Überwachung einer Netzwerkverbindung auf Abhören

Die Erfindung betrifft ein Verfahren, mit dem insbesondere Ethernet-Netzwerke in Fahrzeugen daraufhin überwacht werden können, ob die Kommunikation von einem unbefugt eingeschleiften Teilnehmer abgehört wird.

Für die Verbindung von Steuergeräten, Sensoren und Aktoren in einem Fahrzeug untereinander werden an Stelle von individuellen Punkt-zu-Punkt-Verbindungen seit langem Netzwerke eingesetzt, um Kosten und Gewicht für die Verkabelung einzusparen. Hierfür kommen meistens Bussysteme, wie CAN, MOST und FlexRay, zum Einsatz. Es ist weiterhin gewünscht, künftig Ethernet zu verwenden, das sich außerhalb von Fahrzeugen als gebräuch lichster Standard für Netzwerke durchgesetzt hat.

Dass der Übergang von individuellen Punkt-zu-Punkt-Verbindungen zu einem Netzwerk Verkabelungsaufwand spart, ist die unmit telbare Folge davon, dass sich in einem Netzwerk mehrere Teilnehmer ein physisches Übertragungsmedium (etwa ein Kabel) teilen. Dies senkt zugleich auch den Aufwand für Angreifer, die die Kommunikation unbefugt abhören möchten. Das Ziel eines solchen Abhörens kann beispielsweise sein, das Verhalten von Geräten zu studieren, um beispielsweise die Software des Geräts unbefugt zurückzuentwickeln (reverse-engineering) oder das Verhalten des Geräts mit einem Austauschgerät nachzubilden. Mit einem solchen unbefugten Austausch kann beispielsweise das Ziel verfolgt werden, ein Steuergerät einzuschleusen, welches das Starten eines gestohlenen Fahrzeugs ohne den Originalschlüssel ermöglicht .

Um die Kommunikation auf einem Leitungsweg abzuhören, ist es in einem nicht busförmig aufgebauten Netzwerk erforderlich, ein Mitlesegerät in den Leitungsweg einzuschleifen. Hierzu wird der Leitungsweg aufgetrennt, und das Mitlesegerät verfügt über zwei Transceiver (PHYs) , an die die beiden aufgetrennten Enden angeschlossen werden. Ein an einem PHY eintreffendes Datenpaket wird dann von dem Mitlesegerät zur weiteren Verarbeitung ausgeleitet oder gespeichert und zugleich von dem zweiten PHY wieder auf die restliche Strecke des Leitungsweges ausgesendet.

Der Leitungsweg wird somit um zwei zusätzliche PHYs angereichert. Da die Signalverarbeitung innerhalb der PHYs jeweils nur mit einer endlichen Geschwindigkeit funktioniert, wird der Laufweg eines abgehörten Datenpakets unweigerlich verzögert. Durch eine Überwachung der Paketlaufzeit lässt sich somit erkennen, ob ein Datenpaket direkt von einem ersten Teilnehmer zu einem zweiten Teilnehmer gelaufen ist oder ob es auf dem Weg noch die weiteren PHYs des Mitlesegeräts durchlaufen hat. Entsprechende Prüf verfahren sind aus der DE 10 2012 216 689 B4 und aus der DE 10 2014 204 033 Al bekannt.

Die Erfindung stellt ein weiterentwickeltes Verfahren zur Erkennung eines unbefugten Abhörens der Kommunikation zwischen einem ersten Teilnehmer und einem zweiten Teilnehmer eines Netzwerks bereit.

Bei diesem Verfahren ermittelt der erste Teilnehmer eine Laufzeit für die Datenübermittlung über das Netzwerk zum zweiten

Teilnehmer. Dies kann auf beliebige Weise geschehen. Bei spielsweise kann die Laufzeit im Zuge einer Zeitsynchronisation zwischen dem ersten Teilnehmer und dem zweiten Teilnehmer, etwa nach dem Zeitsynchronisationsstandard IEEE 802.1AS und dem darin enthaltenen PTP-Protokoll , erfolgen. So können etwa die im Rahmen dieses Protokolls implementierten „Delay Request"- und „Peer Delay"-Nachrichten als Datenpakete verwendet werden. Das Verfahren ist jedoch hierauf nicht beschränkt. Wichtig ist nur, dass die Ermittlung der Laufzeit in irgendeiner Form auf der Basis einer tatsächlichen physischen Gegebenheit des Übertragungs weges von dem ersten Teilnehmer zum zweiten Teilnehmer erfolgt, d. h., dass es eine physische Gegebenheit oder Eigenschaft des Übertragungsweges gibt, deren Änderung zu einer Änderung der ermittelten Laufzeit führt.

Der erste Teilnehmer ermittelt einen Zufallswert und addiert den Zufallswert zu der Laufzeit, um eine Wartezeit zu erhalten. Dabei kann der Zufallswert positiv oder negativ sein. Insbesondere kann beispielsweise eine Verteilung positiver und negativer Zu fallswerte um Null oder einen beliebigen anderen Erwartungswert schwanken .

Der erste Teilnehmer wartet die Wartezeit ab, erstellt mindestens ein Datenpaket, das einen Zeitstempel enthält, und sendet dieses Datenpaket an den zweiten Teilnehmer. Der Zeitstempel kann dabei insbesondere eine Zeitangabe enthalten, die so nah wie möglich am tatsächlichen Zeitpunkt des Sendens des Datenpakets liegt. Die Wartezeit selbst bleibt geheim und wird nicht über das Netzwerk übertragen .

Der zweite Teilnehmer registriert den Zeitpunkt, zu dem er das Datenpaket empfängt, und vergleicht diesen Zeitpunkt mit dem in dem Datenpaket enthaltenen Zeitstempel.

Der zweite Teilnehmer wertet nun die Feststellung, dass das Datenpaket vor dem im Zeitstempel angegebenen Zeitpunkt ein getroffen ist, dass es um mehr als eine vorgegebene Toleranzzeit nach dem im Zeitstempel angegebenen Zeitpunkt eingetroffen ist oder dass es vor einem Zeitpunkt eintrifft, zu dem es beim zweiten Teilnehmer erwartet werden kann, als Zeichen dafür, dass die Kommunikation zwischen dem ersten Teilnehmer und dem zweiten Teilnehmer unbefugt abgehört wird.

Es wurde erkannt, dass die Bildung der Wartezeit aus der Kombination aus der Laufzeit für die Datenübermittlung und dem Zufallswert das Verfahren überraschenderweise besonders re sistent gegen Umgehungsversuche macht.

Wie zuvor erläutert, führt das Einschleifen eines Mitlesegeräts in einen Leitungsweg dazu, dass dieser Leitungsweg dann zwei weitere PHYs enthält. Die hierdurch bewirkte Verzögerung der Paketlaufzeit lässt sich vom Mitlesegerät nicht mehr rückgängig machen. Wenn es aus Sicht des Mitlesegeräts jedoch vorhersehbar ist, dass ein Paket vom ersten Teilnehmer zum zweiten Teilnehmer versendet werden wird und welchen Inhalt dieses in etwa haben wird, dann kann das Mitlesegerät dieses Paket selbst erzeugen und zum passenden Zeitpunkt an den zweiten Teilnehmer senden. Dies stellt sich aus Sicht des zweiten Teilnehmers dann so dar, als wäre das Datenpaket ohne zwischengeschaltetes Mitlesegerät direkt vom ersten Teilnehmer gekommen. Wenn nun der erste Teilnehmer das Datenpaket tatsächlich schickt, kann dieses von dem Mitlesegerät unterdrückt werden.

Ein solcher Angriff ist insbesondere beispielsweise dann denkbar, wenn sich der erste Teilnehmer und der zweite Teilnehmer bidirektional nach einem vordefinierten Protokoll austauschen und beispielsweise in periodischen Abständen die Paketlaufzeit prüfen .

Die Einführung einer Zufallskomponente in die Wartezeit sorgt nun dafür, dass der Zeitpunkt, zu dem der erste Teilnehmer ein Paket sendet, und damit auch der Zeitpunkt, zu dem der zweite Teilnehmer dieses Paket gemäß Zeitstempel erwartet, für das Mitlesegerät schwerer vorhersehbar wird. Damit steigt die Wahrscheinlichkeit, dass ein vom Mitlesegerät eigenmächtig erstelltes Datenpaket, das an die Stelle eines vom ersten Teilnehmer gesendeten Da tenpakets treten soll, zu einem Zeitpunkt beim zweiten Teilnehmer eintrifft, zu dem dieser es nicht erwartet, und/oder dass es Unstimmigkeiten zwischen dem Zeitstempel des Datenpakets und dem Zeitpunkt seines Eintreffens beim zweiten Teilnehmer gibt. Insbesondere kann es aus Sicht des zweiten Teilnehmers kei nesfalls stimmig sein, wenn ein Datenpaket vor dem Zeitpunkt eintrifft, zu dem es angeblich gesendet wurde, oder wenn es etwa als Antwort auf eine Anfrage des zweiten Teilnehmers früher eintrifft als dies unter Berücksichtigung der Laufzeit für Hin- und Rückweg tatsächlich möglich ist.

Die Berücksichtigung auch der zuvor ermittelten Laufzeit ist in diesem Zusammenhang eine zusätzliche Entropiequelle, die die Sicherheit weiter erhöht. Typische Zufallsgeneratoren für Computer und insbesondere für Embedded-Systeme oder Netz werkkomponenten sind keine „echten" Zufallsgeneratoren in dem Sinne, dass ein nicht deterministischer physikalischer Prozess, wie beispielsweise elektronisches Rauschen oder radioaktiver Zerfall, in ein digitales Signal umgesetzt wird. Vielmehr kommen hier Pseudo-Zufallsgeneratoren zum Einsatz. Diese Generatoren erzeugen ausgehend von einer Initialisierung in determinis tischer Weise Zahlenfolgen und sind für die Initialisierung häufig auch auf quasizufällige Systemereignisse angewiesen. Wenn der Zeitpunkt, zu dem das Datenpaket gesendet wird, nur mit einem Pseudo-Zufallsgenerator variiert wird, ist dieser Zeitpunkt also innerhalb gewisser Grenzen vorhersehbar. In dieser Situation bewirkt die zusätzliche Berücksichtigung der Laufzeit, dass die Wartezeit von einer echten physikalischen Zufallskomponente abhängt, ohne dass hierfür zusätzliche Hardware erforderlich wäre .

Generell hat die Kopplung der Wartezeit an die zuvor ermittelte Laufzeit die Wirkung, dass identisch hergestellte und konfi- gurierte Teilnehmer je nach Einsatzort im Netzwerk unter schiedliche Wartezeiten verwenden.

Beispielsweise beträgt eine übliche Verzögerung bei der Pa ketübertragung zwischen zwei PHYs in einem Gi- gabit-Ethernet-Netzwerk etwa 400 ns. Das Hinzufügen eines weiteren PHYs bewirkt eine weitere Verzögerung in der Grö ßenordnung von 100-200 ns, ist also signifikant.

In einer besonders vorteilhaften Ausgestaltung wertet der zweite Teilnehmer zusätzlich auch die Feststellung, dass der Zeit stempel vor oder um mehr als eine vorgegebene Toleranzzeit nach dem Zeitpunkt liegt, zu dem der erste Teilnehmer das Datenpaket versendet haben kann, als Zeichen dafür, dass die Kommunikation zwischen dem ersten Teilnehmer und dem zweiten Teilnehmer unbefugt abgehört wird. Ist das Datenpaket beispielsweise eine Antwort auf eine Anfrage des zweiten Teilnehmers, kann diese etwa realistischerweise nicht gesendet worden sein, bevor der erste Teilnehmer diese Anfrage frühestens erhalten haben kann.

In einer besonders vorteilhaften Ausgestaltung wird zum Abwarten der Wartezeit und anschließendem Erstellen und Senden des nächsten Datenpakets zurück verzweigt, bis eine vorgegebene zeitliche oder ereignisbasierte Abbruchbedingung erfüllt ist. Dabei kann zusätzlich jeweils eine nominelle Zykluszeit ab gewartet werden. Beispielsweise kann nominell jede Sekunde ein Datenpaket versendet werden, wobei zu dieser Sekunde zusätzlich noch die Wartezeit hinzukommt. Eine einmal zufällig bestimmte Wartezeit kann dann für den Versand vieler Datenpakete genutzt werden .

In Antwort darauf, dass die Abbruchbedingung erfüllt ist, wird zum Ermitteln der Laufzeit oder zum Ermitteln des Zufallswerts zurück verzweigt. Es entsteht dann eine neue Wartezeit. Als ereignisbasierte Abbruchbedingung kommt beispielsweise die Erkennung eines Angriffs auf das Netzwerk in Betracht.

In einer weiteren besonders vorteilhaften Ausgestaltung führt der zweite Teilnehmer eine Historie über die Ergebnisse der Vergleiche zwischen den Zeitpunkten, zu denen Datenpakete eintreffen, und den in diesen Datenpaketen enthaltenen Zeit stempeln. Weiterhin wertet der zweite Teilnehmer die Fest stellung, dass das Ergebnis eines neuen Vergleichs signifikant von dieser Historie abweicht, als Zeichen dafür, dass die Kommunikation zwischen dem ersten Teilnehmer und dem zweiten Teilnehmer unbefugt abgehört wird, und/oder dass der erste Teilnehmer unbefugt gegen ein anderes Gerät ausgetauscht wurde.

Gewisse Schwankungen der Paketlaufzeit sind immer möglich, verursacht etwa durch Jitter oder durch Änderung der Umge bungstemperatur. Wenn sich die Paketlaufzeit jedoch bei spielsweise sprunghaft ändert, dann ist dies ein Zeichen für eine Manipulation. Die Berücksichtigung der Historie kann bei spielsweise verwendet werden, um einen längerfristigen Trend beispielsweise auf Grund von Temperaturschwankungen oder auf Grund von bekannten Alterungskurven der für PHYs verbauten Quarze zu erkennen und nur Veränderungen der Paketlaufzeit, die von diesem Trend abweichen, als verdächtig zu werten. Diesbezüglich können dann die Toleranzgrenzen entsprechend verengt werden.

In diesem Zusammenhang wurde erkannt, dass die Zeit, die ein PHY für die Verarbeitung eines Pakets braucht, von PHY zu PHY stark streut, und zwar auch dann, wenn beide PHYs nominell vom gleichen Hersteller stammen. Der Grund hierfür sind Fertigungstoleranzen der für die PHYs verbauten Quarze, die den Systemtakt erzeugen. Wenn in der beschriebenen Weise die Historie berücksichtigt wird, dann lässt sich erkennen, ob ein PHY gegen einen anderen ausgetauscht wurde. Insbesondere lässt sich so erkennen, dass der erste Teilnehmer unbefugt gegen ein anderes Gerät ausgetauscht wurde .

Diese Erkennung kann insbesondere verwendet werden, um Geräte im Fahrzeug im Sinne eines Diebstahlschutzes aneinander zu binden.

So können beispielsweise Geräte, die mit dem zentralen Steu ergerät des Fahrzeugs (ECU) Zusammenarbeiten, die Funktion einstellen, wenn dieses zentrale Steuergerät unbefugt gegen ein anderes Gerät getauscht wurde. Das Fahrzeug lässt sich dann nicht mehr in Gang setzen, indem das zentrale Steuergerät gegen ein manipuliertes ausgetauscht wird, das ein Starten auch ohne den Originalschlüssel zulässt. Weiterhin lassen sich auf diese Weise auch andere Manipulationen verhindern, wie etwa die unbefugte Steigerung der Leistung oder der festgelegten Höchstge schwindigkeit durch Austausch des zentralen Steuergeräts.

Ein Diebstahlschutz kann aber auch beispielsweise für einzelne Geräte realisiert werden, wie beispielsweise für ein fest installiertes Navigationssystem. So kann das Navigationssystem etwa an ein bestimmtes Fahrzeug „gefesselt" werden, indem Paketlaufzeiten zu anderen Geräten, wie etwa dem zentralen Steuergerät, geprüft werden. Im Gegensatz zu Seriennummern und anderen Kennungen der Geräte sind diese Paketlaufzeiten praktisch nicht fälschbar, da sie durch die Architektur der Verkabelung und insbesondere auch durch die beteiligten PHYs festgelegt sind.

Auch kann beispielsweise ein Austausch des Tachometers oder anderen Steuergeräts mit dem Ziel, ein gebrauchtes Fahrzeug kilometermäßig zu „verjüngen" und einem Käufer einen überhöhten Zeitwert vorzugaukeln, erkannt werden.

Nach dem zuvor Beschriebenen wird vorteilhaft ein Ether- net-Netzwerk als Netzwerk gewählt. Ethernet-Netzwerke, die überall verbreitet sind, sind ein flexibler und skalierbarer Ersatz für hauptsächlich in der Fahrzeugtechnik und sonstigen Steuerungstechnik eingesetzte Netzwerke, wie CAN, MOST und FlexRay. Die Kehrseite der starken Verbreitung von Ethernet ist, dass etwa Mitlesegeräte und das nötige Wissen für deren Nutzung leicht verfügbar sind. So sind beispielsweise„Taps" (Test Access Points) , die bei fehlender Prüfung der Paketlaufzeiten ein unbemerktes Abhören der Kommunikation ermöglichen, gängige Werkzeuge für die Diagnose von Netzwerkproblemen. Die Hürde für einen Angriff auf ein Fahrzeugnetzwerk wird also durch den Umstieg auf Ethernet zunächst tendenziell abgesenkt. Dies wird mit dem beschriebenen Verfahren überkompensiert.

Vorteilhaft wird das Datenpaket auf der Bitübertragungsschicht des OSI-Modells versendet. Der tatsächliche Zeitpunkt des Versands kommt dann dem im Datenpaket enthaltenen Zeitstempel am nächsten .

Nach dem zuvor Beschriebenen wird vorteilhaft das Bordnetzwerk eines Fahrzeugs als Netzwerk gewählt. Den durch das Verfahren bereitgestellten Effekt, nämlich den Schutz gegen unbefugtes Abhören der Kommunikation und gegen den Austausch von Geräten, kann man außerhalb von Fahrzeugen auch auf andere Weise und mit noch höherem Sicherheitsniveau erzielen, beispielsweise durch den Einsatz von Verschlüsselung. Im Fahrzeug ist es hingegen in der Regel nicht wirtschaftlich, allen mit dem Netzwerk ver bundenen Teilnehmern eine für lückenlos verschlüsselte Kom munikation ausreichende Hardwareausstattung zu spendieren. Das beschriebene Verfahren setzt deutlich geringere Hardwareres sourcen voraus und steigert somit das Sicherheitsniveau, ohne dass dies zwangsläufig mit höheren Herstellungskosten für das Netzwerk oder daran angeschlossene Geräte gekoppelt wäre. In einer weiteren besonders vorteilhaften Ausgestaltung wird eine Temperatur Ti im Fahrzeug, und/oder eine Umgebungstem peratur T ₂ , mit einem Temperatursensor gemessen. Die Tole ranzzeit, und/oder ein erwarteter Sende- oder Empfangszeitpunkt des Datenpakets, wird einer Änderung der Temperatur Ti, und/oder einer Änderung der Temperatur T ₂ , nachgeführt.

Es wurde erkannt, dass die Temperatur die wichtigste physi kalische Einflussgröße ist, die die Laufzeit für die Übermittlung von Paketen ändert. Indem dieser Einfluss zumindest teilweise herauskorrigiert wird, kann die Toleranzzeit insgesamt enger gefasst werden. Daher wird es aus Sicht des Mitlesegeräts schwieriger, den richtigen Zeitpunkt für den Versand von Da tenpaketen zu erraten, die an die Stelle von durch den ersten Teilnehmer versandten Datenpaketen treten sollen.

Vorteilhaft wird in Antwort auf die Feststellung, dass die Kommunikation unbefugt abgehört wird und/oder dass der erste Teilnehmer unbefugt gegen ein anderes Gerät ausgetauscht wurde, die Funktionalität eines Steuergeräts, eines Navigationssystems und/oder eines Unterhaltungssystems blockiert, eine Wegfahr sperre des Fahrzeugs verriegelt, und/oder das Fahrzeug wird durch Ansteuerung eines Lenksystems, Antriebssystems und/oder

Bremssystems des Fahrzeugs das Fahrzeugs aus dem fließenden Verkehr entfernt. Bei den besagten Manipulationen handelt es sich um Ereignisse, die während des bestimmungsgemäßen Gebrauchs des Fahrzeugs durch den Benutzer nicht Vorkommen. Es ist auch allgemein bekannt, dass Manipulationen an wichtigen Komponenten des Fahrzeugs nicht erlaubt sind und zum Erlöschen der Be triebserlaubnis führen können. Daher ist eine teilweise oder vollständige Blockade von Funktionalität, oder sogar ein Au ßerbetriebsetzen des Fahrzeugs, gerechtfertigt.

In einer weiteren vorteilhaften Ausgestaltung wird in Antwort darauf, dass die Laufzeit außerhalb eines Bereiches zwischen einem unteren Schwellwert und einem oberen Schwellwert liegt, festgestellt, dass das Netzwerk manipuliert wurde . Dabei sind die hiermit erfassbaren Manipulationen nicht auf das Abhören der Kommunikation und den Austausch von Geräten beschränkt. Vielmehr lassen sich beispielsweise auch Änderungen der Architektur des Netzwerks erfassen. Die Laufzeit kann sich beispielsweise verändern, wenn sich die Entfernung zwischen dem ersten und zweiten Teilnehmer ändert oder wenn für die Verbindung ein anderer Kabeltyp verwendet wird.

Wenn ein oberer und unterer Schwellwert verwendet werden, dann kann vorteilhaft geprüft werden, ob die Summe aus Laufzeit und Wartezeit zwischen dem unteren Schwellwert und dem oberen Schwellwert liegt. Wenn dies nicht der Fall ist, kann die Wartezeit entsprechend angepasst werden, beispielsweise durch Addieren des unteren Schwellwerts, falls die Summe unterhalb des unteren Schwellwerts liegt, oder durch Subtrahieren des oberen Schwellwerts, falls die Summe oberhalb des oberen Schwellwerts liegt. Auf diese Weise kann vermieden werden, dass der zweite Teilnehmer das Abwarten der Wartezeit bereits fälschlicherweise als Manipulation wertet.

Wie zuvor beschrieben, ist ein wesentlicher Vorteil des Ver fahrens, dass es sich auch ohne den Einsatz zusätzlicher Hardware die vom ersten Teilnehmer zum zweiten Teilnehmer führende Leitung als Mittel zur hardwaremäßigen Erzeugung von Entropie für die zufällige Bildung der Wartezeit zu Nutze machen kann. Dieses Verfahren kann insbesondere in Form einer Software implementiert sein, die als Update oder Upgrade zu bestehender Software oder Firmware von Teilnehmern am Netzwerk vertrieben werden kann und insofern ein eigenständiges Produkt darstellt. Daher bezieht sich die Erfindung auch auf ein Computerprogramm mit maschi nenlesbaren Anweisungen, die, wenn sie auf einem Computer, auf einem Steuergerät, und/oder auf einem Embedded-System ausgeführt werden, den Computer, das Steuergerät, bzw. das Embedded-System, dazu veranlassen, das beschriebene Verfahren auszuführen . Ebenso bezieht sich die Erfindung auch auf einen maschinenlesbaren Datenträger oder ein Downloadprodukt mit dem Computerprogramm.

Grundsätzlich kann das Verfahren auch außerhalb von Fahrzeugen vor allem im Bereich von Embedded-Systemen eingesetzt werden. Je nach Einsatzbereich dieser Systeme gibt es auch dort hohe Sicherheitsanforderungen, während gleichzeitig nur geringe Rechenleistung zur Implementierung zusätzlicher Sicherheits mechanismen zur Verfügung steht. Auch sind die Zyklen, in denen die Hardware-Plattformen überarbeitet werden, vergleichsweise lang, insbesondere dann, wenn jede solche Überarbeitung eine bestehende Zertifizierung der Plattform ungültig macht und eine erneute Abnahme erfordert.

Nachfolgend wird der Gegenstand der Erfindung anhand von Figuren erläutert, ohne dass der Gegenstand der Erfindung hierdurch beschränkt wird. Es ist gezeigt:

Figur 1: Ausführungsbeispiel des Verfahrens 100;

Figur 2: Angriffsszenario auf Netzwerk 3 mit Mitlesegerät 6; Figur 3: Angriffsszenario auf Netzwerk 3 mit Austausch des ersten Teilnehmers 1 gegen ein anderes Gerät 1'.

Figur 1 zeigt ein Ausführungsbeispiel des Verfahrens 100. Im optionalen Schritt 101 wird ein Ethernet-Netzwerk als Netzwerk 3 gewählt. Im optionalen Schritt 102 wird ein Bordnetzwerk eines Fahrzeugs 5 als Netzwerk 3 gewählt.

In Schritt 110 ermittelt der erste Teilnehmer 1 des Netzwerks 3 eine Laufzeit 11 für die Datenübermittlung zum zweiten Teilnehmer 2, was insbesondere im Rahmen einer Zeitsynchronisation 105 zwischen dem ersten Teilnehmer 1 und dem zweiten Teilnehmer 2 geschehen kann.

In Schritt 115 ermittelt der erste Teilnehmer 1 weiterhin einen Zufallswert 12, der in Schritt 120 zu der Laufzeit 11 addiert wird, um eine Wartezeit 13 zu bilden. Die Wartezeit 13 wird in Schritt 130 abgewartet.

Danach wird in Schritt 140 ein Datenpaket 4 mit einem Zeitstempel 41 erzeugt und in Schritt 150 an den zweiten Teilnehmer 2 gesendet. Der zweite Teilnehmer 2 registriert in Schritt 160 den Zeitpunkt 42, zu dem er das Datenpaket 4 empfangen hat . In Schritt 170 wird dieser Zeitpunkt 42 mit dem Zeitstempel 41 verglichen. Wird

- in Schritt 181 festgestellt, dass das Datenpaket 4 vor dem im Zeitstempel 41 angegebenen Zeitpunkt eingetroffen ist,

- in Schritt 182 festgestellt, dass es um mehr als eine vor gegebene Toleranzzeit nach dem im Zeitstempel 41 angegebenen Zeitpunkt eingetroffen ist,

- in Schritt 183 festgestellt, dass es vor einem Zeitpunkt eintrifft, zu dem es beim zweiten Teilnehmer 2 erwartet werden kann,

- in Schritt 184 festgestellt, dass es um mehr als eine vor gegebene Toleranzzeit nach einem Zeitpunkt eintrifft, zu dem es beim zweiten Teilnehmer erwartet werden kann,

- in Schritt 185 festgestellt, dass der Zeitstempel 41 vor dem Zeitpunkt liegt, zu dem der erste Teilnehmer 1 das Datenpaket 4 versendet haben kann, oder

- in Schritt 186 festgestellt, dass der Zeitstempel 41 um mehr als eine vorgegebene Toleranzzeit nach dem Zeitpunkt liegt, zu dem der erste Teilnehmer 1 das Datenpaket 4 versendet haben kann, so wird dies in Schritt 180 dahingehend gewertet, dass die Kommunikation zwischen dem ersten Teilnehmer 1 und dem zweiten Teilnehmer 2 unbefugt abgehört wird. Dabei kann der frühestmögliche Zeitpunkt, zu dem das Datenpaket 4 beim zweiten Teilnehmer 2 erwartet werden kann, sich bei spielsweise aus dem Zeitpunkt ergeben, zu dem der zweite Teilnehmer 2 eine in Figur 1 nicht eingezeichnete Anfrage 20 an den ersten Teilnehmer 1 gesendet hat. Ein in Antwort auf eine solche Anfrage 20 gesendetes Datenpaket 4 muss dann realis tischerweise um mindestens die Zeit verzögert sein, die für Hin- und Rückweg durch das Netzwerk 3 mindestens benötigt wird. Trifft das Datenpaket 4 früher ein, kann es nur ein vorgefertigtes Datenpaket 4' sein, das von einem in Figur 1 nicht eingezeichneten Mitlesegerät 6 stammt.

Ebenso kann der Zeitpunkt der Anfrage 20 des zweiten Teilnehmers 2 auch den Zeitpunkt festlegen, zu dem der erste Teilnehmer 1 das Datenpaket 4 laut Zeitstempel 41 frühestens gesendet haben kann: Der erste Teilnehmer 1 kann die Antwort 4 realistischerweise nicht gesendet haben, bevor er die Anfrage 20 frühestens erhalten haben kann.

Unstimmigkeiten zwischen dem Zeitstempel 41 und dem Zeitpunkt, zu dem der zweite Teilnehmer 2 das Datenpaket 4 erhalten hat, können auch dann detektiert werden, wenn das Datenpaket 4 keine Antwort auf eine vorherige Anfrage des zweiten Teilnehmers 2 ist. Solche Unstimmigkeiten können entstehen, weil ein eventuelles Mitlesegerät 6 ein gefälschtes Datenpaket 4' weder aus einem mitgelesenen echten Datenpaket 4 des ersten Teilnehmers 1 noch aus einer mitgelesenen Anfrage 20 des zweiten Teilnehmers 2 generieren kann. Ein solchermaßen generiertes gefälschtes Datenpaket 4' wäre auf jeden Fall zu spät fertig und noch später beim zweiten Teilnehmer 2. Vielmehr muss das gefälschte Da tenpaket 4' vorab produziert und zu einem vorhergesagten bzw. geratenen Sendezeitpunkt versendet werden. Im optionalen Schritt 171 wird eine Temperatur Ti im Fahrzeug 5, und/oder eine Umgebungstemperatur T ₂ , mit einem Temperatursensor gemessen. Im optionalen Schritt 172 wird die Toleranzzeit, und/oder ein erwarteter Sende- oder Empfangszeitpunkt des Datenpakets 4, einer Änderung der Temperatur Ti, und/oder einer Änderung der Temperatur T ₂ , nachgeführt.

Im optionalen Schritt 175 kann eine Historie 21 über die Er gebnisse der Vergleiche 170 geführt werden. Wenn dann in Schritt 187 festgestellt wird, dass das Ergebnis eines neuen Vergleichs 170 signifikant von der Historie 21 abweicht, dann kann ebenfalls in Schritt 180 auf ein unbefugtes Abhören der Kommunikation geschlossen werden.

Es kann weiterhin geprüft werden, ob die Laufzeit 11 überhaupt in einem plausiblen Intervall zwischen einer unteren Schwelle 11a und einer oberen Schwelle 11b liegt. Wenn dies nicht der Fall ist (Wahrheitswert 0), so kann in Schritt 188 festgestellt werden, dass das Netzwerk 3 manipuliert wurde.

Wenn das plausible Intervall hingegen eingehalten wird

(Wahrheitswert 1) und wenn zugleich die vorherigen Prüfungen 181-187 unauffällig waren (jeweils Wahrheitswert 0), dann kann geprüft werden, ob eine zeitliche oder ereignisbezogene Ab bruchbedingung 190 erfüllt ist. Ist dies nicht der Fall

(Wahrheitswert 0), kann in Schritt 200, gegebenenfalls nach Abwarten einer normalen periodischen Zykluszeit, zum Abwarten der zufällig bestimmten Wartezeit 13 zurückverzweigt werden, d.h., die vorhandene Wartezeit 13 kann für den nächsten Zyklus weiter verwendet werden.

Ist die Abbruchbedingung 190 hingegen erfüllt, so kann in Schritt 191 die Ermittlung 110 der Laufzeit 11 erneuert werden, und/oder es kann in Schritt 192 die Ermittlung 115 des Zufallswerts 12 erneuert werden.

In Antwort auf die Feststellung 180, dass die Kommunikation unbefugt abgehört wird und/oder dass der erste Teilnehmer 1 unbefugt gegen ein anderes Gerät 1' ausgetauscht wurde, und/oder in Antwort auf die Feststellung 188, dass das Netzwerk 3 überhaupt manipuliert wurde, kann in den Schritten 210-230 reagiert werden. So kann in Schritt 210 die Funktionalität eine Steuergeräts 51, eines Navigationssystems 52 und/oder eines Unterhaltungssystems 53 blockiert werden. In Schritt 220 kann eine Wegfahrsperre 54 des Fahrzeugs 5 verriegelt werden. In Schritt 230 kann durch Ansteuerung eines Lenksystems 55, Antriebssystems 56 und/oder Bremssystems 57 das Fahrzeug 5 aus dem fließenden Verkehr entfernt werden.

Figur 2 zeigt ein mögliches Angriffsszenario, bei dem ein Mitlesegerät 6 in ein Netzwerk 3 mit einem ersten Teilnehmer 1 und einem zweiten Teilnehmer 2 eingeschleift ist. Wäre das Mitlesegerät 6 nicht vorhanden, so würden Datenpakete unmit telbar zwischen dem PHY la des Teilnehmers 1 und dem PHY 2a des Teilnehmers 2 übertragen. Das Mitlesegerät 6 führt zwei weitere PHYs 6a und 6b in den Laufweg für die Datenpakete ein, was entsprechende Verzögerungen zur Folge hat.

In der in Figur 2 gezeigten Situation schickt der zweite Teilnehmer 2 eine Anfrage 20 an den ersten Teilnehmer 1 und erwartet hierauf eine Antwort. Die Verzögerung durch die beiden zusätzlichen PHYs 6a und 6b des Mitlesegeräts 6 ist insgesamt so groß, dass eine erst in Reaktion auf die Anfrage 20 oder gar auf das echte Datenpaket 4 vom ersten Teilnehmer 1 generiertes gefälschtes Datenpaket 4' mit Zeitstempel 41' zu spät fertig wäre, um nahe genug zu der Zeit beim zweiten Teilnehmer zu sein, zu der dort in Abwesenheit des Mitlesegeräts 6 das echte Datenpaket 4 mit Zeitstempel 41 eintreffen würde. Stattdessen muss das Mitlesegerät 6 das gefälschte Datenpaket 4' und dessen Zeit stempel 41' bereits erstellen, bevor der zweite Teilnehmer 2 die Anfrage 20 sendet. Das Mitlesegerät 6 muss also den Zeitpunkt, zu dem der erste Teilnehmer 1 das Datenpaket 4 absendet, erraten. Dies wird durch die zufällig bestimmte Wartezeit 13 erschwert.

Figur 3 zeigt ein weiteres mögliches Angriffsszenario, bei dem in dem Netzwerk 3 der erste Teilnehmer 1 gegen ein anderes Gerät 1' mit PHY la' ausgetauscht wurde. Der Teilnehmer 1 würde normalerweise ein Datenpaket 4 mit Zeitstempel 41 senden. Das Austauschgerät 1' sendet stattdessen ein gefälschtes Datenpaket 4' mit Zeitstempel 41'. Da der PHY la' sich unweigerlich vom PHY la des ursprünglichen ersten Teilnehmers 1 unterscheidet, verursacht er eine andere Verzögerung zwischen der Erstellung des Zeitstempels 41' und der Erstellung des Datenpakets 4 als der ursprüngliche PHY zwischen der Erstellung des Zeitstempels 41 und der Erstellung des Datenpakets 4 verursacht hätte. Dies führt dazu, dass sich auf Seiten des zweiten Teilnehmers 2 ein signifikant anderer Versatz zwischen dem Eintreffen des Da tenpakets 4' und dem in ihm enthaltenen Zeitstempel 41' zeigt. Der zweite Teilnehmer 2 hat vor dem Austausch des ersten Teilnehmers 1 gegen das andere Gerät 1' eine Historie 21 des Versatzes angelegt und kann daher den Austausch erkennen.

Bezugszeichenliste

1 erster Teilnehmer des Netzwerks 3

1' Austauschgerät für ersten Teilnehmer 1

la PHY-Schnittstelle des ersten Teilnehmers 1

la' PHY-Schnittstelle des Austauschgeräts 1'

11 Laufzeit von erstem Teilnehmer 1 zu zweitem Teilnehmer 2

11a untere Schwelle für Laufzeit 11

11b obere Schwelle für Laufzeit 11

12 zufälliger Wert

13 Wartezeit, gebildet aus Laufzeit 11 und zufälligem Wert 12

2 zweiter Teilnehmer des Netzwerks 3

2a PHY-Schnittstelle des zweiten Teilnehmers 1

20 Anfrage, gesendet vom zweiten Teilnehmer 2

21 Historie der Ergebnisse von Vergleichen 170

3 Netzwerk

4 echtes Datenpaket vom ersten Teilnehmer 1

4' gefälschtes Datenpaket

41 Zeitstempel des echten Datenpakets 4

41' Zeitstempel des gefälschten Datenpakets 4'

5 Fahrzeug

51 Steuergerät des Fahrzeugs 5

52 Navigationssystem des Fahrzeugs 5

53 Unterhaltungssystem des Fahrzeugs 5

54 Wegfahrsperre des Fahrzeugs 5

55 Lenksystem des Fahrzeugs 5

56 Antriebssystem des Fahrzeugs 5

57 Bremssystem des Fahrzeugs 5

6 Mitlesegerät

6a erster PHY des Mitlesegeräts 6

6b zweiter PHY des Mitlesegeräts 6

100 Verfahren

101 Auswahl eines Ethernet-Netzwerks als Netzwerk 3 102 Auswahl eines Fahrzeug-Bordnetzes als Netzwerk 3

105 Zeitsynchronisation zwischen Teilnehmern 1 und 2

110 Ermittlung der Laufzeit 11

115 Ermittlung des zufälligen Werts 12

120 Bildung der Wartezeit 13

130 Abwarten der Wartezeit 13

140 Erstellung des Datenpakets 4 mit Zeitstempel 41

150 Versenden des Datenpakets 4 an den zweiten Teilnehmer 2

160 Registrieren des Empfangszeitpunkts 42 durch Teilnehmer 2

170 Vergleich des Empfangszeitpunkts 42 mit Zeitstempel 41

171 Bestimmung der Temperatur Ti und/oder T ₂

172 temperaturabhängige Nachführung

175 Vergleich mit Historie 21

180 Feststellung, dass Kommunikation abgehört /Gerät getauscht

181 Eintreffen des Pakets 4 vor Zeitstempel 41

182 Eintreffen des Pakets 4 zu spät nach Zeitstempel 41

183 Eintreffen des Pakets 4 vor erwartbarer Zeit

184 Eintreffen des Pakets 4 zu spät nach erwartbarer Zeit

185 Eintreffen des Pakets 4 vor möglichem Versand

186 Eintreffen des Pakets 4 zu spät nach möglichem Versand

187 Abweichen von Historie 21

188 Feststellung, dass Netzwerk 3 manipuliert wurde

190 Abbruchbedingung

191 Erneuerung der Laufzeit 11

192 Erneuerung des Zufallswerts 12

200 Weiterverwendung der Wartezeit 13 für nächsten Zyklus

210 Blockieren eines Systems 51-54

220 Verriegelung der Wegfahrsperre 54

230 Entfernung des Fahrzeugs 5 aus fließendem Verkehr t Zeit

Ti Temperatur im Fahrzeug 5

T ₂ Umgebungstemperatur