VERFAHREN ZUM PRÜFEN DER INTEGRITÄT VON KOMPONENTEN EINES SYSTEMS UND ANORDNUNG ZUR DURCHFÜHRUNG DES VERFAHRENS

Die vorliegende Erfindung betrifft ein Verfahren zum Prüfen der Integrität von Systemkomponenten eines Systems gemäß dem Oberbegriff des Anspruchs 1. Die vorliegende Erfindung be ^¬ trifft weiter zur Durchführung des Verfahrens eine Anordnung gemäß dem Oberbegriff des Anspruchs 4.

In zum Beispiel Automatisierungssystemen ist eine korrekte Funktion von höchster Wichtigkeit. Dies gilt insbesondere in sicherheitskritischen Steuerungssystemen wie zum Beispiel Steuerungssystemen für Bahnautomatisierungen, Energienetzautomatisierungen, Fertigungsautomatisierungen oder Prozessautomatisierungen .

Die für solche zum Beispiel Steuerungssysteme eingesetzten Systemkomponenten werden häufig unter Nutzung von Technologien realisiert, die aus dem Gebiet der allgemeinen Informa ^¬ tionstechnik beziehungsweise der elektronischen Technik für allgemeine Verbraucher stammen. Daher besteht die Gefahr, dass eine für zum Beispiel Steuerungssysteme für zum Beispie Automatisierungen eingesetzte Systemkomponente zum Beispiel für ein Steuergerät, ein eingebettetes Elektroniksystem oder eine Einheit für das Netz der Dinge (Internet of Things (IoT) , sogenannte Allesnetze) eine Fehlfunktion aufweist be ^¬ ziehungsweise absichtlich manipuliert ist.

Es besteht daher ein Bedarf an Schutzmaßnahmen, um eine Fehl funktion beziehungsweise eine Manipulation betreffender Systemkomponenten zum Beispiel solchen für Automatisierungssys ^¬ teme zu erschweren.

Zum Schutz der Integrität solcher betreffender Systemkomponenten sind bereits unterschiedliche Technologien bekannt: - Secure Boot: Es wird nur korrekt signierte Soft ^¬ ware/Firmware geladen. Dazu wird ein Hash-Wert oder die digi ^¬ tale Signatur geladener Software/Firmware überprüft;

- Trusted Boot: Abhängig von geladener Software und deren Measurements , das heißt deren Hash-Werte geladener Software ^¬ module, wird der Zugriff auf einen kryptographischen Schlüssel freigegeben;

- Verified Boot: Es kann eine manipulationsgeschützte Bestä ^¬ tigung der geladenen Software/Firmware bereitgestellt werden; - Laufzeitüberwachung : Prüfung der Integrität von Dateien eines Dateisystems, Prüfen der laufenden Prozesse;

- Tamper-Siegel : Eine Steuerungssystemeinheit wie zum Bei ^¬ spiel ein Gehäuse weist ein Siegel oder eine Plombe auf. Da ^¬ durch kann eine physikalische Manipulation erkannt werden; - Aktiver Tamperschutz : Sensoren erkennen eine physikalische Manipulation zum Beispiel eines Gehäuseschalters, einer Bohr ^¬ schutzfolie, eines Lichtsensors oder Strahlungssensors. Bei einem Tamper-Ereignis werden gespeicherte Schlüsseldaten ge ^¬ löscht .

Weiterhin ist ein so genanntes „Power Fingerprinting" zur Erkennung manipulierter Systemkomponenten bekannt. Dabei wird der Stromverbrauch einer Systemkomponente analysiert und mit einem Referenzstromverbrauchsprofil verglichen, um eine Fehl- funktion oder eine Manipulation durch zum Beispiel Schadsoftware zu erkennen und geeignete reaktive Maßnahmen wie zum Beispiel Abschalten einer maßgebenden Stromversorgung durchzuführen. Solche Lösungen sind kommerziell verfügbar, aber sehr aufwendig. Ein Einsatz erfolgt daher nur in Einsatzumge- bungen mit extrem hohen Sicherheitsanforderungen, zum Beispiel im Behördenumfeld. Eine Offenbarung für ein solches „Power Fingerprinting" findet sich zum Beispiel im Internet unter der Internet-Adresse:

http://www.powerfingerprinting.com/technololgy.html, und in der Offenlegungsschrift: WO 2012/061663 A2.

Ferner sind so genannte Safety-Monitor Schaltkreise bekannt, die zum Beispiel Hauptprozessoren und die Softwareausführun- gen auf den Hauptprozessoren überwachen. Sie können insbesondere Tests gegenüber festen Testmustern durchführen sowie Ergebnisse zweier unabhängiger Ausführungen vergleichen. Eine Offenbarung eines solchen Überwachungsmonitors findet sich zum Beispiel im Internet unter der Internet-Adresse:

https : //www . infineon . com/dgdl/Safety-Computing-Platform- XC2300-CIC61508-Product-

Brief .pdf?fOlderld=db3a304317a748360117f45a9c863e84&fileld=db 3a3043353fdcl6013543303497315d.

Wesentliche Funktionskomponenten solcher Safety-Monitore sind :

- Internal Test Scheduler/Sequencer : Diese Komponente gene ^¬ riert Sequenzen von Testaufrufen mit spezifizierten Daten und prüft das Ergebnis gegen feste Testmuster ab;

- Supply Voltage Monitor: Diese Komponente erkennt Unter- und Überspannung in der Stromversorgung eingesetzter Prozessoren und veranlasst einen Reset, wenn notwendig;

- Data Verification Unit: Diese Komponente vergleicht zwei Datenvariable auf Gleichheit, die innerhalb einer festgeleg ^¬ ten Zeitspanne erzeugt sind;

- Task Monitor: Monitorsystem mit definierten Arbeitsschemata zum Kontrollieren auftretender kritischer Arbeitsabläufe mit vordefinierten Ausführungsetats ;

- System Shutdown: Systemabschaltung. Zum Beispiel drei Stufen der zeitlichen Systemabschaltung ermöglichen flexible Abschaltfolgen .

Weiterhin sind Beschichtungsmaterialien, so genannte

Coatings, für elektronische Schaltungen bekannt.

Aufgabe der vorliegenden Erfindung ist, ausgehend von einem Verfahren der eingangs genannten Art, ein Verfahren anzugeben, das ein Prüfen der Integrität von Systemkomponenten ei- nes Systems wie zum Beispiel eines Steuerungssystems für zum Beispiel Automatisierungen möglich ist. Aufgabe der vorliegenden Erfindung ist weiter, ausgehend von einer Anordnung der eingangs genannten Art eine Anordnung anzugeben, mit der das genannte Verfahren durchführbar ist.

Bezüglich des Verfahrens wird diese Aufgabe erfindungsgemäß mit einem Verfahren gelöst, das die im Kennzeichen des Anspruchs 1 angegebenen Verfahrensschritte aufweist. Bezüglich der Anordnung wird diese Aufgabe erfindungsgemäß durch eine Anordnung gelöst, die die im Kennzeichen des Anspruchs 4 angegebenen Merkmale aufweist.

Das erfindungsgemäße Verfahren weist danach die Verfahrens ^¬ schritte auf:

- Erfassen eines lastabhängigen Temperatur-Fingerprints bei der auf Integrität zu prüfenden Systemkomponente des Systems

- Abprüfen und Auswerten des erfassten lastabhängigen Temperatur-Fingerprints gegen Referenzinformationen unter Ermitteln eines Grades an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegengeprüften Referenzinformatio nen,

- Wiederholen des Erfassens des lastabhängigen Temperatur- Fingerprints und des Abprüfens und Auswertens des erfassten lastabhängigen Temperatur-Fingerprints gegen Referenzinforma tionen unter Ermitteln eines Grades an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegengeprüf ^¬ ten Referenzinformationen, solange der ermittelte Grad an Übereinstimmung ein Ergebnis ist, das innerhalb eines vorge ^¬ gebenen Toleranzbereichs für den Grad an Übereinstimmung liegt, und

- Durchführen reaktiver Maßnahmen, wenn der ermittelte Grad an Übereinstimmung ein Ergebnis ist, das außerhalb des vorge gebenen Toleranzbereichs für den Grad an Übereinstimmung liegt .

Das erfindungsgemäße Verfahren ermöglicht das sichere Prüfen der Integrität von Systemkomponenten zum Beispiel eines Steuerungssystems für zum Beispiel Automatisierungen. Vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens sind Gegenstand von Unteransprüchen.

Danach weist das erfindungsgemäße Verfahren zum Beispiel den Verfahrensschritt auf:

- Ausgeben von das System in einer Weise beeinflussenden Steuersignalen an Systemkomponenten des Systems als reaktive Maßnahme, dass die auf Integrität geprüfte Systemkomponente des Systems zumindest letztlich einen lastabhängigen Temperatur-Fingerprint erzeugt, dessen Grad an Übereinstimmung gegen die Referenzinformationen ein Ergebnis ist, das innerhalb des vorgegebenen Toleranzbereichs für den Grad an Übereinstimmung liegt .

Dieser Verfahrensschritt ermöglicht es dem zugrunde liegenden System, zunächst einmal selbst zu versuchen, sich wieder in einen regulären Funktionsbetrieb zu bringen, bevor weitere Maßnahmen getroffen werden.

Bei einer anderen vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens wird der Verfahrensschritt durchgeführt:

- Ausgeben eines Alarmsignals als reaktive Maßnahme, wenn der ermittelte Grad an Übereinstimmung zwischen lastabhängigen

Temperatur-Fingerprint und gegengeprüften Referenzinformatio ^¬ nen spätestens nach Ablauf einer vorgegebenen Zeitspanne ein Ergebnis ist, das außerhalb des vorgegebenen Toleranzbereichs für den Grad an Übereinstimmung liegt.

Dieser Verfahrensschritt ermöglicht eine Reaktion insbesonde ^¬ re dann, wenn die Integrität einer geprüften Systemkomponente nicht mehr gegeben ist und das System zumindest eine vorgege ^¬ bene Zeit lang nicht selbst in der Lage ist, wieder in einen sicheren Funktionsbetrieb zu gelangen.

Die erfindungsgemäße Anordnung weist die folgenden techni ^¬ schen Mittel auf: - einen Überwachungsmonitor zum Erfassen eines lastabhängigen Temperatur-Fingerprints bei der auf Integrität zu prüfenden Systemkomponente des Systems, und

- technische Mittel zum Abprüfen und Auswerten des erfassten lastabhängigen Temperatur-Fingerprints gegen Referenzinforma ^¬ tionen unter Ermitteln eines Grades an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegengeprüf ^¬ ten Referenzinformationen. Die erfindungsgemäße Anordnung zur Durchführung des erfindungsgemäßen Verfahrens ermöglicht ebenso das sichere Prüfen der Integrität von Systemkomponenten zum Beispiel eines

Steuerungssystems für zum Beispiel Automatisierungen. Vorteilhafte Ausgestaltungen der erfindungsgemäßen Anordnung sind Gegenstand von Unteransprüchen.

Danach umfassen die technischen Mittel zum Erfassen des lastabhängigen Temperatur-Fingerprints bei der auf Integrität zu prüfenden Systemkomponente wenigstens einen einzigen Tempera ^¬ tur-Sensor .

Bei einer anderen vorteilhaften Ausgestaltung der erfindungsgemäßen Anordnung sind zur Durchführung reaktiver Maßnahmen technische Mittel zum Ausgeben von das System in einer Weise beeinflussenden Steuersignalen an Systemkomponenten des Systems vorgesehen, dass die auf Integrität geprüfte Systemkom ^¬ ponente des Systems zumindest letztlich einen lastabhängigen Temperatur-Fingerprint erzeugt, dessen Grad an Übereinstim- mung gegen die Referenzinformationen ein Ergebnis ist, das innerhalb eines vorgegebenen Toleranzbereichs für den Grad an solcher Übereinstimmung liegt.

Bei einer weiteren vorteilhaften Ausgestaltung der erfin- dungsgemäßen Anordnung sind zur Durchführung reaktiver Maßnahmen technische Mittel für ein Ausgeben wenigstens eines einzigen Alarmsignals in Fällen vorgesehen, in denen der ermittelte Grad an Übereinstimmung zwischen lastabhängigen Tem- peratur-Fingerprint und gegengeprüften Referenzinformationen spätestens nach Ablauf einer vorgegebenen Zeitspanne ein Ergebnis ist, das außerhalb des vorgegebenen Toleranzbereichs für den Grad an Übereinstimmung liegt.

Mit Hilfe der erfindungsgemäßen Maßnahmen können unterschiedliche Arten von Manipulationen beziehungsweise Fehlern bei geprüften Systemkomponenten erkannt werden. Zum Beispiel können erkannt werden:

- ein geöffnetes Gehäuse eines Halbleiterbausteins durch zum Beispiel ein Aufätzen des Gehäuses;

- ein geöffnetes Automatisierungsgerät mit danach nicht mehr wirksamen Kühlkörper, da dieser dann nicht mehr in der glei- chen Art thermisch mit der Prozessoreinheit verbunden ist;

- entfernte Vergussmassen oder Wärmeleitpads ;

- abgelötete Chips, die nicht mehr auf der vorgesehenen Lei ^¬ terplatte montiert sind;

- veränderte Software/Firmware/Konfigurationen, die zu ande- ren lastabhängigen Temperatur-Fingerprints geführt haben.

Die erfindungsgemäßen Maßnahmen sind in vorteilhafter Weise mit im Handel üblichen Komponenten, zum Beispiel mit Kompo ^¬ nenten, die unter den Begriffen: FPGA, System on Chips, CPUs, MikroController und so weiter bekannt sind, einfach realisierbar. Weiter können auch schon vorhandene Temperatursensoren und Verarbeitungsmöglichkeiten verwendet werden. Die Erfindung kann dadurch durch ein Firmware/Software-Upgrade auch auf Altsystemen nachgerüstet werden.

Die vorliegende Erfindung ist insbesondere auf eine Prozes ^¬ soreinheit wie zum Beispiel eine CPU, ein Microcontroller, ein FPGA, ein System on Chip, ein ASIC und so weiter anwendbar. Es sind physikalische Manipulationen erkennbar wie zum Beispiel ein Öffnen des Gehäuses einer Prozessoreinheit zum Beispiel als Halbleiterbaustein, einer Elektronikbaugruppe zum Beispiel als eine vergossene Baugruppe oder mit einem Coating geschützte Baugruppe, einer entsprechenden Platine oder thermisch gekoppelter Kühlkörper.

Die Erfindung geht davon aus, dass heute verwendete Prozes- soreinheiten Temperatursensoren aufweisen. Diese werden zum Beispiel für eine adaptive Kühlung zum Beispiel mit

Lüftersteuerung verwendet, um ein kurzfristiges, zeitlich begrenztes Übertakten ohne Überhitzen möglich zu machen oder zur Diagnose zur Überwachung der Temperatur der Umgebung be- ziehungsweise auf dem Chip. Die Temperatur hängt dabei von der Rechenlast ab.

Erfindungsgemäß wird der Temperaturverlauf einer zum Beispiel Prozessoreinheit erfasst und mit einer Referenzinformation verglichen. Bei einer Abweichung kann sofort oder nach einer vorgegebenen Zeit zum Beispiel ein Fehlersignal bereitge ^¬ stellt werden. Es kann beispielsweise eine Alarmmeldung ge ^¬ loggt oder bereitgestellt werden oder es können kryptographi- sche Schlüssel gelöscht werden, oder es kann das zugrunde liegende Gerät ganz oder teilweise, das heißt in Teilfunktio ^¬ nen, gesperrt werden.

Dazu kann gezielt eine bekannte Rechenlast eingebracht wer ^¬ den, um den erwarteten Temperaturverlauf einer zu prüfenden Systemkomponente zu überprüfen. Insbesondere kann die Steil ^¬ heit des Temperaturanstiegs und des Abfalls ausgewertet wer ^¬ den. In einer Variante kann die Rechenlast mit einem Spreizcodeverfahren moduliert werden. Dies ermöglicht, den Effekt der Testlast von anderen Einflüssen zu separieren. In einer weiteren Variante kann der verwendete Spreizcode kryptogra- phisch erzeugt werden. Es ist jedoch auch möglich, eine ohnehin auftretende Rechenlast auszuwerten. Es kann ein periodi ^¬ scher Selbsttest durchgeführt werden. Der oder die Temperatursensoren können explizit vorhanden sein und zum Beispiel über ein Register auslesbar sein. In einem programmierbaren Digitalbaustein, einem so genannten FPGA, oder einem ASIC kann weiterhin die Freuenz eines digi- tal realisierten Oszillators ausgewertet werden, um auf die Temperatur beziehungsweise den Temperaturverlauf zu schlie ^¬ ßen. In einer weiteren Variante wird die Temperatur der Prozessoreinheit durch ein Feld von verbundenen, zum Beispiel auf dem Gehäuse aufgeklebten Temperatursensoren oder optisch mittels einer Wärmebildkamera gemessen. Es ist möglich, die Erfindung durch ein Wärmeleitpad zu realisieren, das die entsprechende Sensorik und Auswertelogik enthält. Dieses kann mit der Prozessoreinheit verklebt sein.

Die Analyse des Temperaturverlaufs kann in der Prozessorein ^¬ heit selbst erfolgen, in einer separaten Systemkomponente ei ^¬ nes Automatisierungsgerätes wie zum Beispiel in einem so ge ^¬ nannten Security Controller oder in einem Backend-System, beispielsweise in der so genannten Cloud.

Nachfolgend wird die Erfindung anhand einer Zeichnung näher erläutert. Darin zeigen: Figur 1 ein erstes Ausführungsbeispiel des erfindungsgemä ^¬ ßen Verfahrens,

Figur 2 ein zweites Ausführungsbeispiel des erfindungsgemä ^¬ ßen Verfahrens, und

Figur 3 ein Ausführungsbeispiel einer erfindungsgemäßen Anordnung in einer schematischen Darstellung.

In der Figur 1 ist ein erster schematischer Ablauf des erfin- dungsgemäßen Verfahrens in Form eines Ablaufdiagramms zu se ^¬ hen. Nach einem Start 1 des Verfahrens erfolgt das Erfassen 2 eines lastabhängigen Temperatur-Fingerprints bei der auf In ^¬ tegrität zu prüfenden Systemkomponente des Systems. Anschlie ^¬ ßend erfolgt ein Abprüfen 3 und Auswerten 4 des erfassten lastabhängigen Temperatur-Fingerprints gegen Referenzinforma ^¬ tionen unter Ermitteln 5 eines Grades 6 an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegenge ^¬ prüften Referenzinformationen. In einem nachfolgenden Abfrageschritt 7 wird der ermittelte Grad 6 an Übereinstimmung zwischen lastabhängigem Temperatur- Fingerprint und gegengeprüften Referenzinformationen kontrolliert. Solange der ermittelte Grad 6 an Übereinstimmung ein Ergebnis ist, das innerhalb eines vorgegebenen Toleranzbe ^¬ reichs für den Grad 6 an Übereinstimmung liegt, wird das Erfassen 2 des lastabhängigen Temperatur-Fingerprints , das Ab ^¬ prüfen 3 und Auswerten 4 des erfassten lastabhängigen Temperatur-Fingerprints gegen Referenzinformationen unter Ermit- teln 5 des Grades 6 an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegengeprüften Referenzinformationen wiederholt.

Ist bei dem Abfrageschritt 7 der ermittelte Grad 6 an Über- einstimmung ein Ergebnis, das außerhalb eines vorgegebenen Toleranzbereichs für den Grad 6 an Übereinstimmung liegt, werden reaktive Maßnahmen 8 durchgeführt. Anschließend kommt der Verfahrensablauf zum Ende 9. Wie die Figur 2 näher zeigt, können zu den reaktiven Maßnahmen 8 zum Beispiel das Ausgeben 10 von das System in einer Weise beeinflussenden Steuersignalen an Systemkomponenten des Systems zählen, dass die auf Integrität geprüfte Systemkompo ^¬ nente des Systems zumindest letztlich einen lastabhängigen Temperatur-Fingerprint erzeugt, dessen Grad an Übereinstim ^¬ mung gegen die Referenzinformationen ein Ergebnis ist, das innerhalb des vorgegebenen Toleranzbereichs für den Grad an Übereinstimmung liegt. Dabei kann in einem den reaktiven Maßnahmen 8 nachfolgenden Abfrageschritt 11 kontrolliert werden, ob die reaktiven Maß ^¬ nahmen 8 zu einem Erfolg geführt haben.

Haben die reaktiven Maßnahmen 8 zu einem Erfolg geführt, das heißt, die vorgegebenen Toleranzen werden wieder eingehalten, springt das Verfahren zum Beispiel zu einem Punkt zurück, ab dem das erfindungsgemäße Verfahren wieder wie geplant durch- geführt wird, bis gegebenenfalls wieder Toleranzabweichungen auftreten .

Haben die reaktiven Maßnahmen 8 zu keinem Erfolg geführt, kann gegebenenfalls in einem Abfrageschritt 12 kontrolliert werden, ob ein vorgegebener Zeitablauf für das Erreichen eines Erfolges durch zum Beispiel die obigen reaktiven Maßnahmen 8 eingetreten ist. Ist noch kein solcher Zeitablauf eingetreten, kann weiter mit den zum Beispiel obigen reaktiven Maßnahmen 8 versucht werden, das zugrunde liegende System in einen sicheren Zustand zu bringen. Ist ein solcher Zeitablauf eingetreten, kann zum Beispiel ein Ausgeben 13 eines Alarmsignals als reaktive Maßnahme 8 erfol ^¬ gen .

Andere reaktive Maßnahmen 8 und Konstellationen von reaktiven Maßnahmen 8 sind möglich und denkbar.

Zum Beispiel kann an Stelle des Versuchs, durch entsprechende reaktive Maßnahmen 8 das zugrunde liegende System selbststän ^¬ dig wieder in einen sicheren Zustand zu bringen, gleich we- nigstens ein einziges Alarmsignal ausgegeben werden. Durch

Ausgabe mehrerer Alarmsignale kann beispielsweise ein Stufen ^¬ szenario von Dringlichkeit realisiert werden.

Die in der Figur 3 gezeigte erfindungsgemäße Anordnung 14 weist technische Mittel 15 auf, die durch einen Überwachungs ^¬ monitor 16 zum Erfassen 2 eines lastabhängigen Temperatur- Fingerprints bei der auf Integrität zu prüfenden Systemkompo ^¬ nente eines zugrunde liegenden Systems realisiert sind. Wei ^¬ ter weist diese Anordnung technische Mittel 17 zum Abprüfen 3 und Auswerten 4 des erfassten lastabhängigen Temperatur-

Fingerprints gegen Referenzinformationen unter Ermitteln 5 eines Grades 6 an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegengeprüften Referenzinformatio ^¬ nen auf.

Die technischen Mittel 15 zum Erfassen 2 des lastabhängigen Temperatur-Fingerprints bei der auf Integrität zu prüfenden Systemkomponente weist weiter wenigstens einen einzigen Tem ^¬ peratur-Sensor 18 auf.

In der Figur 3 nicht näher dargestellt, aber gegebenenfalls in der erfindungsgemäßen Anordnung 14 vorhanden, sind zur

Durchführung reaktiver Maßnahmen 8 technische Mittel zum Ausgeben 10 (in der Figur 3 nicht näher dargestellt) von das System in einer Weise beeinflussenden Steuersignalen an Systemkomponenten des Systems vorgesehen, dass die auf Integri- tät geprüfte Systemkomponente des Systems zumindest letztlich einen lastabhängigen Temperatur-Fingerprint erzeugt, dessen Grad 6 an Übereinstimmung gegen die Referenzinformationen ein Ergebnis ist, das innerhalb eines vorgegebenen Toleranzbe ^¬ reichs für den Grad 6 an solcher Übereinstimmung liegt.

In der Figur 3 ebenfalls nicht näher dargestellt, aber gege ^¬ benenfalls in der erfindungsgemäßen Anordnung 14 vorhanden, sind zur Durchführung reaktiver Maßnahmen 8 technische Mittel zum Ausgeben 10 (in der Figur 3 nicht näher dargestellt) we- nigstens eines einzigen Alarmsignals 19 in Fällen vorgesehen, in denen der ermittelte Grad 6 an Übereinstimmung zwischen lastabhängigen Temperatur-Fingerprint und gegengeprüften Re ^¬ ferenzinformationen spätestens nach Ablauf einer vorgegebenen Zeitspanne ein Ergebnis ist, das außerhalb des vorgegebenen Toleranzbereichs für den Grad an Übereinstimmung liegt.