Verfahren zur Absicherung eines Datenpakets durch eine Ver mittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug

Die Erfindung betrifft ein Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, die Vermittlungsstelle zur Durchführung des Verfahrens und ein mit der Vermittlungsstelle ausgestattetes Kraftfahrzeug.

In Kraftfahrzeugen erfolgt die Kommunikation zunehmend über Ethernet. Aufgrund seiner offenen und standardisierten Pro tokolle ist durch Ethernet eine zusätzliche Gefährdung des Kraftfahrzeugs gegeben, welche über die klassischen Bordnetze wie CAN oder FlexRay nicht bestand. Aus diesem Grund ist es erforderlich, Sicherheitsmaßnahmen zu ergreifen, um die Kom munikation über Ethernet in einem Kraftfahrzeug abzusichern.

Ein zusätzliches Problem ist durch die sich ändernden Anfor derungen an das Fahrzeugnetzwerk gegeben. Aktuelle Fahrzeug netzwerke sind statisch konfiguriert, wodurch die Datenkom munikation zwischen Sendern und Empfängern des Fahrzeugs fest vorgegeben sind. Neue Architekturen stellen flexiblere An forderungen und erfordern einen modularen Aufbau. Dabei ist nicht immer klar, über welche Verbindungen die Kommunikation erfolgt. Auch der Empfänger der Datenpakete ist nicht zwangsläufig bei der Kommunikation vorgegeben. Daher kann die Problematik bestehen, dass die jeweiligen Empfänger unterschiedliche Anforderungen an die übertragenen Datenpakete haben. Ein besonders Problem stellt dabei die Absicherung und Verschlüsselung der Daten dar. Je nach dem Inhalt der Datenpakete in Übertragungswegen und der Empfänger bestehen unterschiedliche Anforderungen, die Datenpakete ab zusichern .

Es ist eine Aufgabe der Erfindung, eine transparente Absicherung von Datenpaketen für den jeweiligen Empfänger bereitzustellen. Durch die Erfindung wird ein Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk bereitgestellt. Eine solche Vermittlungsstelle kann bei spielsweise als Switch oder Router ausgestaltet sein. In dem Verfahren wird durch eine sendende Steuereinheit des Netzwerks ein Datenpaket über eine Vermittlungsstelle des Netzwerks an zumindest eine andere Steuereinheit des Netzwerks ausgesandt. Das Datenpaket wird durch die Vermittlungsstelle empfangen und zumindest ein Inspektionsobjekt aus dem Datenpaket ausgelesen. Das zumindest eine auszulesende Inspektionsobjekt ist durch eine in der Vermittlungsstelle gespeicherte Datenbank vorgegeben. Das zumindest eine ausgelesene Inspektionsobjekt wird durch die Vermittlungsstelle auf ein Vorliegen zumindest eines vorbe stimmten kritischen Inhalts untersucht. Der zumindest eine kritische Inhalt für das jeweilige Inspektionsobjekt ist in der Datenbank definiert. Das zumindest eine ausgelesene Inspek tionsobjekt wird durch die Vermittlungsstelle auf einen in der Datenbank für das Inspektionsobjekt festgelegten Verschlüs selungszustand untersucht. Falls das zumindest eine Inspek tionsobjekt keinen kritischen und zugleich unverschlüsselten Inhalt aufweist, wird das Datenpaket an die zumindest eine andere Steuereinheit in dem Netzwerk weitergeleitet. Andernfalls wird durch die Vermittlungsstelle eine in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme durchgeführt.

Mit anderen Worten wird ein Verfahren zum Betreiben einer Vermittlungsstelle in einem Netzwerk bereitgestellt. In dem Verfahren ist es vorgesehen, dass durch die sendende Steuer einheit des Netzwerks das Datenpaket an die zumindest eine andere Steuereinheit des Netzwerks ausgesandt wird, wobei der Versand über die Vermittlungsstelle des Netzwerks erfolgt. Wird das Datenpaket durch die Vermittlungsstelle empfangen, wird das Datenpaket durch die Vermittlungsstelle auf den zumindest einen vorbestimmten kritischen Inhalt in dem auszulesenden Inspek tionsobjekt untersucht. Das zumindest eine auszulesende In spektionsobjekt und der zumindest eine kritische Inhalt des Inspektionsobjekts sind in einer Datenbank der Vermittlungs stelle gespeichert. Zusätzlich wird das Inspektionsobjekt daraufhin untersucht, ob es den in der Datenbank festgelegten Verschlüsselungszustand aufweist. Weist das Datenpaket keinen kritischen unverschlüsselten Inhalt in dem zumindest einen Inspektionsobjekt auf, mit anderen Worten fehlt also ein kritischer Inhalt, der unverschlüsselt ist, wird das Datenpaket durch die Vermittlungsstelle an die zumindest eine weitere Steuereinheit in dem Netzwerk weitergeleitet. Ist dies nicht der Fall, wenn also der zumindest eine Inspektionsinhalt einen kritischen Inhalt aufweist, der unverschlüsselt ist, wird durch die Vermittlungsstelle die definierte Schutzmaßnahme durch geführt. Die Schutzmaßnahme ist dabei in der Datenbank für das jeweilige Inspektionsobjekt festgelegt.

Durch die Erfindung ergibt sich der Vorteil, dass eine transparente Sicherstellung eines geschützten Versands eines Datenpakets über das Netzwerk sichergestellt werden kann.

Es kann beispielsweise vorgesehen sein, dass die Vermitt lungsstelle des Netzwerks in einem Netzwerk eines Kraftfahrzeugs betrieben werden kann. Das Netzwerk kann nach dem Ether net-Standard aufgebaut sein und mehrere Steuereinheiten um fassen, welche über das Netzwerk die Datenpakete versenden können. Die Steuereinheiten können dabei einer jeweiligen Aufgabe innerhalb des Netzwerks zugewiesen sein. In Abhängigkeit von der Aufgabe der jeweiligen Steuereinheit kann es erforderlich sein, kritische Inhalte an eine jeweilige Steuereinheit zu verschlüsseln, um ein Auslesen oder eine Manipulation des Datenpakets unterbinden zu können. Die Anforderungen an die Verschlüsselung können sich dabei in Abhängigkeit von dem jeweiligen Inhalts des Datenpakets voneinander unterscheiden. Um die Belastung einer sendenden Steuereinheit zu minimieren, kann es auch vorgesehen sein, dass während des Verfahrens durch zumindest eine sendende Steuereinheit des Netzwerks das Da tenpaket über die Vermittlungsstelle des Netzwerks an die zumindest eine andere Steuereinheit des Netzwerks ausgesandt wird. Die Vermittlungsstelle kann die Datenbank aufweisen, in welcher das zumindest eine Inspektionsobjekt des Datenpakets festgelegt ist, welches durch die Vermittlungsstelle ausgelesen werden soll. Das Inspektionsobjekt kann beispielsweise einen Dateitypen, einen vorbestimmten Inhalt oder Metadaten des Datenpakets umfassen. In dem auszulesenden Inspektionsobjekt können Inhalte gespeichert sein, für welche ein erhöhter Si cherheitsstandard erforderlich sein kann. Es kann vorgesehen sein, dass der kritische Inhalt, der in dem Inspektionsobjekt enthalten sein kann, in der Datenbank definiert ist. Bei kritischen Inhalten kann es sich beispielsweise um Bilddaten einer Umfeldkamera des Fahrzeugs handeln oder um einen Schlüssel zur Verschlüsselung sicherheitsrelevanter Daten. Es kann vorgesehen sein, dass für den Fall, dass durch die Vermitt lungsstelle der vorbestimmte kritische Inhalt in unver schlüsselter Form oder in einer Form vorhanden ist, welche von einem für das Inspektionsobjekt festgelegten Verschlüsse lungszustand abweicht, eine nachträgliche Sicherung des Da tenpakets mittels der Schutzmaßnahme vorgesehen ist. Für den Fall, dass in dem zumindest einen Inspektionsobjekt kein kritischer Inhalt in unverschlüsselter Form vorhanden ist, kann es vorgesehen sein, dass das Datenpaket an die zumindest eine andere Steuereinheit in dem Netzwerk weitergeleitet wird. In diesem Fall kann es vorgesehen sein, dass keine weitere Ver arbeitung des Datenpakets durch die Vermittlungsstelle durchgeführt wird. Weist das Inspektionsobjekt dagegen den zumindest einen kritischen Inhalt auf, und ist dieser in un verschlüsselter Form vorhanden, kann es vorgesehen sein, dass die in der Datenbank für das Inspektionsobjekt bestimmte Schutz maßnahme durchgeführt wird. Dies kann beispielsweise bedeuten, dass eine Weiterleitung des Pakets erst nach der Durchführung der definierten Schutzmaßnahme durch die Vermittlungsstelle durchgeführt wird.

Die Erfindung umfasst auch Weiterbildungen, durch die sich weitere Vorteile ergeben.

Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme abhängig ist von der sendenden Steuereinheit. Mit anderen Worten ist es vorgesehen, dass für eine jeweilige sendende Steuereinheit eine jeweilige Schutzmaßnahme in der Datenbank beschrieben ist, welche durch die Vermittlungsstelle durchzuführen ist. Dadurch ergibt sich der Vorteil, dass die Schutzmaßnahmen auf die sendende Steuereinheit abgestimmt werden. Es kann beispielsweise vorgesehen sein, dass in der Datenbank vorgeschrieben ist, dass unverschlüsselte Inspektionsobjekte, welche einen kritischen Inhalt beinhaltern, in Abhängigkeit der Steuereinheit, welche das Datenpaket versandt hat oder die in dem Datenpaket als Absender geführt ist, verschlüsselt oder unverschlüsselt weitergeleitet wird.

Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme abhängig ist von einem Adressaten des Datenpakets. Mit anderen Worten ist die durch die Vermittlungsstelle durchgeführte Schutzmaßnahme abhängig von dem Adressaten, an welchen das Datenpaket versandt werden soll . Dadurch ergibt sich der Vorteil, dass auf Sicherheitsanforderungen des Empfängers eingegangen werden kann. Es kann beispielsweise vorgesehen sein, dass während der Schutzmaßnahme durch die Vermittlungsstelle ein Adresswert des Datenpakets ausgelesen wird, in welchem zumindest ein Adressat, an welchen das Datenpaket versandt werden soll, enthalten sein kann. In einem weiteren Schritt kann die Ver mittlungsstelle den ausgelesenen Adressaten verwenden, um die für den zumindest einen Adressaten vorgesehene Schutzmaßnahme aus der Datenbank auszulesen. Die Vermittlungsstelle kann dann beispielsweise für den jeweiligen Adressaten des Datenpakets die jeweilige Schutzmaßnahme durchführen. Die Schutzmaßnahmen können auch Unterschiede in Abhängigkeit des Adressaten auf weisen. So kann es beispielsweise vorgesehen sein, dass das Datenpaket an zwei Adressaten versandt werden kann, wobei sich die Schutzmaßnahmen für die jeweiligen Adressaten voneinander unterscheiden .

Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme abhängig ist von einem Anwendungsfall des Datenpakets. Mit anderen Worten ist es vorgesehen, dass der Anwendungsfall, in welchem das Datenpaket versandt wird, einen Einfluss auf die Schutzmaßnahme hat. Dadurch ergibt sich der Vorteil, dass beispielsweise zur Fehlerbehebung oder zur Protokollierung vorbestimmte Schutzmaßnahmen deaktiviert sein können.

Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme abhängig ist von einem Zeitpunkt der Aussendung des Datenpakets. Mit anderen Worten wird die durchzuführende Schutzmaßnahme von dem Zeitpunkt der Aussendung des Datenpakets beeinflusst. Es kann beispielsweise vorgesehen sein, dass die Schutzmaßnahme von vorbestimmten Zeitpunkten an einem Tag oder während eines Prozesses abhängen kann.

Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme eine Verschlüsselung des Datenpakets gemäß dem festgelegten Verschlüsselungszustand durch die Vermittlungsstelle umfasst. Mit anderen Worten umfasst die Schutzmaßnahme die Verschlüs selung des Datenpakets, wobei sich die Art und/oder der Umfang der Verschlüsselung nach dem festgelegten Verschlüsselungs zustand richten. Dadurch ergibt sich der Vorteil, dass das Datenpaket durch die Verschlüsselung vor einem Abhören durch unbefugte Dritte geschützt werden kann. Es kann beispielsweise vorgesehen sein, dass die Datenbank für das Inspektionsobjekt vorbestimmte Verschlüsselungsmethoden vorsieht. Dabei kann es vorgesehen sein, dass ein unverschlüsseltes Datenpaket oder ein Datenpaket, das einen anderen Verschlüsselungszustand als den festgelegten Verschlüsselungszustand aufweist, gemäß dem Verschlüsselungszustand verschlüsselt wird. Der Verschlüsse lungszustand kann den Verschlüsselungsalgorithmus, eine ver schlüsselungsabhängige Schlüssellänge und empfängerspezifische Verschlüsselungs zustände beschreiben .

Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme eine Blockade der Weiterleitung des Datenpakets an die zumindest eine andere Steuereinheit umfasst. Mit anderen Worten wird das Datenpaket durch die Vermittlungsstelle nicht an die zumindest eine andere Steuereinheit weitergeleitet, sondern eine Wei terleitung unterbunden. Dadurch ergibt sich der Vorteil, dass eine Weiterleitung eines unverschlüsselten oder gefährdeten Pakets unterbunden werden kann. Es kann beispielsweise vor gesehen sein, dass ein unverschlüsseltes Paket, welches in eine fahrzeugexterne Steuereinheit durch die Vermittlungsstelle weitergeleitet werden soll, abgefangen wird, sodass es nicht durch die Vermittlungsstelle an die fahrzeugexterne Steuer einheit übertragen wird.

Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme eine Generierung und Versendung zumindest eines Benachrich tigungssignals zur sendenden Steuereinheit und/oder an die zumindest eine andere Steuereinheit umfasst. Mit anderen Worten wird als Teil der Schutzmaßnahme das zumindest eine Benach richtigungssignal durch die Vermittlungsstelle generiert und an den Absender und/oder den Empfänger des Datenpakets übertragen. Dadurch ergibt sich der Vorteil, dass der Empfänger oder der Absender des Datenpakets über einen fehlerhaften Verschlüs selungszustand des Datenpakets informiert werden kann. Es kann beispielsweise vorgesehen sein, dass die Vermittlungsstelle bei einem Empfang des Datenpakets den zumindest einen kritischen Inhalt des Inspektionsobjekts in unverschlüsselter Form erfasst und mittels des Benachrichtigungssignals den Absender über diesen Umstand informiert. Das Benachrichtigungssignal kann auch Fehlerinformationen beinhalten, damit die absendende Steuer einheit das Benachrichtigungssignal erneut in verschlüsselter Form versenden kann.

Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme eine Zwischenspeicherung des Datenpakets umfasst. Zudem wird das vorbestimmte Benachrichtigungssignal an die sendende Steuer einheit und/oder die zumindest eine andere Steuereinheit ausgesendet. Aus der sendenden Steuereinheit und/oder der zumindest einen anderen Steuereinheit empfängt die Vermitt- lungsstelle zumindest ein vorbestimmtes Rückmeldesignal. In Abhängigkeit von dem zumindest einen empfangenen Rückmeldesignal wird durch die Vermittlungsstelle eine der folgenden Reaktionen durchgeführt: Das zwischengespeicherte Datenpaket wird zu rückgesandt, gelöscht oder weitergeleitet.

Mit anderen Worten wird das Datenpaket von der Vermittlungsstelle empfangen und es erfolgt anstatt der Weiterleitung des Da tenpakets eine Zwischenspeicherung des Datenpakets in der Vermittlungsstelle. Die Vermittlungsstelle versendet das vorbestimmte Benachrichtigungssignal an die sendende Steuer einheit und/oder die zumindest eine andere Steuereinheit, um diese über den Empfang des Datenpakets zu informieren und um diese zu einer Übermittlung des zumindest einen vorbestimmten

Rückmeldesignals aufzufordern. Der weitere Ablauf des Verfahrens hängt von dem zumindest einen Rückmeldesignal ab, welches von der Vermittlungsstelle empfangen wird. Das Datenpaket kann gemäß der Anweisung des Rückmeldesignals durch die Vermittlungsstelle an die sendende Steuereinheit zurückgesandt werden, ohne eine Weiteleitung oder Rücksendung gelöscht werden oder an die zumindest eine empfangende Steuereinheit weitergeleitet werden.

Dadurch ergibt sich der Vorteil, dass der Verlauf des Verfahrens durch die empfangende Steuereinheit oder die sendende Steu ereinheit beeinflusst werden kann. Es kann beispielsweise vorgesehen sein, dass für den Fall, dass das Datenpaket un verschlüsselt ist, dieses vor der Durchführung der Weiterleitung in der Vermittlungsstelle gespeichert wird. Das Benachrich tigungssignal kann die sendende Steuereinheit und/oder die empfangende Steuereinheit über den Empfang des unverschlüsselten Datenpakets informieren und diese zur Übermittlung des vor bestimmten Rückmeldesignals auffordern. Zumindest eine der Steuereinheiten kann das Rückmeldesignal an die Vermitt lungsstelle übertragen und beispielsweise das Zurücksenden des Datenpakets an die sendende Steuereinheit anfordern, damit die sendende Steuereinheit das Datenpaket nachträglich ver schlüsseln und in vorgesehener Verschlüsselungsform an die Vermittlungsstelle senden kann. Die Erfindung umfasst auch eine Vermittlungsstelle für ein Netzwerk. Diese ist dazu eingerichtet, ein Datenpaket zu empfangen und ein Inspektionsobjekt aus dem Datenpaket aus zulesen, wobei das zumindest eine auszulesende Inspektionsobjekt durch eine in der Vermittlungsstelle gespeicherte Datenbank vorgegeben ist. Die Vermittlungsstelle ist dazu eingerichtet, das zumindest eine ausgelesene Inspektionsobjekt auf ein Vorliegen zumindest eines vorbestimmten kritischen Inhalts zu untersuchen, wobei der zumindest eine kritische Inhalt für das jeweilige Inspektionsobjekt in der Datenbank definiert ist. Die Vermittlungsstelle ist dazu eingerichtet, das zumindest eine ausgelesene Inspektionsobjekt auf einen in der Datenbank für das Inspektionsobjekt festgelegten Verschlüsselungszustand zu untersuchen und, falls das zumindest eine Inspektionsobjekt keinen kritischen und zugleich unverschlüsselten Inhalt auf weist, das Datenpaket an die zumindest eine andere Steuereinheit in dem Netzwerk weiterzuleiten und andernfalls eine in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme durchzuführen .

Die Erfindung umfasst auch ein Kraftfahrzeug mit einer Ver mittlungsstelle für ein Netzwerk. Bei dem Kraftfahrzeug kann es sich beispielsweise um einen Lastkraftwagen oder einen Per sonenkraftwagen handeln.

Zu der Erfindung gehören auch Weiterbildungen der erfin dungsgemäßen Vermittlungsstelle und des erfindungsgemäßen Kraftfahrzeugs, die Merkmale aufweisen, wie sie bereits im Zusammenhang mit den Weiterbildungen des erfindungsgemäßen Verfahrens beschrieben worden sind. Aus diesem Grund sind die entsprechenden Weiterbildungen der erfindungsgemäßen Ver mittlungsstelle und des erfindungsgemäßen Kraftfahrzeugs hier nicht noch einmal beschrieben.

Die Erfindung umfasst auch die Kombinationen der Merkmale der beschriebenen Ausführungsformen. Im Folgenden ist ein Ausführungsbeispiel der Erfindung be schrieben. Hierzu zeigt:

Fig. 1 ein Steuergerät nach dem Stand der Technik;

Fig. 2 ein Steuergerät;

Fig. 3 einen Aufbau eines Stapels eines Kommunikations

protokolls eines Netzwerks;

Fig. 4 eine Vermittlungsstelle in einem Netzwerk;

Fig. 5 einen möglichen Verlauf eines Verfahrens;

Fig. 6 einen weiteren möglichen Ablauf einer Erstellung der

Datenbank;

Fig. 7 einen weiteren möglichen Verlauf eines Verfahrens;

Fig. 8 einen weiteren möglichen Verlauf eines Verfahrens;

Fig. 9 einen weiteren möglichen Verlauf eines Verfahrens ; und

Fig. 10 einen weiteren möglichen Verlauf eines Verfahrens.

In den Figuren sind funktionsgleiche Elemente jeweils mit denselben Bezugszeichen versehen.

Fig. 1 zeigt ein Steuergerät nach dem Stand der Technik. Das Steuergerät 1 ' umfasst eine Steuereinheit 2 ' und eine

Schnittstelle 3 ' . Bei dem Steuergerät 1 ' kann es sich bei spielsweise um ein Motorsteuergerät für ein Kraftfahrzeug 5 ' handeln. Die Steuereinheit 2' des Steuergeräts 1' kann bei spielsweise ein Mikrocontroller oder ein Mikroprozessor sein. Die Schnittstelle 3 des Steuergeräts 1 ' kann mit einem Netzwerk 5' verbunden sein. Über die Schnittstelle 3' kann es der Steuereinheit 2 ' des Steuergeräts 1 ' ermöglicht sein, Daten- pakete 6' an das Netzwerk 5' zu versenden oder aus dem Netzwerk 5 ' zu empfangen. Das Netzwerk 5 ' kann beispielsweise ein Netzwerk nach dem Ethernet-Standard sein.

Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.

Fig. 2 zeigt ein Steuergerät 1. Das Steuergerät 1 kann bei spielsweise ein Motorsteuergerät eines Kraftfahrzeugs sein. Das Steuergerät 1 kann mehrere Mikrocontroller oder Mikroprozessoren als Steuereinheiten 2 aufweisen. Somit kann es vorgesehen sein, dass das Steuergerät 1 Funktionen übernimmt, welche nach dem Stand der Technik in mehreren verschiedenen einzelnen Steu ergeräten 1 implementiert werden. Das Steuergerät 1 kann die Schnittstelle 3 aufweisen, wodurch es den Steuereinheiten 2 ermöglicht sein kann, Datenpakte in das Netzwerk 5 zu versenden oder aus dem Netzwerk 5 zu empfangen.

Die jeweiligen Steuereinheiten 2 können mit Vermittlungsstellen des Steuergeräts 1 verbunden sein. Somit kann es vorgesehen sein, dass eine Steuereinheit 2, welche ein Datenpaket 6 in das Netzwerk 5 übertragen möchte, dieses zur Weiterleitung an eine der Vermittlungsstellen 4 des Steuergeräts 1 versendet, damit dieses durch die Vermittlungsstelle an die Schnittstelle 3 und weiter an den Empfänger übertragen kann. Es kann auch vorgesehen sein, dass ein Datenpaket 6 von einer Steuereinheit 2 des Steuergeräts 1 an eine andere Steuereinheit 2 des Steuergeräts 1 versandt wird, wobei dieser Versand ebenfalls über die Vermittlungsstelle 4 verlaufen kann. Bei einem Versand eines Datenpakets 6 an einen Empfänger in dem Netzwerk 5 kann es aus Sicherheitsgründen vorgeschrieben sein, dass dieses einen vorbestimmten Ver schlüsselungszustand 8 aufweist. Zudem kann die Vermitt lungsstelle 4 dazu eingerichtet sein, die vorbestimmten In spektionsobjekte 9 der Datenpakete 6 zu untersuchen. Bei den vorbestimmten Inspektionsobjekten 9 kann es sich beispielsweise um einen Dateninhalt oder vorbestimmte Metadaten des Datenpakets 6 handeln. Zu diesem Zweck können in der Datenbank 7 kritische Inhalte 10 definiert sein. Die kritischen Inhalte 10 können beispielsweise Schlüssel oder sicherheitsrelevante Daten um fassen .

Es kann vorgesehen sein, dass die Vermittlungsstelle die In spektionsobjekte 9 auf ein Vorliegen eines kritischen Inhalts 1 überprüft. Ist dies der Fall und handelt es sich bei dem Da tenpaket 6 um ein unverschlüsseltes Datenpaket oder ein Da tenpaket, welches vom vorgeschriebenen Verschlüsselungszustand 8 abweicht, kann es vorgesehen sein, dass das in der Datenbank für das Inspektionsobjekt 9 als Schutzmaßnahme 11 definierte Verfahren durchgeführt wird. Andernfalls kann es vorgesehen sein, dass das Datenpaket 6 durch die Vermittlungsstelle weitergeleitet werden kann.

Fig. 3 zeigt einen Aufbau eines Stapels 12 (Englisch: Stack) eines Kommunikationsprotokolls des Netzwerks 5. Eine Übertragung eines Datenpakets 6 kann über den Stapelaufbau 12 erfolgen, wobei der Stapelaufbau 12 niedere Protokollebenen 14 und höhere Proto kollebenen 13 umfassen kann. Bei den höheren Protokollebenen 13 kann es sich beispielsweise um die IP, die PCP oder eine Protokollebene einer Anwendung handeln. Nach dem Stand der Technik arbeiten Firewalls zum Absichern eines Netzwerks 5 auf den höheren Ebenen 13. Nachteilig daran ist, dass das niedere Übertragungsebenen 14 nicht durch eine Firewall abgesichert werden. Die Vermittlungsstelle 4 kann dazu eingerichtet sein, Inspektionsobjekte 9 auf kritische Inhalte 10 zu untersuchen, wobei die Untersuchung die niederen Protokollebenen 14 betreffen kann . Fig. 4 zeigt die Vermittlungsstelle 4 in einem Netzwerk 5. Es kann vorgesehen sein, dass die Vermittlungsstelle 4 dazu eingerichtet ist, das Datenpaket 6 von einer sendenden Steuereinheit 15 zu empfangen. Die Vermittlungsstelle 4 kann dazu eingerichtet sein, das empfangene Datenpaket 6 zu untersuchen, indem durch die Vermittlungsstelle zumindest ein Inspektionsobjekt 9 aus dem Datenpaket 6 ausgelesen wird. Das Inspektionsobjekt 9 kann auf ein Vorliegen eines kritischen Inhalts 10 geprüft werden. Die zu untersuchenden Inspektionsobjekte 9 und die kritischen Inhalte 10 können in der Datenbank 7 der Vermittlungsstelle 4 definiert sein. Die Vermittlungsstelle 4 kann auch den Verschlüsse lungszustand 8 des Datenpakets 6 untersuchen. Ist in dem Da tenpaket 6 ein unverschlüsselter kritischer Inhalt 10 in dem Inspektionsobjekt 9 enthalten, kann es vorgesehen sein, dass die Schutzmaßnahme 11 durchgeführt wird. Diese kann beispielsweise eine Blockade der Weiterleitung des Datenpakets umfassen. Es kann auch vorgesehen sein, dass das Datenpaket 6 nachträglich verschlüsselt wird, um den vorbestimmten Verschlüsselungszu stand 8 herzustellen und es dann an die empfangende Steuereinheit 16 weiterzuleiten. Es kann auch vorgesehen sein, dass das Datenpaket 6 zwischengespeichert wird und das zumindest eine Benachrichtigungssignal 17 an die sendende Steuereinheit 15 oder die empfangende Steuereinheit 16 versandt wird, wodurch die versendende Steuereinheit 15 oder die empfangende Steuereinheit 16 über das Vorliegen eines unverschlüsselten Datenpakets 6 informiert werden kann. Das Benachrichtigungssignal 17 kann eine Aufforderung zum Versand des Rückmeldesignals 18 an die Ver mittlungsstelle 4 umfassen. In dem Rückmeldesignal kann an gegeben sein, ob das zwischengespeicherte Datenpaket 6 zu rückgesandt wird an die sendende Steuereinheit 15, gelöscht wird oder an die empfangende Steuereinheit 16 weitergeleitet wird. Die zu untersuchenden Inspektionsobjekte 9, die kritischen Inhalte 10 und die zu ergreifenden Schutzmaßnahmen 11 in Bezug auf das Datenpaket 6 können abhängig sein von der versendenden Steu ereinheit 15, der empfangenden Steuereinheit 16, dem Anwen dungsfall des Datenpakets und dem Zeitpunkt der Versendung des Datenpakets 6. Es kann beispielsweise vorgeschrieben sein, dass an bestimmten Steuereinheiten ein vorbestimmtes Verschlüsse- lungsverfahren vorgesehen ist, wohingegen für eine andere der Steuereinheiten keine Verschlüsselung erforderlich sein kann. Das Verfahren kann beispielsweise in einem Kraftfahrzeug 19 durchgeführt werden.

Fig. 5 zeigt einen möglichen Verlauf eines Verfahrens, wie es ausgeführt werden kann. In einem ersten Schritt S1 kann es vorgesehen sein, dass das Datenpaket 6 durch die Vermitt lungsstelle 4 empfangen wird. In einem zweiten Schritt S2 kann es vorgesehen sein, dass durch die Vermittlungsstelle 4 das zumindest eine Inspektionsobjekt 9 aus dem Datenpaket 6 aus gelesen wird und das zumindest eine ausgelesenen Inspekti onsobjekt 9 durch die Vermittlungsstelle 4 auf das Vorliegen des zumindest einen vorbestimmten kritischen Inhalts 10 überprüft wird. Zudem kann es vorgesehen sein, dass das Datenpaket 6 dahingehend durch die Vermittlungsstelle untersucht wird, ob das ausgelesene Inspektionsobjekt 9 einen in der Datenbank 7 der Vermittlungsstelle festgelegten Verschlüsselungszustand 8 aufweist. In einem Schritt S3 kann es vorgesehen sein, dass für den Fall, dass das Datenpaket 6 oder das Inspektionsobjekt 9 nicht verschlüsselt sind oder von dem vorbestimmten Verschlüsse lungszustand abweicht, nachträglich verschlüsselt wird. Die Verschlüsselung kann dabei abhängig sein von dem Empfänger S10 des Datenpakets 6. Die Schutzmaßnahme kann auch umfassen, dass der Empfänger 16 mittels eines Benachrichtigungssignals 17 darüber informiert wird, dass das Datenpaket 6 in unver schlüsselter Form empfangen wurde und nachträglich durch die Vermittlungsstelle 4 verschlüsselt wurde.

Fig. 6 zeigt einen möglichen Ablauf einer Erstellung der Da tenbank. Der erste Schritt Dl bei der Erstellung der Datenbank 7 kann eine Klassifizierung der kritischen Inhalte 10, wobei es sich um sensible Paketinformationen handeln kann, sein. In einem zweiten Schritt D2 kann eine Klassifizierung kritischer Pa ketabsender, das kann heißen der versendenden Steuereinheit 15 vorgesehen sein. In einem dritten Schritt D3 kann es vorgesehen sein, dass die Empfänger des Datenpakets 6 klassifiziert werden. Das heißt, für den jeweiligen Empfänger 16 kann eine vorbestimmte Schutzmaßnahme 11 oder ein vorbestimmter Verschlüsselungszu stand 8 definiert sein. In einem Schritt D4 kann die Klassi fizierung kritischer Zeitpunkte oder Anwendungsfälle vorgesehen sein. In einem letzten Schritt D5 können die Klassifizierungen verarbeitet werden, um die Datenbank 7 für die Vermittlungsstelle 4 erstellen zu können.

Fig. 7 zeigt einen möglichen Ablauf eines Verfahrens, wie es ausgeführt werden kann. In dem ersten Schritt Al kann ein eintreffendes Datenpaket 6 durch die Vermittlungsstelle 4 untersucht werden. Dabei kann vorgesehen sein, dass überprüft wird, ob kritische Inhalte 10 in den vorbestimmten Inspekti onsobjekten 9 enthalten sind und ob ein vorbestimmter Ver schlüsselungszustand 8 des Datenpakets 6 vorliegt. Der Ver schlüsselungszustand 8, die Inspektionsobjekte 9 und die kritischen Inhalte 10 können in der Datenbank 7 der Vermitt lungsstelle 4 gespeichert sein. Wenn dies der Fall ist, kann vorgesehen sein, dass in einem Schritt A3 der Absender 15 und/oder der Empfänger 16 des Datenpakets 6 ausgelesen wird. In einem Schritt A4 kann aus der Datenbank 7 abgerufen werden, ob der Absender 15 und/oder der Empfänger 16 diese kritischen Inhalte 10 empfangen darf. Ist dies nicht der Fall, kann es vorgesehen sein, dass in einem Schritt A5 das Benachrichtigungssignal 17 an den Sender des Datenpakets 15 versandt wird und in einem Schritt A6 eine Benachrichtigung des Empfängers 16 erfolgt, indem das Benachrichtigungssignal an den Empfänger versandt wird. Es kann in diesem Fall vorgesehen sein, dass eine Weiterleitung des Datenpakets 6 an den Empfänger 16 unterbunden wird. Ist ein Empfang zulässig, kann es vorgesehen sein, dass in einem Schritt A7 die Weiterleitung des Datenpakets 6 an den Empfänger 16 durchgeführt wird. Wird in dem Schritt A2 durch die Vermitt lungsstelle 4 erkannt, dass keine kritischen Inhalte in un verschlüsselter Form vorliegen, kann es vorgesehen sein, dass das Paket ebenfalls an den Empfänger 16 weitergeleitet wird.

Fig. 8 zeigt einen möglichen Verlauf eines Verfahrens, wie es ausgeführt werden kann. In einem ersten Schritt Bl kann durch die Vermittlungsstelle 4 ein empfangenes Datenpaket 6 dahingehend überprüft werden, ob in dem Datenpaket in einem der vorbestimmten Inspektionsobjekte 9 kritischer Inhalt 10 enthalten ist. Wenn dies der Fall ist, kann es in einem Schritt B2 vorgesehen sein, dass eine Weiterleitung des unverschlüsselten Datenpakets 6 verzögert wird und das Datenpaket 6 in der Vermittlungsstelle 4 zwischengespeichert wird. In einem Schritt B3 kann es vorgesehen sein, dass die Empfänger des Datenpakets 6 aus dem Datenpaket 6 extrahiert werden. In dem Schritt B4 kann aus der Datenbank 7 durch die Vermittlungsstelle 4 abgerufen werden, welche Ver schlüsselungsmethoden, das heißt welcher Verschlüsselungszu stand 8, für die Empfänger 16 erforderlich ist. In dem Schritt B5 kann eine Verschlüsselung des Datenpakets 6 durch die Vermittlungsstelle 4 erfolgen, wobei die Verschlüsselung spezifisch auf die jeweiligen Empfänger 16 des Datenpakets 6 abgestimmt sein kann. In einem Schritt B6 kann eine Weiterleitung des Datenpakets 6 durch die Vermittlungsstelle 4 vorgesehen sein. In einem Schritt B7 kann es vorgesehen sein, dass der Sender des Datenpakets 6 durch die Vermittlungsstelle 4 mittels eines Benachrichtigungssignals 17 darüber informiert wird, dass eine nachträgliche Verschlüsselung des Datenpakets 6 durchgeführt wurde. Dadurch kann beispielsweise in einer Datenbank des Absenders 15 beispielsweise der erforderliche Verschlüsse lungszustand 8 für den Empfänger 16 aktualisiert werden.

Fig. 9 zeigt eine Ausführungsform eines Verfahrens, wie es ausgeführt werden kann. Es kann vorgesehen sein, dass in dem Schritt B5 eine nachträgliche Verschlüsselung eines unver schlüsselten Datenpakets 6 durch die Vermittlungsstelle 4 durchgeführt wird. Das Datenpaket 6 kann in einem Schritt B6 nach der Verschlüsselung an den Empfänger 16 weitergeleitet werden. In einem Schritt B7 kann es vorgesehen sein, dass eine Be nachrichtigung des Absenders 15 des Datenpakets 6 über notwendige Verschlüsselungsalgorithmen für dieses Datenpaket 6 auf diesem Weg zu diesem Empfänger 16 erforderlich ist und dass in dem Datenpaket 6 in dem Inspektionsobjekt 9 kritische Inhalte 10 enthalten sind. Fig. 10 zeigt einen möglichen Ablauf eines Verfahrens, wie es ausgeführt werden kann. In einem Schritt C2 kann durch die Vermittlungsstelle 4 festgestellt werden, dass der Ver schlüsselungszustand 8 des Datenpakets 6 von dem in der Datenbank 7 vorgesehenen Verschlüsselungszustand 8 abweicht. Aus diesem Grund kann es vorgesehen sein, dass die Weiterleitung des Datenpakets 6 an den Empfänger 16 verzögert wird und das Da tenpaket 6 stattdessen in der Vermittlungsstelle 4 zwischen gespeichert wird. In einem Schritt C3 kann es vorgesehen sein, dass durch die Vermittlungsstelle 4 das Benachrichtigungssignal 17 für den Empfänger 16 des Datenpakets 6 erstellt und versandt wird. In einem Schritt C4 kann es vorgesehen sein, dass für den Fall, dass das Benachrichtigungssignal 17 ein Rückmeldesignal 18 von dem Empfänger 16 anfordert, dieses durch den Empfänger versandt wird. Nach dem Versand des Benachrichtigungssignals an den Empfänger des Datenpakets kann es vorgesehen sein, dass der Absender 15 des Datenpakets 6 über die Abweichung des Ver schlüsselungszustands 7 des Datenpakets 6 von der in der Da tenbank 7 vorgegebenen Form des Verschlüsselungszustands 8 des Datenpakets 6 abweichen kann. In einem Schritt C6 kann es vorgesehen sein, dass eine Anforderung in dem Benachrichti gungssignal 17 enthalten ist, welches den Absender 15 des Datenpakets 6 auffordert, ein Rückmeldesignal 18 über eine weitere Durchführung des Verfahrens zu versenden. In einem Schritt C7 kann es möglich sein, dass die Vermittlungsstelle 4 in Abhängigkeit zumindest des einen Rückmeldesignals 18 das zwischengespeicherte Datenpaket 6 an den Absender zurücksendet, es löscht oder an den Empfänger 16 weiterleitet.

Auf Basis der physikalischen Schicht Ethernet und dem darüber liegenden Internet-Protokoll, finden erstmals Techniken Einzug ins Bordnetz die gerade außerhalb des Kraftfahrzeugs seit Jahrzehnten stark verbreitet sind. Hierbei bietet sich auch ein potentiell höheres Angriffsrisiko welches mit den Bordnetzen wie CAN und FlexRay heute nicht bestand, da diese dem „normalen Hacker" schlicht nicht bekannt sind. Gerade im Hinblick auf einen immer stärker werdenden Einsatz der Protokolle Ethernet und IP werden Sicherheitsmechanismen immer wichtiger, denn das Kraftfahrzeug wurde bereits als neuer Angriffspunkt identi fiziert. Genau deswegen sind neue Sicherheitsmechanismen und Funktionen notwendig die das Kraftfahrzeug sicherer vor An griffen machen. Ethernet und Funktechnologien erfahren zurzeit erst Einzug in das Kraftfahrzeug und birgt durch seine offenen und standardisierten Protokolle erstmals die Möglichkeit das Kraftfahrzeug auch von außen anzugreifen. Vermehrt sind in der Presse Meldungen über Angriffe auf Kraftfahrzeuge zu lesen, bei denen es Angreifer über Funk geschafft haben Zugriff auf das Kraftfahrzeug zu gelangen und somit auch auf wichtige Fahr zeugfunktionen zugreifen konnten.

Die Herausforderung der Firewalls (bzw. von Security im All gemeinen) ist dabei, diese performant in den Steuergeraten des Fahrzeuges umzusetzen. Die relativ rechenschwachen Controller und die weiteren Anforderungen nach Energieersparnis führen dazu, dass bekannte Konzepte aus der IT nicht so einfach adaptiert werden können. Die Güte „Sicherheitskonzept" im Fahrzeug steht daher auch immer im Wiederspruch zur verfügbaren Rechenleistung. Die Autoherstellern fordern schon heute zum Teil separate Controller die die Firewall-Funktionalität umsetzen. Zum einen aus Sicherheitsgründen und zum anderen aus Performancegründen.

Aktuell ist man interessiert an Sicherheitsmechanismen, um Ethernet ausreichend für Kraftfahrzeuge abzusichern. Die derzeitigen Sicherheitslösungen beschränken sich zu 100% auf die Software und sind durch Firewalls umgesetzt. Diese verbrauchen zum einen immer hohe Ressourcen und zum anderen ist der Angreifer dann schon immer im System. Wie das Problem von Intel erst deutlich gemacht hat können auch Fehler tief in der Hardware auftreten, welche prinzipiell nicht von einer Firewall erkannt werden können. Weiterhin stellen die Firewalls heute die einzige Sicherheitsmethode/Komponente im Fahrzeug dar. Im Hinblick auf das automatisierte und autonome Fahren wird auch beim Thema Security eine Redundanz notwendig sein, welche das Bordnetz sicherer gegen Angriffe macht. Heute gibt es noch keine Lösungen dafür im Bordnetz. Mit dem zunehmenden Einsatz von Kameras in Kraftfahrzeugen stellt sich automatisch die Frage nach dem Datenschutz und dem Schutz der Privatperson. Die Videoüberwachung stellt naturgemäß einen erheblichen Eingriff in das Persönlichkeitsrecht der Be schäftigten als Betroffene dar. Der Einzelne hat das grund gesetzlich geschützte Recht, selbst über das eigene Bild und dessen Verwendung zu bestimmen. Durch Videoüberwachung im Kraftfahrzeug (Innenraum, Umfeld) - auch solche zu Zwecken des Diebstahlschutzes - besteht immer die latente Gefahr, dass Beschäftigte überwacht werden und/oder diese Daten nach außen geleitet werden oder auch unverschlüsselt gespeichert werden. Kommende autonom fahrende Kraftfahrzeuge werden mit mindestens acht Kameras und auch Datenloggern ausgestattet sein. Die Verschlüsselung zum Datenschutz der Außenwelt, oder auch des Fahrers ist ein kommendes Thema - gerade im Hinblick auf die derzeit entwickelten Datenlogger welche genau diese Daten aufzeichnen sollen.

Fig. 4 zeigt exemplarisch zwei neuartige Steuergerätkonzepte . Diese leistungsstarken Steuergeräte (ECU Electronic Control Unit) verinnerlichen mehrere Steuereinheiten (Controller) als auch mehrere Vermittlungsstellen (Switches) in einer „Box". Diese folgen dem Trend zur allgemeinen Reduzierung der Steu ergeräte eines Kraftfahrzeuges. Gerade für diese Steuergeräte müssen Sicherheitslösungen angeboten werden, weil hier bei einem großen Steuergerät sehr viele Funktionen bei einem Angriff ausgelöscht werden können, im Vergleich zu einem normalen Steuergerät heute. Heutige Fahrzeugnetzwerke sind statisch konfiguriert, dass heißt die Datenkommunikation (Sender-, Empfänger und Datenbeziehung) stehen spätestens bei der Ban- dendeprogrammierug des Kraftfahrzeuges fest. Die kommenden Architekturen und der Wunsch nach denvice-oriented communication wiedersprechen dem heutigen Ansatz und verlangen nach neuen Konzepten. Für die nächsten Generationen wird nicht immer klar sein, wer der Empfänger der Datenpakete ist und welchen Weg die Datenpakete gehen. Jeder Empfänger kann daher unterschiedliche Anforderungen an die Übertragung der Datenpakete haben (z.B. externe Steuergeräte, Cloud, ungeschützte Steuergeräte) . Das Steuergerät muss in Zukunft dynamisch auf die Anforderungen des Empfängers die Datenübertragungsmechanismen verändern.

Fig. 5 und Fig. 6 zeigen das Grundprinzip der Erfindung. Die Idee der Erfindung ist es, ungesicherte Datenpakete zu identifi zieren, eine Meldung zu machen und eventuell auch nachträglich abzusichern. Nach dem Empfang eines Datenpaketes eines Steu ergeräts (inklusive Vermittlungsstelle (Switch) ) wird dieses inspiziert und (in Echtzeit- dazu sind die Switche in der Lage bis zu einer gewissen Payload-Tiefe) nach sensiblen Informa tionen/ kritische Dateninhalte durchsucht. Sind diese Infor mationen nicht abgesichert (sollten es jedoch) so werden diese nachträglich verschlüsselt und der Absender darüber benach richtigt. Außerdem kann dem Absender und/oder dem Empfänger auch ermöglicht werden, zu entscheiden, ob das Datenpaket wirklich weitergesandt oder empfangen werden soll.

In vorteilhafter Weise kann durch die Erfindung die Sicherheit eines Fahrzeugnetzwerks erhöht werden, insbesondere ohne fi nanziellen Mehraufwand. Mit der Nutzung des neu eingeführten Ethernet-Protokolls im Kraftfahrzeug sind Mechanismen not wendig, die sich einfache Techniken und gegebene Eigenschaften von Technologien zu Nutze machen, um auf teure Implementierungen und weitere zusätzliche Hardware verzichten zu können. Durch frühzeitigere Erkennung von Angriffen und Fehlverhalten mittels der frühen Analyse der Kommunikationspfade lassen sich Lücken und Fehler vor der Auslieferung des Kraftfahrzeugs erkennen. Das erfindungsgemäße Netzwerksystem ist im Hinblick auf Kosten und Zuverlässigkeit verbessert. Die Testbarkeit des Systems wird durch die Erfindung klarer definiert und dadurch können

Testkosten gespart werden. Zudem bietet die Erfindung eine transparente Sicherheitsfunktionalität. Vorteilhaft wird zu nächst eine Zustandsanalyse durchgeführt, indem klassifiziert wird, welche Paketeigenschaften sensibel sind und welche Ei genschaften diese mit sich bringen. Diese Zustandsanalyse wird dann zum Aufdecken von unverschlüsselten Informationen un terzogen. Weiterhin vorteilhaft wird durch die zuvor be schriebene Vorgehensweise eine detaillierte Analyse durchge- führt, beziehungsweise es sind detaillierte Informationen hinterlegt, um eine Bewertung des Sicherheitsrisikos über die Weiterleitung des Datenpakets so genau wie möglich vornehmen zu können. Somit können vorteilhaft nicht nur Sicherheitslücken nach der Auslieferung an den Endkunden erkannt werden sondern auch Software-Updates und Upgrades ermöglicht werden. Die Erfindung ist vorteilhaft, weil das Thema Security und Ethernet in der Software eine große Bedeutung im Kraftfahrzeug hat und zunehmend haben wird. Der Kern und die Neuwertigkeit der Er findung ist es, dass die Sicherheit des Fahrzeugnetzwerks erhöht wird (bei gleichen Kosten) . Mit dem Einzug von Ethernet sind unter anderem auch Mechanismen notwendig, die sich einfache Techniken und gegebene Eigenschaften von Technologien zu Nutze machen, um auf teure Implementierungen und weitere zusätzliche Hardware verzichten zu können. Die neuen Technologien sind im Kraft fahrzeug nicht mehr aufzuhalten. Protokolle wie IP, AVB und TSN haben mehrere Tausend Seiten an Spezifikationen und Testsuites. Die Beherrschbarkeit dieser neuen Protokolle im Automobil ist nicht direkt gegeben. Durch die Erfindung wird eine frühzeitigere Erkennung von Angriffen und Fehlverhalten ermöglicht. Vor teilhaft wird somit nach dem bisher genannten Verfahren zunächst eine Analyse durchgeführt, indem ermittelt wird, welche Kom munikationsteilnehmer vorhanden sind und welche Eigenschaften diese mit sich bringen. Diese Zustandsanalyse wird dann zum Aufdecken von Lücken für mögliche Angriffe einer Risikobewertung unterzogen. Vorteilhaft wird durch die Sammlung bzw. Ermittlung von im Netzwerk gegebenen Parametern eine genaue Analyse des Gefährdungspotentials eines Kommunikationspfads möglich.

Dadurch ergibt sich eine transparente Sicherheitsfunktiona lität. Die Testbarkeit des Systems wird durch das Verfahren klarer definiert und dadurch können Testkosten gespart werden.

Insgesamt zeigten die Beispiele, wie durch die Erfindung ein Verfahren zur Absicherung von Datenpaketen bereitgestellt werden kann . Bezugszeichenliste

1 Steuergerät

2 Steuereinheit

3 Schnittstelle

4 Vermittlungsstelle

5 Netzwerk

6 Datenpaket

7 Datenbank

8 Verschlüsselungszustand

9 Inspektionsobj ekt

10 Kritischer Inhalt

11 Schutzmaßnahme

12 Stapelaufbau

14 Obere Protokollebene

14 Untere Protokollebene

15 Absender

16 Empfänger

17 BenachrichtigungsSignal 18 RückmeldeSignal

19 Kraftfahrzeug