Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
CONTROL UNIT AND METHOD FOR THE TAMPER-PROOF DETECTION OF OPERATIONAL SAFETY-RELATED INTEGRITY MONITORING DATA
Document Type and Number:
WIPO Patent Application WO/2019/161958
Kind Code:
A1
Abstract:
The invention relates to a control unit (ER) which comprises at least one processor (P) which is designed to carry out the following steps: - tamper-proof detection of operational safety-related integrity monitoring data of a system (ID1 to ID5) which is equipped with an operational safety-critical function and which is connected or can be connected to a communications network by radio transmission (5G), the integrity monitoring data describing integrity monitoring of the system and external access to the radio transmission; and - tamper-proof recording and/or storing of the integrity monitoring data in order to evaluate same in the event of a use of the operational safety-related function.

Inventors:
FALK, Rainer (Primelweg 9, Poing, 85586, DE)
Application Number:
EP2018/084387
Publication Date:
August 29, 2019
Filing Date:
December 11, 2018
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
SIEMENS AKTIENGESELLSCHAFT (Werner-von-Siemens-Straße 1, München, 80333, DE)
International Classes:
H04W12/12; G07C3/00; G07C5/00
Foreign References:
EP2892199A12015-07-08
US20150349810A12015-12-03
US20120222130A12012-08-30
US20150087241A12015-03-26
EP17180526A2017-07-10
EP17188718A2017-08-31
Download PDF:
Claims:
Patentansprüche

1. Steuereinheit (ER), die mindestens einen Prozessor (P) um fasst, der eingerichtet ist, um die folgenden Schritte auszu führen :

- Manipulationsgeschütztes Erfassen von betriebssicherheits relevanten Integritätsüberwachungsdaten eines mit einer be- triebssicherheitskritischen Funktion ausgestatteten Systems (ID1 bis ID5) , das per Funkübertragung (5G) an ein Kommuni kationsnetzwerk angebunden ist oder angebunden werden kann, wobei die Integritätsüberwachungsdaten eine Integritäts überwachung des Systems und Fremdzugriffe auf die Funküber tragung beschreiben, und

- manipulationsgeschütztes Aufzeichnen und/oder Speichern der Integritätsüberwachungsdaten zur Auswertung derselben im Falle eines Einsatz der betriebssicherheitsrelevanten Funk tion.

2. Steuereinheit nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass der Prozessor desweiteren dazu einge richtet ist, die aufgezeichneten und/oder gespeicherten In tegritätsüberwachungsdaten auszugeben, um eine Auswertung derselben basierend auf einer erhaltenen Alarm- und/oder War ninformation einzuleiten, welche aufgrund einer Ausführung der sicherheitskritischen Funktion ausgesendet worden ist.

3. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Integritätsüberwachungsdaten während des Betriebs des Systems aufgezeichnet und/oder ge speichert werden.

4. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Integritätsüberwachungsdaten zudem zumindest eine Eigenschaft des Funksignals der Funk übertragung und/oder einen digitalisierten Ausschnitt des Funksignals beschreiben.

5. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Integritätsüberwachungsdaten zudem Systemsteuerungsbefehle umfassen.

6. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Aufzeichnen und/oder Spei chern der Integritätsüberwachungsdaten mittels einer krypto- graphischen Prüfsumme manipulationsgeschützt ist.

7. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Aufzeichnen und/oder Spei chern der Integritätsüberwachungsdaten mittels einer Attes tierung manipulationsgeschützbar ist.

8. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Steuereinheit als im System lokal angeordnete Applikation, als außerhalb des Systems an geordnete Cloud- und/oder Serverdienst (EC) ausgestaltet ist.

9. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zum manipulationsgeschützten Er fassen der Integritätsüberwachungsdaten diese als Transaktion in eine Blockchain-Datenstruktur eingestellt sind.

10. Steuereinheit nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zum manipulationsgeschützten Aufzeichnen und/oder Speichern der Integritätsüberwachungsda ten diese in eine kryptographisch gesicherte Log-Datei ge schrieben oder schreibbar sind.

11. Verfahren umfassend folgende Schritte:

- Manipulationsgeschütztes Erfassen von betriebssicherheits relevanten Integritätsüberwachungsdaten eines mit einer be- triebssicherheitskritischen Funktion ausgestatteten Systems (ID1 bis ID5) , das per Funkübertragung (5G) an ein Kommuni kationsnetzwerk angebunden ist oder wird, wobei die Integ ritätsüberwachungsdaten eine Integritätsüberwachung des Systems und Fremdzugriffe auf die Funkübertragung beschrei ben, und

- manipulationsgeschütztes Aufzeichnen und/oder Speichern der Integritätsüberwachungsdaten zur Auswertung derselben im Falle eines Einsatz der betriebssicherheitsrelevanten Funk tion.

12. Verfahren nach dem vorhergehenden Anspruch, dadurch ge kennzeichnet, dass die aufgezeichneten und/oder gespeicherten Integritätsüberwachungsdaten ausgegeben werden, um eine Aus wertung derselben basierend auf einer erhaltenen Alarm- und/oder Warninformation einzuleiten, welche aufgrund einer Ausführung der sicherheitskritischen Funktion ausgesendet worden ist.

13. Verfahren nach einem der vorhergehenden Verfahrensansprü che, dadurch gekennzeichnet, dass die Integritätsüberwa chungsdaten während des Betriebs des Systems aufgezeichnet und/oder gespeichert werden.

14. Verfahren nach einem der vorhergehenden Verfahrensansprü che, dadurch gekennzeichnet, dass die Integritätsüberwa chungsdaten zudem zumindest eine Eigenschaft des Funksignals der Funkübertragung und/oder einen digitalisierten Ausschnitt des Funksignals beschreiben.

15. Verfahren nach einem der vorhergehenden Verfahrensansprü che, dadurch gekennzeichnet, dass die Integritätsüberwa chungsdaten zudem Systemsteuerungsbefehle umfassen.

16. Verfahren nach einem der vorhergehenden Verfahrensansprü che, dadurch gekennzeichnet, dass das Aufzeichnen und/oder Speichern der Integritätsüberwachungsdaten mittels einer kryptographischen Prüfsumme manipulationsgeschützt ist oder wird .

17. Verfahren nach einem der vorhergehenden Verfahrensansprü che, dadurch gekennzeichnet, dass das Aufzeichnen und/oder Speichern der Integritätsüberwachungsdaten mittels einer At testierung manipulationsgeschützt ist oder wird.

18. Verfahren nach einem der vorhergehenden Verfahrensansprü che, dadurch gekennzeichnet, dass die Steuereinheit als im System lokal angeordnete Applikation, als außerhalb des Sys tems angeordnete Cloud- und/oder Serverdienst (EC) ausgestal tet ist.

19. Verfahren nach einem der vorhergehenden Verfahrensansprü che, dadurch gekennzeichnet, dass zum manipulationsgeschütz ten Erfassen der Integritätsüberwachungsdaten diese als Transaktion in eine Blockchain-Datenstruktur eingestellt wer den .

20. Verfahren nach einem der vorhergehenden Verfahrensansprü che, dadurch gekennzeichnet, dass zum manipulationsgeschütz ten Aufzeichnen und/oder Speichern der Integritätsüberwa chungsdaten diese in eine kryptographisch gesicherte Log- Datei geschrieben werden.

21. Computerprogramm umfassend Programm-Code, der von mindes tens einem Prozessor (P) ausgeführt werden kann und der be wirkt, dass der mindestens eine Prozessor das Verfahren nach einem der vorhergehenden Verfahrensansprüchen ausführt.

Description:
Beschreibung

Steuereinheit und Verfahren zum manipulationsgeschütztes Er fassen von betriebssicherheitsrelevanten Integritätsüberwa chungsdaten

Die Erfindung betrifft Steuereinheit und Verfahren zum mani pulationsgeschütztes Erfassen von betriebssicherheitsrelevan ten Integritätsüberwachungsdaten .

Es besteht ein Bedarf, um mit IT-Security-Mechanismen Produk te, beispielsweise Geräte (z.B. Steuergeräte, Internet-der- Dinge ( IoT) -Geräte) , Gerätekomponenten oder Softwarekomponen ten, vor Manipulationen und/oder einem Reverse Engineering zu schützen. Kryptographische IT-Security-Mechanismen sind be reits beispielsweise in Smart Devices, beispielsweise in Ge räten des Internets der Dinge (IoT), von cyberphysikalischen Systemen, von Automatisierungssystemen der Energietechnik o- der von Fertigungssystemen, der Betriebstechnik und von ande ren Anlagen in Einsatz.

Der Begriff „Security" bzw. „Sicherheit" bezieht sich im Rah men der vorliegenden Beschreibung im Wesentlichen auf die Si cherheit bzw. Schutz, Vertraulichkeit und/oder Integrität von Daten sowie deren Übertragung und auch Sicherheit, Vertrau lichkeit und/oder Integrität beim Zugriff auf entsprechende Daten. Auch die Authentifizierung bei Datenübertragungen be ziehungsweise beim Datenzugriff gehört zum Begriff „Sicher heit", wie er im Rahmen der vorliegenden Beschreibung verwen det wird. Ein Modul kann hierbei als eine Hardware- und/oder Funktionseinheit, die Software- und/oder firmwaremäßig ausge staltet sein kann, ausgeprägt sein. Die Funktion kann bei spielsweise mittels eines Prozessors und/oder einer Speicher einheit zum Speichern von Programmbefehlen ausgeführt werden.

Manipulationsgeschützt geht in der vorliegenden Beschreibung über den Begriff "Security" hinaus. Hierbei werden nicht nur die genannten kryptographischen bzw. Security-Methoden einge- setzt, sondern auch die Datenübertragung verlässlich gegen Angriffe bzw. Fremdzugriffe von außen sichergestellt.

Industrielle Geräte, z.B. Steuergeräte, Feldgeräte, IoT- Geräte oder IoT-Gateways , verwenden eine Mehrzahl von krypto- graphischen Schlüsseln, z.B. um sich zu authentisieren, um Integrität von gespeicherten Daten und Programmcode zu schüt zen, um Firmware-Updates zu prüfen und zu entschlüsseln und um die Integrität und ggf. die Vertraulichkeit von Projektie- rungs- und Konfigurationsdaten zu schützen. Um Daten, vor al lem Steuerdaten zu übertragen können die genannten Geräte mit einer Datenschnittstelle ausgestattet sein, die drahtgebunden als auch als Drahtlos-Schnittstelle, z.B. eine WLAN-, eine Bluetooth- oder eine NFC-Schnittstelle (NFC: Near Field Com- munication) ausgebildet und eingerichtet sein. Mit Hilfe die ser Datenschnittstelle kann das Gerät an ein Netzwerk ange bunden werden bzw. mit anderen Geräten kommunizieren.

Es sind weitere drahtlose bzw. funkbasierte Übertragungstech niken hierbei einsetzbar (z.B. Safety over WLAN wie z.B. Pro- fiSafe, WiMax, Cloud Robotics, GSM, UMTS, LTE, 5G, Vehicle-2- X-Communication für autonome Fahrzeuge bzw. autonomes Fahren, funkbasierte Zugsicherung ETCS) . Auch kann funkbasiert eine Positionsinformationen (PVT: position, velocity, time) über ein Satellitennavigationssystem (GPS, Galileo, Beidou, Glon ass) empfangen werden, die für eine Steuerungsfunktion des Geräts verwendet wird.

Es besteht ein Bedarf an einer verlässlichen Kommunikation bei einer drahtlosen Übertragung von Steuerdaten und von Zu- satzdaten, die für eine Steuerung verwendet werden. Dabei muss davon ausgegangen werden, dass die Funkübertragung tem porär gestört oder unterbrochen sein kann.

Es ist möglich, sogenannte Blackbox Recorder bzw. Juridical Recorder in Safety-kritischen bzw. betriebssicherheitskriti schen Systemen (d.h. Sicherung der Funktionalität von Zügen, Flugzeugen, Schienenfahrzeugen etc.) zu verwenden, um Steuer- daten im laufenden Betrieb zu erfassen und manipulationsge schützt zu speichern. Dadurch kann nach einem Unfall der Un fallhergang aufgeklärt werden. Diese werden auch als Train Event Recorder, Flight Data Recorder oder allgemein Event Da ta Recorder bezeichnet. In Flugzeugen ist es möglich, die Kommunikation im Cockpit aufzuzeichnen (Cockpit Voice Recor der) .

Unter anderem kann eine fehlerhafte Übertragung zu einem Ra dio Block Center (RBC) aufgezeichnet werden. Dabei kann z.B. ein Fehler in der Nachrichtensequenzfolge, inkonsistente Nachrichten oder auch ein Radio Link Error erfasst werden. Dies bezieht sich vorwiegend auf die Prüfung von Zeitstempeln und die korrekte Formatierung von Nachrichten.

Weiterhin ist es möglich, die Datenkommunikation in einem Netzwerk aufzuzeichnen (packet capturing) . Es können soge nannte Intrusion Detection Systeme (W) IDS eingesetzt werden, um Angriffe auf ein (Funk-) Netzwerk zu erkennen.

In der Funktechnik ist es möglich, ein Empfangssignal zu di gitalisieren und einen Ausschnitt des Empfangssignals als so genannten Radio Snippet oder Snapshot auszuwerten.

Es sind Methoden bekannt, die Integrität von Geräten zu über prüfen. Beispielsweise ist in EP 17180526.0 schon eine Integ ritätsüberwachung bei Automatisierungssystem vorgeschlagen worden, bei dem überprüft wird, ob die Integrität der Produk tionsmaschinen während der Herstellung eines Produkts erfüllt war. Zudem ist beispielsweise in EP 17188718.5 schon ein Verfahren zur kryptographisch geschützten Überwachung wenigs tens einer Komponente eines Geräts oder einer Anlage V or schlägen worden, wobei eine Blockchain-basierte kryptographi- sche Überwachungsfunktion, insbesondere ein Watchdog (für Ge räte, Container, virtuelle Maschinen) bereitgestellt wird.

Es ist Aufgabe der vorliegenden Erfindung, Verfahren und Vor- bzw. Einrichtungen mit gegenüber dem oben genannten Stand der Technik insbesondere im Umfeld von Safety-kritischen Funktio nen zu verbessern.

Die Aufgabe wird durch die in den unabhängigen Ansprüchen an gegebenen Merkmale gelöst. In den abhängigen Ansprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.

Die Erfindung beansprucht eine Steuereinheit, die mindestens einen Prozessor umfasst, der eingerichtet ist, um die folgen den Schritte auszuführen:

- Manipulationsgeschütztes Erfassen von betriebssicherheits relevanten Integritätsüberwachungsdaten eines mit einer be- triebssicherheitskritischen Funktion ausgestatteten Sys tems, das per Funkübertragung an ein Kommunikationsnetzwerk angebunden ist oder angebunden werden kann, wobei die In tegritätsüberwachungsdaten eine Integritätsüberwachung des Systems und/oder Fremdzugriffe auf die Funkübertragung be schreiben, und

- manipulationsgeschütztes Aufzeichnen und/oder Speichern der Integritätsüberwachungsdaten zur Auswertung derselben im Falle eines Einsatz der betriebssicherheitsrelevanten Funk tion.

Ein mit einer betriebssicherheitskritischen Funktion ausge statteten Systems kann ein Gerät, Automatisierungssystem/- anlage, Fahrzeug etc. sein. Die Integritätsüberwachung er folgt vorzugsweise zur Laufzeit des Systems.

Das Aufzeichnen kann auch ein Protokollieren in eine soge nannte Logdatei umfassen.

Die betriebssicherheitsrelevante Funktion kann eine Unfall meldung bzw. ein Aussenden eines Notfall-/Alarm- /Warnsignals/-nachricht sein. Betriebssicherheitskritische Funktionen werden, insbesondere bei autonomen Fahren und Cloud Robotics, auf IT-basierten Systemen und unter Nutzung von Funkübertragung (z.B. 5G Cloud Robotics) realisiert. Da bei ist es möglich, dass eine absichtliche Manipulation eines Gerätes oder der Funkübertragung bei einem Unfall vorlag und den Unfall verursacht oder beeinflusst hat.

Um im Falle eines Unfalls aufklären zu können, ob eine ge störte oder manipulierte Funkübertragung oder eine Gerätema nipulation zum Unfall ursächlich geführt hat oder indirekt beteiligt war, wird eine entsprechende Information benötigt, die manipulationsgeschützt vorliegt.

Eine Weiterbildung der Erfindung sieht vor, dass der Prozes sor desweiteren dazu eingerichtet ist, die aufgezeichneten und/oder gespeicherten Integritätsüberwachungsdaten auszuge ben, um eine Auswertung derselben basierend auf einer erhal tenen Alarm- und/oder Warninformation einzuleiten, welche aufgrund einer Ausführung der sicherheitskritischen Funktion ausgesendet worden ist.

Integritätsüberwachungsdaten können während des Betriebs des Systems aufgezeichnet und/oder gespeichert werden. Die Integ ritätsüberwachungsdaten können zudem Systemsteuerungsbefehle umfassen .

Eine Weiterbildung der Erfindung sieht vor, dass die Integri- tätsüberwachungsdaten zudem zumindest eine Eigenschaft des Funksignals der Funkübertragung und/oder einen digitalisier ten Ausschnitt (Snippet oder Snapshot) des Funksignals be schreiben .

Eine Weiterbildung der Erfindung sieht vor, dass das Auf zeichnen und/oder Speichern der Integritätsüberwachungsdaten mittels einer kryptographischen Prüfsumme manipulationsge schützt ist oder wird.

Eine Weiterbildung der Erfindung sieht vor, dass das Auf zeichnen und/oder Speichern der Integritätsüberwachungsdaten mittels einer Attestierung ( Zeitstempel , Zählerwert) manipu- lationsgeschützbar ist oder manipulationsgeschützt ist. Eine Weiterbildung der Erfindung sieht vor, dass die Steuer einheit als im System lokal angeordnete Applikation, als au ßerhalb des Systems angeordnete Cloud- und/oder Serverdienst ausgestaltet ist.

Eine Weiterbildung der Erfindung sieht vor, dass zum manipu lationsgeschützten Aufzeichnen und/oder Speichern der Integ ritätsüberwachungsdaten diese in eine kryptographisch gesi cherte Log-Datei geschrieben oder schreibbar sind.

Eine Weiterbildung der Erfindung sieht vor, dass zum manipu lationsgeschützten Erfassen der Integritätsüberwachungsdaten diese als Transaktion in eine Blockchain-Datenstruktur einge stellt sind.

Unter einer Blockkette bzw. Blockchain wird im allgemeinen eine Datenbank verstanden, deren Integrität (Sicherung gegen nachträgliche Manipulation) durch Speicherung des Einwegfunk tionswertes, auch Hashwert genannt, des vorangehenden Daten satzes bzw. Blocks bzw. Glieds im jeweils nachfolgenden, also durch kryptographische Verkettung, gesichert ist. Ein in der Blockchain geschützter Transaktionsdatensatz umfasst im all gemeinen Programmcode, in dem zum Erstellungszeitpunkt Bedin gungen definiert und zu seiner Laufzeit ausgewertet werden können, so dass bestimmte Transaktionen in einer bestimmten (Geldbetrags- ) Höhe an einen bestimmten oder mehrere bestimmte Empfänger durchgeführt werden können oder nicht. Mit Hilfe des Transaktionsdatensatzes kann die Transaktion ausgeführt werden .

Ein weiterer Aspekt der Erfindung ist ein Verfahren umfassend folgende Schritte:

- Manipulationsgeschütztes Erfassen von betriebssicherheits relevanten Integritätsüberwachungsdaten eines mit einer be- triebssicherheitskritischen Funktion ausgestatteten Sys tems, das per Funkübertragung an ein Kommunikationsnetzwerk angebunden wird, wobei die Integritätsüberwachungsdaten ei- ne Integritätsüberwachung des Systems und/oder Fremdzugrif fe auf die Funkübertragung beschreiben, und

- manipulationsgeschütztes Aufzeichnen (Protokollieren)

und/oder Speichern der Integritätsüberwachungsdaten zur Auswertung derselben im Falle eines Einsatz der betriebssi- cherheitsrelevanten Funktion.

Des Weiteren wird ein Computerprogramm (produkt) umfassend Programm-Code, der von mindestens einem Prozessor ausgeführt werden kann und der bewirkt, dass der mindestens eine Prozes sor das erfindungsgemäße Verfahren und dessen Ausführungsfor men ausführt. Das Computerprogramm kann auf einer Einrichtung der vorstehend genannten Art ablaufen oder als Computerpro grammprodukt auf einem computerlesbaren Medium gespeichert sein .

Zusätzlich kann eine Variante des Computerprogramm (produktes ) mit Programmbefehlen zur Konfiguration eines Erstellungsge räts, beispielsweise ein 3D-Drucker, ein Computersystem oder ein zur Erstellung von Prozessoren und/oder Geräten geeignete Herstellungsmaschine sein.

Das Verfahren und Computerprogramm (produkte) können entspre chend der Weiterbildungen/Ausführungsformen der vorgenannten Einrichtung und deren Weiterbildungen/Ausführungsformen aus gebildet sein.

Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusam menhang mit der folgenden Beschreibung der Ausführungsbei spiele, die im Zusammenhang mit den Figuren näher erläutert werden. Dabei zeigt in schematischer Darstellung:

Die Figur zeigt schematisch eine Umgebung, in der ein be- triebssicherheitskritisches System eingesetzt wird. Ein mit einer betriebssicherheitskritischen Funktion ausgestattetes System kann ein Gerät, Automatisierungssystem/-anlage, Fahr- zeug etc. sein. Betriebssicherheitskritische Funktionen wer den, insbesondere bei autonomen Fahren und Cloud Robotics, auf IT-basierten Systemen und unter Nutzung von Funkübertra gung (z.B. 5G Cloud Robotics) realisiert.

Für eine verlässliche Funkübertragung im weiteren Sinn gehö ren nicht nur Verfahren, die robust unter Störungen sind und bei denen QoS (Quality of Service) -Parameter versucht werden einzuhalten. Es gehört auch dazu, Störungen zu erkennen und darauf reagieren zu können. Herkömmliche Intrusion Detection Systeme (IDS) und Integrity-Monitoring (Integritätsüberwa chung) sind in der Regel nicht ausreichend.

In der Figur ist sind betriebssicherheitsrelevante Geräte ID1 bis ID5 gezeigt. Diese können an ein Automatisierungsnetz AN mit einem Gateway GW angebunden sein. Sie können auch über eine Funkübertragung 5G mit einer Cloud EC verbunden sein. Eine Security Integrity Monitoring Information (Integritäts überwachungsdaten) , welche per Funkübertragung mittels einer Überwachungseinheit bzw. -geräts M erfasst und mit in einem Event Data Recorder ER (Ereignisdatenrekorder) integriert in die erfindungsgemäße Steuereinheit manipulationsgeschützt aufgezeichnet und/oder gespeichert. Dies ermöglich, im Falle eines Unfalls ein manipuliertes Gerät, eine manipulierte Da tenübertragung, ein Stören einer Funkübertragung nachzuweisen zu. Die erfasste Security Integrity Information kann folgen des umfassen:

- eine Gerätesicherheitsüberprüfung (Device Security Health Check), d.h. die Überprüfung der Integrität von Programm code und/oder Konfigurationsdaten zur Laufzeit bzw. während des Betriebs des Gerätes.

- Status Host/Network/Wireless Intrusion Detection System

(IDS) ,

- Radio-/Funkbereich : Information betreffend Signalqualität (Signalstärke, Bitfehlerrate, Kanalschätzung (Channel Esti- mation) , ermittelte "Jamming"-Information, d.h. abgeleitete Information zu Störern, Störerart - rohe Funk-Snippets (digitalisiertes Basisbandsignal) bzw. ein kontinuierliches digitalisiertes Basisbandsignal.

Diese Information bzw. Daten eines Security-Integrity- Monitorings wird in einem Event Data Recorder manipulations geschützt aufgezeichnet , so dass sie im Falle eines Unfalls auswertbar ist. Der Event Data Recorder kann lokal als spezi elle Hardware-Appliance, d.h. einer Kombination aus Hardware, ggf. Firmware und Software, realisiert sein und weist einen Prozessor P auf. Er kann jedoch auch als Cloud Dienst in ei ner Cloud EC, z.B. einer zentralen Cloud oder einer sogenann ten Edge Cloud, realisiert sein.

Vorzugsweise werden die Integritätsüberwachungsdaten durch eine kryptographische Prüfsumme geschützt dem Event Data Re corder bereitgestellt. Es kann sich z.B. um eine Attestation handeln (z.B. ein Gerät attestiert, dass sein Device Health Check den Status "OK" liefert) . Die Attestierung umfasst vor zugsweise einen Zeitstempel oder einen Zählerwert, sodass die Aktualität verifizierbar ist. Die erfasste Information kann insbesondere ein gesichertes Log oder als Transaktion in eine Blockchain-Datenstruktur bzw. eine Distributed-Ledger- Datenstruktur eingestellt werden.

Erfindungsgemäß werden Geräteintegritätsattestierungen DA und Radio-Integritätsmessdaten RA erfasst und als Teil der Integ ritätsüberwachungsdaten in einem Event Data Recorder erfasst und/oder aufgezeichnet und/oder gespeichert, um für eine ggf. erforderliche Auswertung zur Verfügung zu stehen. Der Event Data Recorder kann auch als Applikation (App) in einer Edge Cloud realisiert sein. Es sind vielfältige andere Realisie rungen denkbar. Z.B. kann statt einer Edge Cloud eine her kömmliche Cloud verwendet werden, oder es kann eine lokale Steuerung und das Aufzeichnen der Integritätsüberwachungsda ten in einem physikalisch oder logisch separierten nicht in der Figur dargestellten Steuerungsnetzwerk erfolgen. Obwohl die Erfindung im Detail durch das bevorzugte Ausfüh rungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele einge schränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen .

Die Implementierung der vorstehend beschriebenen Prozesse o- der Verfahrensabläufe kann anhand von Instruktionen erfolgen, die auf computerlesbaren Speichermedien oder in flüchtigen Computerspeichern (im Folgenden zusammenfassend als computer lesbare Speicher bezeichnet) vorliegen. Computerlesbare Spei cher sind beispielsweise flüchtige Speicher wie Caches, Puf fer oder RAM sowie nichtflüchtige Speicher wie Wechseldaten träger, Festplatten, usw.

Die vorstehend beschriebenen Funktionen oder Schritte können dabei in Form zumindest eines Instruktionssatzes in/auf einem computerlesbaren Speicher vorliegen. Die Funktionen oder Schritte sind dabei nicht an einen bestimmten Instruktions satz oder an eine bestimmte Form von Instruktionssätzen oder an ein bestimmtes Speichermedium oder an einen bestimmten Prozessor oder an bestimmte Ausführungsschemata gebunden und können durch Software, Firmware, Microcode, Hardware, Prozes soren, integrierte Schaltungen usw. im Alleinbetrieb oder in beliebiger Kombination ausgeführt werden. Dabei können ver schiedenste Verarbeitungsstrategien zum Einsatz kommen, bei spielsweise serielle Verarbeitung durch einen einzelnen Pro zessor oder Multiprocessing oder Multitasking oder Parallel verarbeitung usw.

Die Instruktionen können in lokalen Speichern abgelegt sein, es ist aber auch möglich, die Instruktionen auf einem ent fernten System abzulegen und darauf via Netzwerk zuzugreifen.

Der Begriff "Prozessor", "zentrale Signalverarbeitung",

"Steuereinheit" oder "Datenauswertemittel " , wie hier verwen det, umfasst Verarbeitungsmittel im weitesten Sinne, also beispielsweise Server, Universalprozessoren, Grafikprozesso ren, digitale Signalprozessoren, anwendungsspezifische inte grierte Schaltungen (ASICs) , programmierbare Logikschaltungen wie FPGAs, diskrete analoge oder digitale Schaltungen und be- liebige Kombinationen davon, einschließlich aller anderen dem Fachmann bekannten oder in Zukunft entwickelten Verarbei tungsmittel. Prozessoren können dabei aus einer oder mehreren Vorrichtungen bzw. Einrichtungen bzw. Einheiten bestehen. Be steht ein Prozessor aus mehreren Vorrichtungen, können diese zur parallelen oder sequentiellen Verarbeitung bzw. Ausfüh rung von Instruktionen ausgelegt bzw. konfiguriert sein.