BESCHREIBUNG:

Die Erfindung betrifft ein Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk in zumindest einem Kraftfahrzeug. Zu der Erfindung gehört auch eine zentrale, stationäre Servervorrichtung, die mit mehreren Kraftfahrzeugen kommuniziert, um die Manipulation zu erkennen.

Kraftfahrzeuge können heute durch präventive Sicherheitsmaßnahmen gegen potentielle Hackerangriffe abgesichert werden. Trotz solcher Sicherheitsmaßnahmen bleiben Restrisiken und insbesondere durch eine Weiterentwicklung von Hackerangriffen altern die Sicherheitsmaßnahmen, was bedeutet, dass Sicherheitsmaßnahmen nach mehreren Jahren Schwachstellen bezüglich neu entwickelter Hackerangriffe aufweisen können. Hierdurch können dann Hackerangriffe in einzelnen Kraftfahrzeugen gelingen oder erfolgreich sein, was aber erst beispielsweise bei Werkstattaufenthalten als systematische Hackerangriffe erkannt wird, wenn eine auffallend große An- zahl von Kraftfahrzeugen dieselben Spuren von Hackerangriffen aufweist.

Bis dahin können Schwachstellen in größerem Umfang von Hackern ausgenutzt werden, wodurch möglicherweise erheblicher Schaden entstehen kann. Aus der DE 10 2004 063 319 A1 ist ein Verfahren bekannt, mittels welchem in einem Kraftfahrzeug eine Softwarekomponente auf ihre Authentizität überprüft werden kann. Damit kann festgestellt werden, ob eine Softwarekomponente im Kraftfahrzeug unbefugt geändert oder gelöscht wurde. Gelingt es bei einem Hackerangriff, eine Softwarekomponente derart auszugestalten, dass der zur Überprüfung erzeugte Kontrollwert korrekt ist, so ist anschließend mittels dieser Softwarekomponente das Versenden manipulierter Nachrichtendaten möglich. Aus der DE 10 2013 200 525 A1 ist dagegen bekannt, in einem Kraftfahrzeug den Datenverkehr zu erfassen und mit vorher erfassten Daten des Datenverkehrs zu vergleichen, um hieran durchgehend eine Datenmanipulation zu erkennen. Hierdurch kann zwar eine zeitliche Veränderung des Da- tenverkehrs erkannt werden. Um aber einen zulässigen Datenverkehr, wie er bei seltenen Fahrsituationen vorkommen kann (wie beispielsweise einer Fahrt mit vielen Eingriffen in die Fahrdynamik durch ein Fahrerassistenzsystem), nicht als Hackerangriff falsch zu interpretieren, sind entsprechende Toleranzschwellen beim Überprüfen der Daten nötig. Ansonsten käme es zu einem Fehlalarm, der auf einen Hackerangriff hinweist, obwohl lediglich eine seltene oder besondere Fahrsituation vorliegt.

Aus der DE 10 2013 200 528 A1 ist zum Überwachen des Datenverkehrs in einem Kraftfahrzeug bekannt, eine Häufigkeit bestimmter Nachrichten zu ermitteln und mit einem Normalverhalten des Datennetzwerks zu vergleichen. Auch hier besteht wieder das Problem, dass auch in besonderen Fahrsituationen, die nicht mit einem Hackerangriff in Verbindung stehen, eine Häufigkeit von Nachrichten von einem Normalverhalten abweichen kann. Auch hier kann es deshalb zu einem Fehlalarm in Bezug auf einen Hacker- angriff kommen, falls die Toleranzschwelle zu niedrig angesetzt ist.

Der Erfindung liegt die Aufgabe zugrunde, bei Kraftfahrzeugen einen Hackerangriff auf das jeweilige Datennetzwerk der Kraftfahrzeuge zu erkennen. Die Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung sind durch die abhängigen Patentansprüche, die folgende Beschreibung sowie die Figur beschrieben. Durch die Erfindung ist ein Verfahren bereitgestellt, mittels welchem eine Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs oder zumindest einiger aus mehreren Kraftfahrzeugen erkannt werden kann. Es wird hier davon ausgegangen, dass mehrere Kraftfahrzeuge zu untersuchen sind. Über das jeweilige Datennetzwerk jedes Kraftfahrzeugs tauschen jeweils Steuergeräte des Kraftfahrzeugs Nachrichtendaten untereinander aus. Ein solches Datennetzwerk kann beispielsweise ein Ethernet und/oder einen CAN-Bus (CAN - Controller Area Network) und/oder einen LIN-Bus (LIN - Local Interconnect Network) und/oder einen FlexRay-Bus und/oder einen MOST-Bus (MOST - Media Oriented Systems Transport) umfassen. Das Verfahren wird durch eine zentrale, stationäre Servervorrichtung durchgeführt, also eine Servervorrichtung, die zum Beispiel am Internet betrieben oder angeschlossen werden kann. Eine Kommunikationseinrichtung der Servervorrichtung empfängt aus den Kraftfahrzeugen jeweils Mel- dedaten. Diese Meldedaten signalisieren aus dem jeweiligen Kraftfahrzeug eine vorbestimmte Mindestabweichung der Nachrichtendaten des jeweiligen Netzwerks des Kraftfahrzeugs von einem vorgegebenen Normalverhalten. Zusätzlich oder alternativ dazu signalisieren die Meldedaten eine vorbestimmte Mindestübereinstimmung der Nachrichtendaten des Datennetzwerks mit einem vorbestimmten Prüfmuster. Mit anderen Worten wird durch die Meldedaten signalisiert, dass in den jeweiligen Kraftfahrzeug die Nachrichtendaten zum Beispiel in Bezug auf ihre Häufigkeit und/oder Senderate und/oder ihren Inhalt und/oder den Sender und/oder Empfänger außerhalb eines jeweiligen vorgegebenen Wertebereichs und/oder außerhalb einer statistischen Verteilung liegen, die das Normalverhalten definieren. Die Mindestabweichung bedeutet, dass der Unterschied zum Normalverhalten größer als ein vorbestimmter Mindestwert oder ein vorbestimmtes Mindestmaß ist. Zusätzlich oder alternativ dazu kann ein vorbestimmtes Prüfmuster in den Kraftfahrzeugen gesucht werden, und bei einer Übereinstimmung der Nach- richtendaten mit dem Prüfmuster um mehr als einen vorbestimmten Mindestwert werden korrespondierende Meldedaten an die Kommunikationseinrichtung ausgesendet. Eine Erkennungseinrichtung der Servervorrichtung erkennt dann in den Meldedaten mehrerer der Kraftfahrzeuge einen übereinstimmenden Anteil. Mit anderen Worten wird erkannt, dass nicht nur ein einzelnes Kraftfahrzeug bestimmte Meldedaten sendet, sondern mehrere Kraftfahrzeuge gleiche oder ähnliche Meldedaten gesendet haben. Der übereinstimmende Anteil kann also durch ein Abstandsmaß zum Vergleichen der Meldedaten bestimmt sein und hierbei ein Abstandswert kleiner als ein vorbestimmter Höchstwert eine Übereinstimmung definieren. Dieser überein- stimmende Anteil wird im Folgenden als Angriffsdaten bezeichnet. Melden also mehrere Kraftfahrzeuge gleiche oder im Sinne des Abstandsmaßes ähnliche Meldedaten, so ergibt sich also bei mehreren Kraftfahrzeugen ein übereinstimmendes Fehlerbild, weil ja die Meldedaten auf eine Abweichung vom Normalverhalten und/oder eine Übereinstimmung mit einem Prüfmuster hinweisen. Es kann sich also bei den Meldedaten nicht um einen Fehlalarm in einem einzelnen Kraftfahrzeug handeln, wie er sich durch eine spezifische, extreme Fahrsituation ergeben könnte. Eine Abwehreinrichtung der Servervorrichtung überprüft dann, ob die Angriffsdaten ein vorbestimmtes Kritikali- tätskriterium erfüllen. Des Kritikalitätskriterium kann definieren, ob die An- griffsdaten relevant sind. Bei erfülltem Kritikalitätskriterium löst die Abwehreinrichtung zumindest eine vorbestimmte Abwehrmaßnahme aus, durch welche in den Kraftfahrzeugen das Erzeugen weiterer Angriffsdaten blockiert wird. Mittels der zumindest einen vorbestimmten Abwehrmaßnahme kann also der Ursache der Angriffsdaten, die zu den Merkmalsdaten geführt haben, entgegengewirkt werden. Die Abwehreinrichtung kann als Abwehrmaßnahme z.B. ein Update einer Betriebssoftware zumindest eines Steuergeräts auslösen. Die Abwehreinrichtung kann als ein Programmcode der Steuervorrichtung ausgestaltet sein.

Durch das erfindungsgemäße Verfahren ergibt sich also eine großflächige Überwachung mehrerer Kraftfahrzeuge, sodass das Entstehen von Angriffsdaten in mehreren Kraftfahrzeugen erkannt wird und daraufhin zumindest eine vorbestimmte Abwehrmaßnahme oder Reaktion auf die Angriffsdaten ausgelöst werden kann. Die Servervorrichtung ermittelt hierzu Indizien betreffend die Übereinstimmung von Meldedaten in mehreren Kraftfahrzeugen.

Zu der Erfindung gehören auch Weiterbildungen, durch deren Merkmale sich zusätzliche Vorteile ergeben.

Bevorzugt enthalten die Mediendaten zusätzlich die zugehörigen Nachrichtendaten, welche vom Normalverhalten abweichen und/oder welche mit dem Prüfmuster übereinstimmen. Zum Erkennen des in mehreren Kraftfahrzeugen übereinstimmenden Anteils, also zum Erkennen der Angriffsdaten, wer- den auch die zugehörigen Nachrichtendaten verglichen. Hieran kann erkannt werden, ob ein Hackerangriff mittels gleicher Nachrichtendaten in den Datennetzwerken der Kraftfahrzeuge durchgeführt wird, also z.B. mittels eines bestimmten Bitmusters, mit dem auf eine Schwachstelle in einem Steuergerät abgezielt wird.

Die Meldedaten enthalten bevorzugt zusätzlich auch Steuergerätedaten der Steuergeräte. Zum Ermitteln des in mehreren Kraftfahrzeugen übereinstimmenden Anteils und/oder zum Auswählen der zumindest einen Abwehrmaßnahme werden entsprechend auch bevorzugt die Steuergerätedaten zu Grunde gelegt. Auf Grundlage der Steuergerätedaten kann auch die jeweilige Ausstattung oder Konfiguration der Kraftfahrzeuge verglichen werden. Enthält ein Kraftfahrzeug beispielsweise ein Steuergerät, das Nachrichtendaten für einen bestimmten Nachrichtentyp mit einer ersten Nachrichtenrate (Nachrichten pro Zeit) aussendet, und ein anderes Kraftfahrzeug ein Steuer- gerät eines anderen Gerätetyps, das mit einer größeren Nachrichtenrate versendet, weil es beispielsweise leistungsfähiger ist oder einen Sensor mit einer anderen Datenrate aufweist, so ist anhand der Steuergerätedaten erkennbar, dass die Nachrichtenraten dieser beiden Kraftfahrzeuge nicht ver- glichen werden sollten oder ein Korrekturfaktor angewendet werden muss.

Um den übereinstimmenden Anteil in den Meldedaten zu erkennen, wird dieser bevorzugt auf der Grundlage einer Mustererkennung und/oder einer Methode des maschinellen Lernens erkannt. Eine Mustererkennung kann beispielsweise auf der Grundlage eines Hidden-Markov-Modells (HMM) oder eines künstlichen neuronalen Netzwerks (ANN - Artificial Neural Network) durchgeführt werden. Hierdurch ergibt sich der Vorteil, dass auch statistische Abweichungen in den Angriffsdaten, wie sie beispielsweise durch eine jeweilige in einem angegriffenen Fahrzeug vorliegende Fahrsituation verursacht werden kann, bei der Erkennung der Angriffsdaten berücksichtigt oder kompensiert werden kann. Mit einer Methode des maschinellen Lernens ist hier gemeint, dass durch die Erkennungseinrichtung selbst die Kriterien ermittelt werden, anhand welcher eine Übereinstimmung erkannt wird. Dies wird als sogenanntes„Unüberwachtes Lernen" bezeichnet und kann beispielsweise mittels eines sogenannten Clustering-Verfahrens, zum Beispiel einem Esti- mation-Maximization-Algorithmus, durchgeführt werden. Hierdurch ergibt sich der Vorteil, dass nicht im Voraus die Kriterien zum Erkennen einer Übereinstimmung oder ein Übereinstimmungsmaß definiert sein muss. Hierdurch kann man auf noch unbekannte Arten von Hackerangriffen reagieren.

Damit die Kraftfahrzeuge überhaupt Meldedaten aussenden, ist das Normalverhalten zu beschreiben. Das Normalverhalten umfasst insbesondere, dass die Nachrichtendaten über registrierte Kommunikationsverbindungen zwischen den Steuergeräten ausgetauscht werden, also im Voraus bekannte Kommunikationsbeziehungen verwendet werden. Zusätzlich oder alternativ dazu kann das Normalverhalten umfassen, dass die Nachrichtendaten mit einer Nachrichtenrate ausgetauscht werden, deren Wert innerhalb eines registrierten Intervalls und/oder eine registrierte statistische Verteilung aufweist. Zusätzlich oder alternativ dazu kann das Normalverhalten umfassen, dass die Nachrichten ausschließlich registrierte Absenderadressen und/oder Empfängeradressen enthalten. Das Normalverhalten kann in einem Kraftfahrzeug auch erlernt werden, indem in einer Lernphase, während welcher man nicht von einem Hackerangriff ausgehen muss (z.B. bei einer Testfahrt unmittelbar nach der Produktion des Kraftfahrzeugs), Kommunikationsbezie- hungen und/oder Intervalle und/oder statistische Verteilungen für Werte und/oder Absenderadressen und/oder Empfängeradressen in den Datennetzwerk erkannt oder erfasst werden und registriert werden. Zum Definieren des Normalverhaltens können auf der Grundlage von Nachrichtendaten des jeweiligen Kraftfahrzeugs mittels einer Methode des maschinellen Lernens das Normalverhalten definierende Parameterwerte erlernt werden. Dies kann beispielsweise mittels eines künstlichen neuronalen Netzwerks und/oder eines HMM und/oder einer Support-Vector-Machine (SVM) oder mittels eines Histogramms zum Ermitteln einer statistischen Verteilung durchgeführt werden. Dies kann auch durch die Servervorrichtung durchgeführt werden.

Wenn ein übereinstimmender Anteil an Meldedaten in mehreren Kraftfahr- zeugen erkannt wird, führt dies nicht automatisch zu der zumindest einen Abwehrmaßnahme. Vielmehr wird zunächst durch die Abwehreinrichtung das Kritikalitätskriterium überprüft. Dieses umfasst insbesondere, dass die Anzahl der Kraftfahrzeuge, die den übereinstimmenden Anteil der Meldedaten aufweisen, größer als ein vorbestimmter Schwellenwert ist. Zusätzlich oder alternativ dazu kann das Kritikalitätskriterium umfassen, dass die Anzahl einen vorbestimmten zeitlichen Trend aufweist. Steigt die Anzahl also beispielsweise innerhalb eines vorbestimmten Zeitintervalls um mehr als einen vorbestimmten Deltawert an, so kann ein solcher Trend ebenfalls das Kritikalitätskriterium erfüllen.

Es kann vorkommen, dass die Meldedaten zwar ein Indiz für einen Hackerangriff ergeben, aber die Meldedaten nicht ausreichen, um die Ausgestaltung oder Beschaffenheit des Hackerangriffs ausreichend für eine Abwehrmaßname zu analysieren. Um eine Analyse der Struktur und/oder Beschaffenheit des Hackerangriffs zu ermöglichen, ist bevorzugt vorgesehen, an diejenigen Kraftfahrzeuge, die den übereinstimmenden Anteil der Meldedaten aufweisen, ein Anforderungssignal mit einem auf der Grundlage der Angriffsdaten- gebildeten Suchmuster zum Auswählen und bereitstellen zusätzlicher Meldedaten (zum Beispiel zusätzlichen Nachrichtendaten und/oder Steuergerä- tedaten) ausgesendet wird und aus den Kraftfahrzeugen die angeforderten zusätzlichen Meldedaten empfangen werden. Anhand der zusätzlichen Meldedaten werden dann die Angriffsdaten dahingehend ergänzt, dass eine die Angriffsdaten hervorrufende Ursache beschrieben wird. Beispielsweise wird also das die Angriffsdaten in den jeweiligen Kraftfahrzeug aussendende Steuergerät identifiziert und/oder ein Datenmuster identifiziert, das in den Angriffsdaten enthalten ist und welches eine Betriebsweise zumindest eines anderen Steuergeräts des Kraftfahrzeugs manipuliert und/oder beeinträchtigt. Hierdurch kann das Fehlerbild konkretisiert werden. Das Suchmuster stellt einen Filter dar, das aus den Nachrichtendaten und/oder Steuergerätedaten die angeforderten Anteile identifiziert oder herausfiltert, um sie an die Servervorrichtung übermitteln zu können. Das Suchmuster ist also ein Detek- tionsmuster. Um die Erzeugung oder Entstehung weiterer Angriffsdaten in den Kraftfahrzeugen zu unterdrücken, wird die zumindest eine Abwehrmaßnahme ausgelöst. Diese zumindest eine Abwehrmaßnahme umfasst insbesondere, dass ein Angriffsmuster, das zum Detektieren der Angriffsdaten in jedem Kraftfahrzeug ausgelegt ist, an die Kraftfahrzeuge ausgesendet wird. Hierdurch kann jedes Kraftfahrzeug die in dessen Datennetzwerk erzeugten Angriffsdaten identifizieren und zum Beispiel löschen. Zusätzlich oder alternativ dazu ist vorgesehen, dass die zumindest eine Abwehrmaßnahme umfasst, dass zumindest eine Toleranzschwelle, durch welche das Normalverhalten definiert ist, in den Kraftfahrzeugen gesenkt wird. Dies ermöglicht eine gezielte Suche nach zusätzlichen Nachrichtendaten, die durch einen Hackerangriff verursacht worden sein können. Mit der Toleranzschwelle ist die eingangs beschriebene Toleranzschwelle gemeint, die nötig ist, um in bestimmten Fahrsituationen einen Fehlalarm bei der Detektion von Hackerangriffen zu vermeiden. Ist allerdings anhand der Meldedaten und des übereinstimmen- den Anteils in mehreren Kraftfahrzeugen erkannt worden, dass ein Hackerangriff vorliegen könnte, so können durch Senken der Toleranzschwelle mehr Meldedaten erzeugt werden, die nun aber in der Servervorrichtung durch die Erkennungseinrichtung zunächst auf einen übereinstimmenden Anteil überprüft werden und durch die Abwehreinrichtung dann noch auf das Kritikalitätskriterium geprüft werden, bevor es zu einem Fehlalarm kommen kann. Zusätzlich oder alternativ kann die Abwehrmaßnahme umfassen, dass eine Softwareupdate für eine jeweilige Betriebssoftware zumindest eines der Steuergeräte des Kraftfahrzeugs ausgesendet wird. Zum Durchführen des Verfahrens ist die beschriebene Servervorrichtung zum Betreiben am Internet bereitgestellt. Die Servervorrichtung kann durch einen Computer oder einen Computerverbund bereitgestellt sein, der an das Internet angeschlossen sein kann. Die Servervorrichtung weist eine Kommunikationseinrichtung zum Empfangen von Meldedaten aus Kraftfahrzeugen auf. Die Servervorrichtung kann beispielsweise durch eine NIC (Network Interface Card) bereitgestellt sein. Die Meldedaten können beispielsweise über ein Ethernet und/oder eine Internetverbindung empfangen werden. Des Weiteren weist die Servervorrichtung die Erkennungseinrichtung zum Erken- nen der Angriffsdaten, die den übereinstimmenden Anteil der Meldedaten mehrerer Kraftfahrzeuge darstellen, und die Abwehreinrichtung zum Auslösen zumindest einer vorbestimmten Abwehrmaßnahme gegen die Erzeugung weiterer Angriffsdaten auf. Die Servervorrichtung weist hierzu eine Prozessoreinrichtung auf, die dazu eingerichtet ist, eine Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Die Erkennungseinrichtung und die Abwehreinrichtung können hierbei zum Beispiel jeweils ein Programmmodul für die Prozessoreinrichtung sein. Insgesamt kann in der Prozessoreinrichtung ein Programmcode bereitgestellt sein, der dazu eingerichtet ist, bei Ausführen durch die Prozessoreinrichtung eine Ausführungs- form des erfindungsgemäßen Verfahrens durchzuführen. Der Programmcode kann in einem Datenspeicher der Prozessoreinrichtung gespeichert sein.

Im Folgenden sind Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt die einzige Figur (Fig.) eine schematische Darstellung einer Ausfüh- rungsform der erfindungsgemäßen Servervorrichtung, die mit mehreren Kraftfahrzeugen kommuniziert.

Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispie- len stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren sind die be- schriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.

Die Figur zeigt eine Servervorrichtung 10, das Internet 1 1 und mehrere Kraftfahrzeuge 12. Die Kraftfahrzeuge 12 können in vergleichbarer Weise ausge- staltet sein, weshalb nur eines der Kraftfahrzeuge 12 in der Figur im Detail dargestellt ist.

Die Servervorrichtung 10 kann ein Computer oder ein Computerverbund sein. In der Servervorrichtung 10 können eine Kommunikationseinrichtung 13 und eine Prozessoreinrichtung 14 bereitgestellt sein. Die Kommunikationseinrichtung 13 kann beispielsweise durch eine Ethernet-Netzwerkkarte oder NIC gebildet sein. Die Prozessoreinrichtung 14 kann beispielsweise eine Erkennungseinrichtung 15 und eine Abwehreinrichtung 16 betreiben. Diese können als Programmcode der Prozessoreinrichtung 14 ausgestaltet sein. Die Servervorrichtung 10 kann mittels ihrer Kommunikationseinrichtung 13 aus den Kraftfahrzeugen 12 Meldedaten 17 empfangen, die auf eine Anomalie in einem jeweiligen internen Netzwerkverkehr der Kraftfahrzeuge 12 hinweisen oder diesen signalisieren. Die Meldedaten 17 der Kraftfahrzeuge 12 können von der Kommunikationseinrichtung 13 an die Erkennungseinrichtung 15 weitergegeben werden. Die Meldedaten 17 aller Kraftfahrzeuge 12 können dann miteinander verglichen werden. In der Figur sind in der Erkennungseinrichtung beispielhaft die Meldedaten 17 der unterschiedlichen Kraftfahrzeuge 12 in einem Diagramm aufgetragen, in welchem die Meldedaten dahingehend unterschieden sind, welchen Wert ein Parameter P1 und ein Parameter T2 in den jeweiligen Meldedaten 17 aufweist. Ein Parameter P1 , P2 kann beispielsweise eine Nachrichtenrate und/oder einen Wert, der in einer jeweiligen Nachricht des Netzwerkverkehrs enthalten ist, z.B. einen Lenkwinkel, beschreiben. Durch die Erkennungseinrichtung 15 kann ein übereinstimmender Anteil 18 der Meldedaten 17 erkannt werden, der beispielsweise dadurch definiert sein kann, dass die Meldedaten identisch sind oder nur um einen vorbestimmten Höchstwert 19 voneinander abweichen. Dargestellt ist das Ergebnis einer Clustering-Methode. Die Meldedaten 17, die den übereinstimmenden Anteil 18 darstellen, können als Angriffsdaten 20 an die Abwehreinrichtung 16 signalisiert werden. Die Abwehreinrichtung 16 kann zu den Angriffsdaten 20 ein Kritikalitätskriterium 21 überprüfen, welches beispielsweise vorgeben kann, dass eine vorbestimmte Mindestanzahl an Kraftfahrzeugen von den Angriffsdaten 20 betrof- fen sein muss. Mit anderen Worten muss die Anzahl der Kraftfahrzeuge, die den übereinstimmenden Anteil 18 der Meldedaten aufweisen, größer als ein vorbestimmter Schwellenwert ist. Ist dies nicht der Fall (in der Figur durch ein „-" symbolisiert), so können die Angriffsdaten in einem Reaktionsschritt 22 ignoriert werden. Ist das Kritikalitätskriterium dagegen erfüllt (in der Figur durch ein„+" repräsentiert), so kann in einem Reaktionsschritt 23 durch die Abwehreinrichtung 16 zumindest eine Abwehrmaßnahme 24 ausgelöst werden. Beispielsweise kann auf der Grundlage der Angriffsdaten ein Angriffsmuster 25 erzeugt und dieses durch die Abwehreinrichtung 16 über die Kommunikationseinrichtung 13 an die Kraftfahrzeuge 12 ausgesendet wer- den. In den Kraftfahrzeugen 12 kann somit anhand des Angriffsmuster 25 die Angriffsdaten in dem jeweiligen Netzwerkverkehr identifiziert oder erkannt werden. Für eine weitergehende Analyse kann auch ein Anforderungssignal 26 an die Kraftfahrzeuge 12 ausgesendet werden. Zusätzlich oder alternativ kann die Abwehreinrichtung 16 als Abwehrmaßnahme 24 vorsehen, dass eine Softwareupdate für eine jeweilige Betriebssoftware zumindest eines der Steuergeräte des Kraftfahrzeugs ausgesendet wird.

Für das Übertragen der Meldedaten 17, des Angriffsmusters 25 und/oder des Anforderungssignals 17 kann eine Kommunikationsverbindung 27 zwischen der Servervorrichtung 10 und den Kraftfahrzeugen 12 jeweils beispielsweise über das Internet 1 1 und eine Funkeinrichtung 28, beispielsweise einen WLAN-Router (WLAN - Wireless Local Area Network) oder ein Mobilfunknetzwerk, aufgebaut werden. Die Funkeinrichtung 28 kann eine jeweilige Funkverbindung 29 zu einer jeweiligen Fahrzeug-Kommunikationseinrichtung 30 betreiben. Innerhalb jedes Kraftfahrzeugs 12 kann der Netzwerkverkehr in einem jeweiligen Datennetzwerk 31 zwischen Steuergeräten 32 des Kraftfahrzeugs ausgetauscht werden, wobei durch den Netzwerkverkehr Nachrichtendaten 33 zwischen den Steuergeräten 32 über das Datennetzwerk 31 übertragen werden.

In einem Kraftfahrzeug 12 kann ein manipuliertes oder zusätzlich angeschlossenes Steuergerät 34 in dem Datennetzwerk 31 manipulierte Nachrichtendaten 35 erzeugen, um einen Hackerangriff durchzuführen. Unter einem Hackerangriff ist insbesondere eine unautorisierte Manipulation einer Betriebsweise eines Kraftfahrzeugs zu verstehen, wobei die Manipulation durch Verändern einer Betriebssoftware eines Steuergeräts des Kraftfahrzeugs und/oder durch Anschließen eines zusätzlichen, für den Hackerangriff ausgestalteten Steuergeräts an das Datennetzwerk ausgeführt wird. Mittels eines solchen jeweiligen Steuergeräts können die übrigen Steuergeräte des Kraftfahrzeugs beeinflusst werden, insbesondere ihre Betriebsweise beeinträchtigt werden, indem zum Beispiel eine Vielzahl von Nachrichten, die das Verarbeitungsvermögen eines Steuergeräts und/oder eines Netzwerk- Switches und/oder eines Netzwerk-Gateways überschreiten, erzeugt werden. Auch Nachrichten mit einem Nachrichteninhalt, welcher bei einer Verarbeitung durch ein Steuergerät einen Fehler in dem Steuergerät auslöst, kann für einen Hackerangriff genutzt sein. Z.B. kann ein spezielles Bitmuster einen Fehler auslösen, wenn eine entsprechende Schwachstelle vorliegt. Eine Überwachungseinrichtung 36 kann die Nachrichtendaten 33 und die manipulierte Nachrichtendaten 35 überwachen und beispielsweise eine Abweichung von einem Normalverhalten des Datennetzwerks 31 erkennen, also den Einfluss der manipulierten Nachrichtendaten 35 detektieren. Das Normalverhalten kann beispielsweise ein statistisches Normalverhalten 37 sein, welches eine statistische Verteilung oder Häufigkeit H eines zum Beispiel in den Nachrichtendaten enthaltenen Werts W, beispielsweise eines Sensorwerts oder eines Steuerwerts, oder eine Nachrichtenrate beschreibt. Eine tatsächliche statistische Verteilung 37' kann von dem statistischen Normalverhalten 37 abweichen. Durch einen Vergleich der Verteilungen 37, 37', beispielsweise mittels der Kullback-Leibler-Divergenz, und einem Schwellenwert können dann durch die Überwachungseinrichtung 36 die Meldedaten 17 erzeugt werden, welche die Abweichung vom statistischen Normalverhalten 37 signalisieren und zum Beispiel die zugehörigen manipu- lierten Nachrichtendaten 35 und/oder Steuergerätedaten des Steuergeräts 34 enthalten können.

Anhand des Angriffsmuster 25 kann durch die Überwachungseinrichtung 36 dann gezielt die manipulierten Nachrichtendaten 35 herausgefiltert oder detektiert werden, da durch das Kritikalitätskriterium 21 der Servervorrichtung 10 verifiziert wurde, dass die Verteilung 37' nicht auf einen besonderen Fahrzustand des Kraftfahrzeugs 12 selbst zurückzuführen ist, sondern ein Phänomen darstellt, das in mehreren Kraftfahrzeugen erkannt wurde und deshalb auf einen Hackerangriff hindeuten kann.

Somit werden Manipulationen und Hackerangriffe in einzelnen Kraftfahrzeugen anhand von Anomalien in deren internen Netzwerkverkehr erkannt, diese Symptome klassifiziert, beispielsweise als statistische Abweichung oder als Schwellenwert-Überschreitung, und dies dann als Meldedaten 17 an die Servervorrichtung 10 versendet. Die Besonderheit besteht darin, dass die Erkennungslogik der Servervorrichtung, also die Erkennungseinrichtung 15, mehrere Informationsquellen nutzt, nämlich die Netzwerkdaten und Steuergerätedaten, die in den Kraftfahrzeugen aggregiert und als Meldedaten 17 an die Servervorrichtung 10 übertragen werden können. Die Erkennungseinrich- tung 15 kann beispielsweise auf der Grundlage einer Mustererkennung in den Meldedaten 17 ein Lagebild über die gesamte Fahrzeugflotte, d.h. die Kraftfahrzeuge 12, erstellen. Das Lagebild beschreibt dann einen übereinstimmenden Anteil 18, also übereinstimmende Symptome in mehreren der Kraftfahrzeuge 12. Gegebenenfalls kann dann auf Angriffe mit geeigneten Abwehrmaßnahmen, beispielsweise einem Softwareupdate, reagiert werden.

Insgesamt zeigen die Beispiele, wie durch die Erfindung eine zentrale Mani- puiationserkennung bei vernetzten Kraftfahrzeugen bereitgestellt werden kann.