Die Erfindung betrifft ein Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server. Die Erfindung betrifft weiter ein computerlesbares Medium zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, ein System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, sowie ein Fahrzeug umfassend das System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server.

Aus dem Stand der Technik bekannt sind Fahrzeuge, die sicherheitsrelevante Daten über einen Kommunikationskanal an einen Backend-Server übermitteln können. Die sicherheitsrelevanten Daten können dabei über einen separaten Kommunikationskanal von dem Fahrzeug an den Backend-Server übermittelt werden. Falls ein Angreifer eine Manipulation an dem Fahrzeug durchführt, die eine Übermittlung von sicherheitsrelevanten Daten an den Backend-Server unterdrückt, kann diese Manipulation häufig nicht erkannt werden.

Es ist daher eine Aufgabe der Erfindung, ein Unterdrücken einer Übertragung von sicherheitsrelevanten Daten von dem Fahrzeug an einen fahrzeugexternen Server effizient zu erkennen. Insbesondere ist eine Aufgabe der Erfindung, ein Unterdrücken einer Übertragung von sicherheitsrelevanten Daten von dem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server effizient zu erkennen.

Gelöst wird diese Aufgabe durch die Merkmale der unabhängigen Ansprüche. Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.

Gemäß einem ersten Aspekt zeichnet sich die Erfindung aus durch ein Verfahren zum

Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server. Das Verfahren kann ein computerimplementiertes Verfahren sein. Das Fahrzeug kann ein Kraftfahrzeug oder ein Motorrad sein. Die sicherheitsrelevante Datenübertragung kann eine Datenübertragung eines Intrusion-Detection-Systems, kurz IDS, des Fahrzeugs sein. Die sicherheitsrelevante Datenübertragung kann Diagnosedaten, Protokollierungsdaten und/oder Alarmnachrichten von einem oder mehreren Steuergeräten und/oder einem oder mehreren Bussystemen eines Fahrzeugs umfassen. Der fahrzeugexterne Server kann ein Backend- Server und/oder ein Cloud-Server eines Fahrzeugherstellers und/oder eines Dritten sein.

Das Verfahren umfasst ein Empfangen einer aktuellen Datenübertragung des Fahrzeugs durch eine erste Funktion des fahrzeugexternen Servers. Die aktuelle Datenübertragung kann keine sicherheitsrelevante Datenübertragung oder eine sicherheitsrelevante Datenübertragung umfassen. Weiter kann die aktuelle Datenübertragung eine oder mehrere Datenübertragungen an eine oder mehrere Funktionen und/oder Diensten des fahrzeugexternen Servers umfassen. Das Verfahren ermittelt eine letzte, sicherheitsrelevante Datenübertragung des Fahrzeugs an eine sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server. Anschließend plausibilisiert das Verfahren die aktuelle Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers. In Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung, insbesondere in Abhängigkeit eines Ergebnisses des Plausibilisierens der aktuellen Datenübertragung erkennt das Verfahren das Unterdrücken einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server.

Vorteilhafterweise kann das Verfahren effizient ein Unterdrücken einer sicherheitsrelevanten Datenübertragung an einen fahrzeugexternen Server erkennen. Wenn ein Fahrzeug kurzzeitig, beispielweise wenige Sekunden, wenige Minuten, oder wenige Stunden, und/oder über einen längeren Zeitraum, beispielsweise mehrere Tage, mehrere Wochen, oder mehrere Monate, ohne Verbindung zum fahrzeugexternen Server ist, kann der fahrzeugexterne Server ein Unterdrücken der sicherheitsrelevanten Datenübertragung erkennen. Weiter kann das Verfahren einen Ausfall einer Kommunikationsverbindung durch beispielsweise einen Defekt eines Mobilfunkmoduls des Fahrzeugs von dem Unterdrücken der sicherheitsrelevanten Kommunikation unterscheiden und somit das Unterdrücken der sicherheitsrelevanten Kommunikation erkennen.

Gemäß einer ersten Ausgestaltung der Erfindung kann das das Plausibilisieren der aktuellen Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers ein Bestimmen einer relativen, zeitlichen Abhängigkeit zwischen der aktuellen Datenübertragung und der letzten, sicherheitsrelevanten Datenübertragung und ein Erkennen des Unterdrückens der aktuellen, sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server durch den fahrzeugexternen Server umfassen, falls die relative, zeitliche Abhängigkeit zwischen der ersten Datenübertragung und der letzten, sicherheitsrelevanten Datenübertragung außerhalb eines vorgegeben Zeitintervalls liegt.

Hiermit kann die aktuelle Datenübertragung effizient plausibilisiert werden.

Gemäß einer weiteren, vorteilhaften Ausgestaltung der Erfindung kann die aktuelle Datenübertragung ein oder mehrere Datenpakete von einem oder mehreren Steuergeräten des Fahrzeugs umfassen, wobei die aktuelle Datenübertragung gesammelte Datenpakete aller Steuergeräte des Fahrzeugs umfasst.

Gemäß einer weiteren, voreilhaften Ausgestaltung kann das Verfahren weiterhin ein Empfangen der aktuellen Datenübertragung durch eine zweite Funktion des fahrzeugexternen Servers, und ein Plausibilisieren der aktuellen Datenübertragung an die erste Funktion und/oder an die zweite Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers umfassen. Hiermit kann die aktuelle Datenübertragung präziser und/oder zuverlässiger plausibilisiert werden.

Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Verfahren weiterhin ein Empfangen der aktuellen Datenübertragung durch eine sicherheitsrelevante Funktion des fahrzeugexternen Servers, und ein Speichern der aktuellen Datenübertragung als die letzte, sicherheitsrelevante Datenübertragung durch den fahrzeugexternen Server umfassen, falls die aktuelle Datenübertragung ein oder mehrere Datenpakete an die sicherheitsrelevante Funktion des fahrzeugexternen Servers umfasst. Hiermit kann die letzte, sicherheitsrelevante Datenübertragung effizient aktualisiert werden. Gemäß einer weiteren, vorteilhaften Ausgestaltung kann jedes Datenpaket der aktuellen Datenübertragung ein signiertes Datenpaket sein, und kann die erste Funktion, die zweite Funktion, und/oder die sicherheitsrelevante Funktion des fahrzeugexternen Servers eine Signatur eines für die jeweilige Funktion relevanten, signierten Datenpakets der aktuellen Datenübertragung prüfen. Falls die erste Funktion, die zweite Funktion und/oder die sicherheitsrelevante Funktion einen Fehler bei dem Prüfen der Signatur des für die jeweilige Funktion relevanten, signierten Datenpakets ermittelt, kann das Verfahren eine Alarmnachricht an einen Fahrzeughersteller und/oder einen Nutzer des Fahrzeugs bereitstellen. Hiermit kann eine Integrität der Datenpakete der aktuellen Datenübertragung effizient überprüft werden.

Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Erkennen des Unterdrückens einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server in Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung ein Bereitstellen einer Alarmnachricht an einen Fahrzeughersteller und/oder einen Nutzer des Fahrzeugs umfassen. Hiermit kann der Fahrzeughersteller und/oder der Nutzer des Fahrzeugs über eine mögliche Manipulation des Fahrzeugs, und insbesondere über ein Unterdrücken der aktuellen, sicherheitsrelevanten Datenübertragung informiert werden.

Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein computerlesbares Medium zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, wobei das computerlesbare Medium Instruktionen umfasst, die, wenn ausgeführt auf einem Rechner, das oben beschriebene Verfahren ausführen.

Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, wobei das System dazu ausgebildet ist, das oben beschriebene Verfahren auszuführen.

Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein Fahrzeug umfassend das oben beschriebene System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server.

Weitere Merkmale der Erfindung ergeben sich aus den Ansprüchen, den Figuren und der Figurenbeschreibung. Alle vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren allein gezeigten Merkmale und Merkmalskombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder aber in Alleinstellung verwendbar.

Im Folgenden wird anhand der beigefügten Zeichnungen ein bevorzugtes Ausführungsbeispiel der Erfindung beschrieben. Daraus ergeben sich weitere Details, bevorzugte Ausgestaltungen und Weiterbildungen der Erfindung. Im Einzelnen zeigen schematisch

Fig. 1 ein beispielhaftes Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, und

Fig. 2 ein beispielhaftes System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server.

Im Detail zeigt Fig. 1 ein beispielhaftes Verfahren 100 zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server. Das Verfahren 100 kann eine aktuelle Datenübertragung des Fahrzeugs durch eine erste Funktion des fahrzeugexternen Servers empfangen 102. Die aktuelle Datenübertrag kann ein oder mehrere Datenpakete für eine Kundenfunktion, eine Service- oder Diagnosefunktion, und/oder eine sicherheitsrelevante Funktion des fahrzeugexternen Servers umfassen. Vorzugsweise umfasst die aktuelle Datenübertragung mindestens ein Datenpaket für eine Funktion des fahrzeugexternen Servers. Das Fahrzeug kann beispielsweise ein Intrusion- Detection-System, kurz IDS, aufweisen. Das IDS kann Datenpakete, die beispielsweise Alarminformationen bzw. Alarmnachrichten und/oder Log-Dateien umfassen, in der aktuellen Datenübertragung an den fahrzeugexternen Server übermitteln. Die Datenpakete des IDS des Fahrzeugs können eine sicherheitsrelevante Datenübertragung an den fahrzeugexternen Server sein. Die sicherheitsrelevante Funktion des fahrzeugexternen Servers kann ein serverbasierter Backend-Dienst des IDS des Fahrzeugs sein, der die sicherheitsrelevante Datenübertragung des Fahrzeugs empfangen und verarbeiten kann.

Weiter kann das Verfahren 100 eine letzte, sicherheitsrelevante Datenübertragung des Fahrzeugs an eine sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server ermitteln 104. Der fahrzeugexterne Server speichert die letzte, korrekt empfangene, sicherheitsrelevante Datenübertragung. Insbesondere speichert der fahrzeugexterne Server einen Zeitstempel der letzten, korrekt empfangenen, sicherheitsrelevanten Datenübertragung ab. Durch ein Abfragen der letzten, gespeicherten, sicherheitsrelevanten Datenübertragung kann der fahrzeugexterne Server die letzte, sicherheitsrelevante Datenübertragung ermitteln 104.

Das Verfahren 100 kann die aktuelle Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers plausibilisieren 106. Die letzte, sicherheitsrelevante Datenübertragung kann ein Teil der aktuellen Datenübertragung sein. Alternativ kann die letzte sicherheitsrelevante Datenübertragung ein Teil einer vergangenen Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server sein. Das Plausibilisieren kann ein Vergleichen eines Zeitstempels der aktuellen Datenübertragung an die erste Funktion und eines Zeitstempels der letzten, sicherheitsrelevanten Datenübertragung umfassen. Beispielsweise kann der fahrzeugexterne Server ein maximales, vorgegebenes Zeitintervall zum Plausibilisieren verwenden, welches eine maximale Zeitspanne zwischen dem Zeitstempel der aktuellen Datenübertragung und dem Zeitstempel der letzten, sicherheitsrelevanten Datenübertragung festlegt. Ist das Ergebnis des Plausibilisierens, dass beide Zeitstempel, der Zeitstempel der aktuellen Datenübertragung und der Zeitstempel der letzten, sicherheitsrelevanten Datenübertragung, innerhalb des maximalen, vorgegeben Intervalls liegen, liegt kein Unterdrücken der sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server vor. Andernfalls liegt ein Unterdrücken der sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den sicherheitsrelevanten Server vor. Zusätzlich oder alternativ kann der fahrzeugexterne Server beim Plausibilisieren eine Häufigkeit von sicherheitsrelevanten Datenübertragungen innerhalb eines vorgegebenen Zeitintervalls prüfen. Vorzugsweise wird die Häufigkeit von sicherheitsrelevanten Datenübertragungen nur geprüft, wenn in dem vorgegebenen Zeitintervalls aktuelle Datenübertragungen durch den fahrzeugexternen Server von dem Fahrzeug empfangen werden. Wird eine vorgegebene, minimale Häufigkeit von sicherheitsrelevanten Datenübertragungen überschritten, liegt kein Unterdrücken der sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server vor. Wird die vorgegebene, minimale Häufigkeit von sicherheitsrelevanten Datenübertragungen nicht überschritten, liegt ein Unterdrücken der sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server vor.

Weiter kann der fahrzeugexterne Server eine Häufigkeit von sicherheitsrelevanten Datenübertragungen im Verhältnis zu einer Häufigkeit von aktuellen Datenübertragungen ermitteln. Unterschreitet die Häufigkeit von sicherheitsrelevanten Datenübertragungen im Verhältnis zu der Häufigkeit von aktuellen Datenübertragungen einen vorgegebenen Schwellwert, kann der fahrzeugexterne Server ein Unterdrücken der sicherheitsrelevanten Datenübertragung feststellen.

Die oben genannten Möglichkeiten des Plausibilisierens der aktuellen Datenübertragung können bezogen auf ein einzelnes Steuergerät des Fahrzeugs, eine Teilmenge von Steuergeräten des Fahrzeugs, und/oder alle Steuergeräte des Fahrzeugs ermittelt werden. Somit kann der fahrzeugexterne Server ein Unterdrücken einer sicherheitsrelevanten Datenübertragung flexibel für Steuergeräte des Fahrzeugs ermitteln und präziser ein oder mehrere Steuergeräte identifizieren, deren sicherheitsrelevante Datenübertragung unterdrückt wird.

Weiter kann das Verfahren 100 das Unterdrücken einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server in Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung erkennen 108. Wie oben beschrieben kann das Verfahren 100 bei einem Überschreiten oder Unterschreiten verschiedener Kenngrößen beim Plausibilisieren der aktuellen Datenübertragung ein Unterdrücken der aktuellen, sicherheitsrelevanten Datenübertragung erkennen. Ist das Ergebnis des Plausibilisierens, dass die aktuelle Datenübertragung bezüglich der letzten, sicherheitsrelevanten Datenübertragung plausibel ist, liegt kein Unterdrücken der aktuellen, sicherheitsrelevanten Datenübertragung vor. Ist das Ergebnis des Plausibilisierens, dass die aktuelle Datenübertragung bezüglich der letzten, sicherheitsrelevanten Datenübertragung nicht plausibel ist, kann das Verfahren 100 erkennen, dass die aktuelle, sicherheitsrelevante Datenübertragung unterdrückt wird. Im Detail zeigt Fig. 2 ein beispielhaftes System 200 zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug 202 an einen fahrzeugexternen Server 204. Das Fahrzeug 202 kann eine aktuelle Datenübertragung an den fahrzeugexternen Server übermitteln. Die aktuelle Datenübertragung kann eine erste Datenübertragung 206 an einen ersten Dienst 208 des fahrzeugexternen Servers 204 und eine zweite Datenübertragung 210 an einen zweiten Dienst 212 des fahrzeugexternen Servers umfassen. Eine sicherheitsrelevante Datenübertragung 214 an einen sicherheitsrelevanten Dienst 216 des fahrzeugexternen Servers 204 ist in der aktuellen Datenübertragung nicht enthalten, da die sicherheitsrelevante Datenübertragung 214 durch einen Angreifer manipuliert wurde. Eine Plausibilisierungsmodul 218 des fahrzeugexternen Servers 204 kann die erste Datenübertragung 206 und die zweite Datenübertragung 210, wie oben in Zusammenhang mit Fig. 1 beschrieben, plausibilisieren und ein Unterdrücken der sicherheitsrelevanten Datenübertragung erkennen. Das Plausibilisierungsmodul 218 des fahrzeugexternen Servers 204 kann eine Alarmnachricht 220 an einen Fahrzeughersteller und/oder einen Fahrzeugnutzer übermitteln.

Vorteilhafterweise kann das Verfahren 100 und/oder das System 200 eine Manipulation in einem Fahrzeug effizient erkennen, die zu einem Unterdrücken einer sicherheitsrelevanten Datenübertragung an einen fahrzeugexternen Server führt. Die sicherheitsrelevante Datenübertragung kann beispielsweise eine Datenübertragung eines IDS des Fahrzeugs an einen Backend-Server sein. Insbesondere kann der fahrzeugexterne Server ein Unterdrücken der sicherheitsrelevanten Datenübertragung bei einer funktionierenden Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server effizient erkennen. Hiermit können fehlerhafte Alarme durch den fahrzeugexternen Server bei beispielsweise einem Ausfall des Kommunikationsmoduls vermieden werden.

Bezugszeichenliste

100 Verfahren

102 Empfangen einer aktuellen Datenübertragung des Fahrzeugs

104 Ermitteln einer letzten, sicherheitsrelevanten Datenübertragung des Fahrzeugs

106 Plausibilisieren der aktuellen Datenübertragung

108 Erkennen eines Unterdrückens einer aktuellen, sicherheitsrelevanten Datenübertragung

200 System

202 Fahrzeug

204 fahrzeugexterner Server

206 erste Datenübertragung

208 erster Dienst

210 zweite Datenübertragung

212 zweiter Dienst

214 sicherheitsrelevante Datenübertragung

216 sicherheitsrelevanter Dienst

218 Plausibilisierungsmodul

220 Alarmnachricht