Die vorliegende Erfindung betrifft Verfahren für ein Kommu- nikationsnetzwerk nach dem Oberbegriff des Anspruchs 1 und eine elektronische Kontrolleinheit.

Auf Basis der physikalischen Schicht Ethernet und dem darüber liegenden Internetprotokoll (IP) finden Techniken in Kommu- nikationsnetze von Fahrzeugen Einzug, die im Rahmen informa ^¬ tionstechnischer Systeme schon weit verbreitet sind. Insbe ^¬ sondere im Hinblick auf einen zunehmenden Einsatz der Protokolle Ethernet und Internetprotokoll besteht der Bedarf an weiteren Sicherheitsmechanismen, um Fremdzugriffe unterbinden zu können. Aufgrund wachsender Anwendung von Funktechnologien sowie damit in Zusammenhang stehender offener und standardisierter Protokolle besteht damit im Automobilbereich im Wesentlichen erstmals die Möglichkeit, auf die Kommunikationsnetze eines Fahrzeugs per Fernzugriff zuzugreifen. Beispielsweise wurden Zugriffe auf Fahrzeuge bekannt, bei denen es Angreifer über Funk geschafft haben, sich Zugriff auf ein Fahrzeug zu verschaffen und somit wichtige Fahrzeugfunktionen zu beeinflussen. Andere Industriezweige haben Probleme und Lösungen, welche sich nicht auf das Automobil übertragen lassen, da beispielsweise bei einem Arbeitsplatzrechner eine Firewall schon mit in dem System bereits vorhandenen Daten arbeitet und nicht, wie für Fahrzeuge ge ^¬ fordert, on-the-fly. Zudem können Arbeitsplatzrechner wesentlich einfacher einer Aktualisierung der Sicherheitssoftware unterzogen werden als eine Software im Automobil.

Ein Kommunikationspaket gemäß dem Stand der Technik umfasst üblicherweise Header übergeordneter Schichten eines Protokollstapels einer Sendeeinrichtung. Ein Protokollstapel einer Empfangseinrichtung wird bei Empfang dieses Kommunikations- pakets schrittweise vorgehen und dieses mittels vorher defi ^¬ nierter Filter untersuchen, um die übertragenen Daten beispielsweise einer entsprechenden Softwareanwendung weiterzuleiten. Zum Beispiel wird ein TCP/IP-Stapel in einem Steuergerät von einem Kommunikationspaket, wie einer Ethernet-Nachricht , durchlaufen und auf der Basis der Analyse des Inhaltes an die entsprechende Applikation geleitet. Die Komplexität von Protokollstacks steigt mit der Anzahl verwendeter Protokolle erheblich an. Beispielsweise umfasst Audio/Video Bridging (AVB) zur Übertragung und Wiedergabe von Audio- und Videodaten vier Subprotokolle und Time-Sensitive Networking (TSN) sogar 11 Subprotokolle und umfangreiche Spezifikationen. Nachteilig hierbei ist, dass damit keine einfache Nachweisbarkeit für einen deterministischen Proto ^¬ kollstack gegeben ist, da sich aufgrund der Vielzahl verwendeter Protokolle eine sehr große Anzahl an Möglichkeiten der Verzweigung ergeben, die nicht einfach dargestellt werden können. Somit bestehen erhebliche Probleme, vorhandene Sicherheits ^¬ lücken eines Protokollstacks festzustellen. Fraglich ist beispielsweise, wie vorgegangen werden soll, wenn beabsichtigt oder unbeabsichtigt ein neuer Ethernettyp verwendet wird, der im Zweifelsfalle zur zentralen Recheneinheit geleitet werden würde, wodurch ein kritischer Systemzustand hervorgerufen werden könnte und die Funktionsfähigkeit eines zugrundeliegenden Systems erheblich eingeschränkt und die Sicherheit von Verkehrsteil ^¬ nehmern gefährdet werden könnte. Mittels einer Denial of Service-Attacke (DoS) , welche gezielt nach Sicherheitslücken eines Protokollstacks sucht, könnte so ein gezielter nicht- autorisierter Zugriff über vorher nicht gefundene Sicherheitslücken stattfinden.

Nach dem OSI-Modell können Datenpakete sieben Schichten auf- weisen. Das Datenpaket ist dabei aus den Nutzdaten und einem Header für jede der Schichten zusammengesetzt. In den Headern ist jeweils eine Verarbeitungsinformation für die zugehörige Schicht gespeichert. Die Schichten enthalten somit jeweils die Nutz ^¬ daten, den eigenen Header und die Header der darunterliegenden Schichten. Die Schichten verlassen sich dabei auf eine korrekte Verarbeitung der darunterliegenden Schicht und machen sich deren Arbeit zunutze. Die dritte Schicht bildet beispielsweise die sog. „IP-Schicht", welche die IP-Adressen des Absenders und des Empfängers enthält.

Angriffe auf Kommunikationsnetzwerke können sehr vielfältig ausgestaltet sein. Die Angriffe können dabei einzelne Schichten angreifen und sich den Zugriff auf die dort erhaltenen In- formationen zunutze machen. Beispielsweise kann zunächst durch sog. „Sniffing" auf der zweiten Schicht die IP-Adresse der Teilnehmer ermittelt werden und dann durch sog. „Spoofing" die MAC-Tabellen der Dienstnehmer geändert werden, so dass Anfragen an den Dienstgeber nicht mehr korrekt übertragen werden. Daraus entsteht dann ein sog. „Denial of Service Angriff" (DoS) , der die Erreichbarkeit von Diensten und/oder Ressourcen einschränkt. Ein Angriff auf höhere Schichten ist dafür gar nicht nötig.

Um jedoch alle Attacken bzw. Angriffe frühzeitig zu erkennen, sollten nicht nur die Header niedrigerer Schichten nach möglichen Fehlern oder Veränderungen durchsucht werden, sondern auch die höheren Schichten und die Nutzdaten. Zudem ist eine tiefe Analyse der Schichten sinnvoll. Je tiefer eine Analyse auf einzelnen Schichten ausgeführt wird, desto mehr Bytes der Schicht müssen durchsucht werden und desto mehr Fehler bzw. potentielle Angriffe können gefunden werden. Die Kombination aus der maximal möglichen zu analysierenden Schicht und den maximal durchsuchbaren Bytes einer Schicht kann als „Suchtiefe" bezeichnet werden. Ein Durchsuchen der Gesamtheit von Daten (Header der Schichten fünf bis sieben und Nutzdaten und/oder ein tiefes Hineinschauen in Schichten) nennt man „Deep Packet Inspection". Je höher die Schichten sind, die durch eine Analyse untersucht werden, und je tiefer in die einzelnen Schichten geschaut wird desto leistungsfähiger muss jedoch die Hard- und Software sein. Dem- entsprechend wird eine tiefere Analyse und eine Analyse in höheren Schichten auch teurer.

Eine Firewall kann beispielsweise alle Schichten analysieren und somit Angriffe so umfänglich wie möglich erkennen. Mit dem Einzug von Ethernet und Geschwindigkeiten von 100Mbit/s oder zukünftig sogar 1000Mbit/s oder bis zu 10Gbit/s ist die Beherrschbarkeit von Datenströmen mit den bisherigen Controllern jedoch nicht mehr gegeben. Sollte ein DoS-Angriff mit einer derartigen Datenrate stattfinden, dann wären die eingesetzten Firewalls (bzw. die Controller) derart überlastet, dass das Steuergerät zum Erliegen kommen kann. Allerdings ist es aus Kostengründen nicht vorstellbar, dass auf jedem Steuergerät eine zusätzliche Firewall implementiert werden könnte. Wenn dafür jeweils ein zusätzlicher Controllerkern notwendig wäre, dann würden die Kosten eines Steuergeräts nahezu explodieren .

Ein technisches Problem der E/E-Architekturen (Elekt- rik-/Elektronik-Architekturen : Erstellen einer Struktur des Fahrzeuges hinsichtlich des Zusammenwirkens und der Vernetzung der E/E-Systeme, der Schnittstellen, der Umgebung, des Daten- und Energieflusses im E/E-System, der Daten und der Softwarearchitektur, so dass eine durchgängige und fahrzeugweite Ar ^¬ chitektur aller E/E-Systeme und E/E-Komponenten auf

Hardware-, Software-, Bordnetz-, Leitungssatz- und Topolo- gieebene entsteht) wird die Verarbeitung der großen Datenraten darstellen. Im Fehlerfall können dabei Datenmengen auftreten, die von der Firewall nicht mehr beherrscht werden können. Nur weil ein Controller eine 100Mbit/s-Schnittstelle hat, heißt das noch lange nicht, dass die Software (Firewall) auch diese Datenmengen (in Echtzeit) verarbeiten kann. Hier sind Techniken notwendig, um das Bordnetz sicherer zu machen, ohne dabei die Kosten exponentiell in die Höhe zu treiben.

Die Aufgabe der Erfindung ist es somit, ein Verfahren und eine Vorrichtung bereitzustellen, mittels welchem ein Fahrzeug- netzwerk sicherer gegenüber Fremdzugriffen ausgestaltet werden kann und mit dem gleichzeitig die Firewall entlastet werden kann.

Diese Aufgabe wird durch das Verfahren gemäß Anspruch 1 und durch die weiteren unabhängigen Ansprüche gelöst.

Das erfindungsgemäße Verfahren bezieht sich auf ein Kommuni ^¬ kationsnetzwerk für ein Kraftfahrzeug, wobei für eine Kommu ^¬ nikation in dem Kommunikationsnetzwerk eine Datenübertragung durchgeführt wird. In dem Kommunikationsnetzwerk sind dabei mindestens zwei Kommunikationsteilnehmer vorgesehen. Gegen einen Angriff auf das Kommunikationsnetzwerk sind Sicherheitsmaßnahmen vorgesehen. Die Durchführung der Sicherheits- maßnahmen wird erfindungsgemäß auf mehrere Kommunikations ^¬ teilnehmer aufgeteilt.

Ein Angriff auf das Kommunikationsnetzwerk ist in diesem Zusammenhang als ein Angriff auf das Netzwerk zur Ausnutzung von Sicherheitslücken zu verstehen. Mit anderen Worten betrifft es einen Angriff eines Dritten (Cyberangriff / Hackerangriff) , welcher sich mit seinem Angriff Zugang zu Informationen oder Kontrolle über Steuermechanismen/Regelmechanismen im Fahrzeug verschafft. Eine derartige Kontrollübernahme von Dritten kann sich im Automobil auf die Sicherheit (safety) , insbesondere der Fahrzeuginsassen, auswirken und ist daher zu vermeiden. Dies kann durch die Erfindung erreicht werden.

Die Sicherheitsmaßnahmen können z.B. das Aufspüren und Abwehren bestimmter Angriffsarten (z.B. DoS-Attacke) sein. Durch die

Verteilung der Durchführung der Sicherheitsmaßnahmen, z.B. so, dass verschiedene Kommunikationsteilnehmer verschiedene Arten von Angriffen filtern bzw. abwehren, ist vorteilhaft eine vollständige Abdeckung bzw. Abwehr vieler verschiedener mög- licher Angriffe gegeben, ohne die Firewall mit zusätzlicher Hardware auszustatten und/oder zu überlasten. Somit werden vorteilhaft Kosten gespart. Zudem ist damit eine Abwehr von Angriffen in Echtzeit möglich. Ferner ist es durch die Erfindung möglich, schon bevor ein schadhaftes Datenpaket die Firewall erreicht, den Angriff von anderen Kommunikationsteilnehmern abzufangen .

Die Verteilung der Sicherheitsmechanismen kann allein zwischen den Kommunikationsteilnehmern vorgenommen werden oder zwischen den Kommunikationsteilnehmern und der Firewall. Beispielsweise werden besonders bevorzugt bestimmte Sicherheitsmechanismen von der Firewall durchgeführt, während andere Sicherheitsmecha ^¬ nismen durch ein oder mehrere der Kommunikationsteilnehmer durchgeführt werden bzw. auf ein oder mehrere Kommunikati ^¬ onsteilnehmer aufgeteilt sind.

Bevorzugt sind die Kommunikationsteilnehmer zu Kommunikati- onspfaden zusammengefasst . Die Kommunikation findet in dem Kommunikationspfad mit den zugehörigen Kommunikationsteil ^¬ nehmern statt. In einer weiteren bevorzugten Weiterbildung der Erfindung findet die Verteilung der Sicherheitsmechanismen auf die Kommunikationsteilnehmer des jeweiligen für die Kommuni- kation vorgesehenen Kommunikationspfads statt. Die Kommuni ^¬ kationsteilnehmer umfassen besonders bevorzugt mindestens einen Sender und einen Empfänger, zwischen denen eine Kommunikation in Form einer Datenübertragung durchgeführt wird. Gemäß dieser Weiterbildung ist zumindest einer der Kommunikationsteilnehmer, also entweder der Sender oder der Empfänger im Automobil angeordnet. Der jeweils andere Kommunikationsteilnehmer kann ebenfalls im Automobil angeordnet sein, oder er ist ein externer Teilnehmer, der extern positioniert ist. Ein externer Teilnehmer kann z.B. ein extern angeordnetes Steuergerät oder eine

Rechnerwolke („Cloud") sein.

In einer bevorzugten Weiterbildung der Erfindung umfasst das Verfahren zudem die Ermittlung einer maximal möglichen Sicherheitsunterstützung für jeden Kommunikationsteilnehmer. Anders gesagt wird die Sicherheitsunterstützung ermittelt, die der jeweilige Kommunikationsteilnehmer maximal bereitstellen kann. Die Sicherheitsunterstützung betrifft dabei die Unterstützung durch den Kommunikationsteilnehmer zur Durchführung von Sicherheitsmaßnahmen. Besonders bevorzugt werden die ermit- telten Informationen in einer Datenbank gespeichert.

Durch die Weiterbildung ist es möglich, die für eine Unterstützung der Firewall zur Verfügung stehenden Ressourcen zu ermitteln und die Verteilung der Sicherheitsmaßnahmen ent- sprechend vorzunehmen. Somit können die verfügbaren Ressourcen für die Verhinderung von Angriffen auf das Netzwerk optimal ausgenutzt werden.

In einer bevorzugten Weiterbildung der Erfindung umfasst das Verfahren die Ermittlung einer maximal möglichen Suchtiefe für jeden Kommunikationsteilnehmer. Die maximal mögliche Suchtiefe betrifft besonders bevorzugt die maximale Komplexität der Protokollschicht, in welcher der Kommunikationsteilnehmer suchen kann. Dabei ist die „Komplexität" der Protokollschicht derart zu verstehen, dass die „Komplexität" zunimmt mit steigender Nummer der Protokollschicht. In Schicht 1 (Bit ^¬ übertragungsschicht) sind beispielsweise nur der Header und die Nutzdaten verfügbar, wobei die Nutzdaten die eigentlich zu übertragenden Daten sind und der Header Informationen zur

Verarbeitung dieser Daten durch die jeweilig zugehörige Schicht (hier Schicht 1) enthält. Das ist die niedrigste, am wenigsten komplexe Schicht und erfordert am wenigsten Kapazitäten (Re ^¬ chenaufwand) . In Schicht 7 müssen hingegen zusätzlich sechs weitere Header durchsucht werden, was eine höhere Kapazität

(Rechenaufwand) erfordert. Für jeden Kommunikationsteilnehmer wird somit bevorzugt ermittelt, bis zu welcher Schicht der Kommunikationsteilnehmer das Datenpaket durchsuchen kann. Die maximale Suchtiefe betrifft alternativ oder zusätzlich zudem die Analysetiefe der einzelnen Schichten, d.h. wie tief

(Bytetiefe) die einzelnen Schichten durchsucht werden, also wie viele Bytes „tief" in die jeweilige Schicht hineingeschaut werden kann .

Diese Informationen wird dann bevorzugt dafür verwendet, um die maximal mögliche Sicherheitsunterstützung der Kommunikati ^¬ onsteilnehmer zu ermitteln, da von der Suchtiefe abhängig ist, welche Angriffe durch die Kommunikationsteilnehmer erkannt werden können. Auch dadurch ist eine optimale Verteilung der Ressourcen möglich.

In einer bevorzugten Weiterbildung der Erfindung sind die Sicherheitsmechanismen als Filterregeln ausgebildet bzw. werden als Sicherheitsmechanismen Filterregeln verwendet . Filterregeln sind dabei bevorzugt Regeln, aufgrund derer entschieden wird, was mit einem jeweiligen Datenpaket passiert. Die Filterregeln liegen besonders bevorzugt als ein Paketfilter bzw. Netz- werkfilter vor und sind in dieser Form in den Kommunikationsteilnehmern und/oder in einer Firewall implementiert.

In einer bevorzugten Weiterbildung der Erfindung wird die Datenübertragung für die Kommunikation mittels eines Datenübertragungsprotokolls durchgeführt. Dieses weist mehrere Schichten auf. Vorteilhaft wird für das Verfahren eine Datenbank mit bekannten Datenübertragungsprotokollen und deren zugehörigen benötigten Analyseressourcen bereitgestellt. Für jedes bekannte Datenübertragungsprotokoll wird somit bereitgestellt, welche Schichten analysiert werden sollten und in welcher Byte-Tiefe, damit Angriffe sicher erkannt werden können. Die Datenbank wird bevorzugt dann herangezogen, wenn die zur Verfügung stehenden Ressourcen bei den Kommunikationsteil- nehmern abgefragt werden und/oder wenn es um die Verteilung der Sicherheitsmaßnahmen geht. Bei unbekannten Datenübertragungsprotokollen wird besonders bevorzugt definiert, dass die maximalen Ressourcen notwendig sind, da bei unbekannten Protokollen unklar ist, wo Angriffe versteckt sein könnten. Es wird hier also vorgegeben, dass alle Schichten durchsucht werden sollten mit der maximalen Byte-Tiefe.

Insbesondere sind die Datenübertragungsprotokolle beispiels ^¬ weise als Ethernet, FlexRay, VLAN (Virtual Local Area Network) , IP (Internet Protocol) , AVB (Audio/Video Bridging) , TSN (Time Sensitive Networking) oder SOME/IP (Scalable service-Oriented MiddlewarE over IP) ausgebildet.

In einer weiteren bevorzugten Weiterbildung der Erfindung sind die Kommunikationsteilnehmer als Steuergeräte (ECU - Electronic Control Unit) und/oder Switche ausgebildet. Damit sind für die Verteilung der Sicherheitsmaßnahmen verschiedene Geräte im Fahrzeug nutzbar, die sowieso vorhanden sind. Dadurch ist es nicht notwendig, weitere, zusätzliche Hardware vorzusehen.

In einer bevorzugten Weiterbildung der Erfindung weist das Kommunikationsnetzwerk eine Firewall auf und die Konfiguration der Firewall wird an die Verteilung der Sicherheitsmechanismen angepasst. Werden Sicherheitsmechanismen durch Kommunikationsteilnehmer übernommen, kann die Konfiguration der Firewall derart geändert werden, dass die Firewall diese übernommenen Sicherheitsmechanismen nicht mehr durchführt. Damit wird die Firewall entlastet. Alternativ kann die Firewall auch weiterhin diese Sicherheitsmechanismen durchführen, so dass vorteilhaft eine Redundanz vorliegt.

Das erfindungsgemäße Verfahren wird bevorzugt einmalig am Bandende (nach der Beendigung der Produktion des Automobils) , nach einem Software-Update, nach dem Bekanntwerden von Sicherheitslücken oder beim Austausch oder Update eines Teilnehmers des Kommunikationspfads durchgeführt. Somit können vorteilhaft auch Sicherheitslücken nach der Auslieferung an den Endkunden erkannt werden, z.B. wenn ein Austausch von Steuergeräten erfolgt oder ein Software-Update bereitgestellt wurde. Somit ist auch eine erhöhte Angriffssicherheit während des Betriebs des Fahrzeugs durch den Endkunden gegeben. In einer bevorzugten Weiterbildung der Erfindung werden für die Abfrage nach Sicherheitsunterstützung und/oder für die Verteilung der Sicherheitsmechanismen Informationen zu verschiedenen Angriffsszenarien herangezogen. Diese Informationen sind bevorzugt ebenfalls in einer Datenbank hinterlegt, welche insbesondere in einem Speicher abgelegt ist und nicht ständig aktualisiert wird. Die Informationen betreffen besonders be ^¬ vorzugt verschiedene mögliche Angriffsarten und die benötigten Sicherheitsmechanismen. Eine mögliche Angriffsart ist z.B. DoS - Denial of Service, bei dem eine Überlastung durch einen Dritten herbeigeführt wird, welche zum Ausfall einer Funktion oder eines Dienstes oder auch einer Firewall oder ECU führt.

In einer bevorzugten Weiterbildung der Erfindung werden die Datenbanken in einem sicheren Speicherbereich abgelegt. Ins- besondere ist dieser sichere Speicherbereich mit einer Verschlüsselung versehen und somit vor Angriffen geschützt. Der sichere Speicherbereich kann dabei z.B. auf einem zentralen Steuergerät angeordnet sein. In einer bevorzugten Weiterbildung wird die Bewertung der Kommunikationsteilnehmer nach ihrer maximal möglichen Sicherheitsunterstützung mittels eines Algorithmus durchgeführt. Der Algorithmus kann bevorzugt anhand der maximal möglichen Suchtiefe auch Ressourcenklassen erstellen und die Kommunikationsteilnehmer den Ressourcenklassen zuordnen. Dafür bezieht der Algorithmus insbesondere eine oder mehrere Datenbanken zur maximal möglichen Suchtiefe, der Datenübertragungsprotokolle und/oder der Informationen zu verschiedenen Angriffsszenarien in die Auswertung mit ein.

Die Erfindung betrifft weiterhin eine elektronische Kon ^¬ trolleinheit bzw. Steuereinheit für ein Kraftfahrzeugsteuergerät, welches zur Durchführung des Verfahrens ausgebildet ist.

In vorteilhafter Weise kann durch die Erfindung die Sicherheit eines Fahrzeugnetzwerks erhöht werden, insbesondere ohne fi ^¬ nanziellen Mehraufwand. Mit der Nutzung von Ethernet oder anderen Datenübertragungssystemen (wie z.B. FlexRay) im Automobil sind u.a. Mechanismen notwendig, die sich einfache Techniken und gegebene Eigenschaften von Technologien zu Nutze machen, um auf teure Implementierungen und weitere zusätzliche Hardware verzichten zu können. Weitere bevorzugte Ausführungsformen ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen anhand von Figuren .

In schematischer Darstellung zeigen:

Fig. 1 den Aufbau eines Kommunikationspakets bzw. Stapels,

Fig. 2 ein exemplarisches Beispiel der Vernetzung des

Fahrzeugnetzwerks mit dem Internet über einer Ver- bindungseinheit und einer zentralen Firewall, ein exemplarisches Beispiel der Vernetzung des Fahrzeugnetzwerks mit dem Internet über mehrere Verbindungseinheiten und mehrere zentrale Firewalls,

Fig. 4 ein Ausführungsbeispiel der Erfindung als Weiterbildung zu Fig. 3,

Fig. 5 eine beispielhafte Ausgestaltung des erfindungsge ^¬ mäßen Verfahren zur Ermittlung der maximal möglichen Suchtiefe, Fig. 6 eine beispielhafte Ausgestaltung einer Datenbank zu der ermittelten Suchtiefe,

Fig. 7 eine beispielhafte Ausgestaltung des Verfahrens zur

Zuteilung der Steuergeräte nach Sicherheitsunter- Stützung,

Fig. 8 eine Gegenüberstimmung der Suchtiefe von einem

Ethernet Switch und einer Firewall, Fig. 9 eine beispielhafte Ausführungsform des Verfahrens zur

Verteilung der Suchtiefe,

Fig. 10 eine beispielhaften Ablauf zur Verteilung der Sicherheitsmechanismen .

Um eine kurze und einfache Beschreibung der Ausführungsbeispiele zu ermöglichen, werden gleiche Elemente mit den gleichen Bezugszeichen versehen. Fig. 1 zeigt exemplarisch den Aufbau eines Kommunikations ^¬ stapels. Der Kommunikationsstapel kann beispielgemäß nach dem OSI-Modell sieben Schichten aufweisen. Die Anforderungen an die Firewall zur Sicherung des Netzwerkes sind abhängig von der Kommunikationsschicht. Je höher die Schicht, auf der kommu- niziert wird, desto größer ist die Frametiefe - umso mehr Speicher muss vorgehalten werden und umso mehr Rechenleistung ist erforderlich. Zusätzlich nimmt die Rechenleistung zu mit steigender Analysetiefe in jeder Schicht. Als Analysetiefe ist hier die Bytetiefe gemeint, mit welcher in eine Schicht hineingeschaut wird .

Fig. 1 zeigt somit die Veränderung der Komplexität, der Re- chenleistung und des Speicherbedarfs in Relation zu der geprüften Kommunikationsschicht. Mit steigender Schicht (zunehmende Nummer der Schicht) steigt die Framegröße des Pakets. Damit nimmt auch der notwendige Pufferspeicher für die Zwischenspeicherung der Daten während einer Überprüfung zu. Ebenso steigt damit auch die erforderliche Rechenleistung an. Firewalls müssten, um zukünftige Datenpakete mit allen Schichten durchsuchen zu können, bessere bzw. zusätzliche Hardware erhalten, was Kosten generiert . Fig. 2 zeigt ein exemplarisches Beispiel der Vernetzung eines Fahrzeugnetzwerks 1 mit dem Internet. Dabei weist das Fahr ^¬ zeugnetzwerk 1 eine Verbindungseinheit 5 und ein restliches Fahrzeugnetzwerk 9 mit einer (zentralen) Firewall 3 auf. Das restliche Fahrzeugnetzwerk kann z.B. ein Steuergerät sein oder es mehrere Steuergeräte und Gateways aufweisen, die über CAN, LIN, FlexRay, MOST, LVDS, WLAN, Bluetooth oder Ethernet miteinander verbunden sind (nicht dargestellt) . Das Netzwerk 1 ist über die Verbindungseinheit 5 („Connectivity Unit") mit dem Internet verbunden. Beispielgemäß ist die Verbindung zwischen dem restlichen Netzwerk 9 und der Verbindungseinheit 5 als kabelgebundene Verbindung ausgebildet und zwischen der Ver ^¬ bindungseinheit 5 und dem Internet als drahtlose (Funk-) Verbindung . Fig. 3 zeigt eine komplexere Variante von Fig. 3, wobei in dem Fahrzeugnetzwerk 1 mehrere Firewalls 3 3 ^{λ λ} und mehrere Ethernet Switche 7 vorhanden sind. Eine Verbindungseinheit 5 ^λ und eine weitere Verbindungseinheit 5 ^{λ λ} sind ebenfalls im Fahrzeug ^¬ netzwerk 1 angeordnet. Weitere Einheiten können in dem als Block dargestellten restlichen Fahrzeugnetzwerk 9 vorgesehen sein. Das restliche Fahrzeugnetzwerk 9 sowie beide Verbindungseinheiten 5 ^λ ,5 ^{λ λ} weisen jeweils eigene Firewalls 3 ^λ ,3 ^{λ λ} ,3 ^{λ λ λ} auf. Die Firewalls 3 ^λ ,3 ^{λ λ} ,3 ^{λ λ λ} können z.B. als Controller ausgebildet sein, welche dafür konfiguriert sind, entsprechende Aufgaben wie die Durchführung von Sicherheitsmaßnahmen zu übernehmen.

Fig. 4 zeigt eine Weiterbildung von Fig. 3, wobei das restliche Fahrzeugnetzwerk 9 als Steuergerät (ECU) 11 mit Firewall 3 ^{λ λ} ausgebildet ist. Die Ethernet Switche 7 weisen jeweils zusätzlich eine Firewall 3 ^{λ λ λ λ} auf. Diese kann beispielsweise dadurch gegeben sein, dass eine Mikrokontrollereinheit , insbesondere ASIC, des Switches 7 dementsprechend konfiguriert ist, also Aufgaben einer Firewall übernimmt. Beispielgemäß können die

Firewalls 3 ^{λ λ λ λ} eine Vorsortierung der Datenpakete vornehmen, welche dann durch die Firewalls 3 ^{λ λ} und 3 ^{λ λ λ} (und ggf. 3 ^λ ) auf Angriffe gefiltert werden oder sie können einen Teil der Aufgaben der Firewalls 3 ^{λ λ} , 3 ^{λ λ λ} (und ggf . 3 ^λ ) übernehmen und diese damit entlasten. Die Firewalls 3 ^λ und 3 ^λλ können dabei als einfachere und/oder redundante Firewalls ausgebildet sein. Dadurch, dass mehrere Einheiten (5 ^{λ λ} , 7, 11) an der Analyse mitwirken und sich so die Rechenlast der Untersuchung verteilt, muss nicht mehr eine einzige Firewall der Analyse durchführen.

Die einzelnen Einheiten im Netzwerk 1 können Kommunikationsteilnehmer sein. Die Verbindungseinheit 5 ^{λ λ} gehört zwar nicht mehr zu dem primären Kommunikationspfad, jedoch könnte auch diese in die Durchführung von Sicherheitsmechanismen eingebunden werden. Nach der Durchführung der Sicherheitsmaßnahmen müssten dann die Daten bzw. Ergebnisse zurück zum Kommunikationspfad gesendet werden.

Die Durchführung von Sicherheitsmaßnahmen wird verteilt auf die Kommunikationsteilnehmer. Dabei müssen nicht alle Firewalls oder alle Kommunikationsteilnehmer Sicherheitsmaßnahmen übernehmen. Bevorzugt erfolgt die Verteilung derart, dass eine optimale Ressourcenausnutzung gegeben ist. Insbesondere können auch Kommunikationsteilnehmer und/oder Firewalls als Redundanz arbeiten und somit Sicherheitsmaßnahmen übernehmen, welche ebenfalls von einer anderen Firewall oder einem anderen Kommunikationsteilnehmer durchgeführt werden. Damit ist eine höhere Sicherheit gegeben, da Fehler beim Feststellen von Angriffen reduziert werden können.

Fig. 5 zeigt ein mögliches Verfahren zum Ermitteln der maximal möglichen Suchtiefe der einzelnen Kommunikationsteilnehmer. Dabei wird nach dem Start 20 des Verfahrens zunächst der ausgewählte Kommunikationspfad bzw. die für die Kommunikation nötigen Kommunikationsanforderungen sowie die beteiligen Steuergeräte einer ausgewählten Firewall (z.B. 3-3 ^{λ λ λ λ} ) übermittelt 22. Die Kommunikationsanforderungen können z.B. die Nachrichtenfrequenz, den Pakettyp bzw. Protokolltyp und das

Sicherheitslevel umfassen. Die Firewall 3-3 ^{λ λ λ λ} , alternativ auch eine andere Steuereinheit, berechnet die notwendigen Ressourcen für die Kommunikation 24 und speichert diese in einer Kommu ^¬ nikationsmatrix. Insbesondere werden die benötigten Ressourcen anhand des verwendeten Protokolltyps kategorisiert . Bekannte Protokolle und die dazugehörigen benötigten Ressourcen können als Datenbank bereitgestellt werden, auf die zurückgegriffen werden kann. Eine externe Kommunikation, bei der insbesondere ein neuer Protokolltyp verwendet wird, wird bevorzugt derart eingestuft, dass eine maximale Analyse stattfindet. D.h. es werden bevorzugt alle Protokollschichten mit der maximalen Byte-Analysetiefe untersucht, da bei unbekannten Protokollen nicht klar ist, wo im Protokoll Angriffe versteckt sein können. Nach der Ermittlung der benötigten Ressourcen findet eine Abfrage von Informationen an die Steuergeräte 5,5 ^λ ,5 ^{λ λ} ,7,11 statt 26,30. Es wird z.B. ermittelt, bis zu welcher Paketschicht eine Un ^¬ terstützung durch die Steuergeräte 5, 5 5 ^λ 7, 11, möglich ist 26 und bis zu welcher Byte-Tiefe eine Unterstützung möglich ist 30. Somit wird ermittelt, wie die maximal mögliche Suchtiefe der Steuergeräte 5 , 5 ^λ , 5 ^{λ λ} , 7 , 11 aussieht. Die Steuergeräte

5 , 5 ^λ , 5 ^{λ λ} , 7 , 11 geben der Firewall 3-3 ^{λ λ λ λ} entsprechende Rück ^¬ meldungen 28,32 auf die Anfrage. Die ermittelten Informationen werden bevorzugt in einer Datenbank, besonders bevorzugt in einem sicheren Speicherbereich, gesichert und es wird eine res ^¬ sourcenoptimierte Verteilung der Arbeitslast ermittelt. An ^¬ schließend kann die Analyse durch die Steuergeräte 5,5 ^λ ,5 ^{λ λ} ,7,11 aktiviert werden 34. Dabei werden die Steuergeräte 5,5 ^λ ,5 ^{λ λ} ,7,11 und die Firewalls 3-3 ^{λ λ λ λ} entsprechend der ermittelten Ver ^¬ teilung zur Abwehr der Angriffe konfiguriert.

Die Abfrage der Steuergeräte 5 , 5 ^λ , 5 ^{λ λ} , 7 , 11 nach den unter- stützten Schichten 26 kann z.B. schrittweise erfolgen. Nacheinander kann dabei eine Unterstützung der ersten bis zur maximalen Schicht abgefragt werden. Beispielsweise wird zunächst abgefragt, ob die erste Schicht unterstützt wird. Wenn ja, wird abgefragt, ob die zweite Schicht unterstützt wird usw. Dabei ist anzumerken, dass eine Abfrage auf die erste Schicht in der Praxis entfallen kann, da die erste Schicht als physikalische Basis immer analysierbar sein muss. Wird im Zuge der schrittweisen Abfrage ermittelt, dass eine bestimmte Schicht nicht mehr analysiert werden kann, kann daraus die Schlussfolgerung gezogen werden, dass die zuletzt untersuchte Schicht, die noch als unterstützt ermittelt wurde, die maximal mögliche unterstützte Schicht darstellt. Dieses Ergebnis kann dann beispielsweise in der Datenbank im Zusammenhang mit dem untersuchten Steuergerät gespeichert werden.

Fig. 6 zeigt eine mögliche Matrix einer Datenbank mit den ermittelten Informationen zu den einzelnen Kommunikationsteilnehmern, die z.B. Steuergeräte 5 , 5 ^λ , 5 ^{λ λ} , 7 , 11 und/oder Firewalls 3-3 ^{λ λ λ λ} sein können. Beispielgemäß kann in der Da- tenbank abgespeichert sein, ob die Steuergeräte 5 , 5 ^λ , 5 ^{λ λ} , 7 , 11 und die Firewall 3-3 ^{λ λ λ λ} bestimmte Angriffe identifizieren bzw. abwehren können. Jeder Angriff findet auf einer bestimmten Protokollschicht statt. Bei mehreren potentiellen Angriffsarten ist es daher wahrscheinlich, dass unterschiedliche Schichten betroffen sind. Jedes Steuergerät hat eine maximal mögliche Suchtiefe für die Datenprotokolle. Während ein erstes Steu ^¬ ergerät beispielsweise nur auf niedrigen Schichten suchen kann, ist ein zweites Steuergerät beispielsweise fähig, auch auf höheren Schichten zu suchen. Das zweite Steuergerät kann daher beispielsweise Angriffe auf den höheren Schichten abdecken und das erste Steuergerät Angriffe auf den niedrigeren Schichten. Auch die Firewall hat eine maximale Suchtiefe und kann bei Verteilung der Sicherheitsmechanismen auf die Steuergeräte beispielsweise so konfiguriert werden, dass sie die restlichen Schichten abdeckt, die nicht von den Steuergeräten übernommen werden können. Die erfindungsgemäße Idee ist auch in Fig. 7 dargestellt. Auf der linken Seite der Figur sind die möglichen Angriffe 40 aufgeführt, die beispielsweise über eine Antenne 42 ins Netzwerk gelangen können. Als weitere Kommunikationsteilnehmer sind ein Switch 7 und eine ECU 11 vorgesehen, welche die Datenpakete erhalten sollen. Beispielgemäß sind als mögliche Angriffe 40 verschiedene Varianten der DoS (Denial of Service - Attacke) dargestellt, wie z.B. der „Ping of Death", eine „SYN-Flut" oder ein

„Broadcast-Sturm" . Die Angriffe werden beispielsgemäß von der Antenne 42 nicht bearbeitet. Eine erste Identifizierung von einem Teil der Angriffe wird vom Switch 7 übernommen. Die Angriffe 40 können damit weggefiltert bzw. herausgefiltert werden, so dass nur die restlichen, nicht vom Switch 7 übernommenen Angriffe 40 übrigbleiben. Die Informationen bzw. Datenpakete werden an die ECU 11 weitergegeben, welche die Identifizierung der ver- bleibenden Angriffe 40 übernimmt bzw. die Angriffe 40 abwehrt. Die Identifizierung bzw. Abwehr der Angriffe 40 kann als Sicherheitsmaßnahme bezeichnet werden. Die Sicherheitsmaßnahmen für die Vermeidung von Angriffen 40 auf das Netzwerk 1 werden somit im Netzwerk 1 verteilt durchgeführt. Dafür wird nach der Analyse der zur Verfügung stehenden Ressourcen (z.B. von Switch 7 und ECU 11) eine Zuteilung der Sicherheitsmaßnahmen vorgenommen. Vorteilhaft kann so eine große Bandbreite an Angriffen 40 abgewehrt werden, ohne dass neue Hardware zur Verfügung gestellt werden muss, welche alle Angriffe 40 erkennen muss. Durch die Verteilung der Durchführung der Sicherheitsmaßnahmen können somit Kosten gespart werden.

Fig. 8 zeigt beispielhaft ein Datenpaket, an welchem die Suchtiefe von einem Ethernet Switch 7 und einer Firewall 3-3 ^{λ λ λ λ} dargestellt ist. Die verschiedenen Kästen stellen die Header und die Nutzdaten dar. Während der Ethernet Switch 7 nur die Daten (Kasten ganz links) und die ersten zwei Header/Schichten durchsuchen kann 50, ist es der Firewall 3-3 ^{λ λ λ λ} möglich, alle Schichten des Datenpakets - mit z.B. sieben Schichten -, zu durchsuchen 52. Wenn Switch 7 und Firewall 3-3 ^{λ λ λ λ} beide die Durchsuchung starten würden, gäbe es somit eine Redundanz im Bereich der ersten beiden Schichten 50. Diese Redundanz kann entweder zur Fehleranalyse verwendet werden durch Abgleich der Ergebnisse von Switch 7 und Firewall 3-3 ^{λ λ λ λ} in diesem Bereich, oder die Firewall 3-3 ^{λ λ λ λ} durchsucht nur die Header, welche nicht durch den Switch 7 durchsucht werden können (Fig. 9) . Im letzten Fall findet also eine Verschiebung 54 der Analysebereiche für die Firewall 3-3 ^{λ λ λ λ} statt. Diese muss demnach nicht mehr die

Schichten durchsuchen, welche auch von dem Switch 7 analysiert werden können. In diesem Fall stehen der Firewall 3-3 ^{λ λ λ λ} vorteilhaft Ressourcen für weitere Aufgaben zur Verfügung. Die zu analysierenden Bereiche können natürlich ebenfalls auf weitere Switche 7 oder Steuergeräte 11 aufgeteilt werden, so dass der Anteil für die Firewall 3-3 ^{λ λ λ λ} noch geringer wird.

Fig. 10 zeigt eine alternative Darstellung der Gesamtansicht des Verfahrens gemäß Fig. 5 zur Verteilung der Sicherheitsmaßnahmen bei Verwendung eines bestimmten Datenübertragungsprotokolls. Nach Start des Verfahrens 20 werden die notwendigen Analyse ^¬ ressourcen ermittelt 22, z.B. durch eine Steuereinheit oder Firewall, die dann in einer Kommunikationsmatrix gespeichert werden. Sodann wird ermittelt, welche Schichten und welche Analysetiefe die Steuereinheiten oder Firewalls zur Verfügung stellen können. Das Ergebnis wird in einer Sicherheitsdatenbank 62 abgelegt. Anschließend wird bestimmt, wie die Verteilung der Sicherheitsmaßnahmen stattfinden soll 33. Danach kann die ermittelte Verteilung in die Praxis umgesetzt werden, wozu die Steuereinheiten und Firewalls entsprechend konfiguriert werden 34. Dafür wird mit den Steuereinheiten und Firewalls kommuniziert 35. Mittels der angepassten Konfigurationen werden Angriffe erfolgreich auf verteilte Weise entdeckt und abgeblockt 36. Weitere Informationen zu der Erfindung:

Die Erfindung schlägt ein neuartiges Verfahren vor, um Filterregeln (ein Grundprinzip einer Firewall) im Netzwerk zu verteilen und bekannt zu machen. Weiterhin stellt die Erfindung Verfahren dar, um das Automotive-Netzwerk und deren Komponenten danach abzufragen und zu konfigurieren. Die Erfindung definiert dabei Mechanismen, um für potentielle Angriffsfunktionen die richtige Securityplattform frühzeitig auszuwählen; siehe hierzu in Figur 5 für ein exemplarisches Beispiel.

Die Erfindung schlägt ein Verfahren vor, das die Sicherheitsfähigkeiten und -möglichkeiten über eine Schnittstelle im Netz konfiguriert und verwertbar macht. Somit wird erkennbar, welche Sicherheitsmechanismen mehrfach abgedeckt, welche gar nicht abgedeckt und auf welche verzichtet werden kann. Durch eine so entstehende Security-Matrix lässt sich zum einen einfach darstellen, welche Art von Security umgesetzt werden kann und zum anderen auch das Level an Sicherheit, das mit den jeweiligen Steuergeräten darstellbar ist. Durch die Verfahren der Erfindung wird erstmals klar dargestellt, wie die Firewall entlastet werden kann und wo Rechenleistung ausgelagert werden kann.

Durch dieses Verfahren kann das ganze Netzwerk im Hinblick auf Security (Angriffe von Außen) viel einfacher geprüft und getestet werden .

Die Erfindung schlägt vor, den Standard Ethernet TSN und dabei im speziellen den Substandard IEEE802.1Qci Ingress Policing und Filtering zum Zwecke der Fahrzeugsicherheit einzusetzen. Der Standard und dessen Fähigkeiten können für den Automobilbereich von entscheidender Wichtigkeit werden, da zum einen diese Funktionen in Hardware umgesetzt werden, und somit keine Re ^¬ chenleistung in der Software benötigen und zum anderen vo- raussichtlich in jedem zukünftigen Automobil derartige Komponenten enthalten sein werden.

Der Kern und die Neuwertigkeit der Erfindung ist es, dass zum einen die Sicherheit des Fahrzeugnetzwerks erhöht wird (bei gleichen Kosten) und zum anderen eine Redundanz für Sicherheitsmechanismen geschaffen wird. Mit dem Einzug von Ethernet sind u.a. auch Mechanismen notwendig, die sich einfache Techniken und gegebene Eigenschaften von Technologien zu Nutze machen, um auf teure Implementierungen und weitere zusätzliche Hardware verzichten zu können.

Die Erfindung hat den Vorteil, dass die neuen Technologien wie Ethernet oder IP besser beherrscht werden können. Die neuen Technologien sind im Automobil nicht mehr aufzuhalten. Typische Techniken aus der IT können nicht alle übernommen werden. Zum Bespiel kann die Verschlüsslung nicht endlich tief sein (128bit) , da die notwendige Rechendauer typischerweise im Sekundenbereich liegt. Hier können die Anforderungen im Automobil nicht gerecht werden .

Bei einem Fehler auf einem CAN oder LIN sind die Controller (inkl. Firewall) aktuell zwar in der Lage, die Paketflut zu beherrschen, wenn diese bei 100% arbeiten. Mit einem 100Mbit/s Ethernet oder gar einem 1000Mbit/s Ethernet ist dies nicht mehr möglich (unabhängig davon, ob die Controller eine derartige Schnittstelle besitzen) . Die Firewall kann durch die Erfindung zugesichert arbeiten und wird keiner Überlast ausgesetzt.

Die Hardwareanforderungen an die Firewall müssen somit nicht angehoben werden. Zusätzliche Controller können so eingespart werden bei gleichbleibender Einhaltung der Sicherheitsleistung. Daraus ergibt sich eine Kostenersparnis durch Reduzierung der notwendigen Rechenleistung der Firewall.

Durch die Verteilung der Sicherheitsmechanismen und ein redundante Abarbeitung bzw. Berechnung einiger Mechanismen können zudem Einfachfehler umgangen werden. Durch die mehrfache In- tegration der Sicherheitsfunktionen im Bordnetz kann so schon vor der eigentlichen Firewall ein Angriff/Fehler erkannt werden und schneller Gegenmaßnahmen eingeleitet werden.

Dies zeigt auf, dass keine Komponente alleine die Security in einem Bordnetz (unter Betrachtung günstiger Gesamtkosten) beherrschen kann. Eine Firewall kann zwar prinzipiell fast alles abdecken, braucht jedoch eine sehr hohe Performance dadurch, um dies in Echtzeit zu tun. Ein Switch kann viele dieser Funktionen schon auf unterer Schicht abdecken und durch seine eingebauten HW-unterstützenden Methoden ohne zusätzliche Komponenten wie Speicher oder CPUs auskommen. Die hierfür für das System erlangte Unterstützung macht nicht nur das Gesamtkonzept redundanter und sicherer, sondern auch die Komplexität der Firewall (s) einfacher .

Nach Übermittlung des Kommunikationspfades (dynamisch im System, bei Implementierung der Firewall mithilfe der DBC, Fib- ex-Dateien, oder bei der Bandendeprogrammierung) berechnet die Firewall die notwendigen Ressourcen zur Absicherung der eintreffenden Nachrichten. Pakettyp, Paketlänge, Protokoll und Nachrichtenfrequenz beeinflussen direkt die dafür notwendige Rechenkapazität und Speicher. Schon heute wird eine einzige CPU nur für die Deep Packet Inspection zur Verfügung gestellt. Die Erfindung schlägt vor, dass die Firewall Sicherheitsmechanismen im Netzwerk auslagert bzw. redundant zur Verfügung stellt. Dazu werden beim Systemdesign, Updates oder bei der Implementierung die Ethernet-Switches über ein Service-Discovery Verfahren über Ihre Funktionen abgefragt. Ziel der Abfrage ist die Erkenntnis der Auslagerung der Deep Packet Inspection, was hohe Rechenleistung erfordert und teilweise schon ausgelagert werden kann. Die verschiedenen Angriffstechniken werden dadurch vorteilhaft nicht erst bei der Firewall gestoppt, sondern können durch die Steuergeräte noch vor der eigentlichen Firewall und dem Empfänger bereits teilweise beseitigt werden. Nach Kategorisierung der Sicherheitsunterstützung ist das System (die Firewall) in der Lage, den oder die Kommunikationspfade abzusichern und die Sicherheitsmechanismen zuzuteilen.

Eine weitere durch die Erfindung geschaffene Möglichkeit ist die Optimierung der Firewall . Durch Erkennung der Suchtiefe der ECUs, bzw. Switche kann die Firewall die Rechenleistung für andere Untersuchungen nutzen und hiermit EchtZeituntersuchungen durchführen. Da nicht mehr der ganze Frame durchsucht werden muss, spart dies Speicher und Rechenleistung.