Schutzvorrichtung, Sicherheitssystem und Schutzverfahren Die vorliegende Erfindung betrifft eine Schutzvorrichtung für ein elektrisches Gerät mit einem Datenspeicher, welcher zu schützende Daten aufweist. Ferner offenbart die vorliegende Erfindung ein elektrisches Gerät, ein Sicherheitssystem und ein Schutzverfahren.

Die vorliegende Erfindung wird im folgendem hauptsächlich in Bezug auf mobile elektrische Geräte beschrieben, die potenti ^¬ ell dem Zugriff eines Angreifers ausgesetzt sein können. Al ^¬ lerdings ist die vorliegende Erfindung nicht auf solche elektrischen Geräte beschränkt, sondern kann in jeder Anwendung eingesetzt werden, in der Daten in einem Gerät geschützt werden sollen. Der Begriff elektrische Geräte ist dabei gleichzusetzten mit dem Begriff elektronische Geräte. Mobile Geräte, wie z.B. Smartphones, Satellitenempfänger,

Fahrzeugsteuergeräte oder dergleichen, oder auch Feldgeräte, wie z.B. Steuergeräte für eine Verkehrsinfrastruktur oder dergleichen, speichern heute eine Vielzahl sensibler Daten. Solche Daten können z.B. Codes für den Zugriff auf einen Steuerserver, weitere Kommunikationspartner oder Datenbanken sein. Solche Daten können z.B. auch Schlüssel für kryptogra- phisch geschützte Datenübertragungen sein.

Üblicherweise sollen diese Daten geschützt werden. Sie dürfen also einem potentiellen Angreifer nicht zugänglich gemacht werden, da dieser sich damit eventuell Zugang zu geschützten Elementen des jeweiligen Systems verschaffen könnte.

Die Aufgabe der vorliegenden Erfindung liegt daher darin, ei- ne Möglichkeit zum Schutz sensibler Daten in elektrischen Geräten bereitzustellen. Diese Aufgabe wird durch eine Schutzvorrichtung mit den Merkmalen des Patentanspruchs 1, ein elektrisches Gerät mit den Merkmalen des Patentanspruchs 9, ein Sicherheitssystem mit den Merkmalen des Patentanspruchs 10 und ein Schutzverfahren mit den Merkmalen des Patentanspruchs 11 gelöst.

Demgemäß ist vorgesehen:

Eine Schutzvorrichtung für ein elektrisches Gerät mit einem Datenspeicher, welcher zu schützende Daten aufweist, mit ei ^¬ ner Kommunikationsschnittstelle, welche ausgebildet ist, Sicherheitsnachrichten zu empfangen, mit einer Zeiterfassungseinrichtung, welche ausgebildet ist, die Zeit, oder auch Zeitdauer, nach dem Empfang der zuletzt empfangenen gültigen Sicherheitsnachricht zu erfassen, und mit einer Schutzfunkti ^¬ onseinrichtung, welche ausgebildet ist, eine Schutzfunktion auf die zu schützenden Daten in dem Datenspeicher anzuwenden, wenn die erfasste Zeit einen vorgegebenen Grenzwert überschreitet .

Ferner ist vorgesehen:

Ein elektrisches Gerät mit einer erfindungsgemäßen Schutzvor richtung .

Ferner ist vorgesehen:

Em Sicherheitssystem mit einer Anzahl, also einem oder mehreren, erfindungsgemäßer elektrischer Geräte, und mit einer Anzahl, also einem oder mehreren, von Servern, welche ausgebildet sind, regelmäßig Sicherheitsnachrichten an die elekt ^¬ rischen Geräte zu übermitteln oder Sicherheitsanfragen der elektrischen Geräte mit entsprechenden Sicherheitsnachrichten zu beantworten.

Schließlich ist vorgesehen: Ein Schutzverfahren für zu schützende Daten in einem elektrischen Gerät, aufweisend die Schritte Empfangen von Sicher ^¬ heitsnachrichten, Erfassen der Zeit nach dem Empfang einer gültigen Sicherheitsnachricht, und Anwenden einer Schutzfunk- tion auf die zu schützenden Daten, wenn die erfasste Zeit ei ^¬ nen vorgegebenen Grenzwert überschreitet.

Die der vorliegenden Erfindung zu Grunde liegende Erkenntnis besteht darin, dass es problematisch ist, einen zentralen Sicherheitsserver bereitzustellen, der im Falle eines Angriffs einen Befehl zum Löschen der sensiblen Daten an das jeweilige elektrische Gerät übermittelt. Beispielsweise könn ^¬ te die Netzwerkverbindung zwischen dem zentralen Sicherheitsserver und dem jeweiligen elektrischen Gerät unterbrochen werden. Der Befehl könnte das elektrische Gerät folglich nicht erreichen. Da externe Schutzfunktionen z.B. nicht mehr ausgeführt werden können, wenn die jeweilige Datenverbindung unterbrochen ist. Somit könnte ein Angreifer also z.B. ein elektrisches Gerät in einen faradayschen Käfig legen, um des- sen drahtlose Kommunikation zu stören. Danach könnte der Angreifer mit ausreichend Zeit versuchen, an die Daten in dem elektrischen Gerät zu gelangen.

Die der vorliegenden Erfindung zu Grunde liegende Idee be- steht nun darin, dieser Erkenntnis Rechnung zu tragen und in dem elektrischen Gerät die Möglichkeit vorzusehen, die sensiblen Daten autonom, also ohne externe Befehle, zu schützen.

Die Schutzvorrichtung ist folglich regelmäßig in dem Gerät angeordnet, in welchem die zu schützenden Daten gespeichert sind. Die Schutzvorrichtung überwacht zum Schutz der Daten das regelmäßige Eintreffen sog. Sicherheitsnachrichten. Diese Sicherheitsnachrichten müssen dabei nicht zwangsweise einen speziellen Inhalt aufweisen. Vielmehr wird in einer Variante lediglich der Empfang der Sicherheitsnachrichten innerhalb vorgegebener Zeiträume geprüft. In einer anderen Variante können unterschiedliche Typen von Sicherheitsnachrichten unterschieden werden. Der Begriff "Sicherheitsnachricht" im Sinne dieser Erfindung kann sich dann auch nur auf einen oder mehrere Typen von Sicherheitsnachrichten aus einer Vielzahl von Typen von Sicherheitsnachrichten beziehen. Mit anderen Worten kann lediglich der Empfang von bestimmten Typen von Sicherheitsnachrichten überwacht werden, wogegen andere

Sicherheitsnachrichten nicht überwacht werden und somit deren Empfang auch nicht die ermittelte Zeitinformation zurücksetzt bzw. aktualisiert. Die Sicherheitsnachrichten, auch Security Management Nachrichten oder Security Messages genannt, werden dazu über die Kommunikationsschnittstelle empfangen. Bei der Kommunikati ^¬ onsschnittstelle kann es sich z.B. um eine Kommunikations ^¬ schnittstelle des elektrischen Geräts handeln. Alternativ kann die Schutzvorrichtung aber auch über eine eigene Kommunikationsschnittstelle verfügen, diese kann dann auch als sog. „Secondary Channel" bezeichnet werden. Dabei kann die Kommunikationsschnittstelle eine drahtgebundene oder eine drahtlose Kommunikationsschnittstelle sein. Beispielsweise kann die Kommunikationsschnittstelle eine Ethernetschnitt- stelle, eine Feldbusschnittstelle, eine Satellitenempfangs ^¬ schnittstelle beispielsweise für ein globales Satellitennavi ^¬ gationssystem wie GPS, Galileo, Glonass, Beidou oder für ein Augmentierungssystem wie WAAS oder EGNOS, eine GSM-, TETRA, UMTS- oder LTE-Schnittstelle oder dergleichen sein. Insbesondere kann die als „Secondary Channel" bezeichnete Kommunika ^¬ tionsschnittstelle der Schutzvorrichtung z.B. auch die Kommunikationsschnittstelle des elektrischen Geräts sein, wobei die Schutzvorrichtung lediglich einen sekundären Kanal z.B. eines Satelliten-Signals auswertet.

Die empfangenen Sicherheitsnachrichten werden von einer Zeiterfassungseinrichtung ausgewertet. Dazu erfasst diese z.B. mit einem Zähler oder Counter die Zeit, die seit dem Empfang der letzten Sicherheitsnachricht bzw. der letzten gültigen Sicherheitsnachricht bzw. der letzten gültigen Sicherheits ^¬ nachricht eines vorgebbaren Sicherheitsnachrichtentyps ver- strichen ist. Sie prüft also das regelmäßige bzw. zyklische Eintreffen der Sicherheitsnachrichten.

Die erfasste Zeit wiederum wird von der Schutzfunktionsein- richtung ausgewertet. Überschreitet diese Zeit einen vorgege ^¬ benen Schwellwert oder Grenzwert, führt sie autonom, also z.B. ohne Zutun eines zentralen Sicherheitsservers oder ande ^¬ rer externer Befehle, die Schutzfunktion aus. Mit Hilfe der Schutzfunktion werden dann die zu schützenden Daten vor dem Zugriff durch nicht berechtigte Personen geschützt. Die

Schutzfunktion kann insbesondere ein Löschen oder ein Überschreiben von Daten, insbesondere von kryptographischen

Schlüsseln, sein. Es ist jedoch ebenso möglich, dass die Schutzfunktion eine Sperrfunktion des elektrischen Gerätes aktiviert. Bei aktivierter Sperrfunktion kann das elektrische Gerät nicht oder eingeschränkt benutzt werden, d.h. es wird im gesperrten Zustand eine Hauptfunktion des elektrischen Gerätes gesperrt. Die vorliegende Erfindung ermöglicht folglich den autonomen Schutz von Daten in einem elektrischen Gerät. Insbesondere bei einer Unterbrechung bzw. einer länger andauernden Unterbrechung der Verbindung zu einem zentralen Server, der eine Steuerung der sicherheitsbezogenen Funktionen in dem Gerät ausführt, können die Daten folglich automatisch vor dem Zugriff Unberechtigter zuverlässig geschützt werden.

Für einen Angreifer steht folglich nur ein begrenztes Zeitfenster zur Verfügung, in welchem er sich Zugriff auf die Da- ten verschaffen kann.

Vorteilhafte Ausführungsformen und Weiterbildungen ergeben sich aus den Unteransprüchen sowie aus der Beschreibung unter Bezugnahme auf die Figuren.

In einer Ausführungsform kann die Zeiterfassungseinrichtung eine kryptographische Einheit aufweisen, welche ausgebildet ist, anhand kryptographischer Schutzmechanismen, wie z.B. di- gitalen Signaturen oder Verschlüsselungen oder Nachrichtenau- thentisierungscodes , zu prüfen, ob eine Sicherheitsnachricht gültig ist. Weiterhin kann eine Aktualitätsinformation einer Sicherheitsnachricht überprüft werden, z.B. ein Zeitstempel oder ein Zählerwert. Dadurch wird erreicht, dass alte Sicher ^¬ heitsnachrichten, beispielsweise aufgezeichnete und wieder ^¬ eingespielte Sicherheitsnachrichten, nicht als gültig akzep ^¬ tiert werden. Es wird also nicht nur der Empfang der Sicherheitsnachricht geprüft. Vielmehr wird zusätzlich z.B. auch die Authentizität der Sicherheitsnachricht bzw. des Absenders der Sicherheitsnachricht geprüft.

In einer Ausführungsform kann die Schutzfunktionseinrichtung ferner ausgebildet sein, eine Anzahl, also eine oder mehrere, von Nebenbedingungen zu prüfen und nur bei negativem Ergebnis der Prüfung die Schutzfunktion auszuführen. Die Nebenbedingungen verhindern, dass z.B. bei einer Störung des entsprechenden Servers, der die Sicherheitsnachrichten aussendet, die Daten sofort gelöscht werden und damit verloren sind. In einer Variante wird der Grenzwert bzw. Schwellwert abhängig von Nebenbedingungen gebildet.

In einer Ausführungsform kann die Schutzfunktionseinrichtung ausgebildet sein, als Nebenbedingung zu prüfen, ob eine Ver- bindung über die Kommunikationsschnittstelle besteht. Ist al ^¬ so z.B. eine Verbindung über die Kommunikationsschnittstelle möglich und es bleiben lediglich die Sicherheitsnachrichten aus, kann das Anwenden der Schutzfunktion ausgesetzt werden. Dabei kann insbesondere geprüft werden, ob die Verbindung permanent verfügbar ist oder zwischenzeitlich unterbrochen wurde. Eine zwischenzeitliche Unterbrechung kann z.B. ver ^¬ merkt werden und bei Ausbleiben der Sicherheitsnachrichten zum Anwenden der Schutzfunktion führen. In einer Ausführungsform kann die Schutzfunktionseinrichtung ausgebildet sein, als Nebenbedingung zu prüfen, ob die Netzwerkumgebung des elektrischen Geräts der Anwendungsumgebung des elektrischen Geräts entspricht. Beispielsweise kann ge- prüft werden, ob entsprechende Kommunikationspartner des elektrischen Geräts erreichbar sind. Dazu kann eine Kommunikationsschnittstelle des Geräts oder die Kommunikations ^¬ schnittstelle der Schutzvorrichtung genutzt werden. Solche Kommunikationspartner können nicht nur andere Geräte z.B. in einer Produktionsanlage sein. Als Kommunikationspartner kommen auch andere üblicherweise für das elektrische Gerät er ^¬ reichbare Server oder dergleichen in Frage. In einer Ausführungsform kann die Schutzfunktionseinrichtung ausgebildet sein, als Nebenbedingung zu prüfen, ob sich Kommunikationspartner des elektrischen Geräts erfolgreich bei diesem authentisieren . Die Erreichbarkeit, z.B. durch einen einfachen Ping, der Kommunikationspartner könnte bei einem ausgefeilten Angriff eventuell simuliert werden. Wird eine Authentisierung geprüft, kommen üblicherweise kryptographi- sche Verfahren zum Einsatz. Folglich kann eine solche Authentisierung nur schwer simuliert bzw. gefälscht werden. In einer Ausführungsform kann die Schutzfunktionseinrichtung ausgebildet sein, als Nebenbedingung zu prüfen, ob sich ein autorisierter Benutzer an der Schutzvorrichtung oder dem elektrischen Gerät identifiziert. Kann ein autorisierter Benutzer sich an dem Gerät identifizieren, kann davon ausgegan- gen werden, dass es sich weiterhin in seiner üblichen Umgebung befindet und das Ausbleiben der Sicherheitsnachricht z.B. auf einen Serverfehler zurückzuführen ist.

Es ist ferner möglich, sogenannte Security Policies zu defi- nieren. Diese geben vor, welche der Nebenbedingungen jeweils geprüft werden sollen. Dabei können die Security Policies z.B. zeitabhängig, positionsabhängig oder dergleichen sein. Jede der Security Policies kann eine entsprechende Anzahl von Nebenbedingungen aufweisen.

In einer Ausführungsform kann die Schutzfunktion das Löschen der Daten, insbesondere ein mehrfaches Löschen und Über ^¬ schreiben mit vorgegebenen Bitmustern aufweisen. Das Löschen der Daten schützt diese effektiv vor dem Zugriff durch eine unberechtigte Person. Insbesondere das mehrmalige Überschrei ^¬ ben mit vorgegebenen Bitmustern löscht die Daten derart aus dem Datenspeicher, dass diese auch mit ausgefeilten Analyse- techniken nicht rekonstruiert werden können.

In einer Ausführungsform kann die Schutzfunktion das Verschlüsseln der Daten aufweisen. Werden die Daten verschlüsselt, können diese ebenfalls vor dem Zugriff durch unberech- tigte Personen geschützt werden. Gleichzeitig sind diese dann nicht unwiederbringlich verloren.

In einer Ausführungsform kann ein Schlüssel für das Verschlüsseln der Daten vorgegeben werden. Dies kann z.B. durch den Server erfolgen, der die Sicherheitsnachrichten erstellt und aussendet. Der Schlüssel wird also nicht, wie alternativ möglich z.B. von der Schutzvorrichtung zufällig erzeugt. Dadurch können die Daten leicht wieder rekonstruiert werden, wenn der eigentliche Besitzer die Gewalt über das Gerät wie- der erlangt.

In einer Ausführungsform kann die Schutzfunktionseinrichtung ausgebildet sein, direkt nach einem Neustart des elektrischen Geräts anzunehmen, dass die erfasste Zeit den Grenzwert über- schreitet. Unter einem Neustart ist ein Starten des Geräts nach bereits erfolgter Inbetriebnahme zu verstehen. Die Kommunikations- und Authentifizierungsfunktionen des Geräts sind folglich bereits initialisiert und funktionsbereit. Ein

Stromausfall kann also z.B. durch das Entfernen des Geräts aus seiner Betriebsumgebung hervorgerufen werden. Insbesondere in Kombination mit der Überprüfung der Nebenbedingungen kann so z.B. nach einem Stromausfall überprüft werden, ob das Gerät sich weiterhin in seiner Betriebsumgebung befindet oder tatsächlich entfernt wurde.

Die obigen Ausgestaltungen und Weiterbildungen lassen sich, sofern sinnvoll, beliebig miteinander kombinieren. Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierun- gen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmalen der Erfindung. Insbesondere wird dabei der Fachmann auch Einzelaspekte als Ver ^¬ besserungen oder Ergänzungen zu der jeweiligen Grundform der vorliegenden Erfindung hinzufügen.

Die vorliegende Erfindung wird nachfolgend anhand der in den schematischen Figuren der Zeichnungen angegebenen Ausführungsbeispiele näher erläutert. Es zeigen dabei:

Fig. 1 ein Blockschaltbild einer Ausführungsform einer erfindungsgemäßen Schutzvorrichtung; Fig. 2 ein Blockschaltbild einer Ausführungsform eines erfindungsgemäßen Sicherheitssystems;

Fig. 3 ein Ablaufdiagramm einer Ausführungsform eines erfindungsgemäßen Schutzverfahrens; und

Fig. 4 ein Blockschaltbild einer weiteren Ausführungsform eines Sicherheitssystems.

In allen Figuren sind gleiche bzw. funktionsgleiche Elemente und Vorrichtungen - sofern nichts anderes angegeben ist - mit denselben Bezugszeichen versehen worden.

Fig. 1 zeigt ein Blockschaltbild einer Ausführungsform einer erfindungsgemäßen Schutzvorrichtung 1.

Die Schutzvorrichtung 1 empfängt über eine Kommunikations ^¬ schnittstelle 8 Sicherheitsnachrichten 13. Im Normalbetrieb, also im störungsfreien Betrieb an dem vorgesehen Einsatzort, sollten die Sicherheitsnachrichten 13 zyklisch in regelmäßigen Abständen empfangen werden. Die Zeiterfassungseinrichtung 11 erfasst jeweils den Zeitpunkt, zu welchem eine Sicherheitsnachricht 13 eintrifft bzw. die Zeit 28, welche verstrichen ist, seit die letzte Sicher ^¬ heitsnachricht 13 eingetroffen ist.

Für die Zeit 28 ist in der Schutzfunktionseinrichtung 14 ein Grenzwert 19 vorgegeben. Dieser gibt an, welcher zeitliche Abstand im Normalbetrieb zwischen dem Empfang zweier Sicherheitsnachrichten liegen darf. Beispielsweise kann der Grenz- wert 1 Minute, 10 Minuten, 30 Minuten, 2 Stunden, 12 Stunden oder auch andere anwendungsspezifische Zeiträume aufweisen.

Ein Komparator 20 vergleicht die Zeit 28 mit dem Grenzwert 19 und führt die Schutzfunktion 16 aus, wenn die Zeit 28 über dem Grenzwert 19 liegt.

Die Schutzvorrichtung 1 kann in einer Ausführungsform als diskrete Schutzvorrichtung 1 z.B. in einem CPLD, FPGA, Mikro- controller oder dergleichen implementiert sein. Alternativ kann die Schutzvorrichtung 1 auch in einem Prozessor eines entsprechenden elektrischen Geräts 4, 5 z.B. als Software oder Firmware ausgebildet sein.

Fig. 2 zeigt ein Blockschaltbild einer Ausführungsform eines erfindungsgemäßen Sicherheitssystems 29.

Das Sicherheitssystem 29 weist lediglich beispielhaft ein elektrisches Gerät 4 auf, in welchem eine Schutzvorrichtung 2 angeordnet ist. Weitere elektrische Geräte sind durch drei Punkte angedeutet. Das elektrische Gerät 4 kann z.B. ein Steuergerät 4 einer Verkehrsinfrastruktur, wie z.B. eines Schienennetzes oder eines Straßennetzes sein.

Das elektrische Gerät 4 weist eine als Satellitenschnittstel- le 9 ausgebildete Kommunikationsschnittstelle auf. Über diese Satellitenschnittstelle 9 kann das elektrische Gerät 4 Daten z.B. von einem Satelliten eines satellitenbasierten Navigationssystems empfangen. Diese Daten können dann in dem Prozes- sor 30 verarbeitet werden. Der Prozessor 30 ist dazu mit ei ^¬ nem Datenspeicher 18 gekoppelt, in welchem Daten 6 gespeichert sind, die der Prozessor 30 zur Verarbeitung der entsprechenden Daten benötigt. Beispielsweise können die Daten 6 ein Programm aufweisen, welches auf dem Prozessor 30 ausgeführt wird. Ferner können die Daten 6 auch kryptographische Schlüssel oder dergleichen aufweisen, welche zum Entschlüsseln bzw. Verarbeiten der empfangenen Daten benötigt werden. In Fig. 2 dient die Kommunikationsschnittstelle 9 sowohl dem Prozessor 30 als auch der Schutzvorrichtung 2 zum Empfang von Daten. Insbesondere empfängt die Schutzvorrichtung 2 über einen Nachrichtenübertragungskanal des Satellitensignals die Sicherheitsnachrichten 13. In einer anderen Variante (nicht dargestellt) weist das elektrische Gerät 4 mehrere Kommunika ^¬ tionsschnittstellen 9 auf. So kann es z.B. eine erste Kommunikationsschnittstelle 9 zum Empfang eines Satellitensignals und eine zweite Kommunikationsschnittstelle 9, wie z.B. zum Empfang von TETRA- oder UMTS-Signalen, die auch als „Secon- dary Channel" bezeichnet wird, aufweisen. Über die zweite

Kommunikationsschnittstelle können Sicherheitsnachrichten 13 empfangen werden, welche die Funktion der ersten Kommunikationsschnittstelle betreffen (z.B. Almanach, Ephemeriden,

Augmentierungsdaten) .

Da ein Satellitensignal leicht durch entsprechende Sender ge ^¬ fälscht werden kann, weist die Zeiterfassungseinrichtung 12 eine kryptographische Einheit 21 auf, die mit Hilfe krypto- graphischer Verfahren die Authentizität der Sicherheitsnach- richten 13 prüft. Dazu nutzt sie z.B. digitale Signaturen oder Verschlüsselungen. Nur wenn die Authentizität einer Sicherheitsnachricht 13 zweifelsfrei festgestellt wurde, setzt sie die Zeit 28 zurück auf den Startwert, üblicherweise 0. Die Zeit 28 bzw. der entsprechende Wert wird von der Schutz ^¬ funktionseinrichtung 15 ausgewertet. Dazu weist die Schutzfunktionseinrichtung 15 eine Recheneinrichtung 31 auf, die die Zeit 28 mit dem Grenzwert 19 vergleicht. Im Gegensatz zur Schutzfunktionseinrichtung 14 der Fig. 1 ist dies aber nicht die einzige Bedingung, welche die Schutzfunk ^¬ tionseinrichtung 15 prüft. Die Recheneinrichtung 31 ist viel- mehr dazu ausgebildet, zusätzlich Nebenbedingungen 22 zu prüfen. Lediglich dann, wenn eine vorgegebene Anzahl, also eine oder mehrere, der Nebenbedingungen negativ geprüft werden, also das Ergebnis der Prüfung negativ ausfällt, führt die Re ^¬ cheneinrichtung 31 die Schutzfunktion 17 aus.

Als Nebenbedingung 22 kann z.B. geprüft werden, ob eine Verbindung über die Kommunikationsschnittstelle 9 überhaupt be ^¬ steht. Es kann auch geprüft werden, ob die Netzwerkumgebung des elektrischen Geräts 4 der Anwendungsumgebung des elektri- sehen Geräts 4 entspricht, also z.B. Kommunikationspartner des elektronischen Geräts 4 vorhanden sind. Es kann auch geprüft werden, ob sich Kommunikationspartner des elektrischen Geräts 4 erfolgreich bei diesem authentisieren und ob die empfangene Sicherheitsnachricht 13 eine entsprechende Authen- tisierung aufweist. Schließlich kann z.B. auch geprüft werden, ob sich ein autorisierter Benutzer an der Schutzvorrichtung 2 oder dem elektrischen Gerät 4 identifiziert.

Die Schutzfunktion 17 weist ein Löschen der Daten 6 auf. Un- ter Löschen kann dabei nicht nur das Löschen z.B. der Verweise eines Dateisystems auf die Daten 6 verstanden werden.

Vielmehr kann das Löschen auch ein Überschreiben der Daten mit einem oder einer Vielzahl von unterschiedlichen Bitmustern aufweisen. Beispielsweise können die Daten mit einem „0101" Bitmuster und anschließend mit einem „1010" Bitmuster überschrieben werden. Beliebige andere Bitmuster sind ebenfalls möglich. Anstelle eines Löschens kann auch ein Ver ^¬ schlüsseln vorgesehen sein (siehe Fig. 4). Die Schutzfunktion 17 kann auch eine Funktion des elektrischen Gerätes sperren, indem eine Freigabeinformation, z.B. ein Flag oder ein Bitmuster, gelöscht wird. Fig. 3 zeigt ein Ablaufdiagramm einer Ausführungsform eines erfindungsgemäßen Schutzverfahrens für zu schützende Daten 6, 7 in einem elektrischen Gerät 4, 5. Das Verfahren sieht das zyklische Empfangen Sl von Sicherheitsnachrichten 13 vor. Ferner wird die Zeit 28 nach dem Empfang einer gültigen Sicherheitsnachricht 13 erfasst.

Schließlich wird eine Schutzfunktion 16, 17 auf die zu schützenden Daten 6, 7 angewendet S3, wenn die erfasste Zeit 28 einen vorgegebenen Grenzwert 19 überschreitet.

Um ein Fälschen der Sicherheitsnachrichten zu unterbinden, kann beim Erfassen der Zeit 28 anhand kryptographischer

Schutzmechanismen geprüft werden, ob eine Sicherheitsnach- rieht 13 gültig ist. Es kann also z.B. mittels einer digita ^¬ len Signatur oder eines Nachrichtenauthentisierungscodes ge ^¬ prüft werden, ob die Sicherheitsnachricht von dem korrekten Absender verschickt wurde. Anhand einer Aktualitätsinformati ^¬ on der Sicherheitsnachricht, z.B. einem Zeitstempel oder ei- nem Zähler, kann überprüft werden, ob eine empfangene Sicherheitsnachricht aktuell ist.

Um bei einem Ausfall z.B. eines Sicherheitsservers nicht un ^¬ nötigerweise die Daten 6 zu löschen oder zu verschlüsseln, kann vor dem Anwendern der Schutzfunktion 16, 17 eine Anzahl von Nebenbedingungen 22 geprüft werden. Die Schutzfunktion 16, 17 wird dann nur bei negativer Prüfung der Nebenbedingungen 22 ausgeführt. Beim Prüfen der Nebenbedingungen 22 kann geprüft werden, ob eine funktionsfähige Verbindung über die Kommunikations ^¬ schnittstelle 8, 9, 10 besteht. Ferner kann geprüft werden, ob die Netzwerkumgebung des elektrischen Geräts 4, 5 der Anwendungsumgebung des elektrischen Geräts 4, 5 entspricht. Ei- ne weitere Möglichkeit ist zu prüfen, ob sich Kommunikations ^¬ partner des elektrischen Geräts 4, 5 erfolgreich bei diesem authentisieren . Ferner kann geprüft werden, ob die empfangene Sicherheitsnachricht 13 eine entsprechende Authentisierung aufweist oder ob sich ein autorisierter Benutzer an der

Schutzvorrichtung 1, 2, 3 oder dem elektrischen Gerät 4, 5 identifiziert. Ferner kann z.B. direkt nach einem Neustart des elektrischen Geräts 4, 5 angenommen werden, dass die erfasste Zeit 28 den Grenzwert 19 überschreitet.

Fig. 4 zeigt ein Blockschaltbild einer weiteren Ausführungs- form eines Sicherheitssystems 32.

Das Sicherheitssystem 32 weist einen ersten Sicherheitsserver 26 auf, der über ein Netzwerk 25, z.B. das Internet 25, mit einem elektrischen Gerät 5 gekoppelt ist. Ferner ist ein zweiter Server 27, z.B. ein Funktionsserver 27, über das Netzwerk 25 mit dem elektrischen Gerät 5 gekoppelt. Der

Sicherheitsserver 26 ist derjenige Server, der an das elektrische Gerät zyklisch Sicherheitsnachrichten 13 übermittelt. Der Funktionsserver 27 dagegen, dient der Recheneinrichtung 23 des elektrischen Geräts 27 als Kommunikationspartner und stellt z.B. Daten zur Verfügung, welche die Recheneinrichtung für die Durchführung der jeweiligen Funktion benötigt.

Die Recheneinrichtung 23 und die Schutzvorrichtung 3 teilen sich, wie in Fig. 2, die Kommunikationsschnittstelle 10.

Die Schutzvorrichtung 3 weist eine Recheneinrichtung 24 auf, die als Device Management Client bezeichnet werden kann. Die ^¬ se hat neben der Überwachung der Sicherheitsnachrichten 13 die Aufgabe weitere sicherheitsbezogene Funktionen in Verbin ^¬ dung mit dem Sicherheitsserver 26 auszuführen. Beispielsweise kann die Recheneinrichtung 24 eine Fernsteuerung des elektrischen Geräts 5 durch den Sicherheitsserver 26 ermöglichen und die Nebenbedingungen 22 überwachen.

Mit der Recheneinrichtung 24 gekoppelt ist eine Zeiterfas ^¬ sungseinrichtung 35, die auch als Device Management Watchdog bezeichnet werden kann. Diese zählt einen Zähler hoch, bis dieser den vorgegebenen Grenzwert erreicht und aktiviert dann die Schutzfunktion 32. Diese kann z.B. als „Zeroization"- Funktion bezeichnet werden, da sie die Daten 7 mit Nullen und optional mit weiteren Bitmustern überschreiben kann.

Obwohl die vorliegende Erfindung anhand bevorzugter Ausführungsformen vorstehend beschrieben wurde, ist sie darauf nicht beschränkt, sondern auf vielfältige Art und Weise modi ^¬ fizierbar. Insbesondere lässt sich die Erfindung in mannig- faltiger Weise verändern oder modifizieren, ohne vom Kern der Erfindung abzuweichen.