlesbares Medium oder Signal, das das Computerprogramm gemäß Anspruch 15 speichert und/oder enthält.
DE102022209766.1A 2022-09-16 2022-09-16 COMPUTERIMPLEMENTIERTES VERFAHREN ZUR EINLEITUNG VON MITIGATIONSMAßNAHMEN IN EINEM SYSTEM Pending DE102022209766A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102022209766.1A DE102022209766A1 (de) 2022-09-16 2022-09-16 COMPUTERIMPLEMENTIERTES VERFAHREN ZUR EINLEITUNG VON MITIGATIONSMAßNAHMEN IN EINEM SYSTEM
CN202311196723.9A CN117728969A (zh) 2022-09-16 2023-09-15 用于在系统中引入缓解措施的计算机实现的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022209766.1A DE102022209766A1 (de) 2022-09-16 2022-09-16 COMPUTERIMPLEMENTIERTES VERFAHREN ZUR EINLEITUNG VON MITIGATIONSMAßNAHMEN IN EINEM SYSTEM

Publications (1)

Publication Number Publication Date
DE102022209766A1 true DE102022209766A1 (de) 2024-03-21

Family

ID=90062446

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022209766.1A Pending DE102022209766A1 (de) 2022-09-16 2022-09-16 COMPUTERIMPLEMENTIERTES VERFAHREN ZUR EINLEITUNG VON MITIGATIONSMAßNAHMEN IN EINEM SYSTEM

Country Status (2)

Country Link
CN (1) CN117728969A (de)
DE (1) DE102022209766A1 (de)

Also Published As

Publication number Publication date
CN117728969A (zh) 2024-03-19

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP3501154B1 (de) Bereitstellen einer gesicherten kommunikation innerhalb eines echtzeitfähigen kommunikationsnetzwerkes
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
EP2891266A1 (de) Verfahren und anordnung zur sicheren kommunikation zwischen netzwerkeinrichtungen in einem kommunikationsnetzwerk
WO2019052798A1 (de) Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE102022209766A1 (de) COMPUTERIMPLEMENTIERTES VERFAHREN ZUR EINLEITUNG VON MITIGATIONSMAßNAHMEN IN EINEM SYSTEM
EP3556071B1 (de) Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum signieren von messwerten eines sensors
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
EP3734478A1 (de) Verfahren zur vergabe von zertifikaten, leitsystem, verwendung eines solchen, technische anlage, anlagenkomponente und verwendung eines identitätsproviders
WO2015121060A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
DE102014018110A1 (de) Verfahren und System zur Fernsteuerung eines Fahrzeuges oder einer Fahrzeugfunktion
EP3603012A1 (de) Verfahren und vorrichtung zum schutz einer kommunikation zwischen mindestens einer ersten kommunikationseinrichtung und wenigstens einer zweiten kommunikationseinrichtung insbesondere innerhalb eines kommunikationsnetzwerkes einer industriellen fertigung und/oder automatisierung
EP3682317B1 (de) Verfahren zum betrieb einer berührungssensitiven, flächigen eingabevorrichtung einer gesamtvorrichtung und gesamtvorrichtung
EP2618226A1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
DE102022209765A1 (de) Computerimplementiertes verfahren zur verhinderung von informationsgewinn aus metainformationen
EP2446599B1 (de) Gegen manipulation geschützte datenübertragung zwischen automatisierungsgeräten
EP3713189A1 (de) Intrusionserkennung bei computersystemen
WO2018177614A1 (de) Schutzeinrichtung, verfahren und gerät enthalten eine schutzeinrichtung zum schutz eines mit dem gerät verbundenen kommunikationsnetzwerks
DE102022201899A1 (de) Mitigation einer manipulation von software eines fahrzeugs
LU500837B1 (de) Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten
EP3401831B1 (de) Vorrichtung und verfahren zum erkennen einer physikalischen manipulation an einem elektronischen sicherheitsmodul
DE102020204059A1 (de) Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
EP3823235A1 (de) Verbindungsspezifisch geprüfte datenübertragung über eine kryptographisch authentisierte netzwerkverbindung