DE102023132137A1 - Testverfahren und Testsystem zum Prüfen einer Sicherheit eines Fahrzeugs gegen Cyberangriffe - Google Patents

Testverfahren und Testsystem zum Prüfen einer Sicherheit eines Fahrzeugs gegen Cyberangriffe Download PDF

Info

Publication number
DE102023132137A1
DE102023132137A1 DE102023132137.4A DE102023132137A DE102023132137A1 DE 102023132137 A1 DE102023132137 A1 DE 102023132137A1 DE 102023132137 A DE102023132137 A DE 102023132137A DE 102023132137 A1 DE102023132137 A1 DE 102023132137A1
Authority
DE
Germany
Prior art keywords
vehicle
component
attack
test system
vehicle component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102023132137.4A
Other languages
English (en)
Inventor
Mateusz Dedo
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
FEV Group GmbH
Original Assignee
FEV Group GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by FEV Group GmbH filed Critical FEV Group GmbH
Priority to DE102023132137.4A priority Critical patent/DE102023132137A1/de
Publication of DE102023132137A1 publication Critical patent/DE102023132137A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Testen einer Sicherheit eines Fahrzeugs (10) gegen Cyberangriffe mithilfe eines dafür eingerichteten Testsystems (1) mit den folgenden Schritten:- Auswählen zumindest einer ersten Fahrzeugkomponente (21) des Fahrzeugs (10) mithilfe eines Auswahlmoduls (2) des Testsystems (1);- Simulieren eines Cyberangriffes auf die erste Fahrzeugkomponente (21) in Abhängigkeit von der ausgewählten ersten Fahrzeugkomponente (21) mithilfe eines Simulationsmoduls (3) des Testsystems (1);- Erfassen von Auswirkungen des Cyberangriffes auf die erste Fahrzeugkomponente (21) mithilfe des Testsystems (1).

Description

  • Die Erfindung betrifft ein Verfahren zum Testen einer Sicherheit eines Fahrzeugs gegen Cyberangriffe und ein Testsystem zum Testen einer Sicherheit eines Fahrzeugs gegen Cyberangriffe.
  • Es ist bekannt, einzelne Komponenten eines Fahrzeugs, wie zum Beispiel ein Steuergerät, in Bezug auf seine Sicherheit gegen Cyberangriffe mithilfe von elektronischen Geräten, wie zum Beispiel mithilfe von Störsendern, zu testen. Hierbei können auch so genannte Penetrationstest durchgeführt werden, bei welchen mehrere mögliche Cyberangriffe durchgeführt werden können.
  • Es wird ein Verfahren zum Testen einer Sicherheit eines Fahrzeugs gegen Cyberangriffe mithilfe eines dafür eingerichteten Testsystems vorgeschlagen. Das Verfahren weist die folgenden Schritte auf. In einem ersten Schritt wird zumindest eine erste Fahrzeugkomponente des Fahrzeugs, im Folgenden auch als erste Komponente bezeichnet, mithilfe eines Auswahlmoduls des Testsystems ausgewählt. Die erste Komponente kann beispielsweise ein Steuergerät, insbesondere eines Fahrerassistenzsystems, sein. Das Auswahlmodul kann beispielsweise eingerichtet sein, eine von der ersten Komponente ausgesendete Nachricht zu lesen und in Abhängigkeit der Nachricht die erste Komponente zu erkennen und im Anschluss daran auszuwählen. Diese Nachricht wird im Folgenden Erkennungsnachricht genannt.
  • Das Testsystem weist zumindest ein Rechenmodul auf und kann gemäß einer Variante in dem Fahrzeug angeordnet sein. Gemäß einer weiteren Variante kann das Testsystem in einer Simulationsumgebung mit einem weiteren Rechenmodul zur Kommunikation mit dieser verknüpft sein. Das weitere Rechenmodul kann insbesondere ein Verhalten des Fahrzeugs, insbesondere der ersten Komponente, simulieren. Beispielsweise kann das weitere Rechenmodul die Erkennungsnachricht erzeugen.
  • In einem zweiten Schritt wird ein Cyberangriff auf die erste Komponente in Abhängigkeit von der ausgewählten ersten Komponente mithilfe eines Simulationsmoduls des Testsystems simuliert. Der Cyberangriff, im Folgenden auch als Angriff bezeichnet, kann in Form einer mithilfe des Simulationsmoduls erzeugten Nachricht, im Folgenden als Angriffsnachricht bezeichnet, ausgebildet sein. Das Simulationsmodul ist bevorzugt eingerichtet, die Angriffsnachricht in Abhängigkeit der ausgewählten ersten Komponente zu erzeugen.
  • Für den Fall, dass das Testsystem in dem Fahrzeug angeordnet ist, wird die Angriffsnachricht bevorzugt über ein Kommunikationssystem von dem Testsystem zu der ersten Komponente gesendet. Das Testsystem weist in diesem Fall insbesondere einen elektronischen Anschluss zu dem Kommunikationssystem oder einen Sender, der Teil des Kommunikationssystems sein kann, auf, um die Angriffsnachricht zu der ersten Komponente zu senden. Für den Fall, dass das Testsystem in der Simulationsumgebung mit dem weiteren Rechenmodul verknüpft ist, wird die Angriffsnachricht bevorzugt zu dem weiteren Rechenmodul gesendet.
  • Als Cyberangriff wird im Rahmen dieser Offenbarung ein Angriff auf das Fahrzeug, insbesondere auf die erste Komponente verstanden, der durch einen oder mehrere Hacker oder eine Institution zum Zweck der Sabotage oder der Informationsgewinnung durchgeführt werden kann. Erfolgt der Angriff auf die erste Komponente, so wird dadurch indirekt der Angriff auch auf das Fahrzeug ausgeführt.
  • Mit der Phrase „Simulieren des Cyberangriffes auf die erste Fahrzeugkomponente“ ist gemeint, dass der Angriff zwar mithilfe des Testsystems durchgeführt wird, jedoch Ergebnisse des Angriffes nicht missbräuchlich verwendet werden. So werden beispielsweise Informationen, die durch ein Durchführen des Angriffes auf die erste Komponente gewonnen werden, nicht weitergeleitet. Insbesondere wird im Falle eines detektierten Funktionsausfalls der ersten Komponente der Angriff bevorzugt nicht weiter durchgeführt. Die erste Komponente kann bei dem Simulieren des Angriffes gemäß einer Variante physisch vorliegen. Alternativ kann das Verhalten der ersten Komponente mithilfe des weiteren Rechenmoduls beim Durchführen des Angriffes simuliert werden.
  • Der Funktionsausfall kann insbesondere in einem dritten Schritt des vorgeschlagenen Verfahrens detektiert werden. In dem dritten Schritt werden Auswirkungen des Cyberangriffes auf die erste Fahrzeugkomponente mithilfe des Testsystems erfasst.
  • Hierzu kann das Testsystem beispielsweise eine weitere von der ersten Komponente ausgesandte Nachricht auswerten. In diesem Fall wird die weitere Nachricht von der ersten Komponente nach dem Simulieren des Angriffes auf die erste Komponente ausgesendet. Die erfassten Auswirkungen des Angriffes werden bevorzugt in einer Logdatei abgespeichert. Anhand der erfassten Auswirkungen kann ein Grad der Sicherheit des Fahrzeugs, insbesondere der ersten Komponente, gegenüber dem Cyberangriff bestimmt werden. Insbesondere kann überprüft werden, ob der bestimmte Grad der Sicherheit gesetzlichen Vorschriften entspricht. Ist dies nicht der Fall, so können anhand der erfassten Auswirkungen des Angriffes Maßnahmen zur Erhöhung der Sicherheit des Fahrzeugs gegen den Cyberangriff ergriffen werden.
  • Dadurch, dass die erste Komponente mithilfe des Auswahlmoduls ausgewählt wird, ist es nicht erforderlich, dass ein Entwickler das Fahrzeug oder ein Simulationsmodel des Fahrzeugs untersucht und die erste Komponente erkennt. Mithilfe des Auswahlmoduls kann der erste Schritt automatisiert erfolgen. Ebenso kann das Simulieren des Angriffes mithilfe des Simulationsmoduls automatisiert umgesetzt werden. Beispielsweise kann die Angriffsnachricht durch Ausführen einer oder mehrerer Befehle des Simulationsmoduls generiert werden. Gleiches gilt für das Erfassen der Auswirkungen des Angriffes.
  • Dadurch, dass die Schritte eins bis drei mithilfe des Testsystems, insbesondere automatisiert, durchgeführt werden können, können der erste, zweite und/oder dritte Schritt innerhalb kürzester Zeit, beispielsweise innerhalb von 10 bis 20 Sekunden, mehrfach, beispielsweise 10 bis 100 Mal durchgeführt werden. Hierbei wird bei einem jeweiligen erneuten Simulieren des Angriffes der Angriff bevorzugt verändert. Hierbei können beispielsweise ein oder mehrere Werte eines oder mehrerer Parameter zur Erstellung der Angriffsnachricht automatisiert verändert werden. Das vorgeschlagene Verfahren zum Testen der Sicherheit des Fahrzeugs gegen Cyberangriffe ermöglicht daher, das Fahrzeug im Rahmen einer vorgegebenen Zeit umfangreicher im Hinblick auf diese Sicherheit zu prüfen. Dadurch kann diese Sicherheit erhöht werden.
  • Der Ausdruck „Modul“, wie er hierin benutzt wird, beschreibt eine beliebige bekannte oder später entwickelte Hardware, Software, Firmware, Künstliche Intelligenz, Fuzzy-Logik oder Kombination aus einer Hardware, Software, Firmware, Künstliche Intelligenz und/oder Fuzzy-Logik, die in der Lage ist, die mit dem jeweiligen „Modul“ assoziierte Funktionalität auszuführen. So ist das Auswahlmodul eingerichtet, die erste Komponente auszuwählen. Analog ist das Simulationsmodul eingerichtet, den Angriff zu simulieren.
  • In einer vorteilhaften Ausgestaltung wird zumindest eine potentielle Schwachstelle der ersten Komponente, im Folgenden auch als Schwachstelle bezeichnet, mithilfe des Testsystems bestimmt. Bei dieser Ausgestaltung wird der Cyberangriff in Abhängigkeit der potentiellen Schwachstelle simuliert. Dadurch kann der Angriff gezielter erfolgen, wodurch die Auswirkungen des Angriffes verstärkt werden können. Dies bewirkt, dass das Verfahren zum Testen des Fahrzeugs, insbesondere der ersten Komponente, effizienter ist. Besteht die erste Komponente einen Test, der mit einem derart simulierten Angriff durchgeführt wurde, so kann die erste Komponente als sicherer angesehen werden.
  • In einer möglichen Ausführungsform wird das Auswählen der ersten Komponente anhand der Erkennungsnachricht durchgeführt, wobei die Erkennungsnachricht über das Kommunikationssystem zu dem Testsystem gesendet wird. Das Kommunikationssystem ist bei dieser Ausführungsform ein Bussystem des Fahrzeugs. Dies hat den Vorteil, dass eine Kommunikation zwischen dem Testsystem und der ersten Komponente einfach aufgebaut werden kann. Dies kann beispielsweise durch montieren des oben genannten elektronischen Anschlusses an das Bussystem realisiert werden. Das Testsystem muss demnach nicht direkt an die erste Komponente angeschlossen werden, um das vorgeschlagene Verfahren durchzuführen. Dadurch wird ein Erkennen des vorgeschlagenen Verfahrens vonseiten der ersten Komponente oder vonseiten eines möglichen Überwachungsmoduls des Fahrzeugs erschwert. Das Auswahlmodul kann bei dieser Ausführungsform die erste Komponente beispielsweise durch Auswerten eines Arbitrierungsfeldes der Erkennungsnachricht detektieren. In vielen Fällen kann von einem Inhalt des Arbitrierungsfeldes eindeutig auf einen Absender der Erkennungsnachricht, in diesem Fall auf die erste Komponente, geschlossen werden. Dies ist zum Beispiel dann der Fall, wenn das Bussystem ein CAN-Bus ist.
  • Gemäß einer weiteren Ausgestaltung wird der Cyberangriff auf die erste Komponente in Abhängigkeit von einer Art einer Kommunikation zwischen der ersten Komponente und einer zweiten Komponente zum Betreiben des Fahrzeugs simuliert. Bevorzugt detektiert das Auswahlmodul die Art der Kommunikation zwischen der ersten Komponente und der zweiten Komponente.
  • Die Art der Kommunikation kann beispielsweise einen detektierten regelmäßigen zeitlichen Abstand, innerhalb welchem ein oder mehrere Nachrichten zwischen der ersten und der zweiten Komponente ausgetauscht werden, umfassen. Weiterhin kann die detektierte Art der Kommunikation einen detektierten Inhalt der Nachrichten beschreiben. Diese Ausgestaltung erlaubt es, den Angriff derart auszuführen, dass dieser gezielt auf die Art der Kommunikation zwischen der ersten und zweiten Komponente gerichtet ist. Dadurch kann eine Wahrscheinlichkeit, dass die Auswirkungen des Angriffes systemrelevant, insbesondere zu einem Ausfall oder einer Fehlfunktion, der ersten Komponente führen, erhöht werden. Für den Fall, dass in dem dritten Schritt des Verfahrens die Auswirkungen des derart ausgeführten Angriffes auf die erste Komponente als ungefährlich, insbesondere als nicht system relevant, eingestuft werden, kann eine höhere Sicherheit der ersten Komponente, insbesondere des Fahrzeugs, bestätigt werden als für den Fall, dass der Angriff unabhängig von der detektierten Art der Kommunikation generiert wird.
  • In einer Weiterbildung dieser Ausgestaltung ist die zweite Komponente ein externer Server. Bei dieser Weiterbildung wird die Angriffsnachricht bevorzugt derart erzeugt, dass diese einer mithilfe des externen Servers erstellten Nachricht, im Folgenden als Servernachricht bezeichnet, ähnelt. Dadurch können auch Angriffe auf das Fahrzeug, die von externen Servern ausgeführt werden könnten, simuliert werden.
  • Gemäß einer weiteren Weiterbildung ist die erste Komponente das Steuergerät und die zweite Komponente ein Sensor. Diese Weiterbildung ermöglicht es, den Angriff als einen Angriff zu simulieren, der über den Sensor ausgeübt wird. Der Sensor ist bevorzugt ein Lidar-, Radar- oder Kamerasensor. Da viele Sensoren des Fahrzeugs, insbesondere diejenigen, die für ein autonomes Fahren benötigt werden, insbesondere Abstandssensoren wie ein Lidarsensor oder Radarsensor, von außerhalb des Fahrzeugs leicht zugänglich sind, kann ein potentieller Angreifer sich leicht einen Zugang zu dem Bussystem des Fahrzeugs über einen dieser Sensoren verschaffen. Den Cyberangriff als Angriff über den Sensor zu simulieren hat den Vorteil, dass dadurch geprüft wird, ob eine Funktion des Fahrzeugs durch einen derartigen Angriff beeinträchtigt werden kann.
  • In einer vorteilhaften Ausführungsform des Verfahrens wird ein System des Fahrzeugs zum zumindest teilweise autonomen Fahren des Fahrzeugs, insbesondere mithilfe des Auswahlmoduls, detektiert. Das detektierte System weist zumindest die erste Komponente und zumindest die zweite Komponente auf. Der Cyberangriff wird bei dieser Ausführungsform bevorzugt in Abhängigkeit des detektierten Systems simuliert. Dies ermöglicht es, den Angriff gezielter durchzuführen. Das detektierte System ist bevorzugt das Fahrerassistenzsystem, welches zum Beispiel ein Abstandsregeltempomat, auch Adaptive Cruise Control (ACC) genannt, sein kann. Bei diesem Beispiel kann die erste Komponente ein Bremssystem, insbesondere ein Steuergerät des Bremssystems, sein. Die zweite Komponente kann ein Sensor zum Detektieren eines Abstandes zwischen dem Fahrzeug und einem vorausfahrenden weiteren Fahrzeug sein, wie zum Beispiel ein Radar- oder ein Lidarsensor. Des Weiteren kann ein Antriebssystem des Fahrzeugs bei diesem Beispiel als dritte Komponente des Systems betrachtet werden.
  • In einer vorteilhaften Ausgestaltung ist vorgesehen, dass eine Simulation des Angriffes unter Verwendung eines Hardware-in-the-Loop (HIL) -Verfahrens durchgeführt wird. Hierbei kann bevorzugt ein Verhalten ein oder mehrere Sensoren, deren Signale die erste Komponente verarbeitet, mithilfe eines HIL-Simulators simuliert werden. Der HIL-Simulator simuliert bevorzugt ein Aussenden der Signale des Sensors oder der Sensoren. Hierzu sind Ein- und Ausgänge des HIL-Simulators entweder an Ein- und Ausgängen der ersten Komponente angeschlossen oder mit Ein- und Ausgängen des weiteren Rechenmoduls verknüpft. Das Rechenmodul kann bevorzugt ein Programm zum Simulieren der ersten Komponente ausführen.
  • Die erste Komponente kann bei dieser Ausgestaltung bevorzugt das Steuergerät, insbesondere das Steuergerät des Fahrerassistenzsystems, sein. Die zweite Komponente kann in diesem Fall der Radar- oder Lidarsensor sein. Die Verwendung des HIL-Verfahrens erlaubt es, das Steuergerät zu testen, obwohl der Sensor nicht physisch verwendet wird. Dadurch kann der Aufwand zum Testen der Sicherheit des Steuergerätes gegen Cyberangriffe reduziert werden.
  • Bevorzugte Ausführungsbeispiele werden anhand der folgenden Figuren näher erläutert. Dabei zeigt schematisch
    • 1 ein Testsystem zum Testen einer Sicherheit einer Komponente eines Fahrzeugs gegen Cyberangriffe;
    • 2 ein Fahrzeug und ein weiteres vorausfahrendes Fahrzeug;
    • 3 Schritte eines Verfahrens zum Testen der Sicherheit der in 1 gezeigten Komponente;
    • 4 das in 2 gezeigte Fahrzeug mit einem System mit Fahrzeugkomponenten und dem in 1 gezeigten Testsystem;
    • 5 Schritte des in 3 gezeigten Verfahrens unter Verwendung eines HIL-Simulators.
  • 1 zeigt ein Testsystem 1 zum Testen einer Sicherheit eines in 2 gezeigten Fahrzeugs 10 gegen Cyberangriffe. Das Testsystem 1 ist eingerichtet, zumindest eine erste Komponente 21 des Fahrzeugs 10 mit Hilfe eines Auswahlmoduls 2 des Testsystems 1 auszuwählen. Weiterhin ist das Testsystem 1 eingerichtet, einen Cyberangriff auf die erste Komponente 21 in Abhängigkeit von der ausgewählten ersten Komponente 21 mit Hilfe eines Simulationsmoduls 3 des Testsystems 1 zu simulieren. Bevorzugt ist das Testsystem 1 eingerichtet, Auswirkungen des Cyberangriffes auf die erste Komponente 21 mit Hilfe des Testsystems 1, beispielsweise mit Hilfe eines Auswertungsmoduls 4, zu erfassen.
  • Mit Hilfe des Testsystems 1 kann insbesondere ein Verfahren zum Testen der Sicherheit des Fahrzeugs 10 gegen Cyberangriffe durchgeführt werden. In einem in 3 dargestellten ersten Schritt 301 des Verfahrens wird die erste Komponente 21 mit Hilfe des Auswahlmoduls 2 ausgewählt. Dies kann beispielsweise dadurch realisiert werden, dass eine Erkennungsnachricht 101, die von der ersten Komponente 21 zu einer zweiten Komponente 22 über ein Kommunikationssystem 5 gesendet wird, mit Hilfe des Auswahlmoduls 2 ausgewertet wird.
  • In einem zweiten Schritt 302 wird der Angriff auf die erste Komponente 21 mit Hilfe des Simulationsmoduls 3 in Abhängigkeit von der ausgewählten ersten Komponente 21 simuliert. Hierzu kann das Simulationsmodul 3 beispielsweise eine Angriffsnachricht 103 zu dem Kommunikationssystem 5 senden. Das Kommunikationssystem 5 ist vorzugsweise derart ausgebildet, dass Nachrichten, die zu dem Kommunikationssystem 5 gesendet werden, von allen Teilnehmern, die an dem Kommunikationssystem 5 angeschlossen sind, empfangen werden können. Das Kommunikationssystem 5 kann beispielsweise ein Bussystem, insbesondere ein CAN-Bus-System, sein.
  • In einem dritten Schritt 303 des Verfahrens werden Auswirkungen des Angriffes auf die erste Komponente 21 mit Hilfe des Testsystems 1, insbesondere mit Hilfe eines Auswertungsmoduls 4, erfasst. In dem dritten Schritt wird vorzugsweise eine weitere Nachricht 102, die von der ersten Komponente 21 in Reaktion auf ein Empfangen der Angriffsnachricht 103 generiert wurde, ausgewertet. Möglich ist, dass die weitere Nachricht 102 eine Information darüber enthält, dass die erste Komponente 21 eine Funktionsstörung hat.
  • Wie oben beschrieben, kann das Testsystem 1 in einer Simulationsumgebung mit dem weiteren Rechenmodul verknüpft sein. Das weitere Rechenmodul ist in diesem Fall bevorzugt eingerichtet, das Verhalten der ersten Komponente 21 und vorteilhafterweise ein Verhalten der zweiten Komponente 22 zu simulieren. Die Schritte 301, 302, 303 zur Durchführung des Verfahrens zum Testen der Sicherheit des Fahrzeugs 10 können gemäß einer Ausgestaltung mit Hilfe eines Rechenmoduls durchgeführt werden. In diesem Fall kann das Rechenmodul als ein Teil des Testsystems 1 betrachtet werden. Das Rechenmodul kann insbesondere das Auswahlmodul 2, das Simulationsmodul 3 und bevorzugt das Auswertungsmodul 4 aufweisen.
  • Gemäß einer möglichen Ausgestaltung kann sowohl das Rechenmodul als auch das weitere Rechenmodul auf einem Rechnersystem ausgeführt werden. Im Folgenden soll jedoch eine Variante beschrieben werden, bei welcher die erste Komponente 21 als auch die zweite Komponente 22 physisch in Form eines Systems 20 in dem Fahrzeug 10 vorliegen. Ebenso soll bei dieser Variante das Testsystem 1 zumindest einen von dem System 20 separat steuerbaren Prozessor 41 zur Ausführung von Befehlen des Auswahlmoduls 2, des Simulationsmoduls 3 und des Auswertungsmoduls 4 aufweisen.
  • Das System 20 soll im Folgenden beispielhaft in Form des oben beschriebenen ACC-Systems ausgebildet sein. Für einen Anwendungsfall wird als die erste Komponente 21 ein zentrales Steuergerät des ACC-Systems gewählt. Die zweite Komponente 22 ist bei diesem Beispiel in Form eines Lidar- oder Radarsensors ausgebildet, um einen Abstand zwischen dem Fahrzeug 10 und einem weiteren vor dem Fahrzeug 10 vorausfahrenden Fahrzeug 40 zu ermitteln. Die zweite Komponente 22 weist bevorzugt einen eigenen Prozessor auf, der den Abstand anhand von empfangenen Lidar- bzw. Radarsignalen ermittelt. Die zweite Komponente 22 sendet über das Kommunikationssystem 5 den Abstand zu dem zentralen Steuergerät 21. Das zentrale Steuergerät 21 generiert in Abhängigkeit von dem Abstand erste Befehle zum Steuern eines Bremssystems 23 des Fahrzeugs 10 und/oder zweite Befehle zum Steuern eines Antriebssystems 24 des Fahrzeugs 10. Die ersten und/oder zweiten Befehle werden von der ersten Komponente 21 über das Kommunikationssystem 5 zu dem Bremssystem 23 beziehungsweise dem Antriebssystem 24 gesendet.
  • Bei der in 4 gezeigten Ausführungsform ist das Testsystem 1 an das Kommunikationssystem 5 derart angeschlossen, dass es Nachrichten, die zwischen den Komponenten des ACC-Systems ausgetauscht werden, empfangen und lesen kann. Beispielhaft soll im Folgenden angenommen werden, dass die oben genannte Erkennungsnachricht 101 die ersten und zweiten Befehle zum Steuern des Bremssystems 23 und des Antriebssystems 24 enthält. Vorteilhafterweise ist das Auswahlmodul 2 eingerichtet, das System 20 in Abhängigkeit von einer Art einer Kommunikation zwischen den Komponenten des Systems 20, insbesondere zwischen dem zentralen Steuergerät 21 und der zweiten Komponente 22, dem Bremssystem 23 und/oder dem Antriebssystem 24 zu detektieren. So kann das Auswahlmodul 2 beispielsweise das System 20 als ACC-System erkennen, indem das Auswahlmodul 2 die ersten Befehle als Steuerbefehle zum Steuern des Bremssystems 23 und/oder die zweiten Befehle als zweite Steuerbefehle zum Steuern des Antriebssystems 24 erkennt.
  • Bevorzugt ist das Testsystem 1, insbesondere das Simulationsmodul 3, eingerichtet, den Angriff in Abhängigkeit von dem detektierten System 20 zu simulieren. So kann beispielsweise das Simulationsmodul 3 die Angriffsnachricht 103 derart erstellen, dass die Angriffsnachricht 103 erste gefälschte Befehle zum Steuern des Bremssystems 23 und/oder zweite gefälschte Befehle zum Steuern des Antriebssystems 24 aufweist. Das Simulationsmodul 3 ist insbesondere derart eingerichtet, die Angriffsnachricht 103 so zu generieren, dass das Bremssystem 23 und/oder das Antriebssystem 24 nicht detektieren können, ob die Angriffsnachricht 103 von dem zentralen Steuergerät 21 oder von dem Testsystem 1 ausgesendet wurde. Hierzu kann das Simulationsmodul 3 beispielsweise die Angriffsnachricht 103 derart generieren, dass ein Wert eines Arbitrierungsfeldes der Angriffsnachricht 103 identisch mit einem Wert eines Arbitrierungsfeldes der Erkennungsnachricht 101 ist. Hierzu kann das Auswahlmodul 2 beispielsweise den Wert des Arbitrierungsfeldes der Erkennungsnachricht 101 auslesen und an das Simulationsmodul 3 senden. Bevorzugt detektiert das Auswahlmodul 2 die erste Komponente 21 anhand des Wertes des Arbitrierungsfeldes der Erkennungsnachricht 101. Prinzipiell ist es möglich, dass die Angriffsnachricht 103 an eine ausgewählte Komponente der Komponenten 21, 22, 23, 24 des Systems 20 adressiert ist. In diesem Fall ist das Simulationsmodul 2 bevorzugt eingerichtet, einen Angriffsweg, insbesondere einen Empfänger, des Angriffes, insbesondere der Angriffsnachricht zu bestimmen.
  • Die gefälschten ersten und/oder zweiten Befehle können beispielsweise verursachen, dass das Fahrzeug 10 stark abgebremst wird. Das ACC-System würde in diesem Fall die weitere Nachricht 102 derart erstellen, dass diese weitere Befehle zum Steuern des Antriebssystems 24 aufweist, die ein Beschleunigen des Fahrzeugs 10 bewirken würden.
  • Die weitere Nachricht 102 wird vorteilhafterweise mit Hilfe des Auswertungsmoduls 4 eingelesen und analysiert. Wird festgestellt, dass die weitere Nachricht 102 die weiteren Befehle zum Beschleunigen des Fahrzeugs 10 aufweist, so kann eine Simulation des Angriffes in Form eines Versendens der Angriffsnachricht 103 in das Kommunikationssystem 5 als erfolgreich betrachtet werden. In diesem Fall speichert das Auswertungsmodul 4 vorzugsweise in einer Lockdatei eine Auswirkung des Angriffes auf die erste Komponente 21, insbesondere auf das System 20, bevorzugt in Form einer Notiz, ab. Die Notiz kann beispielsweise einen Inhalt der weiteren Nachricht 102 und der Angriffsnachricht 103 enthalten.
  • Vorteilhafterweise ist das Testsystem 1 eingerichtet, den Angriff unter Verwendung des oben beschriebenen HIL-Verfahrens durchzuführen. Hierbei kann beispielsweise ein Verhalten der zweiten Komponente 22, insbesondere des Lidar- oder Radarsensors, simuliert werden. Sensornachrichten, die jeweils einen Abstand zwischen dem Fahrzeug 10 und dem weiteren Fahrzeug 40 aufweisen, können bei dieser Variante mit Hilfe des HIL-Simulators generiert werden und in Form einer jeweiligen erneut generierten veränderten Angriffsnachricht 103 zu der ersten Komponente 21 über das Kommunikationssystem 5 gesendet werden. Zu der jeweils erneut generierten Angriffsnachricht 103 kann eine entsprechende jeweilige neue weitere Nachricht 102, die die erste Komponente 21 in erneut Reaktion auf ein Empfangen und Verarbeiten der jeweiligen erneut generierten Angriffsnachricht 103 erzeugt, ausgewertet werden.
  • Bevorzugt ist das Testsystem 1, insbesondere das Auswahlmodul 2, eingerichtet, eine potentielle Schwachstelle der ersten Komponente 21 und/oder des Systems 20 zu bestimmen. Beispielsweise kann das Auswahlmodul 2 detektieren, dass Nachrichten zwischen den Komponenten des Systems 20 unverschlüsselt ausgetauscht werden. Alternativ oder zusätzlich kann die Schwachstelle darin bestehen, dass Software zum Generieren der Nachrichten nicht auf dem neusten Stand ist, das heißt wesentliche Updates nicht aufweist. Insbesondere kann die Schwachstelle darin bestehen, dass die Nachrichten, die von den Komponenten des Systems 20, insbesondere der ersten Komponente 21, ausgesendet werden, keinen Authentizitätsnachweis, wie beispielsweise eine Signatur, aufweisen. Dadurch ist es möglich, die Angriffsnachricht 103 derart zu erstellen, dass diese nicht von der Erkennungsnachricht 101 durch das Bremssystem 23 oder das Antriebssystem 24 unterschieden werden kann. Für den Fall, dass die Schwachstelle darin besteht, dass Nachrichten innerhalb des Systems 20 unverschlüsselt und ohne Signaturen ausgetauscht werden, kann die Angriffsnachricht 103 beispielsweise unverschlüsselt und ohne eine Signatur erstellt werden. Insbesondere kann die Angriffsnachricht 103 einen Virus in Form einer ausführbaren Datei aufweisen, wobei die erste Komponente 21 nicht gegen den Virus geschützt ist. Das Simulationsmodul 2 wählt den Virus bevorzugt in Abhängigkeit einer erkannten Version einer von der ersten Komponente 21 verwendeten Software aus einer Menge von unterschiedlichen Viren aus.
  • Um den Angriff in Abhängigkeit von der Schwachstelle zu simulieren, insbesondere die Angriffsnachricht 103 zu generieren, kann beispielweise auf eine Datenbank 42 des Testsystems 1 zugegriffen werden und die Schwachstelle aus einer Menge von in der Datenbank 42 aufgelisteten möglichen Schwachstellen in Abhängigkeit von der detektierten ersten Komponente ausgewählt werden. Bevorzugt wird die Schwachstelle in Abhängigkeit einer mithilfe des Auswahlmoduls 2 erkannten Systemkonfiguration des Systems 20 bestimmt. Die Systemkonfiguration umfasst beispielsweise welche Art von Komponenten das System 20 aufweist, wie beispielsweise das Steuergerät als erste Komponente 21, den Lidar- oder Radarsensor 22, das Bremssystem 23 und das Antriebssystem 24, und in welcher Weise eine Kommunikation zwischen den Komponenten des Systems 20 ausgeführt wird. Ein Auswählen der Schwachstelle aus der Datenbank 42 hat den Vorteil, dass die Schwachstelle nicht anhand der Erkennungsnachricht 101 erfasst werden muss. Es genügt, die erste Komponente 21, das System 20 und/oder die Systemkonfiguration, bevorzugt anhand der Erkennungsnachricht 101, zumindest teilweise zu detektieren.
  • Ein Bestimmen der Schwachstelle kann als Teil einer „Threat and Risk Analysis“ (TARA) betrachtet werden. In der Regel ist eine Durchführung der TARA durch einen Entwickler zeitaufwendig. Dadurch, dass das Testsystem 1 die Schwachstelle bestimmt, kann dieser Zeitaufwand eingespart werden. Bei dem oben beschriebenen jeweiligen erneuten Simulieren des Angriffes, insbesondere bei dem jeweiligen erneuten Generieren der Angriffsnachricht 103, kann zuvor eine jeweilige weitere potentielle Schwachstelle der ersten Komponente 21 bestimmt werden. Der jeweilige erneute Angriff wird hierbei in Abhängigkeit der jeweiligen weiteren Schwachstelle simuliert.
  • Ein Detektieren des Systems 20 und/oder der Schwachstelle kann bevorzugt mithilfe eines KI-moduls 43 des Auswahlmoduls erfolgen. Das KI-modul 43 umfasst bevorzugt ein oder mehrere neuronale Netze. Als Trainingsdaten zum Trainieren des KI-moduls 43 können beispielsweise Angaben über Systemkonfigurationen, insbesondere Kommunikationsarten, von einer Vielzahl unterschiedlicher Systeme verwendet werden. Die unterschiedlichen Systeme können beispielsweise diverse unterschiedliche Fahrerassistenzsysteme, wie beispielsweise ein Spurwechselassistenz-, Spurhalteassistenz-, Einparkassistenz-, Antischlupf-, ESP- und/oder Bremsassistenzsystem, umfassen. Als Eingangsdatensatz des KI-moduls 43 können beispielsweise Angaben über die detektierte erste Komponente 21, das System 20 und/oder über die weiteren Komponenten 22, 23, 24 des Systems 20, Angaben über einen Inhalt der Erkennungsnachricht 101 und/oder die detektierte Art der Kommunikation zwischen den Komponenten des Systems 20 verwendet werden. Ein Ausgangsdatensatz des KI-moduls 43 kann Angaben über das detektierte System, die Schwachstelle und/oder einen Inhalt der Angriffsnachricht 103 aufweisen.
  • Das vorgeschlagene Verfahren kann bevorzugt wie in 5 gezeigt gegliedert werden. Im Rahmen des ersten Schrittes 301 können die ein oder mehreren Schwachstellen im Rahmen einer automatisierten TARA 501 ermittelt werden. In Abhängigkeit eines Ergebnisses der TARA 501 können ein oder mehrere Angriffsszenarien 502, darunter insbesondere die Angriffsnachricht 103, generiert werden. Diese Angriffsszenarien 502 können mithilfe des HIL-Verfahrens in einem Simulationsschritt 503 durchgeführt werden, um die Sicherheit des Fahrzeugs 10, insbesondere des Systems 20, bevorzugt der ersten Komponente 21, gegenüber Cyberangriffe zu testen. Ergebnisse des HIL-Verfahrens können verwendet werden, um die TARA 501 erneut durchzuführen und die Angriffsszenarien 502 erneut zu erstellen und die Angriffsszenarien 502 wiederholt mithilfe des HIL-Verfahrens in dem Simulationsschritt 503 zu simulieren.

Claims (10)

  1. Verfahren zum Testen einer Sicherheit eines Fahrzeugs (10) gegen Cyberangriffe mithilfe eines dafür eingerichteten Testsystems (1) mit den folgenden Schritten: - Auswählen zumindest einer ersten Fahrzeugkomponente (21) des Fahrzeugs (10) mithilfe eines Auswahlmoduls (2) des Testsystems (1); - Simulieren eines Cyberangriffes auf die erste Fahrzeugkomponente (21) in Abhängigkeit von der ausgewählten ersten Fahrzeugkomponente (21) mithilfe eines Simulationsmoduls (3) des Testsystems (1); - Erfassen von Auswirkungen des Cyberangriffes auf die erste Fahrzeugkomponente (21) mithilfe des Testsystems (1).
  2. Verfahren nach Anspruch 1, wobei eine potentielle Schwachstelle der ersten Fahrzeugkomponente (21) bestimmt wird und der Cyberangriff in Abhängigkeit der potentiellen Schwachstelle simuliert wird.
  3. Verfahren nach Anspruch 1 oder 2, wobei das Auswählen der ersten Fahrzeugkomponente (21) anhand von zumindest einer von der ersten Fahrzeugkomponente (21) ausgesandten Nachricht des Fahrzeugs (10) durchgeführt wird und die Nachricht von der ersten Fahrzeugkomponente (21) über ein Kommunikationssystem zu dem Testsystem (1) gesendet wird, wobei das Kommunikationssystem ein Bussystem (5) des Fahrzeugs (10) ist.
  4. Verfahren nach einem der vorherigen Ansprüche, wobei der Cyberangriff auf die erste Fahrzeugkomponente (21) in Abhängigkeit von einer Art einer Kommunikation zwischen der ersten Fahrzeugkomponente (21) und einer zweiten Komponente zum Betreiben des Fahrzeugs (10) simuliert wird.
  5. Verfahren nach Anspruch 4, wobei die zweite Komponente ein externer Server ist.
  6. Verfahren nach Anspruch 4, wobei die erste Fahrzeugkomponente (21) ein Steuergerät ist und die zweite Komponente ein Sensor (22) ist.
  7. Verfahren nach einem der vorherigen Ansprüche, wobei ein System (20) des Fahrzeugs (10) zum zumindest teilweise autonomen Fahren des Fahrzeugs (10) detektiert wird, welches zumindest die erste Fahrzeugkomponente (21) und zumindest eine zweite Fahrzeugkomponente (22) aufweist, und in Abhängigkeit des detektierten Systems (20) der Cyberangriff simuliert wird.
  8. Verfahren nach einem der vorherigen Ansprüche, eine Simulation des Cyberangriffes unter Verwendung eines Hardware-in-the-Loop-Verfahrens durchgeführt wird.
  9. Testsystem (1) zum Testen einer Sicherheit eines Fahrzeugs (10) gegen Cyberangriffe, wobei das Testsystem (1) eingerichtet ist - zumindest eine erste Fahrzeugkomponente (21) des Fahrzeugs (10) mithilfe eines Auswahlmoduls (2) des Testsystems (1) auszuwählen; - einen Cyberangriff auf die erste Fahrzeugkomponente (21) in Abhängigkeit von der ausgewählten ersten Fahrzeugkomponente (21) mithilfe eines Simulationsmoduls (3) des Testsystems (1) zu simulieren; - Auswirkungen des Cyberangriffes auf die erste Fahrzeugkomponente (21) mithilfe des Testsystems (1) zu erfassen.
  10. Computerprogrammprodukt, umfassend ein Programm, das, wenn es von einem Computer ausgeführt wird, den Computer veranlasst, ein Verfahren nach einem der Ansprüche 1 bis 8 durchzuführen.
DE102023132137.4A 2023-11-17 2023-11-17 Testverfahren und Testsystem zum Prüfen einer Sicherheit eines Fahrzeugs gegen Cyberangriffe Pending DE102023132137A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102023132137.4A DE102023132137A1 (de) 2023-11-17 2023-11-17 Testverfahren und Testsystem zum Prüfen einer Sicherheit eines Fahrzeugs gegen Cyberangriffe

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102023132137.4A DE102023132137A1 (de) 2023-11-17 2023-11-17 Testverfahren und Testsystem zum Prüfen einer Sicherheit eines Fahrzeugs gegen Cyberangriffe

Publications (1)

Publication Number Publication Date
DE102023132137A1 true DE102023132137A1 (de) 2024-01-25

Family

ID=89429386

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102023132137.4A Pending DE102023132137A1 (de) 2023-11-17 2023-11-17 Testverfahren und Testsystem zum Prüfen einer Sicherheit eines Fahrzeugs gegen Cyberangriffe

Country Status (1)

Country Link
DE (1) DE102023132137A1 (de)

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP3430558B1 (de) Erkennen einer abweichung eines sicherheitszustandes einer recheneinrichtung von einem sollsicherheitszustand
DE102018220711A1 (de) Messung der Anfälligkeit von KI-Modulen gegen Täuschungsversuche
DE102017202176A1 (de) Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung
WO2020020666A1 (de) Verfahren und vorrichtung zur kontrolle eines fahrverhaltens eines hochautomatisiert fahrenden fahrzeugs sowie infrastrukturanlage, fahrzeug oder überwachungsfahrzeug mit der vorrichtung
AT522625A1 (de) Verfahren zur Sicherheitsüberprüfung einer Technikeinheit
EP2362321A1 (de) Verfahren und System zum Erkennen einer Schadsoftware
DE102014214300A1 (de) Vorrichtung und Verfahren zur Fehler- und Angriffserkennung für ein Kraftfahrzeug
DE102023132137A1 (de) Testverfahren und Testsystem zum Prüfen einer Sicherheit eines Fahrzeugs gegen Cyberangriffe
WO2016169646A1 (de) System und verfahren zur überwachung der integrität einer von einem serversystem an ein clientsystem ausgelieferten komponente
EP3134842B1 (de) Rechenvorrichtung und verfahren zum erkennen von angriffen auf ein technisches system anhand von ereignissen einer ereignisfolge
WO2023020853A1 (de) Trainingsverfahren zum trainieren eines künstlichen maschinellen lernsystems zur erkennung von fehlfunktionen und fahrzeugvorrichtung
EP3486825A1 (de) Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität
DE102021109126A1 (de) Verfahren zum Testen eines Produkts
DE102016208076A1 (de) Verfahren und vorrichtung zur auswertung eines eingabewerts in einem fahrerassistenzsystem, fahrerassistenzsystem und testsystem für ein fahrerassistenzsystem
EP3629177B1 (de) Verfahren zum überprüfen eines betriebs eines elektronischen datenverarbeitungsmittels
DE102023102565B4 (de) Verfahren zur Intrusions-Überwachung in einem Computernetzwerk sowie Kraftfahrzeug und Cloud Computing-Infrastruktur
WO2022161683A1 (de) Fehleranfälligkeit einer build-pipeline
WO2019081243A1 (de) Verfahren und vorrichtung zum verbessern der robustheit eines maschinellen lernsystems
WO2024074331A1 (de) Verfahren und unterstützungseinrichtung zum unterstützen einer robustheitsoptimierung für ein datenverarbeitungssystem und korrespondierendes ci-system
DE102021209691B3 (de) Verfahren zum Überwachen einer Komponente einer Wirkkette
EP4273725A1 (de) Verfahren zur ermittlung von kritischen schwachstellenketten
DE102021210902A1 (de) Techniken zum detektieren eines eindringens in ein bussystem
DE102022210264A1 (de) Verfahren zur Erkennung von potenziellen Datenexfiltrationsangriffen bei wenigstens einem Softwarepaket
DE102021207471A1 (de) Techniken zum absichern eines computer-basierten klassifiaktors

Legal Events

Date Code Title Description
R230 Request for early publication
R163 Identified publications notified